超级会员免费看
网络安全监测工具:包捕获与威胁情报的应用与局限
在当今数字化时代,网络安全至关重要。有效的网络安全监测依赖于多种工具和技术,其中包捕获和威胁情报是两个关键方面。本文将深入探讨这两种工具的特点、应用场景、优势以及局限性。
包捕获技术
在理想情况下,我们希望能够在任何地方进行完整的包捕获。在许多小型环境中,这种能力确实存在。包捕获可以为调查提供有力的证据,通过研究甚至重放已经发生的网络对话,能更清晰地了解事件的全貌。然而,要实现无处不在的包捕获,需要大量的资源和工程努力。
部署考虑
- 部署位置 :和其他事件源一样,确定包捕获的部署位置是关键问题。在需要重现攻击场景或确定已发生事件的任何地方,包捕获都很有帮助。通过适当的过滤、存储、索引和召回功能,记录内部网络进出的所有数据包是可行的。
- 滚动包捕获 :滚动(持续)包捕获是查询近时包数据的一种可接受的解决方案,同时还可以选择在更长期的存储中搜索历史数据。
- 数据召回 :除了捕获和存储包数据,数据的召回同样重要。这不仅要求能够捕获数据包,还需要对其内容进行索引,以便进行搜索和日志挖掘。但要考虑构建索引或将数据包加载到数据库所带来的额外存储需求。
- 数据过滤 :为了使滚动包捕获有效,必须过滤掉不可读或无用的数据。例如,如果寻找有效负载信息,IPsec 或 SSL 流量(除非拥有或后来发现私钥)从包捕获的角度来看几乎毫无价值;如果只关注网络元数据,使用 NetFlow 会更好。此外,广播、多播
订阅专栏 解锁全文
扫一扫
739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
