在线观看成年女人免费视频,国产在线观看小视频,大又粗又爽少妇毛片仙踪林,无限在线完整版免费观看,大精品国产张开腿自慰白丝,黄频视频在线播放,国产大胆露出在线视频,男女啪啪姿势污图

DPI提供了網絡中所有知識的總和，從中獲得的洞見更有助于公司為網絡創建一道不可磨滅的防線。

單純從數據包中收集元數據，甚至進行深度包檢測（Deep Packet Inspection，簡稱DPI）是相對容易的，但要實現全線速且跨全網的DPI卻相對困難。隨著信息進入網絡，要實時收集有意義的上下文數據去建立已知的良好行為和跟蹤異常更加困難。我們先從基于DPI的網絡情報是如何理解和影響網絡開始：

? 網絡在本質上是所發生的事情的絕對真相。對手（Adversary）可以通過加密通道掩蓋活動、更改MAC地址、欺騙或偽裝IP地址、清除數據，然后模仿合法用戶或掩蓋不法活動。然而，數據包是不能改變的，它們包含了絕對的真相。

?對手是特別復雜和多層次的。 IDC 觀察到，大約有一半的網絡攻擊使用超過一種的惡意軟件特征。此外，攻擊可以從OSI模型的第2層到第7層的任何地方發起。從數據鏈路事件（第2層）到應用層（第7層），任何地方都可以確定潛在的網絡攻擊線索。

? 網絡安全工具和程序是設計為反應性和/或響應性的，在預先設定的過濾閾值超出時啟動。IDS/IPS 設備用于檢測對手；防火墻規則檢測策略違反；端點工具檢測到內存損壞或檢測到異常的PowerShell命令。然而，通過分析數據包，網絡情報工具可在入侵發生前收集事件信息并產生上下文數據。

? 網絡情報工具是設計用來監控網絡的健康狀況。這個結論似乎過于簡單，其實并不是。網絡的作用是處理最終用戶和應用之間的連接，處理包括TCP/ IP握手、HTTPS會話數據等協議。應用具有已知的性能特征，最終用戶具有可預測的行為。網絡性能監控（NPM）的好處是最大化網絡的性能，保障更好的終端用戶體驗和應用的安全執行。同樣重要的是，不同的NPM指標，如數據包的狀態、應用延遲或抖動，也可以成為網絡安全上下文數據中的失陷指標（Indicators of Compromise，簡稱IoC）。此外，網絡有一個“黃金狀態”，在這種狀態下它的性能是優化的，它的實體之間的關聯是固定的。如果當前的網絡狀態偏離了黃金狀態，NPM可以很快地檢測到（造成偏離的一個原因正是對手在“低和慢”的工作）。

? 網絡是一根非常能反映現場的導線。在現實世界中，公司可以購買的安全工具數量有限，但如果預算允許，網絡情報工具可以與端點檢測和響應工具（EDR）、擴展檢測和響應（XDR）、威脅情報設備、下一代防火墻（NGFW）、身份和訪問管理工具（IDM）、安全信息與事件管理（SIEM）和安全協調、自動化與響應工具（SOAR），以完善告警和來自各種資源的遙測數據，產生單一版本的真相，并創建一個統一的安全工作流。

? 網絡本身也在不斷發展和演進。現代的網絡是一個由傳統數據中心、100G交換、SD-WAN以及私有云和公有云組成的復雜組合。這些現代網絡需要儀器和網絡情報，能夠對所有區域提供持續和一致的可見性，以彌補可能隱藏著潛在威脅的可見性缺口。

釋放互聯網力量的真正魔力是利用數據包的能量。數據報文被設計用來啟動會話、提供路由信息、攜帶有效負載、 對下一個包進行排隊，最后終止會話。應用是數據報文的集合。簡單地說，深度包檢測對應該是可預測且不可改變的應用事件提供了可見性。

NPM和DPI應該被看作一個組合。NPM尋找網絡性能中的故障，從而影響應用、終端用戶體驗和安全設備的效率。而被DPI評估過的豐富數據，可以為數據包過濾提供更強大的機制，因為DPI可以用來識別和阻止隱藏在網絡數據流中的一系列復雜威脅，包括：

