三大终极哲学问题“我是谁？我从哪里来？我要到哪里去？”这个问题谁也没有办法给出标准答案，但关于网络信息安全的几大问题，有个产品可以给出非常精准的答案。

　　● 攻击者有没有来？

　　● 攻击者是谁？

　　● 来了走没走？

　　● 走了又带走了什么？

　　● 谁(Who)在什么时间(When)、什么地方(Where)、执行了什么操作(What)？

　　安全圈里关心的这些问题，谁可以给你答案？

　　NTA(网络流量分析)产品可以！

　　NTA类产品如何发现攻击？

　　流量有南北向流量，东西向流量，同样攻击也分为外网到内网的攻击，内网横向渗透攻击，而攻击的直接载体就是失陷主机。

　　●攻击过程：对于攻击者来说，需要做的是 肉鸡制造->保持控制->下发命令。(对肉鸡制造，保持控制，下发命令的详细解释请参见后文专有名词解析)

　　●失陷主机发现：发现失陷主机是发现攻击，减少损失的关键！

　　●攻击者有没有来(入站监测)？——网络嗅探或者口令暴力破解，在流量上会有端口分散度，IP分散度异常的流量行为特征。

　　●攻击者是谁？——对于流量分析设备来说，提取流量中必要的元数据和情报进行碰撞匹配，同时通过流量记录来串接出攻击链路，找到攻击源，是发现攻击者的一个有效手段。

　　●攻击者走没走？——端口上的回连操作，需要对内网资产(不仅仅是重要的业务系统)的端口使用分布情况，端口服务类型进行持续的监测，形成端口使用基线，只要出现有回连操作行为方式的流量就触发相应的告警。

　　●攻击者带走了什么(出站监测)？——一般来说，DNS 的53端口是防火墙不会封堵的端口，那么利用DNS

　　Tuning隧道来拖拽窃取到的数据确实是一个不错的选择。对DNS服务器的流量与连接进行持续的监测和可疑字段检测，并记录DNS的所有可疑数据包是目前流量分析设备可以提供的一个有效取证手段。

　　NTA类产品常用场景有哪些？

　　NTA产品一方面用于流量趋势分析，威胁分析，恶意行为监测，另一方面NTA通过流量梳理与分析，为网络管理者进行网络规划与优化、网络监控等工作提供数据仓库。无论是流量趋势分析还是恶意流量检测，很重要的一点是网络取证能力。

　　下图为流量分析产品常见的应用场景，同时标注了此场景体现出的流量分析设备的价值点。

　　上述场景在不同的行业，不同用户处有不同的名称。

　　在军工行业，非授权的访问被命名为不可信访问，越权访问；

　　在金融行业，对失陷主机的分析也会称为主机信誉分析(被金融行业用户称为“信誉库”的特征库是一种特殊的威胁情报库)。

　　有些场景是特定行业特别关注的，比如流量超常，SYN FLOOD，UDP FLOOD等常规DDOS攻击，对攻击源或僵尸机的溯源是运营商用户关注的焦点。

　　NTA是什么？

　　启明星辰NTA从哪里来？

　　到哪里去？

　　NTA，即网络流量分析(Network traffic

　　analysis)，通过监控网络流量、连接和对象来识别恶意的行为迹象。打个比方，它就是流量摄影师——痕迹记录者，记录流量的每一刻行为，每一步轨迹。而NTA正是通过监测这些“网络流量，连接，对象

　　”来识别绕过了传统边界防护设备的高级攻击。(对网络流量，连接，对象的详细描述请见后文专有名词解析)

　　启明星辰（002439）的NTA产品TSOC-NBA能够监测完整的网络数据包以及常用的xFlow协议的FLOW数据，利用多种智能模型，从空间维，时间维，特征维来分析流量、连接和对象，来可视化流量现状，梳理访问关系，展示流量随时间变化趋势。利用自适应的基线学习模型来发现异常流量，通过逻辑关联，统计关联技术将内存中的流量数据，存储中的流量记录形成流量的实时审计和历史关联。通过自动化，半自动化的分析机制来梳理网络秩序，同时快速发现，准确定位恶意的行为。

　　前些日子，我们对启明星辰的NTA(网络流量分析)产品的进行了全面的说明，看，NTA(网络流量分析)产品如何演化、创新、固安全。文章提及了国际权威机构Gartner对NTA类产品的解读，阐述了启明星辰第三代NTA产品TSOC-NBA进阶成一款集流量可视化和追溯取证功能于一身的流量分析产品的历程。

　　怎么样，你get到了吗？

　　专用名词解析

　　失陷主机：攻击者也叫它肉鸡，在攻击者的眼中，有的肉鸡是攻击工具，比如发动所有肉鸡向特定服务系统发起HTTP请求，DNS请求，UDP请求，SYN请求，实施DDoS攻击；有的肉鸡是他们的“跳板”，是他们的“内部数据仓库”，持续地提供服务器机密数据；有的肉鸡就是他们的提款机，加密肉鸡内部文件后，等肉鸡主人乖乖支付比特币。

　　肉鸡制造：网络嗅探是肉鸡制造的第一步，而端口是关键，网络攻击就是在特定主机的特定端口上传输的恶意流量，有些端口是切入被攻击网络的入口，比如完全明文传输的TELNET

　　服务的23端口，比如有很多漏洞的FTP服务的21端口。有些端口适合数据拖拽，从被攻击网络中传出机密数据，比如DNS服务。有的端口适合内网横向渗透，比如NSA网络军火库中的永恒之蓝利用的445端口探测活跃主机，比如161端口上的snmp服务，可以提供网络中各种设备的状态信息，139端口也是黑客扫描的重点端口。

　　保持控制：回连操作也叫与控制主机的心跳连接，这个连接端口的建立就比较随机了，一些黑客会使用比较容易记忆的端口，比如连续的数字5678，重复的数字7777。一些黑客会使用随机算法生成随机端口，这些非常见的端口出现有规律的流量时，就需要重点关注了。

　　下发命令：也称为C&C指令， C&C服务器的指令通常变化多端，而我们可以分析的是C&C服务器，C&C分为几种：硬编码的IP地址，域名，随机DGA域名，多层高级混合C&C网络，一个比一个复杂，一个比一个难以侦测。

　　网络流量：物理上指的是传输链路上流淌的0，1比特流，在逻辑上被协议栈区分为TCP/IP协议栈的链路层，网络层，传输层，应用层的流量，而对网络流量的监测维度可包括整体的流量指标，比如平均包长，平均流量，带宽大小等等。也可指向特定的主机，包括单IP的发送流量，接收流量，端口流量分布等等。

　　连接：可理解为防火墙里的会话，比如TCP连接，UDP连接，比如一个包括控制通道和数据通道的FTP下载文件的连接，一个DNS查询与应答的连接，网络流量分析更多关注的是连接关系；

　　对象：被连接关系所直接关联的就是“对象”，对象可以是特定的业务系统，也可以是某个业务区域，抑或是路由器，交换机。