信息化觀察網(wǎng)

近兩年，國(guó)際上各種勒索病毒事件頻繁發(fā)生對(duì)企業(yè)造成了嚴(yán)重的經(jīng)濟(jì)損失。為應(yīng)對(duì)勒索病毒擴(kuò)散，眾企業(yè)可謂是絞盡腦汁，然而P2P協(xié)作分析的出現(xiàn)完美的解決了這個(gè)問(wèn)題，大大減少了企業(yè)的經(jīng)濟(jì)損失。

目前P2P協(xié)作分析法還是一種較為前衛(wèi)的企業(yè)協(xié)同防護(hù)策略，與傳統(tǒng)孤立的檢測(cè)和減輕網(wǎng)絡(luò)威脅的方法相比，即使面對(duì)大流量的訪問(wèn)情況，也能夠快速交換信息和分析流量異常，并通過(guò)網(wǎng)絡(luò)信息共享與分析來(lái)加強(qiáng)IT基礎(chǔ)架構(gòu)的防護(hù)能力。

如果打個(gè)比方一位幼兒園老師給一名感冒的小朋友做了標(biāo)記后，其他老師也快速掌握此種情況，進(jìn)而采取相應(yīng)的防傳染措施，避免其傳染給幼兒園其他小朋友一樣，這個(gè)道理就是P2P協(xié)作分析應(yīng)對(duì)攻擊擴(kuò)散的簡(jiǎn)版。

傳統(tǒng)分析導(dǎo)致延遲窘境

要想了解P2P協(xié)作分析方法，首先要清楚網(wǎng)絡(luò)安全分析的常規(guī)模式。一般來(lái)說(shuō)，由于網(wǎng)絡(luò)安全分析經(jīng)常需要對(duì)異常流量進(jìn)行大規(guī)模的人工檢查和威脅分析，導(dǎo)致大多數(shù)企業(yè)會(huì)使用自定義軟件或現(xiàn)成軟件的自定義變體來(lái)查找安全威脅，所以必須手動(dòng)將觀察結(jié)果與其他企業(yè)的報(bào)告進(jìn)行比較。

不過(guò)這樣的結(jié)果會(huì)致使大量網(wǎng)絡(luò)延遲出現(xiàn)，因?yàn)椴煌髽I(yè)的成員還需要在電子郵件收發(fā)、閱讀、確認(rèn)等各流程上耗費(fèi)寶貴的防御響應(yīng)時(shí)間。而類似這樣的傳統(tǒng)網(wǎng)絡(luò)流量分析速度緩慢，也導(dǎo)致企業(yè)在防范現(xiàn)代攻擊向量方面一直處于防御狀態(tài)：比如面臨新一代僵尸網(wǎng)絡(luò)和DDoS工具，企業(yè)網(wǎng)絡(luò)中增加的不可靠個(gè)人設(shè)備，以及弱安全的物聯(lián)網(wǎng)設(shè)備等等。

何為P2P協(xié)作分析法

因此，企業(yè)急需能夠自動(dòng)分析的流量模式與相關(guān)技術(shù)，來(lái)應(yīng)對(duì)上述情況以快速響應(yīng)。這時(shí)一種使用協(xié)作的P2P基礎(chǔ)架構(gòu)來(lái)自動(dòng)檢測(cè)流量異常并使該信息能夠被共享的新興方法，開始進(jìn)入企業(yè)安全決策者的眼中，而這個(gè)方法就是P2P協(xié)作分析法。

P2P協(xié)作分析方法就是由一個(gè)管理員對(duì)數(shù)據(jù)流量摘要和可疑流量進(jìn)行標(biāo)記后，與P2P網(wǎng)絡(luò)架構(gòu)里的其他企業(yè)站點(diǎn)管理員所標(biāo)記的流量進(jìn)行比較分析，來(lái)判別攻擊威脅的一種方法。這樣的好處是，一旦發(fā)現(xiàn)所比較的已標(biāo)記流量之間存在任何相似性，就可快速確定是否是真正的攻擊行為，還是來(lái)自欺騙地址的流量。

雖然現(xiàn)在有的自動(dòng)流量分析工具可以幫助解決分析問(wèn)題，但是通過(guò)使用P2P機(jī)制對(duì)干擾不需要集中管理。企業(yè)可以根據(jù)自己的需要進(jìn)行自主調(diào)整，并在感到恰當(dāng)?shù)臅r(shí)間來(lái)分享信息。測(cè)試表明，在部署P2P協(xié)作分析法后，結(jié)果是減少了攻擊檢測(cè)時(shí)間，降低了管理員的識(shí)別工作量，最主要的是有效地緩解網(wǎng)絡(luò)威脅。

