解构协议解码.pdf

解构协议解码 李飞 成都科来软件有限公司 产品运营总监 科来网络分析系统（技术交流免费版） CSNA网络分析认证 CSNA-A 《网络分析服务认证》各种实战方法训练 CSNA-E 《网络分析体系认证》网络分析知识体系 CSNA-S 《高级安全实战认证》高级攻击分析为主 相关学习资源 公司业务架构 网络安全分析 网络智能运维 全 流 离 网 安 网 网 业 CSNA 量 线 络 全 络 络 务 技术服务 安 数 空 态 分 回 性 认证培训 据 间 势 析 溯 能 全 分 探 感 软 系 管 分 析 测 知 件 统 理 析 网络流量分析技术 网络流量分析的一般过程 网络流量数据应用 数据展示 数据建模 …… 重组还原 数据统计 数据存储 数据查询 协议解码  网络流量分析核心数据分析 协议识别  基本的互联网通信协议都有在RFC 协议鉴别 文件内详细说明 数据包采集 协议解码丼例 可以输出结构化的元数据 网络会话层元数据 应用层元数据（量巨大） 源IP、源端口、源IP国家、 如HTTP协议，主要25个关键字 目的IP、目的端口、目的IP 段，包括user-agent、cookie、 国家、协议、数据包个数、 host、refer等； 会话开始时间、会话结束 如15种DNS协议字段、 时间、会话持续时间… SMTP/POP3协议字段… 应用与业务场景 网络空 网络行 安全态势 间测绘 为感知 感知 …… 异常 商业智能 检测 网络空间 治理 网络交易 性能分析 网络安全检测丼例：网络窃密行为发现 ① 异常行为模型：元数据模型：HTTP 1.1 ；Content-Type: