在好莱坞大片中，黑客就像是使用计算机的黑魔导士，可以通过利用计算机炸毁房屋，关闭公路，释放瘟疫引发混乱。也许很多人并不相信，但事实上，电影中的这些桥段总是不断上演!某国山寨 Facebook 网站刚上线便被一名 18 岁的苏格兰大学生黑掉，Facebook CEO 小扎自己的 Twitter 和 Pinterest 帐户双双被盗……在现实中，黑客行动的刺激程度绝对不亚于电影。

尤其是在数字经济的浪潮下，黑客的任何行动造成任何信息的失窃，都等同于企业资产的流失。数据安全成为一个极为重要的挑战!

不信?!举个小栗子~

在现实中，黑客是在不断成长的!现在，黑进企业的网络只是黑客的第一步，做法之一就是，他们会把网络内的一个主机当做跳板，从用户的数据库中拖取数据。这个数据读取过程通常会传输大量数据，时间长短不一。而这个漫长而且危险的过程，网络边界的防火墙却是看不到的。

思科的 NaaS 方案实现安全“面布防”

思科 NaaS 方案通过网络来收集网络传送的所有信息，然后利用 Netflow 协议发送至数据采集设备，这样所有利用网络的传输将一览无余。接下来，数据分析设备对采集的数据进行大数据分析，从数据中发现安全隐患。例如，发现异常流量主机，发现违规访问，发现蠕虫病毒传播，发现数据窃取行为。利用此方案可以对网络的流量及所有的访问行为一览无余，真正做到无死角网络监控，安全“面布防”。

思科正是利用路由交换设备部署位置的特点，结合了思科路由交换设备的功能，推出了 “Network as a sensor” 方案，完美的解决了这个问题。

思科NaaS实现主机异常行为检测

千万不要小看一个 ACK 数据包!千万不要小看一个 ACK 数据包!千万不要小看一个 ACK 数据包!一旦重复大量发送，这种数据流就会对网络设备造成影响，特别是网络中的 4-7 层设备对此类异常流量抵抗能力弱，轻的造成设备高 CPU利用率，网络处理速度变慢时延变大。严重时候直接会导致网络设备瘫痪，从而网络瘫痪。

所以，每个数据包的正常并不代表主机就正常!

思科 NaaS 方案中，数据采集分析设备 Stealthwatch Management Console 在收集到 Netflow 信息后，会对信息进行存储，然后进行大数据分析。针对网络中出现流量的主机进行流量行为建模，每个主机的流量统计特征都不一样。

思科 NaaS 方案中，数据分析设备 Stealthwatch 对自身收集的网络访问大数据进行整理建模后，进一步在数据中进行大数据分析来发现各类违规。Stealthwatch 设计了大量的异常行为事件模板，从数据中提取安全事件。这些安全事件包括地址扫描、暴力破解、各类泛洪攻击、以及平时非常难检测的隐藏超长连接等等。内置超过 100 个安全异常行为，同时用户还可以定制自己的异常行为模板，让 NaaS 帮用户进行数据分析并告警。利用这些异常行为分析，能够帮用户发现网络渗漏、数据窃取以及 DDOS 等恶意行为。

在产生事件告警后，管理人员还可以通过 Stealthwatch 进行相应设定，通过调用第三方设备对安全事件进行自动响应。例如：调用思科的路由器下发 null0 路由，将产生异常的主机对网路的攻击进行阻断。或者调用 ISE，将网络中接入的异常主机物理端口进行关闭。

通过 Network as a Sensor 方案，思科真正将网络作为防御威胁的有力工具，通过网络的覆盖，做到真正的 “安全无死角”。

====================================分割线================================

本文转自d1net（转载）