多年以來，網(wǎng)絡(luò)安全主要采取被動的自上而下的心態(tài)來處理威脅。例如，當(dāng)新的惡意軟件出現(xiàn)時，安全團隊才會部署新的反惡意軟件產(chǎn)品來阻止它們。這些技術(shù)當(dāng)然有其用武之地，并且我們都需要部署IPS和防病毒功能來保護我們的網(wǎng)絡(luò)安全。然而，大多數(shù)企業(yè)缺乏可比的自下而上的策略來主動識別所有流量以及確定流量是否正常。

通常情況下，如果流量使用的是經(jīng)批準(zhǔn)的端口，并且流量不是特定的已知威脅，那么流量就會被認(rèn)為沒問題。黑客就會利用IT 的這個假設(shè)來傳輸非法流量。通過利用難以控制或者難以分析的協(xié)議，惡意軟件可以很容易地避開傳統(tǒng)控制，并將流量混入“假設(shè)是合法的”流量中，面對這個問題， IT團隊必須采取新的戰(zhàn)略。

“如果我們不清理房間的話，買更多的撲鼠器也是無濟于事的。”從網(wǎng)絡(luò)安全的角度來看，這意味著需要查明和積極控制所有網(wǎng)絡(luò)中的流量。當(dāng)我們采取這種方法時，流量就不再是假設(shè)是合法的，而是被證明是合法的，這樣惡意軟件就無處可躲了。

點到點(P2P)

控制點到點(P2P)流量似乎是很過時的事情，因為多年來很多安全團隊一直在與P2P抗?fàn)?。P2P是傳播盜版內(nèi)容的渠道，也是惡意軟件的主要來源。更糟的是，P2P已經(jīng)成為僵尸網(wǎng)絡(luò)命令和控制流量的首選協(xié)議，它讓僵尸網(wǎng)絡(luò)非常靈活，難以打倒。

為了應(yīng)對這個問題，安全行業(yè)提供了各種“反P2P”解決方案以及專門用于尋找和阻止P2P的簽名。然而，部署了解決方案、生成了相關(guān)日志，這個問題就真的得到了控制嗎?

然而，事實上，這個戰(zhàn)略似乎行不通。根據(jù)對數(shù)千企業(yè)的PB級真實網(wǎng)絡(luò)流量進行分析的最新報告顯示，企業(yè)中的P2P流量實際上正在不斷增長，增長幅度遠遠快于基于Web的文件傳輸速度。事實上，P2P消耗企業(yè)網(wǎng)絡(luò)帶寬的數(shù)量是基于Web的應(yīng)用程序的60倍以上，這顯示了這些解決方案行不通。

關(guān)鍵問題之一在于P2P技術(shù)是高度動態(tài)和靈活的，靈活性使其可以在損失任何或者多個端點的情況下，依然能夠生存，而動態(tài)性使P2P技術(shù)不需要依賴于任何特定的端口，它可以跨越很多端口的很多會話來傳輸信息。因此，如果IPS日志顯示你檢測和阻止了P2P流量，并不意味著P2P得到了控制，你可能只是檢測和阻止了一小部分。

要切實控制P2P，你必須對所有端口的應(yīng)用程序級的所有流量進行分類，在建立了對流量的能見度后，你就可以限制 P2P流量到特定經(jīng)批準(zhǔn)的應(yīng)用程序，并只允許特定少數(shù)用戶在有需要的情況下訪問這些應(yīng)用程序。這將大大降低P2P在網(wǎng)絡(luò)中的“足跡”，任何異常行為都可以被認(rèn)為是違反政策或者潛在惡意軟件感染。

未知流量

對所有端口的流量進行分類是一個復(fù)雜的過程，通常需要結(jié)合簽名、解碼器和試探法來識別已知應(yīng)用程序協(xié)議。當(dāng)流量通過這種嚴(yán)謹(jǐn)?shù)姆治龆匀粺o法被識別時，就需要對流量進行深入調(diào)查了。

當(dāng)?shù)谝淮尾渴鹦乱淮阑饓r，大多數(shù)企業(yè)的網(wǎng)絡(luò)中都會有一定水平的未知流量，這些流量通?？梢詣澐譃槿悾焊緵]有被分類的新應(yīng)用程序、企業(yè)內(nèi)部開發(fā)的定制應(yīng)用程序或者惡意流量。

從以往的經(jīng)驗來看，后面兩個選項是最常見的未知流量類型，并且這兩種流量都需要安全團隊采取行動。惡意軟件通常會采取定制化協(xié)議來執(zhí)行惡意軟件需要的特殊行動，同時避開安全解決方案使用的模式和簽名。在對超過1萬個最新檢測到的惡意軟件樣本的網(wǎng)絡(luò)流量分析中，生成“未知”流量的惡意軟件不到25%，這比任何網(wǎng)絡(luò)的平均值都要高，這也顯示這個領(lǐng)域急需進行控制。

對于內(nèi)部開發(fā)的應(yīng)用程序的未知流量，新一代防火墻允許IT為內(nèi)部應(yīng)用程序創(chuàng)建自定義識別符，這不僅能夠更好地保護企業(yè)的所有專有應(yīng)用程序，而且能夠減少網(wǎng)絡(luò)未知流量的數(shù)量。隨著時間的推移，顯示為未知的流量可以被默認(rèn)拒絕，從而移除惡意軟件的關(guān)鍵藏匿點。

建立適當(dāng)?shù)膽?yīng)用程序行為

這是一種非常長期而有效的方法，也是單純地購買反威脅產(chǎn)品不能比擬的方法。如果我們能夠為我們的應(yīng)用程序建立適當(dāng)?shù)男袨楹蛷姶蟮幕鶞?zhǔn)，我們就能夠清楚地找出不屬于我們網(wǎng)絡(luò)的東西，這樣一來，無論未來出現(xiàn)何種新惡意部件，我們都能夠應(yīng)付自如。