?透視加密數據包。在對數據包進行加密時，安全工具可能會丟失有效載荷的可見性。但是，如果將包解密作為企業內部網絡架構的一個精心管理的組件，部署在云和數據中心的關鍵位置， DPI工具可以完全訪問數據包內的所有層。

?檢測數據泄露。DPI不僅可以用于入站流量，還可以用于出站網絡活動。這意味著組織可以使用DPI分析來設置過濾器，以阻止外部攻擊者的數據泄露嘗試，或由惡意和疏忽的內部人員造成的潛在數據泄露。

圖1. 研究發現，由人為疏忽導致的網絡攻擊占77%。DPI工具能用于分析入站和出站活動，能提早發現由惡意和疏忽的內部人員造成的潛在數據泄露。（信息來源：BCG于2021年對50起重大數據泄露的分析報告）

?發現內容策略違規。DPI提供的附加應用可見性允許組織阻止或限制對危險或未經授權的應用（如點對點下載程序）的訪問。同樣的，DPI的深入分析，為組織阻斷違反政策的行為，或防止在公司批準的應用中進行未經授權的數據訪問，開辟了道路。

?檢測命令與控制通信（C2通信）。對手一般會通過接管機器來竊取數據或啟動僵尸軟件（Botware），當然，未經允許接管機器本身就是違法行為。C2通信路由讓威脅來源的發現變得復雜，而且就像加密數據包一樣，C2通信活動可能看起來并不異常，但是，DPI可以揭示“低和慢“的C2通信活動的證據特征。

? NetFlow的可見性有限。NetFlow協議提供的信息，如入站接口（SNMP）、源IP地址、目的IP地址和IP 協議是有幫助的，但無法提供足夠的可見性。另一個相關并且值得注意的問題是，有些環境無法部署EDR代理，例如物聯網（IoT）和公有云環境。DPI卻不論在任何安全層面都可以被廣泛使用。

DPI功能的發展，克服了傳統安全檢查系統依賴于狀態性的包檢查的局限性。DPI分析提供的額外可見性有助于IT 團隊執行更全面和詳細的網絡安全策略。

讓DPI網絡情報閃亮的應用場景

上面重點討論了DPI作為加強網絡檢測和響應以及網絡用戶行為分析的功能，換句話說，就是利用網絡來執行合規或檢測IOC或幫助安全運營中心（SOC）調查和處理的方法。

DPI有直接的效益，也加添了長期的取證和戰術優勢。可擴展的DPI智能地從報文中實時提取OSI 2-7 層的元數據，元數據和數據包被智能地存儲在本地并建立索引（而不是移動到云上），以支持快速和長期（例如，回溯到一年前）的威脅檢測與調查。在入侵點，網絡情報系統必須提供攻擊前、期間和之后的持續性并可擴展的數據包捕獲。

我們希望取證分析是簡單的，但實際上并不是。如果SOC團隊可以使用一條直線來確定告警是良性的、是跟網絡相關的，還是一件安全事件，那么他們肯定會用上它。此外，告警只指示網絡上某個時間點上發生的事情，然而，要弄清楚到底已經造成了什么傷害，具體哪個是目標，對手的動機是什么，攻擊面可能是什么（以及如何減少它），都需要額外的工作和洞察力。DPI可以通過以下方法縮短這些過程：

?數字還原能力。在一次雨刷攻擊（WiperAttack）中，對手可能會開始嘗試清除日志、解除安全工具、并積極地避開沙箱。然而，對手無法更改進出的數據包。如果數據包被解析開，攻擊者使用的有效負載及操作方法就無所遁形。

?網絡的網絡。由DPI驅動的安全方式的一個很好的功能是，它可以利用其他網絡中發現的模式來找出每個網絡中的IoC。匿名數據可以幫助檢測其他攻擊（以及分布式拒絕服務DDoS活動）中對手的模式，并主動將之應用到本地網絡檢測中。

