1.        近期业界事件
4月初刚结束的2011(第三届)通信网络与信息安全高层论坛中提到:在移动互联网环境下,由TCP/IP协议族脆弱性、终端操作系统安全漏洞、***技术普及等缺陷所导致的传统互联网环境中的安全问题依然存在,而且要对这些对网络安全事故实现可靠的行为溯源能力。
2011年 1月22日, 银联系统再次网络故障, 回想到2006年4月,银联连续7小时系统瘫痪,波及面辐射全球至少34万家商户以及6万台ATM机,五年内出现两次重大事故。据某金融信息安全专家称:这些故障的原因并不是银联系统遭受外界***,主要起因是交易量大引起的网络拥堵。
2.        回溯的价值分析
关于回溯的价值本文主要通过上面提到的安全、故障两个方面来介绍,其他方面的价值需要大家一起来挖掘!
2.1.       安全事故的取证及溯源
在介绍网络安全事故可靠的行为溯源能力之前首先看一下当前用户的网络管理现状。
当前用户在网络中普遍采用的IDS系统+防火墙系统来监控***行为并进行***防护,但这样的体系结构在网络***行为分析方面有很多不足。
1. 很难对IDS系统的告警进行处理
IDS侧重监控,只给用户提供***性行为可能性告警,用户在看到 IDS系统的***行为告警后没有有效地手段分析 IDS系统的告警是否正确 (IDS系统误报率很高) ,从而很难对告警进行处理,这样由于无法确认***行为,没办法形成完整的***行为处理机制,从而致使 IDS系统在某种意义上变成了一个告警加审计系统,安全无法保证。
2. 无法取得有效地***证据
IDS系统只是监控系统,提供的数据是监控结果数据,这些数据很难成为***行为分析的有效证据。
基于这些的不足,其实也体现了我们应对当前网络安全现状的新需求:
对于安全事故,我们不但要快速找出元凶,而且要及时拿出有效的证据,并能对此进行相关性分析,彻底解决这个安全事故。
那我们来看一下结合具有回溯功能的网络分析技术形成完整的安全分析体系 。
采用 具有回溯功能的网络分析产品之后,能够形成完整有效的网络***行为处理机制:
1、IDS系统发现***行为产生告警。
上午9:30 ,192.168.14.156在进行主机扫描! ! ! ! ! !
2、利用回溯分析工具,对主机192.168.14.156在9:30左右的流量进行回溯分析。