科来网络全流量安全分析设备的使用

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 科来网络全流量安全分析设备的使用

科全流量安全分析设备常用的功能如下:


1、警报

警报是新版科来中提供的一个新功能,虽然并没有作为主打的功能,因为其中的误报还是比较多的,由于工作地点并没有什么对外开放网站,因此在这一块不清楚web攻击的监测如何。


在工作环境中,遇到过内部漏扫,不过由于界面显示的缘故,其实时效性会差不少,因此在拥有其他安全设备的情况下,科来的警报功能建议作为辅助功能使用。


2、回溯分析

这边是比较常用的溯源分析的功能,在设定时间以及要溯源的IP之后,就可以在回溯分析中看到那段时间的,流量趋势图以及包的协议、负载量等具体的数据。


3、日志分析

科来把抓取的所有的日志进行了分类:HTTP、DNS、邮件、数据库、FTP、远程访问、加密会话、ICMP 这几个分类选项。


因为在工作的过程中,由于华云设备比较紧缺,无法看到是否有钓鱼邮件等情况,因此科来老哥和我说他们的日志分析是可以看到邮件的,同时还能看到恶意的DNS访问的情况。


4、回查分析

肯定有人和我刚开始一样,搞不清楚回查分析和回溯分析的区别在哪里。

其实在我的理解中,回溯分析对于指定单个IP的流量包溯源是比较有用的,也是平时我们会用的最多的情况。


但是如果攻击链如果比较大,需要去比较其中的关系的话,回查分析就会有用多,它可以导入IP,同时也允许你自己构造攻击链的情况进行分析,由于在工作地点那边并没有机会用上这个功能,因此并没有去尝试或者去展示回查分析的厉害之处。


5、专家分析

这个应该是科来中最主打的功能,这个入口可以在上面任何一个栏目进入,在其中可以看到详细的包的协议以及包的内容,是在整个护网行动中看的最多的东西。从包的内容中去判断明文传输、弱口令甚至是恶意DNS请求等一些不合规的情况。但是这个需要有一定经验的人去判断和分析。


以下来简单的展示一下科来的使用方式,不涉及分析包的内容。


一、科来流量告警


dc44a80599f3a74c5a9d5947dfa81430_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


告警不是主要功能,告警功能主要基于数据流量以及数据包提取特征为主。


67f1f4bd1bee8fa1a049f1691bafda82_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


WEB攻击可以直接看流量包,不用进行专家分析


f5490c69049da70096625c3a5437182c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


69ce97d40c4941c8b1cd2968841fd15d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


二、回溯分析


首先可以进入回溯分析,输入IP,则可以看到他的协议以及流量分布图


5a79f4c3299df9a709d0db893f2f9180_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


然后把协议全选,右键如图


eb9fb2e7b5cf333c9236b0c67fa5394d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png




可以根据需求进行流量数据包分析

e22ca68c312b6498906a71f24298aaea_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

64e00c245d3608e65e6ba71354251ab2_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


三、日志分析


920fb2b347036411afa93af72a87566b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png



在日志分析中可以看到DNS、邮件等各种类型的日志记录。也可以通过这里进入专家分析。


四、回查分析


785145ebe8d6f6209b84793e384833c7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


快速查询和之前的查询很像,主要也是通过这种方式来进入专家分析

后面的统计查询等,需要自己建立条件,来进行查询,并非是单个IP的查询

16fe344e9a5f216f3cd58c12eeaca20d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


备 注


科来这个版本新增了告警的功能,其主要的使用点依旧是专家分析溯源,在告警、溯源分析等页面中都可以进入专家分析中查看最详细的日志以及流量情况。还有就是查找之前,时间一点要记得调整。


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
1月前
|
人工智能 边缘计算 物联网
蜂窝网络未来发展趋势的分析
蜂窝网络未来发展趋势的分析
70 2
|
1月前
|
数据采集 缓存 定位技术
网络延迟对Python爬虫速度的影响分析
网络延迟对Python爬虫速度的影响分析
|
2天前
|
数据采集 机器学习/深度学习 人工智能
基于AI的网络流量分析:构建智能化运维体系
基于AI的网络流量分析:构建智能化运维体系
33 13
|
16天前
|
5G 数据安全/隐私保护
如果已经链接了5Gwifi网络设备是否还能搜索到其他5Gwifi网络
当设备已经连接到一个5G Wi-Fi网络时,它仍然有能力搜索和发现其他可用的5G Wi-Fi网络。这里所说的“5G Wi-Fi”通常指的是运行在5GHz频段的Wi-Fi网络,而不是与移动通信中的5G网络(即第五代移动通信技术)混淆。
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
69 32
|
15天前
|
云安全 人工智能 安全
|
21天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
28天前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
55 11
|
29天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
29天前
|
网络协议 安全 文件存储
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问,即使IP地址变化,也能通过DDNS服务保持连接。适用于家庭网络远程访问设备及企业临时或移动设备管理,提供便捷性和灵活性。示例代码展示了如何使用Python实现基本的DDNS更新。尽管存在服务可靠性和安全性挑战,DDNS仍极大提升了网络资源的利用效率。
53 6