网络流量分析 | 流量分析基础
流量分析是网络安全领域的一个子领域,其主要重点是调查网络数据,以发现问题和异常情况。本文将涵盖网络安全和流量分析的基础知识。
网络安全与网络中的数据
网络安全的两个最关键概念就是:认证(Authentication)和授权(Authorization)。目前已经有多种工具、技术和方法可以确保及衡量这两个关键概念的实施情况,并进一步提供连续性和可靠性。网络安全运营包含了三个基本控制层级,以确保最大限度地提供安全管理。
基本的网络安全控制层级
| 层级 | 描述 |
|---|---|
| 物理层级 | 防止未经授权的物理接触或破坏网络设备及基础设施 |
| 技术层级 | 保护网络数据的机密性、完整性、可用性,阻止未经授权的逻辑访问 |
| 管理层级 | 通过政策和流程规范安全管理,确保安全措施的一致性和持续性 |
在这些控制层级下有两种主要方法和多个要素。下面将列出网络安全运营中常用的几个要素。
两种主要方法
| 访问控制 | 威胁控制 |
|---|---|
| 网络安全的起点。它是一套确保身份验证和授权的控制措施 | 检测和预防网络上的异常/恶意活动,它包含内外部流量数据探测器 |
访问控制中的关键要素
| 名称 | 描述 |
|---|---|
| 防火墙保护 | 基于预设的安全规则,控制网络流量进出,拦截可疑或恶意流量 |
| 网络访问控制(Network Access Control, NAC) | 在设备接入网络前验证其合规性,确保设备符合安全策略 |
| 身份和访问管理(Identity and Access Management, IAM) | 集中管理用户身份及其对资源的访问权限 |
| 负载均衡 | 优化资源分配,提升数据处理效率与可用性 |
| 网络分段 | 通过逻辑隔离,限制用户或设备的横向移动 |
| 虚拟专用网络(Virtual Private Networks,VPN) | 建立加密通道,保障远程通信安全 |
| 零信任模型 | 默认不信任任何用户或设备,持续验证访问请求 |
威胁控制中的关键要素
| 名称 | 描述 |
|---|---|
| 入侵检测和预防系统(Intrusion Detection/Prevention System,IDS/IPS) | 监控网络流量,识别并响应异常或攻击行为 |
| 数据防泄漏(Data Loss Prevention,DLP) | 防止敏感数据被非法外泄 |
| 终端保护 | 保护接入网络的各类设备安全 |
| 云安全 | 保障云上资源(如SaaS应用、虚拟机)的安全性 |
| 安全信息和事件管理(Security Information and Event Management,SIEM) | 集中分析日志数据,实现威胁检测与合规管理 |
| 安全编排自动化与响应(Security Orchestration Automation and Response,SOAR) | 在单一平台内协调不同人员、工具和数据之间的任务,以实现自动化安全运营流程,提升事件响应效率 |
| 网络流量分析与网络检测响应(Network Detection and Response,NDR) | 通过深度流量分析发现隐蔽威胁 |
典型的网络安全运营操作
| 部署 | 配置 | 管理 | 监控 | 维护 |
|---|---|---|---|---|
| - 设备与软件安装 - 初始配置(设置设备的IP地址、默认路由等) - 自动化部署:使用脚本或工具批量配置设备 | - 功能配置(如防火墙规则、VPN参数) - 初始网络访问配置(如子网划分) | - 安全策略实施(如制定密码复杂度规则) - NAT 与 VPN 实现 - 威胁缓解:隔离受感染设备,阻断恶意IP的流量 | - 系统监控 - 用户活动监控 - 威胁监控 - 日志与流量捕获 | - 升级与安全更新 - 规则调整 - 许可证管理 - 配置更新 |
托管安全服务
可能由于预算、员工技能和组织规模等原因,并非每个组织都有足够资源为特定的安全域创建专门的组,因此托管安全服务(Managed Security Services,MSS)产生了。MSS 是外包给服务提供商的服务,这些服务提供商被称为托管安全服务提供商(Managed Security Service Providers,MSSP)。如今大多数MSS都具有时间和成本效益,可在内部或外包进行,易于参与且能简化管理流程。