?取證能力。DPI不僅僅是日志、元數據和報文。在事件發生之前、期間和之后可以產生關聯分析；反過來，SOC團隊可以訪問高分辨率的歷史證據，回到過去，了解攻擊是如何開始的，以防范類似的入侵并停止正在發生中的惡意活動。此外，SecOps團隊可以監控基礎設施內暴露的攻擊面，對已部署的防御進行效能優化。

?在多種環境中具有卓越的可見性。從許多公司轉向云環境來看，云的效益顯而易見。為了保持對網絡和資產控制的同時獲得這些效益，企業需要將現有網絡功能擴展到新的云環境的解決方案。在傳統局域網絡中，TAP（測試訪問點）這種物理設備串接到網絡鏈路中，它可以保證安全監控設備以線速能力復制包數據。公有云的提供商，如AWS、Azure和谷歌云平臺現在擁有相當于TAP的能力，公有云中的流量鏡像技術提供了相同的功能。仿效NPM的理念，目前一個適當的云TAP部署能讓SOC在混合和多云環境中具有實時的可見性。

? 零信任網絡原則。所有零信任的營銷策略，前提很簡單，A不能相信B。握手、身份驗證和互聯網協議現在為A可以相信B創造了條件。但是，A和B雙方還必須有一個分析后端，以考慮多種環境，包括多云和虛擬機。同樣，使用單一的NPM平臺允許NetOps團隊應用適當的策略來實施零信任安全架構，并驗證策略和架構是否按照設計的那樣工作。

NETSCOUT對DPI技術的應用

Omnis CyberStream網絡傳感器最重要的能力之一是，它可以以高達100Gbps的速度連續捕獲完整的數據包。這是CyberStream與其他廠商的網絡傳感器的重大區別，后者在檢測到威脅后才開始捕獲數據包并使用數據包切片，或使用其它完整性較差的數據（如NetFlow）。CyberStream結合使用NETSCOUT ASI技術及索引和壓縮技術來創建一個強勁的2-7層元數據集，NETSCOUT稱之為“智能數據”。智能數據存儲在本地的CyberStream 傳感器上（存儲容量達數百TB）。

使用Omnis Cyber Intelligence的優勢在于，通過提供對底層流量的實時顆粒度分析，使用者可以無縫高效地為云流量提供與On-premises本地的流量相同的流量管理、安全性和監控策略，即在云環境中也具有與傳統數據中心相同的功能。

對于網絡和安全操作，NETSCOUT的技術可以將大容量的網絡流量實時轉換為高度結構化、多維的元數據，即“智能數據”（見圖3）。vSTREAM傳感器為云和虛擬化環境提供了CyberStream設備的全部功能。 vSTREAM傳感器可以作為云環境中的實例部署，也可以作為hypervisor中的虛擬機部署。此外，傳感器可以作為公有云的實例實現，包括AWS、Azure、GCP和Oracle云基礎設施。

圖3. 面向企業網絡中所有表面可見性的Omnis Cyber Intelligence架構

在網絡環境中，用戶體驗和應用安全可能會發生沖突。如果沒有適當的經驗，日志數據和應用洞察分析之間的差距很大。隨著DPI提供的強大可見性，網絡安全設備可以更多地了解在網絡上運行的實際應用、傳遞的信息以及這些信息是否適合于所使用的協議和預期的目的地。這讓信任區域中流量的重新路由，比早期實施的隱式“拒絕所有入站”和“允許所有出站”的訪問控制，更有效地實現一個精細的零信任策略網絡。通過在電信和各個垂直行業（醫療保健提供商、金融科技等）長期積累的經驗，NETSCOUT可以快速識別正在運行的應用以及每個會話中的預期標準體驗值（延遲、路由等）。

NETSCOUT的ASI利用對網絡事件的洞察來揭示網絡異常和IoC。圖4解釋了ASI技術提供了什么類型的可見性來理解正常和異常行為。

圖4. 自適應服務智能的架構

Omnis Cyber Intelligence 和ASI技術的技術組件強調了NETSCOUT為客戶提供的目標。如前所述，使用DPI作為支撐和統一的Omnis Cyber Intelligence平臺，NETSCOUT提供了一種它稱之為“可視性無邊界”的能力。DPI 觸發了“智能檢測”，對應用中出現的變化進行線速分析及提供可見性，增強的數據幫助SOC確定要調查哪些應用。在一個應用中，例如域名系統（DNS）會話，服務器可能需要更長的時間來響應，或者 DNS包的大小已經增長，這都意味著可能的DNS隧道。基于DPI的Omnis Cyber Intelligence可以檢測到正在發生的事情。

