網路安全監控有生命週期嗎，如何檢測分析？

網際網路已經全面普及，我們不管是工作還是生活，網路已經無處不在，但是網路安全問題也無處不在。加上智慧手機支付的普及，網路安全問題又上升一個臺階。是的，無論是企業還是個人都隨時面臨著網路安全危機。

現實中，針對企業級資料的安全事件比比皆是：克萊斯勒的汽車能夠被遠端控制;美國政府的人事部門曾經丟失了幾百萬的人工資料，早些年的熊貓燒香，黑了大量企業工作電腦，還有早兩年電腦駭客勒索比特幣等。種種網路安全問題的爆發，讓企業甚至國家損失慘重，尤其是依託網際網路營生的企業。對企業而言，如何保證企業網路應用的高效能及安全性，這是很多IT人士非常關心的問題。

以往，解決企業級網路安全和資料安全問題，一貫的思路都是在網路運營環節，利用安全軟體，透過管理檔案本身和監控資料流程，來應對可能隨時而來的危機。網路安全問題，應該從網路部署開始，落實到日常的管理、監控和防護。實施網路安全監控勢在必行，那麼網路安全監控有生命週期嗎?

NSM(網路安全監控)週期包括三個不同的階段：收集、檢測和分析。

1、收集

NSM週期的開始，其最重要的一步便是收集。收集階段結合軟硬體方案，為NSM檢測與分析生成、組織和儲存資料。收集是整個週期裡最重要的部分，因為在這個階段所採取的舉措將塑造一個組織執行有效檢測和分析的能力。

NSM的資料型別有好幾種，收集方式也有好幾種。最常見的NSM資料種類包括：完整內容資料、會話資料、統計資料、包字串資料和報警資料。根據組織的需要、網路架構和可利用的資源，這些資料可能應用於專注檢測、專門分析，或者兩者兼有。

一開始，收集可以說是NSM週期裡需要更多密集勞動力的階段之一，需要捲入大量的人力資源。有效的收集，需要組織的領導、資訊保安團隊、網路團隊和系統管理團隊成員的共同協調努力。

收集階段包括如下任務：

1)定義組織中存在的最高風險是在哪裡

2)識別組織目標的威脅

3)確定相關資料來源

4)從資料來源裡提煉要收集的部分

5)配置SPAN埠收集Packet資料

6)為日誌保留建設SAN儲存

7)配置資料採集硬體和軟體

2、檢測

檢測是透過對收集的資料進行檢查，並根據觀察到異常的事件和資料生成告警的過程。這裡通常是透過某種形式的簽名、異常，或基於統計的檢測完成。它以最終生成告警資料為結果。

檢測往往是某款軟體的一個功能，這裡有點像一些目前比較流行的軟體程式包，從網路入侵檢測系統(NIDS)的角度來看，著名的有Snort IDS和Bro IDS;從主機入侵檢測系統(HIDS)角度來看，著名的有OSSEC、AIDE和MaAfee HIPS。某些安全資訊事件管理(SIEM)的應用軟體利用基於網路和基於主機的資料，透過關聯事件來實現檢測。

儘管大部分的檢測是由軟體來完成的，仍有一些檢測透過人工分析資料來源產生告警，尤其是在需要對歷史資料進行追溯分析的情況下。

3、分析

分析師NSM週期的最後階段，它發生於當一個人解釋並調查告警資料時。這往往會涉及從其它資料來源收集更多的調查資料，由檢測機制產生的告警型別相關的開源情報(OSINT)研究，並執行與開源情報有關的任何潛在敵對主機的研究。

這裡面，有多種用於分析的方法，可以包括如下任務：

1)資料包分析

2)網路取證

3)主機取證

4)惡意軟體分析

分析是NSM週期裡面最耗時間的部分。在這一階段，一個事件很可能被升級為一個分級的事故，並展開對應的事故應急響應措施。

NSM週期的閉環，要從檢測和分析階段中發現的所有異常中汲取經驗教訓，並進一步完善組織的收集策略。