MSS中也有诸多要素,其中最常见的要素列于下表。
MSS常见要素
| 名称 | 描述 |
|---|---|
| 网络渗透测试 | 通过模拟外部或内部攻击者的手段,来评估网络的防御能力 |
| 漏洞评估 | 系统化识别、分类和量化网络环境中的安全漏洞 |
| 事件响应 | 通过标准化流程快速处置安全事件,最小化损失 |
| 行为分析 | 通过监控用户与系统行为,识别偏离正常模式的异常活动 |
**Q1:**哪个安全控制层级包含创建安全策略?
**答:**管理层级
**Q2:**哪个访问控制元素与数据指标一起管理数据流?
**答:**负载均衡
**Q3:**哪种技术有助于关联不同的工具输出和数据源?
答:SOAR
网络流量
流量分析是一种拦截、记录、监控和分析网络数据和通信模式的方法,用于检测和应对系统健康问题、网络异常和威胁。网络是一个丰富的数据源,因此流量分析对安全和操作问题非常有用。运营问题包括系统可用性检查和性能测量,安全问题包括网络异常和可疑活动检测。
流量分析是网络安全中使用的基本方法之一,是网络安全运营中的一部分。在流量分析中有两个主要技术:
流量分析中的两个主要技术
| 流量分析 | 数据包分析 |
|---|---|
| 从网络设备中收集数据。这类分析旨在通过数据汇总提供统计结果,而不进行深入的数据包级调查。 - 优势:易于收集和分析 - 劣势:不提供完整的数据包细节,无法了解事件发生的根本原因 | 收集所有可用的网络数据。应用深入的数据包级调查——通常也称为深度数据包检测(Deep Packet Inspection,DPI)——来检测和阻止异常数据包和恶意数据包。 - 优势:提供完整的数据包详细信息,以了解事件的根本原因 - 劣势:对时间和技能有要求 |
流量分析的优势有:
- 提供全面的网络可视性
- 有助于为资产跟踪提供全面的基准
- 有助于检测、应对异常和威胁
虽然安全工具/服务的广泛使用以及向云计算的日益转变,迫使攻击者改变战术和技术,以避免被发现,但是网络数据是一种纯粹而丰富的数据源。即使是经过编码/加密的数据,也能通过意想不到的模式/情况提供价值。因此,对于任何想要检测和应对高级威胁的安全分析人员来说,流量分析仍然是一项必备技能。
流量分析初尝试
如图所示,有若干PC机,它们中间有终端会发送一些恶意请求包,我们需要按照日志来揪出它们。日志内容如下:
**Q4:**识别和过滤恶意 IP 地址,会得到Flag,要过滤哪两个IP地址?
此处只需关注IP地址,我们主要看 IDS/IPS System。我们发现10.10.99.99这个IP有多次登录尝试和Metasploit的流量,这个必有问题,先过滤它。然后虽然10.10.99.74也有可疑的ARP行为,但是相比起来,10.10.99.62是100%的 Bad Traffic,因此更应该先过滤后者。
所以这一题我们需要过滤的只有10.10.99.99和10.10.99.62这两个IP地址。
**Q5:**识别和过滤恶意 IP 地址和端口地址,会得到Flag,要过滤哪三个目标端口?
此处只需要关注 Traffic Analyzer的结果。结合上一题的分析,我们重点关注IP与10.10.99.99、10.10.99.74和10.10.99.62有关的日志内容。整理出来发现有这四个:
其中的21端口是FTP所用,因此为了可能的服务可用性,这个端口不应被过滤。因此我们要过滤的三个端口号就是4444、7777和2222。
相关文章:
网络流量分析 | 流量分析基础
流量分析是网络安全领域的一个子领域,其主要重点是调查网络数据,以发现问题和异常情况。本文将涵盖网络安全和流量分析的基础知识。 网络安全与网络中的数据 网络安全的两个最关键概念就是:认证(Authentication)和授…...
幻读是什么项目中是怎么保证不会出现幻读
幻读(Phantom Read)是数据库并发控制中的一种现象,指的是在事务处理中,一个事务在读取某个数据范围时,另一个事务插入、删除或者修改了该数据范围,导致第一个事务再次读取数据时,看到的数据发生…...
C语言实现对哈希表的操作:创建哈希表与扩容哈希表
一. 简介 前面文章简单了解了哈希表 这种数据结构,文章如下: 什么是哈希表-CSDN博客 本文来学习一下哈希表,具体学习一下C语言实现对哈希表的简单实现。 二. C语言实现对哈希表的操作 1. 哈希表 哈希表(Hash Tableÿ…...
MYSQL 常用字符串函数 和 时间函数详解
一、字符串函数 1、CONCAT(str1, str2, …) 拼接多个字符串。 SELECT CONCAT(Hello, , World); -- 输出 Hello World2、SUBSTRING(str, start, length) 或 SUBSTR() 截取字符串。 SELECT SUBSTRING(MySQL, 3, 2); -- 输出 SQ3、LENGTH(str) 与 CHAR_LENGTH…...
