從“棱鏡門”看回溯技術的應用

（科來軟件CSNA網絡分析專家 徐文勇）

隨著網絡技術的進步和不斷發展，讓大規模的監控和數據收集行為變得越來越易，最近曝光的美國“棱鏡”項目監就是非常典型的此類事件。從技術的角度來看，“棱鏡”項目得以實施，除了跨國公司（google、微軟、思科等）、政府提供支持以外，還有一項至關重要的技術，即近年被炒得火熱的“大數據”技術，情報部門通過遍布全球的監控系統、設備系統0day漏洞、網絡攻擊等手段從世界各地獲取海量的數據，通過數據倉庫、數據安全、數據分析、數據挖掘等手段將這些碎片數據拼成“大數據”并進行利用，從而獲取到有價值的數據和線索。

那么，對大數據進行利用的基礎和前提是什么呢？肯尼思·丘基爾在《大數據：一次將改變我們生活、工作和思考方式的革命》一書中提出：大數據的價值在于存儲后的再使用。也就是說，首先是要把這些數據存下來，并在存儲過程中，為這些數據建立相應的關聯依據，以方便用戶查詢使用。再說得直白點，就是將數據保存下來，用戶可以對這些數據進行回溯查詢、回溯分析、回溯挖掘，跟現在流行的網絡回溯分析技術相類似。

網絡回溯分析以數據包（Packet）為基礎，依托TB、PB級的存儲空間，在存儲過程中對海量的數據包進行關聯，用戶可以隨時分類查看及調用任意時間段的數據，當發現問題時，提供一定時間范圍內的回溯分析，為迅速定位問題發生原因提供了更全面的分析依據，同時為網絡安全提供了強有力的數據分析保障。通常情況下，網絡回溯技術及產品可以廣泛用于局域網、互聯網、物聯網、智能電網、工業控制系統等。圖1為回溯技術的功能及原理圖：

圖1 回溯技術的功能及原理圖

如圖1所示，網絡回溯分析技術適用于網絡管理的很多方面，那么它的優勢具體體現在哪些方面呢？

分布式部署、安全事件智能感知及預警

回溯分析設備分布式部署，集中管理，同時能夠針對網絡全局制定統一的安全策略，也可針對下屬或分支網絡分別制定不同的預警條件，一旦發生告警，則可提取該時段的告警數據進行深度分析，以此提前發現并解決安全隱患，防止安全事件的進一步擴大。

安全基線預警方式包括：流量預警，郵件敏感字預 警，可疑域名預警，數據流特征值預警等，通過對安全基線的制定，能夠準確判斷網絡的安全運行態勢，及時防止可能發生的安全事件。

回溯警報以網絡行為產生的數據包為依據，具有誤報率低，查找源頭方便等特點。

建立網絡通訊模型，快速發現異常通訊

企業、通過對“大數據”的分析，可以獲取用戶的行為習慣、愛好，從而更高效的為用戶提供服務，“棱鏡”項目通過對“大數據”的分析利用，可以獲取用戶的聯系方式、賬號、行為模式、通話記錄等。而利用回溯分析技術則可以對網絡通訊建立模型，快速發現網絡里的異常通訊和行為。

網絡行為模式識別技術依靠對大量的網絡數據分析，智能分析數據流的通訊行為特征并建立行為識別模型。主要針對源地址、目的地址、源端口、目地端口、協議、發送時間、接收時間、發送時間頻率等信息進行綜合分析，建立綜合的識別模型，以作為對異常網絡通訊的判斷依據。

網絡攻擊自動分析、發現

回溯技術通過對大量的網絡通訊特征，行為特征，行為模型以及OSI鏈路層到應用層的深入分析，系統能夠檢測各種網絡安全通訊行為及可疑的異常通訊，包括：（1）蠕蟲病毒檢測及其通訊特征分析；（2）木馬檢測及其特征分析；（3）網絡攻擊行為檢測（ARP攻擊/TCP 端口掃描/TCP SYN Flood/TCP ACK Flood/ICMP Flood/UDP Flood/MAC Flood等幾十種安全事件）；（4）其它網絡異常通訊檢測分析。

取證分析、責任界定

如果網絡中出現了問題，可以對出現問題當時的所有訪問流量和內部的通訊流量進行回溯分析，通過數據包級的分析能有效的定位問題點，幫助快速解決問題，保證網絡正常運行。

（1）問題的追溯分析：系統能長期記錄保存所有訪問運系統以及各業務系統各主機間的通訊數據，一旦出現異常，能夠將存儲的數據包提取出來進行分析，提供有效的分析依據。

（2）問題的迅速定位：通過分析網絡系統的訪問通訊數據，進行數據包級的分析，能夠迅速定位到問題點，是由于網絡問題引起的還是應用問題引起的。

（3）安全問題的分析取證：出現安全事件，可以通過詳細的數據分析來對當時的網絡訪問和所有通訊數據進行深入分析，提供直接有效的分析依據和證據。

綜上所述，隨著網絡不斷的發展，網絡監控、信息泄密、網絡攻擊等行為變得越來越容易，網絡管理者必須不斷的提高網絡管理的辦法，實踐證明利用網絡回溯分析技術能實時的監控分析網絡運行情況，及時發現網絡及應用系統的異常行為，并提供強大的安全分析功能，是保障網絡安全高效持續運行的非常有效的手段。