网络流量分析：三管齐下

强调网络流量分析的新计划：检测、精炼和分析数据流三管齐下。它利用多个内部和外部信息来源，并实时处理数据来检测威胁。这里关键是使用已经部

署的可用的现有网络基础设施。

流量分析对网络中流量的移动情况提供了一个不同的视角。它能够分析在给定的度量内一个事件的发生频率。例如，在周末的凌晨至凌晨2点，包含加

密.zip文件的流量离开网络并发往亚洲的频率?通过流量分析工具，安全专家可以近乎实时查看这种类型的用户活动。

通过使用标准，能让这些对实时数据的分析变得更简单，例如NetFlow标准。有了标准，企业可以采用通用格式，从而挑选适合的分析工具。流量聚合和

数据输出的标准是由IETF来处理的，而企业可以选择的日志分析工具包括LogRhythm、Nagios和 Splunk。企业有太多数据需要管理，这成了一个问题，但

云计算可以帮忙。云计算允许用户根据需求的增加来扩展，这样使他们几乎可以瞬时创建虚拟服务器来满足需求。

网络流量分析：不是一朝一夕的解决方案

很显然，防病毒技术等传统抵御方法已经无法抵御零日攻击和高级持续威胁。现在，网络流量分析为我们提供了一个令人信服的选择，但整个行业迁移到

这一模式还将需要时间。

网络流量分析需要企业付出一些努力以及安排培训，特别是第一次部署的时候;安全专业人员可能不知道他们需要寻找什么，因此自然需要一个学习曲线

来培养他们寻找异常的能力。另外，还需要专门的网络分析工具，而这需要投入资金来部署。此外，模式转变并不容易，它们不是受思维方式的驱动，而

是受变革的推动。

转移到网络流量分析需要先奠定一定的基础。首先应该与高级管理人员协商，向他们解释部署NetFlow如何实现“双赢”的局面—它支持广泛的企业用途

。如果你是代表安全部门，可以联合网络团队，因为他们对路由器和交换机有直接控制权，让他们加入你的阵营非常重要。你还将需要确认现有设备支持

网络流量，以及未来采购满足你的预计需求。

从战略上来看，大多数企业已经落后于高级攻击的能力，而网络流量分析是恢复这一平衡的重要一步。