)
通过API接口在自己的独立站系统上架商品信息。(实战案例)
以下是一个通过API接口在独立站系统上架商品信息的实战案例,以某跨境电商独立站集成亚马逊产品数据为例,详细说明技术实现流程和关键代码逻辑: 案例背景 某跨境电商独立站需要从亚马逊平台同步商品数据(标题、价格、库存、图片、…...
C语言文件操作完全手册:读写·定位·实战
1.什么是文件 1.1文件的概念 文件(File)是计算机中用于持久化存储数据的基本单位。它可以存储文本、图片、音频、程序代码等各种信息,并在程序运行结束后仍然保留数据。 1.2文件名 一个文件要有一个唯一的文件标识,以便用户识别…...
多模态大语言模型arxiv论文略读(三十七)
A Spectrum Evaluation Benchmark for Medical Multi-Modal Large Language Models ➡️ 论文标题:A Spectrum Evaluation Benchmark for Medical Multi-Modal Large Language Models ➡️ 论文作者:Jie Liu, Wenxuan Wang, Yihang Su, Jingyuan Huan, …...
IDEA创建Gradle项目然后删除报错解决方法
根据错误信息,你的项目目录中缺少Gradle构建必需的核心文件(如settings.gradle/build.gradle),且IDEA可能残留了Gradle的配置。以下是具体解决方案: 一、问题根源分析 残留Gradle配置 你通过IDEA先创建了Gradle子模块…...
SpringBoot 学习
什么是 SpringBoot SpringBoot 是基于 Spring 生态的开源框架,旨在简化 Spring 应用的初始化搭建和开发配置。它通过约定大于配置的理念,提供快速构建生产级应用的解决方案,显著降低开发者对 XML 配置和依赖管理的负担。 特点: …...
MoE架构解析:如何用“分治”思想打造高效大模型?
在人工智能领域,模型规模的扩大似乎永无止境。从GPT-3的1750亿参数到传闻中的GPT-4万亿级规模,每一次突破都伴随着惊人的算力消耗。但当我们为这些成就欢呼时,一个根本性问题愈发尖锐:如何在提升模型能力的同时控制计算成本&#…...
云服务器和独立服务器的区别在哪
在当今数字化的时代,服务器成为了支撑各种业务和应用的重要基石。而在服务器的领域中,云服务器和独立服务器是两个备受关注的选项。那么,它们到底有何区别呢? 首先,让我们来聊聊成本。云服务器通常采用按需付费的模式…...
使用 Pandas 进行多格式数据整合:从 Excel、JSON 到 HTML 的处理实战
前言 在数据处理与分析的实际场景中,我们经常需要整合不同格式的数据,例如 Excel 表格、JSON 配置文件、HTML 报表等。本文以一个具体任务(蓝桥杯模拟练习题)为例,详细讲解如何使用 Python 的 Pandas 库结合其他工具&…...
深入解析 Linux 中动静态库的加载机制:从原理到实践
引言 在 Linux 开发中,动静态库是代码复用的核心工具。静态库(.a)和动态库(.so)的加载方式差异显著,直接影响程序的性能、灵活性和维护性。本文将深入剖析两者的加载机制,结合实例演示和底层原…...
VuePress 使用教程:从入门到精通
VuePress 使用教程:从入门到精通 VuePress 是一个以 Vue 驱动的静态网站生成器,它为技术文档和技术博客的编写提供了优雅而高效的解决方案。无论你是个人开发者、团队负责人还是开源项目维护者,VuePress 都能帮助你轻松地创建和管理你的文档…...
Kafka与Spark-Streaming
大数据处理的得力助手:Kafka与Spark-Streaming 在大数据处理的领域中,Kafka和Spark-Streaming都是极为重要的工具。今天,咱们就来深入了解一下它们,看看这些技术是如何让数据处理变得高效又强大的。先来说说Kafka,它是…...
【设计】接口幂等性设计
1. 幂等性定义 接口幂等性: 无论调用次数多少,对系统状态的影响与单次调用相同。 比如用户支付接口因网络延迟重复提交了三次。 导致原因: 用户不可靠(手抖多点)网络不可靠(超时重传)系统不可…...
闲聊人工智能对媒体的影响
技术总是不断地改变信息的传播方式。互联网促进了社交媒体的蓬勃发展。 网络媒体成为主流。大语言模型为代表的人工智能的出现,又会对媒体传播带来怎样的改变呢?媒体的演变反映了社会和技术的演变。 人工智能(AI) 将继续对整个媒体行业产生变革性的影响。…...
