02.12.2025 13:57
DSol 0 3400 Источник

Эффективность работы систем поведенческого анализа трафика (NTA/NDR) напрямую зависит от качества данных, которые они получают на вход. На практике это определяется тремя ключевыми параметрами:

  • Полнота видимости — NTA/NDR должна видеть трафик во всех важных сегментах сети и контролировать оба направления: внешние взаимодействия и внутрисетевой обмен. При отсутствии полной видимости повышается риск пропустить критические события и инциденты. Например, получив доступ к одной рабочей станции, злоумышленник может незаметно перемещаться между системами внутри сети — и, если трафик в этих сегментах не контролируется, такие действия останутся вне поля зрения системы безопасности.

  • Релевантность данных — на вход NTA/NDR должны поступать только те пакеты, которые действительно важны для анализа, без лишнего трафика, не влияющего на детектирование угроз. Например, трафик резервного копирования потребляет значительные ресурсы NTA/NDR, хотя не несёт никакой ценности для анализа сетевой безопасности.

  • Целостность трафика — отсутствие потерь пакетов, которые приводят к неполному представлению сессий и снижению точности детектирования. Например, если часть пакетов сканирования портов или сетевого зондирования теряется, система NTA/NDR может недооценить активность злоумышленника и не зафиксировать попытку выявления уязвимых сервисов в сети.

Даже самые продвинутые алгоритмы корреляции и машинного обучения не смогут качественно анализировать происходящее в сети, если хотя бы один из этих параметров не выполняется. Поэтому корректный сбор и подготовка трафика — один из ключевых факторов успешного внедрения NTA/NDR.

Далее разберём, как именно эти три фактора влияют на качество анализа и какую роль в их обеспечении играет брокер сетевых пакетов.

Устранение “слепых зон”

Первый ключевой параметр — полнота видимости трафика, а значит, устранение так называемых “слепых зон” — участков сети, из которых трафик не попадает в систему анализа. Именно в таких местах и могут случаться инциденты, которые NTA/NDR просто не может увидеть.

«Слепые зоны» могут возникать как на границе сети — то есть в трафике север–юг (между внутренними пользователями и внешними ресурсами), так и внутри инфраструктуры, в трафике восток–запад (взаимодействие между сегментами, серверами и приложениями).

Поэтому для полноты анализа важно собирать трафик со всех ключевых сегментов. В корпоративной инфраструктуре рекомендуется контролировать трафик, как минимум, на периметре (выход в интернет) и в серверной зоне.

Анализ трафика в корпоративной инфраструктуре с помощью NTA/NDR
Анализ трафика в корпоративной инфраструктуре с помощью NTA/NDR

И здесь мы сталкиваемся с первой практической задачей. В крупной сети количество точек, из которых необходимо снимать трафик, как правило, превышает число доступных портов захвата трафика на NTA/NDR.

Решается эта проблема с помощью агрегации — объединения нескольких потоков трафика в один.

Агрегация трафика на брокере сетевых пакетов
Агрегация трафика на брокере сетевых пакетов

Брокер сетевых пакетов выполняет агрегацию следующим образом: он принимает копии трафика с различных входных портов (куда трафик поступает от TAP-ответвителей или SPAN-портов коммутаторов), объединяет их и формирует единый агрегированный поток. Этот поток затем оптимизируется и передаётся через один или несколько выходных портов в систему анализа.

Обработка высокоскоростных агрегированных потоков

Казалось бы, собрали трафик в единый поток и можно передавать на анализ. Но в современных корпоративных сетях эта задача усложняется ввиду следующих моментов:

  • Дублирование пакетов. Один и тот же пакет может попасть в систему анализа несколько раз, поскольку при прохождении через разные сегменты сети он одновременно копируется на различных TAP-ответвителях или SPAN-портах, и все эти копии в итоге оказываются в NTA/NDR.
    Дублированные пакеты создают лишнюю нагрузку на систему анализа, фактически заставляя её обрабатывать один и тот же трафик несколько раз. Из-за этого NTA/NDR тратит ресурсы впустую и работает менее эффективно. Поэтому перед передачей трафика в NTA/NDR его важно очищать от дублей.

