在公共云里观察到的跟踪网络扫描活动
发布时间:2022-01-05 10:43:39 所属栏目:安全 来源:互联网
导读:流量日志是一种特性,用于记录进出云资源(如虚拟机、容器和功能)的IP流量。所有主流的csp都提供了各自版本的流程日志(AWS、Azure和GCP)。与NetFlow数据一样,流程日志远没有完整的数据包捕获详细,但提供了大规模监控网络性能和安全问题的有效方法。通常
|
流量日志是一种特性,用于记录进出云资源(如虚拟机、容器和功能)的IP流量。所有主流的csp都提供了各自版本的流程日志(AWS、Azure和GCP)。与NetFlow数据一样,流程日志远没有完整的数据包捕获详细,但提供了大规模监控网络性能和安全问题的有效方法。通常,每条流程日志记录包括源IP、目的IP、源端口、目的端口、IP协议号、数据包大小、字节大小和时间戳。根据CSP的不同,每个流程记录可能包括额外的特定于云的信息,如帐户ID和资源ID。NetFlow是一种网络监测功能,可以收集进入及离开网络界面的IP封包的数量及资讯,最早由思科公司研发,应用在路由器及交换器等产品上。经由分析Netflow收集到的资讯,网络管理人员可以知道封包的来源及目的地,网络服务的种类,以及造成网络拥塞的原因。 由于流程日志没有第7层应用程序信息,因此很难确定一个流程是否携带来自单个记录的扫描有效载荷。然而,通过数万个终端的流量日志,研究人员可以通过关联多个csp、区域和客户之间的流量记录,识别扫描流量。如果源IP在短时间内到达大量终端,并且所有流程具有相似的字节/数据包大小,则强烈地表明源IP正在执行扫描操作。以下是研究人员用来在流量日志中识别扫描流量的指标和条件: 源 IP 到达不同 CSP、帐户和区域的多个终端; 源IP在短时间内(例如6小时内)到达所有终端;源IP使用相同的协议到达所有终端上的相同端口(例如TCP端口22);源 IP 在所有终端之间具有相似的流量模式,特别是,所有终端的数据包大小、字节大小和流量计数的差异需要低于阈值。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