网络攻防学习笔记 Day150
网络流量分析简称为 NTA,主要用来监控网络流量中的安全攻击。常见的网络流量中的攻击有:
①由于早期的网络协议考虑不完善而造成的协议安全隐患,如 BGP 协议攻击、CDP 协议攻击、MAC 地址欺骗、ARP 缓存投毒、DHCP 饥饿攻击、Rogue DHCP Server 攻击、VLAN hopping 攻击、802.1x 协议攻击等;
②由于恶意并发请求而造成的拒绝服务攻击(DDoS),如 SYN Flood、UDP Flood、NTP 反射攻击、SSDP 反射攻击、DNS 反射攻击、memcache 反射攻击、CC 攻击等;
③各种探测扫描,如 IP 扫描、端口扫描、漏洞扫描,以及病毒蠕虫传播、挖矿传播、勒索软件传播、暴力破解等进行的扫描;
④APT 和 C&C 通信,如硬编码 IP 域名、DGA 随机域名、DNS tunnel、加密流量分析等;⑤可解密的应用协议攻击,如 HTTP 攻击、SMTP 攻击、MySQL 攻击、SMB 攻击等。
数据流量采集可以通过路由器、交换机镜像口或分光器获取,也可以通过一些硬件防护设备(如防火墙、IPS、UTM 等)获取,还可以通过自行开发流量探针获取。获取后可以通过常见的流量协议传输收集,如 NetFlow、IPFIX、sFlow、jFlow 等,最后通过 Spark、Flink 进行大数据实时分析、离线机器学习和聚合分析,最后输出告警并展示数据。
NTA 开源系统:首先是 Apache Spot,使用了大数据和无监督机器学习技术(Hadoop、Spark)对网络流量中的扫描、反射攻击、DNS 隧道、Web 攻击进行检测,并提供了不错的可视化管理界面。Stream4Flow 是基于 Spark 的开源大数据流量分析系统,可以检测 DDoS 攻击、端口扫描等攻击。NetCap 是一个使用机器学习进行流量分析的大学学位论文开源项目。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/6989dff30e1e565900c958d1a】。文章转载请联系作者。
评论