1、网络安全管理：转变范式与创新实践

网络安全管理：转变范式与创新实践

在当今数字化时代，网络安全问题日益严峻，如何有效保护网络免受攻击成为了互联网服务提供商（ISPs）和企业面临的重要挑战。传统的网络安全范式主要侧重于过滤进入受保护域的流量，但这种方法效果有限。本文将探讨一种新的网络安全范式，即同时过滤出站流量，并介绍相关的检测架构和算法。

1. 网络安全现状与挑战

目前，ISPs和企业为了保护网络，采用了大量专业工具，如网络防火墙、网络入侵检测系统（NIDS）、杀毒软件、网络代理和邮件过滤器等。然而，网络安全问题仍然层出不穷，其中最严重的威胁之一就是僵尸网络。僵尸网络是由被控制的受感染主机组成的网络，可用于钓鱼、恶意软件传播、分布式拒绝服务（DDoS）攻击和垃圾邮件发送等。据估计，每天超过1000亿封垃圾邮件中，约85%是由僵尸网络发送的。

传统的网络安全方法主要关注过滤入站流量，对出站流量的重视程度不够。这导致恶意流量在离开源域时几乎没有受到阻碍，当安全事件被检测到时，已经对网络造成了直接和间接的损失。

2. 转变范式：过滤出站流量

为了应对上述问题，我们提出了一种新的网络安全范式，即同时过滤出站流量。这种方法的主要好处是可以在恶意活动到达互联网之前进行缓解。一些研究表明，过滤出站流量是值得尝试的。例如，Van Eeten等人发现，10家ISPs占全球发送垃圾邮件的唯一IP地址的30%，通过过滤这10家ISPs的出站邮件，可以减少近三分之一的垃圾邮件。de Vries等人也证明了出站邮件流量可以更容易地被过滤，并且具有更高的检测率。

为了过滤出站流量，我们建议使用流记录。流记录具有可扩展性，能够提供网络流量的汇总信息，适用于当前的高速多千兆线路。此