网安三重奏:入侵检测、威胁情报与全流量留存的协奏曲
在当前日益严峻的网络安全形势下,面对各类层出不穷的威胁和攻击,我们通常需要采取全方位、多层次的保护策略。在此背景下,催生出了下面几种不同但互补的网络安全路线:
● 入侵检测系统(IDS)
IDS是一种网络安全技术,专注于实时监控和分析网络流量中的攻击模式。IDS通过识别已知的攻击签名和网络行为异常来检测潜在的威胁,如DDoS攻击、恶意软件传播等,更擅长处理明文数据。IDS的主要优势在于其实时性,能够快速识别和响应正在进行的攻击,从而减轻攻击的影响。
● 威胁情报
威胁情报则是网络安全的另一个关键组成部分。它使用的威胁指标(Indicators of Compromise,IoC)可以识别各种威胁,包括加密的和未加密数据中的攻击行为。威胁情报收集和分析了大量关于已知威胁的数据,包括攻击者的策略、技术和程序,以及各种恶意软件的特征。这种信息使得威胁情报可以识别出更为复杂和隐蔽的攻击行为,而不仅限于已知的攻击模式。
● 全流量留存
相较而言,全流量留存则采用白名单模式,通过收集和监测全部流量,建立一个全面的网络流量画像。全流量系统的关注点更加广泛,不仅可以检测已知攻击,还能发现未知威胁和潜在风险;不仅能够识别当前的安全威胁,还可以对过去可能被忽略的威胁进行检测。这种预防性的监测方式使得全流量系统成为网络行为的全景观察者,帮助用户更早地发现潜在的威胁。
将这三者结合起来,可以极大地提高网络安全水平。IDS的实时监控和威胁情报的深度分析能力相结合,可以有效地识别和响应各种威胁。同时,全流量提供的数据支持使安全团队能够从历史数据中挖掘出更多的安全趋势,从而更有效地预防和准备应对未来的威胁。
Panabit NTM作为全流量溯源分析系统,已经内置了威胁情报库,在此基础上,NTM更进一步,在今日发布的NTM TANGr5p5版本中,新增了IDS功能,全流量与IDS强强联手,共同捍卫用户网络安全。
NTM的IDS模块,以APP的形式,在应用商店中安装进入*。
*注:IDS模块目前仅x86平台NTM(含专业版、标准版)可用。
应用商店
目前,NTM中的IDS可以实现如下功能:
■ 实时入侵检测:根据入侵事件发生时间、入侵事件类型、分类、源目IP等进行会话展示,并用可视化方式展示内网入侵事件趋势。
■ 灵活定义规则:系统内置43种规则类型,具体规则数量4万+,可以根据需要灵活启用禁用检测规则,并支持手动导入自定义规则。
总的来说,在NTM中内置IDS,能够实现优势互补。IDS擅长在明文数据中识别攻击模式,提供实时入侵检测的能力,可以迅速感知到已知攻击的发生;配合NTM自带的威胁情报,在明文和密文数据中检测威胁指标,进一步识别出更为复杂和隐蔽的攻击行为,不仅限于已知的攻击模式;而全流量系统通过全面监测,能够发现新型、未知的攻击手段。这种多管齐下的策略,使得网络在已知和未知威胁面前都能够拥有更为强大的抵御能力。
尽管这是我们首个版本的IDS,还存在很多需要继续提升的空间,但将NTM与IDS相结合,仍然是一个关键的起步。并且,基于派网持续迭代的特性,相信在未来,我们的IDS会不断进步,变得更加出色!
新版本的NTM,除了IDS外,还更新了诸多实用功能,为用户提供更全面、智能的流量分析监测手段。
Update
功能新增:DNS态势大屏
继应用协议态势感知大屏、外连态势感知大屏后,NTM的第三块大屏——DNS态势大屏也如约而至。
应用协议态势感知大屏
外连态势大屏
新引入的DNS态势大屏为用户提供了深入了解DNS流量的工具。从总上行/下行速率、连接数、异常DNS数到成功率/失败率,再到请求响应的实时展示,让用户对DNS解析活动有全方位的了解。此外,可通过国外/国内切换,实时区分所监控的DNS会话。
DNS态势大屏
DNS态势大屏为用户提供了实时的DNS解析情况,一方面可以通过监测DNS流量速率和连接数,从而识别网络性能瓶颈,进而进行优化。另一方面,实时监测DNS解析异常数量与成功率/失败率,有助于及时发现潜在的网络威胁。
Update
功能新增:MySQL数据库审计
新增的MySQL数据库审计功能,对数据库系统中的会话日志进行审计和分析,监控和记录数据库访问和操作活动,提供对数据库访问行为的监控,并能够查看相关会话数据包。
通过数据库审计,能够发现数据库访问行为中潜在的安全风险、不合规行为或滥用情况,从而保护数据库系统的安全。
Update
功能新增:IPv6数据包溯源
在数据包溯源中,新增支持对IPv6数据包的溯源分析。随着IPv6的广泛应用,新增的IPv6数据包溯源功能有助于用户更全面地监测和分析网络流量。
Update
功能新增:应用使用时长统计
在IP画像中,新增应用使用时长统计功能,可统计某IP在一段时间内的应用使用情况,了解各应用的流量占比和使用时长。
Update
功能优化
Part.1
日志检索条件新增“或,非”
在进行检索时,新增“或”和“非”逻辑运算条件,使日志检索更加灵活。与(AND)、或(OR)、非(NOT)运算可根据多条件组合,更细致地过滤所需数据。
Part.2
网络穿透模块
实时概况与历史概况中,新增请求数阈值条件,减轻运维人员筛选大基数数据的压力。
会话中增加相关匹配应用协议显示,有助于了解穿透行为的应用信息。
Update
下载地址
访问Panabit官网下载中心获取:
https://www.panabit.com/download
下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版)。
EX100、EX100C,请选择ARM专业版升级包。
往期精选
关注更多官方平台
官方视频号
@北京派网Panabit
扫码关注
官方抖音号
@北京派网Panabit
打开抖音扫码关注
官方B站
@北京派网Panabit
B站搜索关注
官方微博
@派网Panabit
微博搜索关注
畅享连世界