卷积神经网络--手写数字识别
本文我们通过搭建卷积神经网络模型,实现手写数字识别。 pytorch中提供了手写数字的数据集 ,我们可以直接从pytorch中下载 MNIST中包含70000张手写数字图像:60000张用于训练,10000张用于测试 图像是灰度的,28x28像素 …...
Pandas 数据导出:如何将 DataFrame 追加到 Excel 的不同工作表
在数据分析和数据处理过程中,将数据导出到 Excel 文件是一个常见的需求。Pandas 提供了强大的功能来实现这一需求,尤其是将数据追加到同一个 Excel 文件的不同工作表(Sheet)中。本文将详细介绍如何使用 Pandas 实现这一功能&#…...
)
Unity中数据和资源加密(异或加密,AES加密,MD5加密)
在项目开发中,始终会涉及到的一个问题,就是信息安全,在调用接口,或者加载的资源,都会涉及安全问题,因此就出现了各种各样的加密方式。 常见的也是目前用的最广的加密方式,分别是:DE…...
SQL Server 2019 安装与配置详细教程
一、写在最前的心里话 和 MySQL 对比,SQL Server 的安装和使用确实要处理很多细节: 需要选择配置项很多有“定义实例”的概念,同一机器可以运行多个数据库服务设置身份验证方式时,需要同时配置 Windows 和 SQL 登录要想 Spring …...
Qt 调试信息重定向到本地文件
1、在Qt软件开发过程中,我们经常使用qDebug()输出一些调试信息在QtCreator终端上。 但若将软件编译、生成、打包为一个完整的可运行的程序并安装在系统中后,系统中没有QtCreator和编译环境,那应用程序出现问题,如何输出信息排查…...
MyBatisPlus文档
一、MyBatis框架回顾 使用springboot整合Mybatis,实现Mybatis框架的搭建 1、创建示例项目 (1)、创建工程 新建工程 创建空工程 创建模块 创建springboot模块 选择SpringBoot版本 (2)、引入依赖 <dependencies><dependency><groupId>org.springframework.…...
Memcached 主主复制架构搭建与 Keepalived 高可用实现
实验目的 掌握基于 repcached 的 Memcached 主主复制配置 实现通过 Keepalived 的 VIP 高可用机制 验证数据双向同步及故障自动切换能力 实验环境 角色IP 地址主机名虚拟 IP (VIP)主节点10.1.1.78server-a10.1.1.80备节点10.1.1.79server-b10.1.1.80 操作系统: CentOS 7 软…...
Android 使用支付接口,需要进行的加密逻辑:MD5、HMAC-SHA256以及RSA
目录 前言MD5HMAC-SHA256RSA其他 前言 不使用加密:支付系统如同「裸奔」,面临数据泄露、资金被盗、法律追责等风险。 正确使用加密:构建「端到端安全防线」,确保交易合法可信,同时满足国际合规要求。 支付系…...
软件工程效率优化:一个分层解耦与熵减驱动的系统框架
软件工程效率优化:一个分层解耦与熵减驱动的系统框架** 摘要 (Abstract) 本报告构建了一个全面、深入、分层的软件工程效率优化框架,旨在超越简单的技术罗列,从根本的价值驱动和熵减原理出发,系统性地探讨提升效率的策略与实践。…...
鸿蒙ArkUI之相对布局容器(RelativeContainer)实战之狼人杀布局,详细介绍相对布局容器的用法,附上代码,以及效果图
在鸿蒙应用开发中,若是遇到布局相对复杂的场景,往往需要嵌套许多层组件,去还原UI图的效果,若是能够掌握相对布局容器的使用,对于复杂的布局场景,可直接减少组件嵌套,且随心所欲完成复杂场景的布…...
详解 Servlet 处理表单数据
Servlet 处理表单数据 1. 什么是 Servlet?2. 表单数据如何发送到 Servlet?2.1 GET 方法2.2 POST 方法 3. Servlet 如何接收表单数据?3.1 获取单个参数:getParameter()示例: 3.2 获取多个参数:getParameterV…...
Spring Cloud Gateway 如何将请求分发到各个服务
前言 在微服务架构中,API 网关(API Gateway)扮演着非常重要的角色。它负责接收客户端请求,并根据预定义的规则将请求路由到对应的后端服务。Spring Cloud Gateway 是 Spring 官方推出的一款高性能网关,支持动态路由、…...
解释器体系结构风格-笔记
解释器(Interpreter)是一种软件设计模式或体系结构风格,主要用于为语言(或表达式)定义其语法、语义,并通过解释器来解析和执行语言中的表达式。解释器体系结构风格广泛应用于编程语言、脚本语言、规则引擎、…...