网络安全审计分析.pptVIP

数据包是最底层的网络传输单元，是很难伪造，也是安全取证的重要依据。因此保存大量的原始数据包十分有必要。 存储海量的数据包就需要强大的检索功能来从海量的数据包中找到取证需要的数据包。 攻击行为的精确分析和取证 实时的监控重要主机的流量情况以及TCP连接情况，通过及时发现流量和TCP连接的异常，通过攻击行为特点判定攻击源，并提供数据包级的捕获和保存，是攻击取证的有效证据。 数据追踪定位 流量趋势及时间选择器，可回溯任意时间范围数据流量。 按国家层级挖掘。 国家-地址-IP会话-TCP/UDP会话 专家组件。 数据包级精细分析。 网络回溯分析 发生故障时怎么分析？ 发生间歇性故障怎么分析？ 在没有人员值守的情况怎么分析？ 故障前： 可视预警，提前规避。 故障时： 实时发现，快速定位。 故障后： 数据取证，事后取证。 “昨天晚上发生的故障，今天早上仍然可以分析” 可以进行指定特定的时间进行原场景还原，同时可以直接针对故障场景进行深层次的数据挖掘。 及时回溯分析该时段的流量，能够及时掌握网络异常的原因，避免问题的进一步扩大；同时，对于发生的历史问题，能够快速提取该时段数据进行历史数据精细分析，不管是突发流量检测还是历史数据回溯，一切都变得轻而易举。 谢谢！ * 蠕虫病毒种类繁多， 主机取证主要是登陆到被攻击的主机寻找攻击证据，主要有磁盘记录，注册表修改信息，启动文件，copy删除的文件，以及主机上的机密文件查看情况等。网络取证主要是通过日志记录等设备来记录网络攻击的访问情况，主要有TCP/UDP会话统计，访问IP地址记录，HTTP日志，DNS日志，警报日志等。 * 1.大多数监控类产品仅有一些访问和报警日志信息，没有最原始的数据包。 2取证类产品大多只能保持常见应用日志，如HTTP，DNS，mail等，有些能够保存一TCP/UDP会话，但如arp请求，广播数据包，和特殊的网络行为则无法识别。 3面对大量的报警究竟是误报还是真的存在攻击，如果没有原始的数据包作为支撑很难进行深入的分析。 * 回溯分析包括全局对象分析和指定对象分析，全局分析是指在不指定任何网络对象的前提下进行数据的查询和挖掘等分析；指定对象分析是指可以对某一个或多个网络应用、IP地址、物理地址或会话进行准确的分析，分析结果只会显示与指定对象相关的数据。 * 网络安全审计及回溯分析------基于数据包的网络安全性分析 安全性分析 没有绝对安全的产品，出现安全威胁，需要有快速查找的手段进行解决； 安全分析将大大减小各种安全事件造成的危害。 特点： 可视化，通过网络现象发现安全问题 定位新的安全攻击源 识别伪造攻击数据 安全分析针对整个OSI协议七层 数据包层面的安全性分析原理 时间 下班期间 衡量参数值 上班期间 正常行为基线 异常行为 基于网络基线 一般用于分析网络整体运行情况、业务应用异常等情况 数据包层面的安全性分析原理 基于网络行为 网络行为1 网络行为3 网络行为2 攻击A 攻击B 攻击C 攻击D 一般用于分 析网络中各 种攻击特征 比较明显的 安全攻击行 为 数据包层面的安全性分析原理 基于特征字段 一般用于分析各种应用层攻击行为 发现攻 击特征 协议层安全性分析实例-ARP攻击 正常情况 异常情况 ARP请求 ARP应答 ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求 ARP应答 ARP应答 ARP应答 ARP应答 ARP应答 有请求包、有应答包 而且ARP包数量较少 ARP请求包与应答包数量相差大，而且ARP包数量很多 ARP攻击 ARP应答 ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求 ARP扫描行为 ARP欺骗行为 协议层安全性分析实例-网络层攻击 正常连接情况： 异常连接情况： A B C D E A B C D E F A B C D E 扫描或攻击行为：集中外向连接 下载行为：集中内向连接 正常网络层的连接行为 是松散的、随机分布的 通过网络层协议分布定位IP分片攻击 分片数据包过多，明显异 与正常情况下的分布情况， 典型的分片攻击行为 正常情况下，网络层的协 议分布基本上就是IP协 议，其他的占有量很小 协议层安全性分析实例- TCP连接异常 正常连接情况： 异常连接情况： SYN ACK/SYN ACK SYN RST SYN RST SYN SYN SYN SYN 正常TCP连接行为是： 有一个连接请求，就会 有一个tcp连接被建立起来 TCP synflood攻击或者tcp扫描 TCP 端口异常 分片攻击 分片攻击： 向目标主机发送经过精心构造的分片报文，导致某些系统在