A. 如何實現網路流量數據可視化
實現網路流量數據可視化,主要分為以下步驟:
安全TAP:保護流經網路/虛擬TAP的網路流量中的信息,使其避免未授權的訪問。 從物理或虛擬源頭安全地收集流量。
2.流量映射:流量映射使得每個網路埠都能夠以 100% 的埠線速接收流量,同時每個工具埠也能夠以 100% 的埠速率輸出相關流量。
3.深度數據包過濾:對於分布在虛擬化環境中的那些有封裝的、穿隧傳輸的流量,通過使用靈活的模式匹配正則表達式過濾器,令路由決策基於應用層的數據包內容,而不僅僅基於數據包報頭,可以增強該類流量的可視性,實現數據包深度過濾。
4.數據包優化:數據包截短,就是通過消除數據包中無關工具管理功能、分析功能、合規性或安全性的後沿成分,減小數據包的大小。
5.關聯狀態:數據包除重功能,即建立一個時間窗口,在該窗口期間,任何重復數據包進入矩陣都會被消除。去除與正在進行中的分析任務無關的數據包,整個系統就能夠顯著降低帶寬浪費率和存儲容量浪費率,減少對相關工具處理資源的佔用。
6.高性能NetFlow:把NetFlow生成任務從生產網路上的交換機和路由器上轉移出去, 可以提升生產網路的性能,同時也能在數量上、質量上和有效性方面對傳送至工具的精確NetFlow數據。
7.串接:為了對層出不窮的安全威脅作出更敏捷的反應,許多過去被動檢視流量的帶外安全工具正在變身串接部署。然而,串接部署也自然難免有潛在的故障點,只是用旁路技術可以降低這些風險。
B. 社交網路分析和可視化
社交網路是一種社會關系結構,通過可視化這些網路,我們可以深入觀察行為,識別影響,並預測個人或群體的行為模式。社交網路不局限於人與人之間的關系,它們可以應用於任何類型的連接結構,包括IT網路、組織或供應鏈,只要數據可以被理解為一組節點和鏈接。
連接數據可視化之所以有效,是因為它直觀、快速且靈活。人類的大腦能更擅長發現趨勢、模式和異常值,當數據以有形的格式呈現。交互方式探索互聯數據還能讓用戶獲得更深入的知識,理解上下文並提出更多問題。
社交網路分析(SNA)是利用圖論來理解和測量社交網路的方法。它通過分析聯系來解釋社會行為,而不僅僅觀察個體。在政府、執法部門、銀行、金融、網路安全分析師和基礎設施管理人員等實際世界應用中,社交網路分析發揮了重要作用。
社交網路分析在三個不同層面進行:網路、群組和實體。網路層面揭示了模式,如整體連通性和平衡性;群組層面顯示了各子圖之間的動態聯系;實體層面識別了小型集群,並在連接環境中了解各個實體。
節點的中心性是衡量其在網路中的突出程度或結構重要性的指標。中心性分數高可能表明能力、影響力、控制力或地位。通過找出「中心」節點,可以更快地在網路中傳播信息、阻止流行病、保護網路免遭破壞、識別可疑恐怖分子等。
點度中心性、中介中心性、接近中心性、特徵中心性等是衡量節點重要性的不同指標。點度中心性關注節點的連接性,中介中心性關注節點作為其他節點之間「橋梁」的角色,接近中心性關注節點與其他節點的接近度,特徵中心性綜合考慮節點及其鄰居的重要性,而PageRank則揭示有影響力或重要節點的影響范圍超出了直接連接范圍。
除了中心性度量,還開發了其他演算法來幫助理解社交網路數據,包括距離或路徑、社區發現和聚類、圖布局等。這些演算法有助於分析社交網路的復雜性,揭示社區結構,優化節點和鏈接的布局,提供有意義的可視化。
標准布局、有機布局、順序布局、層次布局、結構布局、放射布局、鏡頭布局等圖布局演算法在社交網路可視化中扮演重要角色。這些演算法確保了鏈接長度一致、節點和鏈接均勻分布、避免重疊、清晰展示不同層次的節點關系,以及生成吸引人眼球的「魚眼鏡頭」視圖。
社交網路分析和可視化提供了深入理解復雜社會關系結構的工具,使我們能夠識別關鍵節點、理解網路模式、預測行為趨勢,並在實際應用中採取有效策略。
C. 網路安全可視化有什麼好處
網路安全可視化之所以重要,可以從現實生活中的安全可視化進行類比。現實世界中,平安城市、雪亮工程等治安防控工程中,關於視頻監控系統的可視化方面建設都十分突出,其意義體現在以下方面:
預警
通過對全局地區的可視化監控,可以進行針對性的人流量分析、人臉識別、信息採集等早期管理手段,通過這些手段能夠進行早期預警,將安全問題控制在萌芽狀態,做到防患於未然。
調度
在可視化平台的支撐下,一旦發生了安全隱患,可以通過多個區域的同時觀測,及時地完成指揮調度和資源調配,對於問題嚴重的區域進行重點布防。
回放
在安全相關案件調查取證過程中,監控錄像回放起到重要的作用,即使犯罪過程沒有被發現或目標對象離開了布防區域,還是可以通過多個監控錄像回放的配合準確定位作案事實和目標移動的路徑,為抓捕和偵破提供了第一手材料。
提高犯罪難度和成本
使用以上全方位的可視化手段,結合經驗豐富的分析人員,將犯罪的難度和成本變得極高,降低了治安事件發生的風險,即使問題發生也有完善的應對方法。
上述道理在網路安全領域也同樣適用,隨著攻擊行為越來越復雜,APT(高級持續性威脅)、勒索病毒等事件頻繁發生,這些攻擊不是單點短時間攻擊,而是持續時間長達十幾個小時甚至幾天,有多個復雜的環節組成,對付這些惡意行為,同樣需要網路安全領域的可視化技術。
通過對安全路徑、流量分析、數據安全、主機安全等多個層面的可視化展現,打造一張網路安全作戰地圖,同樣可以起到以下作用:
攻擊預測
通過設定正常訪問情況下的路徑和流量基線,對發生的異常狀況進行及時發現和告警,並通過多個層面的關聯分析迅速在攻擊的早期解決問題。
路徑和流量調度
發現攻擊現象後,需要盡快通過可視化手段找出導致攻擊的錯誤路徑,並盡快配合流量調度系統將流量通過其它路徑轉發,再及時關閉錯誤路徑,將攻擊者打開的後門盡快關閉。
回溯
對於已經發生了安全事件,就像調取監控錄像一樣,需要調取事發當時的全部數據報文,通過精細化地分析取證,確保100%還原事件現場。通過多個流量採集器的配合,可以分析出攻擊者的軌跡和路徑,為追蹤攻擊者提供了事實依據。
通過網路安全可視化系統的部署,可以縮小攻擊面、延長攻擊時間、提高攻擊者成本和防禦成功率,起到震懾、預測、防禦、處置、追溯的全方位作用。