（文章來源：網絡整理）

網絡安全行業有一段名言：只有兩種企業，一種是知道了自己被入侵的企業，一種是不知道自己被入侵的企業。現代化的企業或機構的網絡中潛伏著惡意攻擊者，已經成了新常態。IBM的研究報告顯示，企業平均需要197天才能發現網絡被入侵，需要69天的時間來控制事態。但不管攻擊者多么狡猾，總是會在網絡中留下蛛絲馬跡。

如同房子的門窗，IP地址、代理服務器、郵箱等就是網絡入侵者的出入口，他們總是會在這些出入口上留下痕跡。分析人員可以基于大量的網絡元數據，來識別并隔離網絡入侵。

網絡元數據通常被定義為數據的數據，或者是令數據變得有用的信息。如同數字攝影，照片上會包含使用的相機型號、曝光度、像素，甚至是GPS等信息，這些都是數字文件的元數據，幫助我們分類和組織我們的相冊。網絡元數據則包含了網絡上需要運行的各種硬件設備和軟件信息，從電子郵件到應用服務器，再到防火墻和云網關。單獨的某一設備或軟件，可能無法說明什么，但把所有的信息集中起來，對其進行分析和回溯，一個清晰的畫面就會展現出來。

對于安全人員來說，網絡元數據是一種關鍵但未被開發利用的威脅情報，分析人員必需將其整合到入侵檢測的工具集中，將有價值的數據形成可執行的威脅情報，這些有價值的數據包括：DNS查詢提供了一個上下文環境，它記錄了從攻擊者的設備到企業網絡的每一次連接，從而有助于識別攻擊者滲透網絡的特定路徑。

網絡流數據(Net Flows)，理解數據包如何在網絡中流動，可以提供非常有價值的信息。如攻擊者控制了哪些設備，這些設備是否被攻擊者用來在網絡絡橫向移動等。

邊界代理與防火墻訪問日志，如果攻擊者沒有通過DNS解析進行訪問，那么這些連接的部分信息可以在防火墻或其他邊界代理設備的日志中找到。垃圾郵件過濾的數據通常會被忽略，但這些元數據能夠為企業所遭受的攻擊手段判斷提供非常有價值的情報。更進一步的，如果發現某些終端用戶成為相似攻手段的目標，則意味著企業很可能已經被入侵。

雖然網絡元數據有著很大的實用價值，卻由于計算與存儲資源等原因并沒有被很好地利用。如，數據的存儲和處理成本令人難以接受。但公有云的普及帶來了希望，數據的存儲成本已經從2000年時的12.4美元/G，降到現在的0.004美元/G。計算資源也有了飛躍式的激增，是20年前的1萬倍。計算與存儲的指數級發展，為收集與管理不斷增長的海量元數據帶來充足的空間。

當把這些所有的元數據與機器學習、AI結合在一起，并進行有效關聯分析的時候，一個新的安全階段就會來臨，安全團隊不再頭痛于網絡里是否存在攻擊者，我們可以通過非常便利、有效的數據工具，在幾分鐘內發現入侵，而不是現在的幾個月。
（責任編輯：fqj）