NEITHNET 解決方案
NEITHNET 資安實驗室
無論對於個人、企業、政府或其它組織等,網路安全一直是至關重要的議題,面對活躍的DDoS 攻擊和駭客入侵行動,對企業網路和營運系統極可能造成嚴重傷害,例如服務中斷、資料外洩,甚至是商譽損失、鉅額賠償等後果。
因此對於現今動輒幾G甚至百G的網路流量監控,需能提供及時且快速資料收集與分析的技術,才能應付愈加頻繁與多變的網路攻擊行為。網路流量監控與分析的技術就扮演著相當重要的角色,現今主要有Netflow及Traffic Mirroring這兩種,以下分別來看看他們的特性。
Netflow可以提供詳細的網路流量統計訊息,在 DDoS 攻擊和入侵防護中,Netflow 技術可以應用於實時監測和網路流量分析,以檢測和應對威脅,也是目前資安防護設備採用的主流技術。Netflow技術可提供:
1、流量分析和異常檢測:
透過分析Netflow 數據,可以識別異常的網路流量模式和行為,例如異常的連接數量、不尋常的協議使用或異常的封包大小等,以發掘可能的 DDoS 攻擊或入侵行為。
2、流量特徵識別:
利用 Netflow 數據中的特徵,如來源 IP、目的地 IP、協議類型等,可以識別已知的 DDoS 攻擊或入侵模式。透過建立基於特徵的情資資料庫,系統能夠快速識別和應對已知的威脅。
然而Netflow也有其盲區,對於Layer 2 mac address Level的網路行為流量無法監控,因此往往應用於外網流量監控部分。
而Traffic Mirroring則可補足Netflow監控盲區,通常應用於內網監控部分。Traffic Mirroring具有以下特性:
1、全面的流量捕獲
Traffic Mirroring 可以捕獲網路流量的完整副本,包括流量的內容,如此可提供更詳細的分析和調查能力。
2、即時監測
Traffic Mirroring 可以提供即時的流量監測,幫助網路管理人員及時檢測和應對網路事件。
3、高靈活性
Traffic Mirroring 可以選擇性地獲取特定的流量,使網路管理人員能夠根據需要進行定向監測和分析。
上述兩項網路流量監控技術在資安設備的應用上,例如NEITHNET自主研發的「NEITHViewer網路惡意威脅鑑識軟體」,就同時採用了Netflow與Traffic Mirroring技術,可同步監控橫向擴散與縱向流量,有效補足其它資安設備欠缺的內網環境監控能力。透過兩項技術互相加乘,並搭配威脅情資資料庫,一旦發現威脅,NEITHViewer即可協助IT人員檢視端點環境惡意程式滲透入侵的漏洞、橫向擴散手法,釐清第一台被滲透的端點、攻擊程式、行為模式,精準追蹤可疑足跡,提高內網環境橫向流動的可視性與辨識度。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com