网络安全监测与应急响应手册_1.docxVIP

网络安全监测与应急响应手册

第1章网络安全态势感知与数据采集

1.1网络流量特征分析

首先需要明确流量特征分析的目的在于从海量数据中提取出偏离正常模式的信号，通常依据包大小、频率、协议类型及端口分布等维度进行划分。对于普通用户而言，只需关注是否出现了非预期的突发大流量传输，例如突然爆发的视频流或大量文件行为，这往往是攻击者准备渗透或数据窃取的前兆。

结合历史数据对比，将当前流量特征与过去24小时或7天内的基线值进行量化对比，若发现某端口（如445、3389）的流量突增且伴随特定加密协议（如TLS1.3）的握手包，可初步判定为潜在的内网横向移动或远程桌面暴力破解尝试。分析时还需区分流量来源，通过源IP地址的分布图查看异常流量是否集中在特定地理位置或单一设备，若发现大量来自海外IP的DNS查询或DNS重定向记录，需警惕是否存在数据泄露或恶意软件尝试绕过本地防火墙的行为。对于关键业务系统，应重点关注其特有的业务特征，例如电商网站在高峰时段是否出现非正常的长连接数激增，或银行系统是否出现了大量非授权的外部IP访问其内部数据库的行为，这些细节是构建精准安全基线的关键依据。

需对提取出的流量特征进行聚类分析，将相似的特征组合成不同的“特征簇”，例如将“高并发+短连接”与“低并发+长连接”区分开来，从而快速定位出是应用层攻击还是基础设施