23、网络流量统计分析在安全检测中的应用

网络流量统计分析在安全检测中的应用

1. UDP 放大攻击检测

利用 NetFlow 可以通过以下迹象检测 UDP 放大攻击：
- 数据包总数突然出现正向偏差。
- UDP 服务器响应字节数与客户端发送字节数不成比例。
- UDP 服务流量总量出现正向偏差。
- 上述任何指标与已弃用的服务（如 chargen、day - time、echo 等）相关联。

以下是一个使用此技术的查询示例：
- 本地网络主机使用端口 53 的 UDP 流量。
- 对于每一对唯一的外部主机到内部主机：
- 主机之间的数据包总数至少为 1000。
- 主机之间的总流量至少为 1 兆字节。
- 服务器流量至少占总流量字节数的 95%。

这个查询的准确性相当高。通常情况下，服务器发送的流量明显多于客户端是不正常的。对于小流量，比率可能会与正常情况有很大偏差；但对于包含大量数据包和字节的流量，正常行为会趋于平均，不会超过阈值。这就是所谓的“大数定律”，数据越多，统计结果就越可靠。

2. 统计分析的重要性

统计和数据聚合非常有用，因为高保真度的“确凿证据”事件很少且范围有限。统计可能会迅速变得复杂，而一份没人能理解的报告是个大问题。与基本查询一样，应尽可能追求简单性。在很多情况下，求和、求平均值和计算标准差等简单统计方法在报告中就已经足够强大，无需更复杂的统计工具。

有些数据源比其他数据源更适合进行统计分析。每个单独事件保真度相对较低的数据源是统计分析的主要目标，例如事件计数、唯一事件值聚合或查找事件异常值。即使数据源中的单个事件完全无法采取行动，但将事件聚合