网络通信监视面临七大挑战
2010-06-10
作者:建华
网络通信的监视常被人们称为是企业满足性能、安全和遵循策略要求的一种方法。但是,实施网络通信的监视工具也可以引起一系列的挑战,这包括创建网络标准的一些困难,以及找到适当的工具和策略从而在代理环境中监视内容的麻烦。
挑战之一:网络基准。网络和安全从业人员经常听说这样一句话:任何以网络为中心的项目,其起点都是为网络制定标准。这意味着什么呢?简单的方法会重点关注随时间而变化的带宽利用,一般情况下也就是重视峰值流量和最低流量。有人设法根据协议和端口数量来描述通信。更加高级的方法试图根据数据流甚至是内容来对通信进行分类。无论怎样,对于创建网络通信的标准来说,并没有什么可被人们广泛接受的简单分类方法。
挑战之二:拓扑与定位问题。如果网络标准的困难与经过单个监视节点的通信有关,那么,问题必然会涉及到多个位置。通过将仪器设备放置到足够多的位置,就有可能根据所观察到的通信模式,从而可视化地、形象地表述网络。以一种自动化的方式完成这项任务,对于网络管理员和网络安全人员来说,都是极为有用的。
挑战之三:大型网络的可视化。如果所涉及到的网络是中小型网络,那么,在设法应对前面两个挑战时还是可能的。但是,在大型网络中,分析人员有可能到达那些析取网络数据的网络工具的极限。有些工具在应对几十或几百个网络节点时,可能还能胜任,但是如果这些工具面临的是成千上万的节点,它就会面临严峻的挑战。
挑战之四:知识管理。由于所有的技术和工具都是从网络数据中抽取信息的,所以从信息中析取知识往往是分析人员的责任。但是,分析人员应当如何捕获这种知识呢?不妨考虑下面的这个简单问题:将控制标记应用于网络数据流。根据数据集和所使用的分类的不同,给数据包中或数据流记录中的不同项目加上控制标记可能很困难。此外,分析人员还要有一种给网络信息作出注释的方法,这样做既利于自己又利于其团队。
挑战之五:私密性。现在的大数网络工具都假定用户拥有完全的特权。换句话说,几乎没有哪种工具认为,为了满足私密性或其它规范,分析人员应当限制其活动。从历史上看,合法的数据截获工具通过应用过滤器,从而将某些通信包括进去或排除出去,进而实施了一些限制。但是,这种方法对于处理现代的协议来说,显得过于粗糙,特别是在通过使用HTTP协议而传输大量通信时更是这样。企业需要满足私密要求的完整方法。
挑战之六:混合及匹配记录类型。IP地址是网络通信的一种重要因素,但是,内容正变得日益重要。在大量使用代理服务器的企业中工作的任何人都会认识到这个问题。代理服务器之间的网络数据流几乎毫无用处。由于“云中的代理服务器”的兴起,网络工具将需要花费更多的时间来查看通信中传送给代理服务器的的HTTP请求。把不同的记录关联到一起将会使分析更加复杂化。
挑战之七:平台问题。最后一个障碍涉及到如何从网络通信中抽取价值。读了我的这篇文章,许多厂商会这样回答:将我们的设备安装到你的网络中吧。不幸的是,这种回答反应了许多IT组织对于部署新设备的限制条件缺乏认识。通常,IT工作人员必须为部署监视网络连接的硬件作出承诺。有些同样的部署还要求签定完善的协议,其内容涉及到在这些地方进行工作的性质。最终,简单地增加另外一种设备可能是很不切合实际的。网络团队应当考虑将其工具和技术部署到开放性的平台,从而可以设计并部署团队自己的网络设备。事实上,网络团队不应当将其努力花费到封闭的平台中。