在传统概念里,路由器、交换机、无线接入点等网络基础设备只是给我们提供网络的接入及数据的转发。但是用户在使用网络的同时,也会伴随着很多安全问题。这些安全问题不但会导致我们的重要数据信息被通过网络泄露,同时也会影响基础网络的稳定性,导致网络不可用。
对此,我们以前也采取过相应的安全手段,但传统的安全“点布防”方式,只是在网络相应出口进行安全设备布防,网络内部之间的访问却成为了盲区。例如:
黑客进入网络,将网络内一个主机当做跳板,从用户的数据库中拖取数据。这个数据读取过程通常会传输大量数据,有时时间也很长,而这个漫长和危险的过程对于网络边界的防火墙却是看不到的。
这个问题怎么解决呢?
路由交换设备不只是数据转发的通路,这个通路同时能告诉我们很多信息。即使服务器和主机在同一台交换机,交换机也能看到他们之间所有的网络访问行为!
思科正是利用路由交换设备部署位置的特点,再结合了思科路由交换设备的功能,推出了“Network as a Sensor(NaaS)”方案,完美地解决了上述“点布防”的问题。
思科 NaaS 方案通过网络来收集网络传送的所有信息,然后利用 Netflow 协议发送至数据采集设备,这样所有利用网络的传输将一览无余。接下来,数据分析设备对采集的数据进行大数据分析,从数据中发现安全隐患。例如:发现异常流量主机——发现违规访问——发现蠕虫病毒传播——发现数据窃取行为。利用此方案可以对网络的流量及所有的访问行为一览无余,真正做到 360° 无死角网络监控,安全“面布防”!
千万别小瞧一个 ACK 数据包!一旦它重复大量发送,这种数据流就会对网络设备造成影响,特别是网络中的 4-7 层设备对此类异常流量抵抗能力弱,轻的造成设备高 CPU 利用率,网络处理速度变慢时延变大;严重时候直接会导致网络设备瘫痪,从而网络瘫痪!
所以,每个数据包的正常并不代表主机就正常!
在思科 NaaS 方案中,系统收集到 Netflow 信息后,会对信息进行存储,然后进行大数据分析。在针对网络中出现流量的主机进行流量行为建模的过程中,每个主机的流量统计特征都不一样。例如,企业内部 Web server 比起 Exchange server 可能因为访问量更低而导致流量稍小。
思科使用了超过 80 个流量属性对每个主机流量进行建模。例如,每秒钟新流量建立速度、数据包转发速率、发送 SYN 的数量、流持续时间等等。针对每个主机建模后,如果某个主机出现流量特征与以前学习得到的流量行为不符合时出现严重突发流量,系统就有能力发现并自动告警。在系统对自身收集的网络访问大数据进行整理建模后,会进一步在数据中进行大数据分析来发现各类违规。系统设计了大量的异常行为事件模板,从数据中提取安全事件。这些安全事件包括地址扫描、暴力破解、各类泛洪攻击、以及平时非常难检测的隐藏超长连接等等。内置超过 100 个安全异常行为,同时用户还可以定制自己的异常行为模板,让 NaaS 帮用户进行数据分析并告警。利用这些异常行为分析,能够帮用户发现网络渗漏、数据窃取以及 DDOS 等恶意行为。在产生事件告警后,管理人员还可以进行相应设定,通过调用第三方设备对安全事件进行自动响应。例如:调用思科的路由器下发 null0 路由,将产生异常的主机对网路的攻击进行阻断;或者调用 ISE,将网络中接入的异常主机物理端口进行关闭。
通过 Network as a Sensor 方案,思科真正将网络作为我们防御威胁的有力工具,通过网络的覆盖,做到真正的“安全无死角”!
