网络取证系统建设方案

网络取证系统方案

一、网络安全威胁概述

随着网络的发展网络威胁的问题也与日俱增，并且目前还在呈现指数级别的增长：而且黑客仍在继续制造更为复杂的新威胁，不断地为网络互联的企业带来巨大的破坏；加之威胁的工具化、实施威胁更加容易，大大降低了攻击者的能力要求，进一步扩大了威胁。一般情况下，网络面临的威胁可以分为三类：

1．对网络自身与应用系统进行破坏的威胁

这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。

ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DoS攻击，虽然不破坏网络内部的数

据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。

2．利用网络进行非法活动的威胁

此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治或经济利益的目的。这类威胁有盗号木马、SQL注入、垃圾邮件、恶意插件等。如通过盗号木马这个工

具，不法分子可获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分

子通过发送宣传法轮功的邮件，毒害人民群众，以达到不可告人的政治目的。

3．网络资源滥用的威胁

此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为，包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正

常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响正常业务的使用；又

如，使用股票软件是正常行为，但在上班时间利用公司网络使用它，降低了工作效率，对公

司或单位造成了间接损失。这些行为都属于网络资源滥用。

目前应对这些威胁的手段虽然有很多，IDS\IPS、漏洞扫描、防火墙、日志聚合系统、网络异常行为检测和签名匹配技术等等，但都存在不同程度的局限性。比如漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索的，无法应对复杂和定制攻击的出现；日志分析因数量巨大而变得非常困难并且单调乏味；而IDS\IPS、防火墙和内容监视等手段则很容易为黑客所逃避。因此传统的安全和网络技术一直无法很好地解决一系列涉及商业和技术价值的问题。

二、网络取证系统介绍

网络取证系统提供了一个全新的网络应用数据分析方案。它是业界第一款可以记录网络上每件事情的安全监视系统，并可以反复并行使用分析来解决很多单位面临的一些最具挑战性的问题，如：内部人员对敏感数据的威胁、各种原因导致的数据泄漏、恶意软件行为、网络设置错误、资产滥用、网络异常、网络入侵分析、网络数据审计、法律法规要求达标和网络电子发现（network e-discovery）。

网络取证系统经历了超过10年的创新研究与开发，针对网络流量监视和分析提供专利系统和方法。与现有的安全和网络分析构架技术有着极大的不同，网络取证系统是全新设计的产

品，用于即时分析、建模并极为详细地发掘所有网络流量，而不仅是简单地监视。该产品还提供全面的分布式网络监测架构，可确保您的用户的个人识别信息、知识产权和其他敏感数据受到保护，避免意外或有意的泄漏。

以全新的视角审视您的网络

借助于突破性的用户界面和无比的分析能力，网络取证系统可以使您以全新的方式监视和实时分析您的网络流量。传统的协议分析工具是以数据包的时序显示网络的流量，此时分析网络应用数据和恶意的网络行为通常是非常困难和容易混乱的，尤其是在分析网络数据的前后关系上，网络取证系统在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特征。

使用传统的协议分析仪进行数据包级的分析是识别和诊断网络安全问题的常用手段。但在银行保险、政府机构、军方、电信、跨国企业等通信数据量庞大的机构中，面对采集到的几十亿数据包，使用协议分析仪从中发现潜在的威胁行为似乎很难实现。而漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索，而不能从网络异常应用流量的角度来感知网络的潜在威胁。但问题是网络上大部分的新威胁或新型的攻击都非常狡猾，对网络管理者和安全分析人员来讲是根本“看不见的”。

网络取证系统可以让您看到以前看不见的东西。它会记录全部网络上的流量，将数十亿的数据包转换成上千个会话并形成高速的元数据索引，让您直接迅速地看到在应用层发生的事情：

➢哪些黑客躲避了IDS、防火墙、NBAD系统和签名匹配技术的检测进入了公司网络？

➢哪个邮箱发出的email附件中含有公司客户的名单，并发给了竞争对手？

➢谁在使用聊天软件向媒体泄漏了哪些敏感信息？

➢我们的网络是否符合Sarbanes-Oxley（塞班斯法案）的要求？

➢我发现我们的网络中有多台PC好像被外网的一个IP地址控制了

➢……

网络取证系统对网络应用或行为的分析，使您不会再因为“看不见”而不知道网络在遭受黑客的破坏攻击，也不会因为“看不见”而不知道有内部人员泄漏公司的机密。网络取证系统更适于广泛的业务需求。这种转变更为全面、更易于管理，并且更好地关联了网络行为的前后关系。

与众不同产品设计

对于众多安全产品厂商而言，传统的安全和网络技术一直未能解决一些列涉及商业和技术价值的问题。安全问题、威胁分析、事件响应、风险分析和依从性问题都迫使用户远离传统的网络监视解决方案。因为更为复杂和定制攻击的出现意味着传统基于签名的安全工具不一定能够帮助发现并修复安全问题，日志分析也很困难并且单调乏味。而网络取证系统正是设计用来应对上述挑战的。它也可以帮助各种技术水平的人员从捕捉的流量中识别问题并快速分析多种高级的网络威胁。

整体的索引和体系化以及网络元数据的实时同步，深入至网络会话的前后关系和内容的分析等使我们的技术可以解决复杂的问题，而这些问题正是现有的网络性能监视、内容监视和过滤、基于签名的系统或日志聚合技术所无法解决的。网络取证系统解决方案提供最大的灵活性来适应技术、要求和策略的变化。

简单易用的界面