從“棱鏡門”看回溯技術(shù)的應(yīng)用

（科來軟件CSNA網(wǎng)絡(luò)分析專家 徐文勇）

隨著網(wǎng)絡(luò)技術(shù)的進步和不斷發(fā)展，讓大規(guī)模的監(jiān)控和數(shù)據(jù)收集行為變得越來越易，最近曝光的美國“棱鏡”項目監(jiān)就是非常典型的此類事件。從技術(shù)的角度來看，“棱鏡”項目得以實施，除了跨國公司（google、微軟、思科等）、政府提供支持以外，還有一項至關(guān)重要的技術(shù)，即近年被炒得火熱的“大數(shù)據(jù)”技術(shù)，情報部門通過遍布全球的監(jiān)控系統(tǒng)、設(shè)備系統(tǒng)0day漏洞、網(wǎng)絡(luò)攻擊等手段從世界各地獲取海量的數(shù)據(jù)，通過數(shù)據(jù)倉庫、數(shù)據(jù)安全、數(shù)據(jù)分析、數(shù)據(jù)挖掘等手段將這些碎片數(shù)據(jù)拼成“大數(shù)據(jù)”并進行利用，從而獲取到有價值的數(shù)據(jù)和線索。

那么，對大數(shù)據(jù)進行利用的基礎(chǔ)和前提是什么呢？肯尼思·丘基爾在《大數(shù)據(jù)：一次將改變我們生活、工作和思考方式的革命》一書中提出：大數(shù)據(jù)的價值在于存儲后的再使用。也就是說，首先是要把這些數(shù)據(jù)存下來，并在存儲過程中，為這些數(shù)據(jù)建立相應(yīng)的關(guān)聯(lián)依據(jù)，以方便用戶查詢使用。再說得直白點，就是將數(shù)據(jù)保存下來，用戶可以對這些數(shù)據(jù)進行回溯查詢、回溯分析、回溯挖掘，跟現(xiàn)在流行的網(wǎng)絡(luò)回溯分析技術(shù)相類似。

網(wǎng)絡(luò)回溯分析以數(shù)據(jù)包（Packet）為基礎(chǔ)，依托TB、PB級的存儲空間，在存儲過程中對海量的數(shù)據(jù)包進行關(guān)聯(lián)，用戶可以隨時分類查看及調(diào)用任意時間段的數(shù)據(jù)，當(dāng)發(fā)現(xiàn)問題時，提供一定時間范圍內(nèi)的回溯分析，為迅速定位問題發(fā)生原因提供了更全面的分析依據(jù)，同時為網(wǎng)絡(luò)安全提供了強有力的數(shù)據(jù)分析保障。通常情況下，網(wǎng)絡(luò)回溯技術(shù)及產(chǎn)品可以廣泛用于局域網(wǎng)、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智能電網(wǎng)、工業(yè)控制系統(tǒng)等。圖1為回溯技術(shù)的功能及原理圖：

圖1 回溯技術(shù)的功能及原理圖

如圖1所示，網(wǎng)絡(luò)回溯分析技術(shù)適用于網(wǎng)絡(luò)管理的很多方面，那么它的優(yōu)勢具體體現(xiàn)在哪些方面呢？

分布式部署、安全事件智能感知及預(yù)警

回溯分析設(shè)備分布式部署，集中管理，同時能夠針對網(wǎng)絡(luò)全局制定統(tǒng)一的安全策略，也可針對下屬或分支網(wǎng)絡(luò)分別制定不同的預(yù)警條件，一旦發(fā)生告警，則可提取該時段的告警數(shù)據(jù)進行深度分析，以此提前發(fā)現(xiàn)并解決安全隱患，防止安全事件的進一步擴大。

安全基線預(yù)警方式包括：流量預(yù)警，郵件敏感字預(yù) 警，可疑域名預(yù)警，數(shù)據(jù)流特征值預(yù)警等，通過對安全基線的制定，能夠準(zhǔn)確判斷網(wǎng)絡(luò)的安全運行態(tài)勢，及時防止可能發(fā)生的安全事件。

