某医院网络安全分析案例

背景

我们已将NetInside流量分析系统部署到某市医院的机房内，使用流量分析系统提供实时和历史原始流量。本次分析重点针对网络流量安全进行分析，以供安全取证、网络质量监测以及深层网络分析。

分析时间

报告分析时间范围为：2023-04-12 16:00—2023-04-18 16:00，时长共计7天。

详细分析

针对流量详细分析内容如下。

        流量分布

系统7天的总流量分布趋势，最大时达到400Mbps。

 系统1天的总流量分布趋势，可以看到凌晨4点到5点，有一个持续高峰的流量，IP地址是XXX.XXX.1.41，对应的应用为MICROSOFT-DS(端口为445)；白天工作时间流量趋于平稳。

 

​​​​​​​        异常分析

IP为XXX.XXX.250.200出现13990个发送失败数，对应的应用为MICROSOFT-DS(端口为445)。

通过下载部分数据包分析，该异常原因是由于XXX.XXX.250.200访问内部很多地址，又给对方传输了RST。

分析结论

发现网络中存在连接异常，IP为XXX.XXX.250.200出现13990个发送失败数。

建议

通过对医院的数据分析，建议重点排查XXX.XXX.250.200主机的异常情况。