网络检测的深度分组检查与元数据分析；响应（NDR）解决方案

大佬教我写程序 lv.1

发布时间：2023-07-30 17:57:12 228

相关标签： # 漏洞# 攻击# 软件# 信息# 工具

Network Detection and Response NDR Solutions

今天，大多数网络检测和响应（NDR）解决方案都依赖于流量镜像和深度数据包检测（DPI）。流量镜像通常部署在单核交换机上，以向使用DPI彻底分析有效负载的传感器提供网络流量的副本。虽然这种方法提供了详细的分析，但它需要大量的处理能力，并且在加密网络流量时是盲目的。元数据分析是为了克服这些限制而专门开发的。通过利用元数据进行分析，可以在任何收集点观察网络通信，并通过提供有关加密通信的见解的信息来丰富网络通信。

网络检测和响应（NDR）解决方案对于可靠地监控和保护网络操作已变得至关重要。然而，随着网络流量变得加密，数据量不断增加，大多数传统NDR解决方案正在达到其极限。这引出了一个问题：组织应该利用什么检测技术来确保其系统的最大安全性？

本文将阐明深度包检测（DPI）和元数据分析的概念。我们将比较这两种检测技术，并研究现代网络检测和响应（NDR）解决方案如何有效保护IT/OT网络免受高级网络威胁。

什么是深度包检测（DPI），它是如何工作的？

DPI是一种网络流量监控方式，用于检查流经特定连接点或交换机的网络数据包。在DPI中，整个流量通常由核心交换机镜像到DPI传感器。DPI传感器然后检查数据包的报头和数据段。如果数据部分未加密，DPI数据信息丰富，可对受监控的连接点进行可靠分析。传统的NDR解决方案依赖基于DPI的技术，这在今天非常流行。然而，面对快速扩展的攻击面和不断发展的IT环境，DPI的局限性变得越来越普遍。

为什么DPI不足以检测高级网络攻击？

组织越来越多地使用加密来保护其网络流量和在线交互。尽管加密为在线隐私和网络安全带来了巨大的好处，但它也为网络犯罪分子在发动毁灭性网络攻击时提供了一个隐藏在黑暗中的合适机会。由于DPI不是为分析加密流量而设计的，因此它对加密数据包有效载荷的检查视而不见。这对于DPI来说是一个巨大的不足，因为大多数现代网络攻击，如APT、勒索软件和横向移动，在其攻击例程中大量使用加密，以从分散在网络空间的远程指挥和控制服务器（C&amp；C）接收攻击指令。除了缺少加密功能外，DPI还需要大量的处理能力和时间来彻底检查每个数据包的数据部分。因此，DPI无法分析数据密集型网络中的所有网络数据包，这使其成为高带宽网络的不可行解决方案。

新方法：元数据分析

元数据分析是为了克服DPI的局限性而开发的。通过将元数据用于网络分析，安全团队可以监控通过任何物理、虚拟化或云网络的所有网络通信，而无需检查每个数据包的整个数据部分。因此，元数据分析不受加密的影响，可以处理不断增长的网络流量。为了向安全团队提供所有网络流量的实时情报，元数据分析可捕获有关网络通信、应用程序和参与者（例如用户登录）的大量属性。例如，对于通过网络的每个会话，记录源/目标IP地址、会话长度、使用的协议（TCP、UDP）以及使用的服务类型。元数据可以捕获许多其他关键属性，这些属性有助于检测和预防高级网络攻击：

主机和服务器IP地址、端口号、地理位置信息
DNS和DHCP信息将设备映射到IP地址
网页访问以及URL和标题信息
使用DC日志数据的用户到系统映射
加密网页–；加密类型、密码和哈希、客户端/服务器FQDN
不同的对象散列–；例如JavaScript和图像

安全团队如何从基于元数据的NDR中获益？

实施基于元数据分析的网络检测和响应（NDR）解决方案，为安全团队提供了有关其网络内部发生情况的可靠见解；无论流量是否加密。元数据分析辅以系统和应用程序日志，使安全团队能够检测漏洞并提高内部对盲点的可见性，如影子IT设备，这些设备被认为是网络犯罪分子利用的常见切入点。基于DPI的NDR解决方案无法实现这种整体可见性。此外，轻量级元数据允许对历史记录进行有效的日志数据存储，从而促进取证调查。数据密集的DPI分析使得历史数据的长期存储实际上不可行或非常昂贵。最后，元数据方法允许安全团队确定通过公司网络的所有流量的来源，并监控连接到网络的所有设备（如物联网设备）上的可疑活动。这使得完全了解公司网络成为可能。

结论：网络安全的未来是元数据的分析

传统的基于DPI的NDR工具对于企业网络安全来说最终将变得过时，因为威胁环境扩大，更多的流量变得加密。随着越来越多的公司采用基于MA的安全系统来有效填补安全漏洞并保护其数字资产，网络安全行业已经感受到了这些发展。

ExeonTrace是基于元数据分析的领先NDR解决方案。与传统的基于DPI的NDR系统不同，ExeonTrace提供了智能的数据处理，不受加密的影响，不需要任何硬件传感器。此外，ExeonTrace可以轻松处理高带宽网络流量，因为它减少了网络容量并提供了更高效的数据存储。因此，ExeonTrace是复杂和高带宽企业网络的NDR解决方案。

ExeonTrace平台：自定义网络分析器图形截图

预订一个免费演示，了解ExeonTrace如何帮助解决您的安全挑战，并使您的组织更具网络弹性。

文章来源： https://thehackernews.com/2022/11/deep-packet-inspection-vs-metadata.html

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。