在传统概念里网络基础设备路由器、交换机、无线接入设备只是给我们提供网络的接入以及数据的转发。但是用户在使用网络的同时，伴随着产生很多安全问题。这些安全问题不但会导致我们的重要数据信息被通过网络泄露，同时也会影响基础网络的稳定性，导致网络不可用，IT为此非常的苦恼。

　　针对目前到处都是数字化，所有的传统产业都在依托于网络进行产业革命和升级，而这个产业革命的基石离不开对网络的安全保证。思科提出“Security Everywhere”战略，通过可视化技术将我们的视角覆盖到网络的每一寸角落，让隐患无处遁形。

　　传统的安全“点布防”方式，只是在网络相应出口进行安全设备布防，网络内部之间的访问成为盲区。例如：黑客进入网络，将网络内一个主机当做跳板，从用户的数据库中拖取数据。这个数据读取过程通常会传输大量数据，有时时间也很长，而这个漫长和危险的过程网络边界的防火墙却是看不到的。这个问题怎么解决?思科认为路由交换设备不只是数据转发的通路，这个通路同时能告诉我们很多信息。即使服务器和主机在同一台交换机，交换机能看到他们之间所有的网络访问行为!思科正是利用路由交换设备部署位置的特点，结合了思科路由交换设备的功能，推出了“Network as asensor”方案，完美的解决了这个问题。

　　思科NaaS方案通过网络来收集网络传送的所有信息，然后利用Netflow协议发送至数据采集设备，这样所有利用网络的传输将一览无余。接下来，数据分析设备对采集的数据进行大数据分析，从数据中发现安全隐患。例如，发现异常流量主机，发现违规访问，发现蠕虫病毒传播，发现数据窃取行为。利用此方案可以对网络的流量及所有的访问行为一览无余，真正做到无死角网络监控，安全“面布防”。

　　利用NaaS实现主机异常行为检测

　　IT在日常网络维护中，经常会发现某些主机异常，例如感染病毒或者成为僵尸机器，也许有时因为错误的网络配置导致网络中个别主机发送大量的数据包。这些数据包每个单独来看并没有什么异常，例如只是一个ACK数据包，但一旦重复大量发送，这种数据流就会对网络设备造成影响，特别是网络中的4-7层设备对此类异常流量抵抗能力弱，轻的造成设备高CPU利用率，网络处理速度变慢时延变大。严重时候直接会导致网络设备瘫痪，从而网络瘫痪。

　　NaaS 方案中，数据采集分析设备Stealwatch Management Console在收集到Netflow信息后，会对信息进行存储，然后进行大数据分析。针对网络中出现流量的主机进行流量行为建模，每个主机的流量统计特征都不一样。例如，企业内部Web server比起Exchange server可能因为访问量更低而导致流量稍小。在这里SMC使用了超过80个流量属性对每个主机流量进行建模。例如，每秒钟新流量建立速度，数据包转发速率，发送SYN的数量，流持续时间等等。针对每个主机建模后，如果某个主机出现流量特征与以前学习得到的流量行为不符合时出现严重突发流量，SMC就有能力发现并自动告警。

　　下图举例Stealwatch选择的建模参数：　　

 

　　NaaS方案中，数据分析设备Stealwatch对自身收集的网络访问大数据进行整理建模后，进一步在数据中进行大数据分析来发现各类违规。Stealwatch设计了大量的异常行为事件模板，从数据中提取安全事件。这些安全事件包括地址扫描、暴力破解、各类泛洪攻击、以及平时非常难检测的隐藏超长连接等等。内置超过100个安全异常行为，同时用户还可以定制自己的异常行为模板，让NaaS帮用户进行数据分析并告警。利用这些异常行为分析，能够帮用户发现网络渗漏、数据窃取以及DDOS等恶意行为。

　　在产生事件告警后，管理人员还可以通过StealWatch进行相应设定，通过调用第三方设备对安全事件进行自动响应。例如：调用思科的路由器下发null0路由，将产生异常的主机对网路的攻击进行阻断。或者调用ISE，将网络中接入的异常主机物理端口进行关闭。　　

 

　　通过Networkas a Sensor方案，思科真正将网络作为我们防御威胁的有力工具，通过网络的覆盖，做到真正的“安全无死角”。

　　责任编辑：余芯