今天老葫来跟大家分享一篇来自国外的关于当下最火爆的网络安全产品——NDR的技术趋势分析，希望能给大家带来一些启发。

如今，大多数NDR（网络检测和响应）产品都依赖于流量镜像和深度数据包检测（DPI）。流量镜像通常部署在单核交换机上，以向使用 DPI 彻底分析有效负载的传感器提供网络流量的副本。虽然这种方法提供了详细的分析，但它需要大量的处理能力，并且在涉及加密的网络流量时是无效的。

元数据（Metadata）分析是专门为克服这些限制而开发的。通过利用元数据进行分析，可以在任何收集点观察网络通信，并通过提供有关加密通信的见解的信息来丰富网络通信。

NDR（网络检测和响应）解决方案对于可靠地监控和保护网络运营至关重要。但是，随着网络流量的加密和数据量的不断增加，大多数传统的 NDR 解决方案都达到了极限。这就引出了一个问题：用户应该利用哪些检测技术来确保其系统的最大安全性？

本文将阐明深度数据包检测（DPI）和元数据分析的概念。我们将比较这两种检测技术，并研究现代网络检测和响应（NDR）解决方案如何有效保护IT/OT网络免受高级网络威胁。

什么是深度数据包检测（DPI），它是如何工作的？

DPI 是一种网络流量监控方式，用于检查流经特定连接点或交换机的网络数据包。在 DPI 中，整个通信量通常由核心交换机镜像到 DPI 传感器。然后，DPI 传感器检查数据包的标头和数据部分。如果数据部分未加密，则 DPI 数据包含丰富的信息，并允许对受监视的连接点进行可靠的分析。传统的 NDR 解决方案依赖于基于 DPI 的技术，这些技术在今天非常流行。然而，面对快速扩大的攻击面和不断发展的 IT 环境，DPI 的局限性变得越来越普遍。

为什么DPI不足以检测高级网络攻击？

目前，用户越来越多地使用加密技术来保护其网络流量和在线交互。尽管加密为在线隐私和网络安全带来了巨大的好处，但它也为网络犯罪分子在发动毁灭性网络攻击时提供了躲在黑暗中的合适机会。

由于DPI不是为分析加密流量而设计的，因此它对加密数据包有效负载的检查变得失效。这是DPI的一个重大缺陷，因为大多数现代网络攻击，如APT，勒索软件和横向移动，在其攻击例程中大量使用加密来接收来自分散在网络空间的远程命令和控制服务器（C&C）的攻击指令。

除了缺乏加密功能外，DPI还需要大量的处理能力和时间才能彻底检查每个数据包的数据部分。因此，DPI无法分析数据密集型网络中的所有网络数据包，使其成为高带宽网络不可行的解决方案。

新方法：元数据（Metadata）分析

通过利用元数据进行网络分析，安全团队可以监控通过任何物理、虚拟化或云网络的所有网络通信，而无需检查每个数据包的整个数据部分。因此，元数据分析不受加密的限制，可以处理不断增加的网络流量。

为了向安全团队提供所有网络流量的实时情报，元数据分析捕获了有关网络通信、应用程序和参与者（例如，用户登录）的大量属性。例如，对于通过网络的每个会话，都会记录源/目标 IP 地址、会话长度、使用的协议（TCP、UDP）以及所使用的服务类型。元数据可以捕获许多其他关键属性，从而有效地帮助检测和防止高级网络攻击：

主机和服务器 IP 地址、端口号、地理位置信息
DNS 和 DHCP 信息将设备映射到 IP 地址
网页访问，以及 URL 和标题信息
用户到 DC 日志数据的系统映射
加密网页 – 加密类型、密码和哈希、客户端/服务器 FQDN
不同的对象哈希 – 例如JavaScript和图像

安全团队如何从基于元数据的 NDR 中受益？

实施基于元数据分析的网络检测和响应（NDR）解决方案可为安全团队提供有关其网络内部发生的情况的可靠见解 – 无论流量是否加密。元数据分析辅以系统和应用程序日志，使安全团队能够检测漏洞并提高对盲点的内部可见性，例如影子 IT 设备，这些设备被认为是网络犯罪分子利用的常见入口点。基于 DPI 的 NDR 解决方案无法实现这种整体可见性。此外，轻量级元数据允许对历史记录进行高效的日志数据存储，从而促进取证调查。数据密集型 DPI 分析使得长期存储历史数据实际上不可行或非常昂贵。最后，元数据方法允许安全团队确定通过公司网络的所有流量的来源，并监视连接到网络的所有设备（如 IoT 设备）上的可疑活动。这使得对企业网络的完全可见性成为可能。

结论：网络安全的未来是对元数据的分析

传统的基于 DPI 的 NDR 工具最终将因企业网络安全而过时，因为威胁形势不断扩大，更多流量被加密。随着越来越多的公司采用基于MA的安全系统来有效密封安全漏洞并保护其数字资产，整个网络安全行业已经感受到了这些发展。

使用无须实名的阿里云国际版，添加微信：ksuyun 备注：快速云！

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 cloud@ksuyun.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.hanjifoods.com/22219.html