回溯警報以網(wǎng)絡(luò)行為產(chǎn)生的數(shù)據(jù)包為依據(jù)，具有誤報率低，查找源頭方便等特點。

建立網(wǎng)絡(luò)通訊模型，快速發(fā)現(xiàn)異常通訊

企業(yè)、通過對“大數(shù)據(jù)”的分析，可以獲取用戶的行為習(xí)慣、愛好，從而更高效的為用戶提供服務(wù)，“棱鏡”項目通過對“大數(shù)據(jù)”的分析利用，可以獲取用戶的聯(lián)系方式、賬號、行為模式、通話記錄等。而利用回溯分析技術(shù)則可以對網(wǎng)絡(luò)通訊建立模型，快速發(fā)現(xiàn)網(wǎng)絡(luò)里的異常通訊和行為。

網(wǎng)絡(luò)行為模式識別技術(shù)依靠對大量的網(wǎng)絡(luò)數(shù)據(jù)分析，智能分析數(shù)據(jù)流的通訊行為特征并建立行為識別模型。主要針對源地址、目的地址、源端口、目地端口、協(xié)議、發(fā)送時間、接收時間、發(fā)送時間頻率等信息進行綜合分析，建立綜合的識別模型，以作為對異常網(wǎng)絡(luò)通訊的判斷依據(jù)。

網(wǎng)絡(luò)攻擊自動分析、發(fā)現(xiàn)

回溯技術(shù)通過對大量的網(wǎng)絡(luò)通訊特征，行為特征，行為模型以及OSI鏈路層到應(yīng)用層的深入分析，系統(tǒng)能夠檢測各種網(wǎng)絡(luò)安全通訊行為及可疑的異常通訊，包括：（1）蠕蟲病毒檢測及其通訊特征分析；（2）木馬檢測及其特征分析；（3）網(wǎng)絡(luò)攻擊行為檢測（ARP攻擊/TCP 端口掃描/TCP SYN Flood/TCP ACK Flood/ICMP Flood/UDP Flood/MAC Flood等幾十種安全事件）；（4）其它網(wǎng)絡(luò)異常通訊檢測分析。

取證分析、責(zé)任界定

如果網(wǎng)絡(luò)中出現(xiàn)了問題，可以對出現(xiàn)問題當(dāng)時的所有訪問流量和內(nèi)部的通訊流量進行回溯分析，通過數(shù)據(jù)包級的分析能有效的定位問題點，幫助快速解決問題，保證網(wǎng)絡(luò)正常運行。

（1）問題的追溯分析：系統(tǒng)能長期記錄保存所有訪問運系統(tǒng)以及各業(yè)務(wù)系統(tǒng)各主機間的通訊數(shù)據(jù)，一旦出現(xiàn)異常，能夠?qū)⒋鎯Φ臄?shù)據(jù)包提取出來進行分析，提供有效的分析依據(jù)。

（2）問題的迅速定位：通過分析網(wǎng)絡(luò)系統(tǒng)的訪問通訊數(shù)據(jù)，進行數(shù)據(jù)包級的分析，能夠迅速定位到問題點，是由于網(wǎng)絡(luò)問題引起的還是應(yīng)用問題引起的。

（3）安全問題的分析取證：出現(xiàn)安全事件，可以通過詳細(xì)的數(shù)據(jù)分析來對當(dāng)時的網(wǎng)絡(luò)訪問和所有通訊數(shù)據(jù)進行深入分析，提供直接有效的分析依據(jù)和證據(jù)。

綜上所述，隨著網(wǎng)絡(luò)不斷的發(fā)展，網(wǎng)絡(luò)監(jiān)控、信息泄密、網(wǎng)絡(luò)攻擊等行為變得越來越容易，網(wǎng)絡(luò)管理者必須不斷的提高網(wǎng)絡(luò)管理的辦法，實踐證明利用網(wǎng)絡(luò)回溯分析技術(shù)能實時的監(jiān)控分析網(wǎng)絡(luò)運行情況，及時發(fā)現(xiàn)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的異常行為，并提供強大的安全分析功能，是保障網(wǎng)絡(luò)安全高效持續(xù)運行的非常有效的手段。