[科技资讯] 全流分析取证：高级威胁哪里跑？！

网络安全趋势和技术选择

网络空涉及的安全响应是指在安全事件发生后，可以手动或自动采取相应措施，以减少安全事件造成的危害和影响；根据金星星近几年发布的安全态势观测报告，安全响应已经被提到了一个重要的技术领域。在安全防御系统的发展过程中，从ppdr模型到nist(美国国家标准组织)定义的更权威的ipdr模型，都强调安全响应是安全事件处理中非常重要的能力。

陈金星认为，安全响应中最重要的应用思想是基于安全攻击链模型发现完整的攻击过程，并强化攻击过程中发现的系统弱点。通过一条攻击线索，需要对整个过程和行为进行全方位的追踪，找出攻击的手段和系统的薄弱环节，以及这种场景下安全检测设备的失效原因，全流程分析取证往往成为最佳选择。

图1:恶意软件市场已经高度组织化(来源:金星之星安全形势报告)

陈金星认为，基于网络流量元数据和数据包的收集，分析和获取流行安全威胁的证据，是未来最重要的安全技术之一。Gartner的最新报告还指出，nta(网络流量分析)和nft(网络取证工具)正在逐步发展，通过收集和存储网络分析之外的更多数据，实现更广泛的威胁检测和攻击取证能力。

传统的预防加检测有其天然的局限性，持续的检测和响应可以应对当今不断变化的威胁形势。

全流分析和取证在安全性方面的价值

1:完整攻击链的全过程信息存储和显示

网络攻击的成功实施通常是利用系统的薄弱环节，最终通过各种手段进入系统，造成系统破坏或获取所需信息。尽管我们部署了防火墙、ids、ips、数据库防御、邮件防御系统等产品，但防御围栏似乎已经收紧。但是，面对持续不断、层出不穷的高级威胁攻击技术和样本变体，有时无法阻止各种攻击，这足以说明当前攻击情况的复杂性和隐蔽性。通过对攻击过程的分析和分解，洛克希德& middot马丁提出攻击链的概念，一经推出就得到广大安全厂商的认可；att & amp；Ck模型，结合了该技术中攻击链的各个阶段，提炼出常见的攻击技术和方法，已经成为很多安全厂商设计安全检测设备的标尺。

图2: ATT&谷歌过去一年左右的趋势

然而，复杂的安全检测设备种类繁多，只能覆盖攻击链的几个过程，而不能完全呈现一个完整的攻击活动。这些重叠的安全设备的检测能力往往给了攻击者一个机会:每台设备只能显示一些相关的攻击信息，却无法完整显示攻击行为过程和前后的串行关系，因此在后续的响应环节也不可能完全毫发无损，只会导致同样类型的攻击让我们疲于应对，安全事件层出不穷。

全流量分析和取证，通过存储网络中的所有流量(可以过滤掉一些低价值的视频流量等。)，实现网络数据传输中完整攻击过程的快照，按照一定的自动查询规则或手动查询方法显示整个攻击链的所有相关信息。

同时，对于全流分析取证产品，通过与传统安全检测设备和流量分析设备系统的联动，可以实现单点检测和全攻击链恢复取证的能力，实现100%准确的攻击有效性判断和关键证据获取，是构建完整攻击活动证据链的数据基础。

2:协助识别网络攻击的有效性，可实现网络攻击超低误报

由于网络服务的低延迟要求、自动攻击的发生以及系统漏洞的逐年增加，对安全检测设备的快速响应能力提出了更高的要求。另一方面，由于需要降低误报率，大量的误报成为网络攻击检测中的常态。

通过传统的安全检测设备和全流分析取证设备的联动，通过一个流客户端的行为，一个服务器的行为，和& client & amp；服务器端多个流行为的验证，可以快速准确的分析是否是成功的攻击行为:

图3:金星之星全流程分析取证设备与检测设备的联动

近年来，主要的安全供应商一直在siem/Saar上展示他们的能力，这是一个类似的分析和证据收集的想法。然而，这种分析和取证仍然是基于现有网络安全设备的日志信息，在完整性和准确性方面存在一定的不足。然而，全流分析取证设备具有完整的攻击过程信息和攻击前后的客户端/服务器行为，可以轻松帮助安全检测设备快速准确地识别误报信息，充分发挥安全检测设备的快速检测和实时安全响应及处置策略的优势。

3:基于各种复杂的流量[/S2/]

在pcap原始数据、协议元数据、流量统计等全维信息的基础上，全流分析取证产品可以实现在线/实时、离线/批量安全模型分析，弥补当前网络安全设备检测能力的不足。

图4:金星之星全流取证方案的多场景安全分析能力

基于全流分析取证产品的完整数据，可以实现从最简单的统计分析到最复杂的人工智能的各种场景下的安全威胁分析，验证攻击是否成功，分析模型是否准确，可以很好地解决传统的基于特征、指纹和用户网络行为的攻击检测方法带来的误报和漏报问题。这种自我认证能力是独一无二的，很难被其他产品取代。