流量分析？日志分析？安全態勢感知該怎么選

　　縱觀業界安全態勢感知平臺建設模式，態勢感知平臺安全要素獲取維度分為兩個大類：流量分析和日志采集分析，同時再結合威脅情報、智能分析等技術實現對整網安全問題的分析、定位以及安全狀態的可視化度量。而對于流量分析和日志分析兩大維度的差異點以及可替代性分析如下：

　　一、流量分析

　　本模式主要通過在網絡的關鍵路徑，如服務器區、核心區、出口區旁路部署探針設備（一般均為軟硬件一體設備），對網絡流量中的異常安全事件進行解析，包括攻擊流量特征、威脅文件傳輸等，然后把結果實時同步到上端分析平臺，進行深度關聯分析及問題定位呈現。

　　優本模式的優勢：

　　不需要現網其他設備對接配合，可實現快速部署，可復制性強，且借助原始流量關鍵信息的還原、存儲，可以提供更多的原始數據回溯支持，便于深度分析。

　　劣本模式的劣勢：

　　不能整合現網已有網絡組件的安全信息，包括已經部署的大量安全設備，分析能力受限于一家廠商的研發水平，不能集各家所長，同時對于需要日志強相關的分析模型無法建立，例如本地異常登錄、NAT溯源等等，這些模型必須依靠日志的強支撐。

　　二、日志分析

　　本模式主要通過采集現網網絡組件的日志，包括安全設備、網絡設備、服務器、中間件、甚至業務系統等，進行統一日志標準處理后，對安全問題進行關聯分析。廣義上說，其實所對接的安全設備等也屬于平臺的感知探針之一。

　　優本模式的優勢：

　　能充分整合全網安全相關信息，采集分析維度更全面，依據各安全設備的分析日志結果，可以集各家所長，不受限于一家廠商的分析能力。同時對日志的采集，也天然滿足了網絡安全法、等保日志審計的合規要求，這個是流量分析所不具備的。

　　劣本模式的劣勢：

　　由于每個用戶現場設備廠商、類型差異非常大，所以可采集到的信息不可控，分析模型的復制性受限，對接優化周期較長，同時對安全問題回溯，由于沒有原始流量數據支撐，深度排查可能受限。

　　最合適的態勢感知建設模式建議：

　　只有將“日志維度+流量維度”有效融合，同時結合威脅情報、智能分析的建設模式才是后續安全態勢感知系統發展的方向。此模式可以很好地發揮日志分析全面性、異構性、合規性優勢，同時配合流量分析維度，解決威脅深度分析、回溯支持、快速部署等問題。基于以上理念，銳捷網絡在2016年推出了安全態勢感知系統RG-BDS大數據安全平臺。

　　以某實際用戶案例為例，用戶部署了基于流量分析的態勢感知方案，通過探針流量分析確實發現下聯單位存在勒索病毒異常主機，但下聯單位都是通過NAT地址轉換后接入，由于沒有NAT日志的結合，異常主機無法溯源，問題無法得到有效閉環。

　　目前業界將日志和流量維度有效融合的方案還十分欠缺，大部分為日志和流量取其一，或者雖包含有兩個維度，但仍然割裂狀態，分屬不同模塊。銳捷安全態勢感知方案早在上市時就已經完成了日志維度的全面分析，并于2018年將流量分析納入安全態勢感知產品體系，并開發上線了專業流量探針，真正將“日志+流量”兩大維度有效融合，整合全網安全監測防護資源，進行更全面、更準確的安全分析。

　　三、流量分析是否可以替代日志分析

　　有用戶和廠商持有疑慮或觀點：由于網絡日志也是一種流量，因此流量探針也可以抓取到網絡中的日志，從而可以替代日志分析。但如果真正落地的用戶場景去深入分析，流量分析和日志分析是無法相互替代的，原因如下：

　　雖然從協議層面，日志發送大部分采用SYSLOG非加密方式，通過流量探針，理論上是可以解析出來所傳輸日志內容，但實際項目部署角度，所有的網絡組件默認都是不往外發送日志的，只有配置日志外發功能后，才有日志的流量產生。因此直接配置將日志外發到分析平臺最直接、最準確的方式，而通過配置日志外發后再用流量探針從流量中抓取出來，本身就是不合理的方式，同時還會帶來原始日志還原度問題。

　　即使通過流量探針抓取日志，由于日志產生源眾多且高度分散，全網部署探針，為了抓取日志，無論從建設成本和網絡運維都不現實。

　　網絡中不是所有的日志，都是主動發送模式，例如很多業務日志、文件日志，是需要分析平臺主動讀取日志，所以通過流量探針無法讀取到其日志數據。? ?

　　另外需要強調的是，日志抓取并不是分析平臺的核心技術，考驗一個平臺對日志的分析能力，最關鍵的是平臺對各類型日志的解析能力以及綜合關聯分析能力。

　　綜上所述，安全態勢感知平臺建設應有效融合“日志+流量”兩大維度，相互發揮各自優勢。實際應用中也可考慮采用分階段建設模式，如先將日志維度納入，在建設態勢感知平臺的同時滿足等保、安全法合規需求，再分階段納入流量分析維度進行安全分析能力的進一步完善。