网络安全事件溯源取证陷入僵局,往往是因为传统系统日志和产品日志很难在维度和粒度上满足取证的需求,经常遇到关键证据缺失、上下文无法关联、线索无法展开等问题,最终无法完整且详细地还原事件的来龙去脉。因此,一旦攻击事件发生,要想获得完整的取证数据,需要提前建立独立的存取证系统,在存证的维度和粒度上做到完整和精准的覆盖:在维度上,尽量做到最广泛的数据源覆盖、最完整的存证对象覆盖和最长的时间范围覆盖;在粒度上,尽量取得原始级细粒度的存证数据。
在过去几年中,企业网络的带宽应用已经从10Gbps发展到40Gbps,再到100Gbps,以支持快速增长的互联网流量。在超过100Gbps的高速链路上实现网络攻击溯源取证是一项具有挑战性但不可缺少的任务。
在与高速链路安全监测与流量留存分析领域类似的网络性能监控(Network Performance Management,NPM)领域和应用性能监控(Application Performance Management,APM)领域,国际顶尖的厂商纷纷提出100Gbps全包捕获和存储能力的解决方案。通过对这些厂商提供的产品配置进行分析,我们发现,为了获得100Gbps线速捕包的能力,这些厂商均使用了顶级的FPGA智能网卡,且以Napatech NT200A02居多。这种顶级的FPGA智能网卡,采购价格都非常昂贵,且交付周期都很长。以主流的Napatech NT200A02智能网卡为例,采购价格为2万美金左右,且需要提前3个月订货。现在只需采用的通用100G网卡,无论是Intel E810-CQDA2、Mellanox MCX516A-CCAT,采购价格均在1000美金左右,成本只是上述厂商采用的FPGA智能网卡的二十分之一,而且无需提前订货,随时可以交付。
目前已经发布了全球第一款基于通用服务器硬件的100Gbps线速64字节全包捕获、存储、索引和溯源取证类产品族,与主流厂商100G产品对比如图 所示,单设备具备以下特性:
(1) 支持100Gbps的64字节数据包线速捕获,零丢包;
(2) 支持100Gbps的64字节数据包线速压缩&存储,零丢包;
(3) 支持100Gbps的64字节数据包线速索引,零丢包;
(4) 支持PB级PCAP数据包(对应320亿以上的会话元数据),1s以内溯源取证;
(5) 支持100K QPS高并发溯源取证。
100Gbps性能的突破离不开关键技术的创新,产品应用了以下专利技术:
(1) NUMA感知框架