NETSCOUT網絡性能監控所產生的協同效應帶來了一系列的效益，這不僅僅包括威脅檢測和應用保證。重要的能力包括：

?NETSCOUT提供的安全能力是“風起于青萍之末，浪成于微瀾之間”。在活動變成事件之前，SOC建立正常的操作監控，對可疑活動發出警報，然后確認事件已被檢測，告警機制包括早期預警和持續的攻擊面監控。如果確實發生了攻擊或疑似攻擊，SOC可以啟動接觸者追蹤，并對2-7層元數據或數據包進行回溯調查。

?NETSCOUT促進安全和ITOps團隊的整合，并放大他們的協作效益。安全和ITOps的聯手以幾種不同的方式表現。網絡本身在滿負荷前運行得最好。如果應用很慢或者用戶體驗很差，通常需要某種類型的負載平衡。如果安全設備的容量達到最大，它們要么丟包，要么允許不受監控的活動進入。可觀察性和持續性監控不是同一件事，但肯定是親兄弟。實施關鍵性能指標（KPI）對網絡和安全性都有好處。

?NETSCOUT可以啟動智能緩解。Omnis Cyber Intelligence評估安全態勢，通過與領先的SIEM、SOAR和 NGFW平臺的集成有助于安全團隊的銜接，并阻止對手的下一步行動。Omnis Cyber Intelligence還可以通過Omnis Arbor Edge Defense（AED）防御解決方案在網絡邊緣支配緩解措施，以阻止入站和出站威脅。Omnis Cyber Intelligence旨在這些安全棧中發揮作用，包括將NETSCOUT智能數據導出到第三方數據湖的能力，讓安全分析師能結合其他安全數據集來豐富信息，進行自定義分析。

? NETSCOUT 幫助未來的網絡驗證。不斷變化的、嶄新的環境在我們眼前誕生——擁有專有操作系統的IoT/OT場景、5G網絡和元宇宙。在這些環境中，網絡的原基礎變得更加重要。NETSCOUT平臺隨著網絡的演進一起發展。

本文描述了網絡和安全之間的共生關系。然而，對于NETSCOUT來說，豐富的內容、網絡性能和應用保證是達到目的的一種手段。對于NETSCOUT而言，它已經管理了最復雜的網絡超過20年，真正的目標是為網絡和安全專業人士提供卓越的工具和洞見，讓他們能夠保護他們公司的資產。NETSCOUT的Omnis Cyber Intelligence平臺和技術旨在確保一致的SOC分析師體驗，并創建一個分析流程，以達到更快的檢測，安全的提高，更好的緩解，并改善未來的安全態勢。

總結

每個攻擊面共同的是不起眼的數據包。DPI作為網絡安全檢測和響應的四分衛，然后移交給取證調查和補救似乎是合乎邏輯的。SOC越快地將日志和數據包融入到應用、用戶和網絡統計常態，安全的可觀察性就越強。DPI能夠創建基于網絡的可操作的元數據，以增加洞見和日志上下文（所有安全設備都會生成日志），幫助調查人員找到唯一的真相來源。實現對網絡或混合云的可見性也是一項艱巨的任務。擁有能夠為任何網絡環境（例如，傳統數據中心或混合云）帶來同樣效益的設備，是當今網絡安全的基本要求。此外，雖然對手很狡猾，但數據包分析中包含的信息類型是不可變的，因此仍然是提供真相的來源。

網絡性能監控NPM和深度包檢測DPI的結合，增強了其他SOC工具，并簡化了工作流程。具體來說，NETSCOUT CyberStream網絡傳感器為數據包的可觀察性提供了適當的工具和設備。不僅如此，NETSCOUT還利用它在處理最復雜的網絡方面的豐富經驗來促進對應用、網絡性能和安全性的可見性。