（文章來源：網(wǎng)絡(luò)整理）

網(wǎng)絡(luò)安全行業(yè)有一段名言：只有兩種企業(yè)，一種是知道了自己被入侵的企業(yè)，一種是不知道自己被入侵的企業(yè)?，F(xiàn)代化的企業(yè)或機(jī)構(gòu)的網(wǎng)絡(luò)中潛伏著惡意攻擊者，已經(jīng)成了新常態(tài)。IBM的研究報(bào)告顯示，企業(yè)平均需要197天才能發(fā)現(xiàn)網(wǎng)絡(luò)被入侵，需要69天的時(shí)間來控制事態(tài)。但不管攻擊者多么狡猾，總是會(huì)在網(wǎng)絡(luò)中留下蛛絲馬跡。

如同房子的門窗，IP地址、代理服務(wù)器、郵箱等就是網(wǎng)絡(luò)入侵者的出入口，他們總是會(huì)在這些出入口上留下痕跡。分析人員可以基于大量的網(wǎng)絡(luò)元數(shù)據(jù)，來識(shí)別并隔離網(wǎng)絡(luò)入侵。

網(wǎng)絡(luò)元數(shù)據(jù)通常被定義為數(shù)據(jù)的數(shù)據(jù)，或者是令數(shù)據(jù)變得有用的信息。如同數(shù)字?jǐn)z影，照片上會(huì)包含使用的相機(jī)型號(hào)、曝光度、像素，甚至是GPS等信息，這些都是數(shù)字文件的元數(shù)據(jù)，幫助我們分類和組織我們的相冊。網(wǎng)絡(luò)元數(shù)據(jù)則包含了網(wǎng)絡(luò)上需要運(yùn)行的各種硬件設(shè)備和軟件信息，從電子郵件到應(yīng)用服務(wù)器，再到防火墻和云網(wǎng)關(guān)。單獨(dú)的某一設(shè)備或軟件，可能無法說明什么，但把所有的信息集中起來，對其進(jìn)行分析和回溯，一個(gè)清晰的畫面就會(huì)展現(xiàn)出來。

對于安全人員來說，網(wǎng)絡(luò)元數(shù)據(jù)是一種關(guān)鍵但未被開發(fā)利用的威脅情報(bào)，分析人員必需將其整合到入侵檢測的工具集中，將有價(jià)值的數(shù)據(jù)形成可執(zhí)行的威脅情報(bào)，這些有價(jià)值的數(shù)據(jù)包括：DNS查詢提供了一個(gè)上下文環(huán)境，它記錄了從攻擊者的設(shè)備到企業(yè)網(wǎng)絡(luò)的每一次連接，從而有助于識(shí)別攻擊者滲透網(wǎng)絡(luò)的特定路徑。

網(wǎng)絡(luò)流數(shù)據(jù)(Net Flows)，理解數(shù)據(jù)包如何在網(wǎng)絡(luò)中流動(dòng)，可以提供非常有價(jià)值的信息。如攻擊者控制了哪些設(shè)備，這些設(shè)備是否被攻擊者用來在網(wǎng)絡(luò)絡(luò)橫向移動(dòng)等。

邊界代理與防火墻訪問日志，如果攻擊者沒有通過DNS解析進(jìn)行訪問，那么這些連接的部分信息可以在防火墻或其他邊界代理設(shè)備的日志中找到。垃圾郵件過濾的數(shù)據(jù)通常會(huì)被忽略，但這些元數(shù)據(jù)能夠?yàn)槠髽I(yè)所遭受的攻擊手段判斷提供非常有價(jià)值的情報(bào)。更進(jìn)一步的，如果發(fā)現(xiàn)某些終端用戶成為相似攻手段的目標(biāo)，則意味著企業(yè)很可能已經(jīng)被入侵。

雖然網(wǎng)絡(luò)元數(shù)據(jù)有著很大的實(shí)用價(jià)值，卻由于計(jì)算與存儲(chǔ)資源等原因并沒有被很好地利用。如，數(shù)據(jù)的存儲(chǔ)和處理成本令人難以接受。但公有云的普及帶來了希望，數(shù)據(jù)的存儲(chǔ)成本已經(jīng)從2000年時(shí)的12.4美元/G，降到現(xiàn)在的0.004美元/G。計(jì)算資源也有了飛躍式的激增，是20年前的1萬倍。計(jì)算與存儲(chǔ)的指數(shù)級發(fā)展，為收集與管理不斷增長的海量元數(shù)據(jù)帶來充足的空間。

當(dāng)把這些所有的元數(shù)據(jù)與機(jī)器學(xué)習(xí)、AI結(jié)合在一起，并進(jìn)行有效關(guān)聯(lián)分析的時(shí)候，一個(gè)新的安全階段就會(huì)來臨，安全團(tuán)隊(duì)不再頭痛于網(wǎng)絡(luò)里是否存在攻擊者，我們可以通過非常便利、有效的數(shù)據(jù)工具，在幾分鐘內(nèi)發(fā)現(xiàn)入侵，而不是現(xiàn)在的幾個(gè)月。
（責(zé)任編輯：fqj）