由孤立變?yōu)閰f(xié)同

網(wǎng)絡(luò)安全分析從來(lái)不是孤立的，但現(xiàn)實(shí)中眾多企業(yè)安全決策者往往由于擔(dān)心共享敏感信息外泄，加之安全人員不足，缺乏安全培訓(xùn)或缺乏相應(yīng)工具，導(dǎo)致不少安全分析處于獨(dú)立與割裂狀態(tài)，與其他同行企業(yè)展開流量分析合作的則更是少之又少。然而現(xiàn)在出現(xiàn)的一種基于P2P(點(diǎn)對(duì)點(diǎn))協(xié)作的安全分析方法，卻成為了應(yīng)對(duì)未來(lái)網(wǎng)絡(luò)攻擊威脅的有效手段之一。

隨著使用P2P協(xié)作分析方法所做的相關(guān)流量標(biāo)識(shí)的積累，還可以與P2P網(wǎng)絡(luò)共享后打造出可協(xié)同共享的標(biāo)識(shí)庫(kù)，來(lái)幫助企業(yè)網(wǎng)絡(luò)管理員加速響應(yīng)異常威脅。

減少攻擊傷害

由于孤立的網(wǎng)絡(luò)防御系統(tǒng)已被證明效力相當(dāng)有限，比如面對(duì)勒索軟件不堪一擊就是一個(gè)很好的例子。而在部署了P2P協(xié)作分析法后，如果勒索軟件發(fā)生在一個(gè)站點(diǎn)后，可以與其他站點(diǎn)共享有關(guān)導(dǎo)致感染網(wǎng)絡(luò)流量的信息，相關(guān)流量信息(包括勒索軟件)都可自動(dòng)傳遞到不同的醫(yī)院站點(diǎn)上。如果其他站點(diǎn)早一步在自己流量中識(shí)別出了這種標(biāo)識(shí)，甚至可以在勒索軟件產(chǎn)生影響之前檢測(cè)并阻止它們。

可以說(shuō)，盡早發(fā)現(xiàn)這些攻擊將是減少攻擊傷害的關(guān)鍵。因此攻擊開始和攻擊緩解之間的延遲對(duì)于許多類型的攻擊是至關(guān)重要的。又例如DDoS攻擊，其中額外的時(shí)間向攻擊者提供正反饋后，攻擊者將繼續(xù)在目標(biāo)網(wǎng)絡(luò)上發(fā)送越來(lái)越多的流量。而P2P協(xié)作分析法則是多個(gè)防御者間協(xié)調(diào)他們的響應(yīng)，利于早檢測(cè)早緩解，減少攻擊損失。

識(shí)別孤立分析看不到的攻擊

除了上述優(yōu)勢(shì)外，P2P協(xié)作分析法的優(yōu)勢(shì)還在于可展示單獨(dú)站點(diǎn)防護(hù)時(shí)所看不到的“全景分析”。比如，其中的跨網(wǎng)絡(luò)攻擊模型，就可以提供關(guān)于攻擊者的目標(biāo)，攻擊動(dòng)機(jī)以及預(yù)測(cè)未來(lái)行為等信息。而在互聯(lián)網(wǎng)多個(gè)位置上部署的流量傳感器則可以揭發(fā)欺騙性流量攻擊，從而提供更有針對(duì)性的安全防御機(jī)制來(lái)打敗攻擊者。

此外，使用P2P協(xié)作分析法的協(xié)作網(wǎng)絡(luò)系統(tǒng)還可以在核心ISP和網(wǎng)絡(luò)骨干提供商的基礎(chǔ)設(shè)施層以及網(wǎng)絡(luò)邊緣上發(fā)揮作用，方便運(yùn)營(yíng)商了解整個(gè)用戶群的狀態(tài)。例如，邊緣ISP可以更快地發(fā)現(xiàn)遭受攻擊的家庭物聯(lián)網(wǎng)設(shè)備簽名，并限制家庭路由器的流量。

目前P2P協(xié)作分析法還是一種較為前衛(wèi)的企業(yè)協(xié)同防護(hù)策略，與傳統(tǒng)孤立的檢測(cè)和減輕網(wǎng)絡(luò)威脅的方法相比，在未來(lái)假如云提供商、ISP、VoIP公司和大學(xué)校園在網(wǎng)絡(luò)中部署P2P協(xié)作分析法后，即使面對(duì)大流量的訪問(wèn)情況，也能夠快速交換信息和分析流量異常，并通過(guò)網(wǎng)絡(luò)信息共享與分析來(lái)加強(qiáng)IT基礎(chǔ)架構(gòu)的防護(hù)能力。

（原標(biāo)題：P2P協(xié)作分析可應(yīng)對(duì)攻擊擴(kuò)散）