【安全说】透过网络流量看用户轨迹
作为网络运维和管理者,
你也许想知道:
网络流量中到底有什么?
是谁在使用网络?
产生的网络行为符合规定吗?
一个又一个问题,
促使我们进一步研究网络流量,
透过网络流量看用户轨迹。
第三期【安全说】课堂希望给你些许启发,
以下欢迎欣赏。
对网络管理者来说,“人”是网络的重要组成部分,但网络世界中冰冷的IP,很难与实际用户一一对应,从而导致很多安全事件发生后无法溯源。另一方面,网络承建者希望为用户提供更好的体验,却总会有网络资源紧张的情况出现。
网络将我们带入数字时代,极大方便了日常工作和生活,同时也降低了网络犯罪成本。不良言论充斥网络,用户数据盗取更是屡见不鲜,网络安全已成为“达摩克利斯之剑”,为此国家出台了诸多法律法规进行制约。除了考虑实际网络应用场景,还需满足合规要求。
因此,基于用户行为的审计技术已成为网络安全建设的热门。
该技术主要包含四大核心功能,分别是:“用户管理”回答谁在使用网络的问题;“应用引擎”进行网络行为识别,了解用户在网络中干什么;“策略管理”控制用户行为,明确哪些事能做,哪些事不能做;“数据分析”得到有价值的信息,进而预测用户下一步的网络动向,帮助管理人员做出正确决策。
用户管理。2020年2月,RSA大会在旧金山举行,“Human Element”被认为是永不过时的主题。原因在于:1、人对网络安全行业来说永远是必不可少的,管理的是人,被管理的也是人;2、人是最薄弱的安全环节,因为控制尺度会随感情发生变化;3、需要构建以人为中心的安全策略。
智能引擎。该功能具有高性能、一体化等特性,可以快速基于应用指纹识别网络流量,确定流量由哪款APP产生,解决用户行为识别问题。智能引擎可根据应用属性将应用提前归类,让管理者更好了解网络流量的组成。当应用没有指纹时,引擎依然可根据提前训练获得的应用DNS和应用行为快速完成识别,这是其过人之处。
策略管理。有了智能引擎,还要依赖策略如何生效,想制定一套适合自身的策略,可以重点从三个中心出发考虑。中心一:设计和创建的策略以人为中心,毕竟管理的对象是人;中心二:落地的策略以业务为中心,网络建设的初衷是为了更好开展业务;中心三:策略以时间为中心,在不同时间段制定不同策略,才能做到张弛有度。
数据分析。完成前三个功能之后,还要将整个流程的数据汇总加工,数据才是人机交互的重点。数据分析主要分为两个阶段:数据粗加工和数据深加工。
数据粗加工让我们从整个数据链条看,知道用户是谁,他可见的真实身份和虚拟身份有哪些,他使用网络做了哪些事,哪个方向是他比较偏向的。这就基本完成了将网络流量对应到每一个用户的过程。
数据深加工将全网数据进行汇总,以一定的数据分析技术模型为基础,从多个维度深挖数据。比如,通过分析浏览招聘网站、邮件投递等维度,可以知道当前网络中的用户是否有离职倾向;或者从另一个角度看,当前网络中的用户求职热度有多高,这一点在高校应届生网络中经常被重点关注。当然这仅仅是数据深加工的一个方向,还有非工作时间上网分析、工作效率分析、校园网贷分析、沉迷网络分析、热门事件分析等,相信未来还会有更多贴近业务的功能出现。
站在用户角度,以上已基本完成网络用户的实际行为审计,但从国家层面看,每一个网络依然是一个小小的黑盒。这也是国家出台一系列法律法规、推动网络合规建设的初衷,国家希望了解清楚网络中的每一个行为,这部分数据主要为安全事件发生后溯源准备。
现阶段,数据合规的强制对象是非经营性的网络提供商,类似火车站网络、机场网络等。这些网络的共性特点是:网络服务免费提供、使用网络资源的用户流动性强。推进单位是各地网监部门,其主要职责一方面是完成数据的收集,另一方面是针对合规建设的监管监控,用法律手段保证合规建设的有序落地。
此次的分享就到这里,谢谢大家!