P2P协作分析可应对攻击扩散

如果打个比方一位幼儿园老师给一名感冒的小朋友做了标记后，其他老师也快速掌握此种情况，进而采取相应的防传染措施，避免其传染给幼儿园其他小朋友一样，这个道理就是P2P协作分析应对攻击扩散的简版。

[[240268]]

传统分析导致延迟窘境

要想了解P2P协作分析方法，首先要清楚网络安全分析的常规模式。一般来说，由于网络安全分析经常需要对异常流量进行大规模的人工检查和威胁分析，导致大多数企业会使用自定义软件或现成软件的自定义变体来查找安全威胁，所以必须手动将观察结果与其他企业的报告进行比较。

不过这样的结果会致使大量网络延迟出现，因为不同企业的成员还需要在电子邮件收发、阅读、确认等各流程上耗费宝贵的防御响应时间。而类似这样的传统网络流量分析速度缓慢，也导致企业在防范现代攻击向量方面一直处于防御状态：比如面临新一代僵尸网络和DDoS工具，企业网络中增加的不可靠个人设备，以及弱安全的物联网设备等等。

何为P2P协作分析法

因此，企业急需能够自动分析的流量模式与相关技术，来应对上述情况以快速响应。这时一种使用协作的P2P基础架构来自动检测流量异常并使该信息能够被共享的新兴方法，开始进入企业安全决策者的眼中，而这个方法就是P2P协作分析法。

P2P协作分析方法就是由一个管理员对数据流量摘要和可疑流量进行标记后，与P2P网络架构里的其他企业站点管理员所标记的流量进行比较分析，来判别攻击威胁的一种方法。这样的好处是，一旦发现所比较的已标记流量之间存在任何相似性，就可快速确定是否是真正的攻击行为，还是来自欺骗地址的流量。

虽然现在有的自动流量分析工具可以帮助解决分析问题，但是通过使用P2P机制对干扰不需要集中管理。企业可以根据自己的需要进行自主调整，并在感到恰当的时间来分享信息。测试表明，在部署P2P协作分析法后，结果是减少了攻击检测时间，降低了管理员的识别工作量，最主要的是有效地缓解网络威胁。

由孤立变为协同

网络安全分析从来不是孤立的，但现实中众多企业安全决策者往往由于担心共享敏感信息外泄，加之安全人员不足，缺乏安全培训或缺乏相应工具，导致不少安全分析处于独立与割裂状态，与其他同行企业展开流量分析合作的则更是少之又少。然而现在出现的一种基于P2P(点对点)协作的安全分析方法，却成为了应对未来网络攻击威胁的有效手段之一。

随着使用P2P协作分析方法所做的相关流量标识的积累，还可以与P2P网络共享后打造出可协同共享的标识库，来帮助企业网络管理员加速响应异常威胁。

减少攻击伤害

由于孤立的网络防御系统已被证明效力相当有限，比如面对勒索软件不堪一击就是一个很好的例子。而在部署了P2P协作分析法后，如果勒索软件发生在一个站点后，可以与其他站点共享有关导致感染网络流量的信息，相关流量信息(包括勒索软件)都可自动传递到不同的医院站点上。如果其他站点早一步在自己流量中识别出了这种标识，甚至可以在勒索软件产生影响之前检测并阻止它们。

可以说，尽早发现这些攻击将是减少攻击伤害的关键。因此攻击开始和攻击缓解之间的延迟对于许多类型的攻击是至关重要的。又例如DDoS攻击，其中额外的时间向攻击者提供正反馈后，攻击者将继续在目标网络上发送越来越多的流量。而P2P协作分析法则是多个防御者间协调他们的响应，利于早检测早缓解，减少攻击损失。

识别孤立分析看不到的攻击

除了上述优势外，P2P协作分析法的优势还在于可展示单独站点防护时所看不到的“全景分析”。比如，其中的跨网络攻击模型，就可以提供关于攻击者的目标，攻击动机以及预测未来行为等信息。而在互联网多个位置上部署的流量传感器则可以揭发欺骗性流量攻击，从而提供更有针对性的安全防御机制来打败攻击者。

此外，使用P2P协作分析法的协作网络系统还可以在核心ISP和网络骨干提供商的基础设施层以及网络边缘上发挥作用，方便运营商了解整个用户群的状态。例如，边缘ISP可以更快地发现遭受攻击的家庭物联网设备签名，并限制家庭路由器的流量。

结语

目前P2P协作分析法还是一种较为前卫的企业协同防护策略，与传统孤立的检测和减轻网络威胁的方法相比，在未来假如云提供商、ISP、VoIP公司和大学校园在网络中部署P2P协作分析法后，即使面对大流量的访问情况，也能够快速交换信息和分析流量异常，并通过网络信息共享与分析来加强IT基础架构的防护能力。

返回分页阅读本文导航