  • Высокая скорость агрегированных потоков. Один сенсор NTA/NDR, как правило, рассчитан на обработку трафика до 10 Гбит/с. Если агрегированный поток превышает эту величину, приходится распределять нагрузку через балансировку на несколько сенсоров или развертывать дополнительные инсталляции NTA/NDR.
    Однако даже при использовании балансировки суммарная пропускная способность сенсоров может оказаться недостаточной, и часть пакетов всё равно будет теряться — что снижает полноту и точность анализа.
    В крупных корпоративных сетях требуется агрегировать трафик с нескольких каналов от 10 до 100 Гбит/с. Чтобы согласовать скорости агрегированных данных и интерфейса NTA/NDR и избежать потерь пакетов, используется механизм буферизации. Пакеты временно накапливаются в буфере брокера и подаются на анализ с той скоростью, которую сенсор способен обработать. Это позволяет избежать потерь данных даже при резких пиковых нагрузках и поддерживать стабильное качество анализа.

Таким образом, применение механизмов дедупликации и буферизации позволяет эффективно обрабатывать высокоскоростные агрегированные потоки, сохраняя целостность трафика и обеспечивая максимальную точность анализа. Далее рассмотрим, как брокер сетевых пакетов реализует эти функции и гарантирует полноценную видимость сетевого трафика для NTA/NDR.

Дедупликация

Функция дедупликации позволяет брокеру устранять повторяющиеся копии одного и того же пакета, которые могут возникать при съёме трафика из разных точек сети.

Дедупликация трафика на брокере сетевых пакетов
Дедупликация трафика на брокере сетевых пакетов

На брокере сетевых пакетов можно гибко управлять этим процессом: задавать время жизни дубликата — интервал, в течение которого повторно пришедший пакет считается копией и удаляется, — а также набор полей уровня L2–L4 для сравнения. Это позволяет точно определять повторяющиеся пакеты и удалять их без риска потери уникального трафика, существенно снижая объём данных, поступающих в NTA/NDR.

Пример конфигурации параметров дедупликации на брокере сетевых пакетов
Пример конфигурации параметров дедупликации на брокере сетевых пакетов

Буферизация

Эффективность применения буферизации связна с тем, что канал передачи данных не загружен на полную пропускную способность постоянно. В обычном режиме средняя загрузка канала остаётся значительно ниже максимальной пропускной способности.

Как видно на графиках ниже, трафик имеет неравномерную природу — с периодами относительной тишины и резкими всплесками активности.

Пример неравномерной природы трафика в сети. Источник
Пример неравномерной природы трафика в сети. Источник
Пример неравномерной природы трафика в сети. Источник
Пример неравномерной природы трафика в сети. Источник

Именно эти всплески трафика нам и необходимо сглаживать с помощью механизма буферизации.

Возвращаясь к нашей схеме корпоративной сети, мы видим несколько типовых кейсов передачи трафика в NTA/NDR, которые нужно решать на практике:

  • Передача трафика из высокоскоростного канала. Например, выход в интернет со скоростью передачи данных 100 Гбит/с. В этом случае пиковые значения превышают пропускную способность одного сенсора NTA/NDR в 10 раз.

  • Передача трафика с нескольких низко нагруженных каналов. Например, точки мониторинга серверной зоны по 25 Гбит/c, в каждой из которых реальный трафик не превышает 5 Гбит/c. Здесь проблему создают наложения пиков — моменты, когда несколько независимых потоков одновременно достигают максимума. В сумме это может приводить к превышениям допустимой нагрузки на интерфейс NTA/NDR, даже если по отдельности каждый канал «укладывается» в норму.

Буферизация позволяет временно накопить избыточный объём трафика, возникший в момент такого всплеска или наложения пиков, и подать его в NTA/NDR с той скоростью, которую система может обработать. Благодаря этому поток «выравнивается» и становится стабильным, а риск потерь пакетов существенно снижается.

Эффект буферизации трафика в брокере сетевых пакетов
Эффект буферизации трафика в брокере сетевых пакетов

При работе с высокоскоростными каналами особенно важен размер буфера, поскольку он определяет, сможет ли система «пережить» пик нагрузки без потерь пакетов. Например, для канала 100 Гбит/с даже кратковременный всплеск длительностью всего 1 мс означает поступление данных объёмом примерно 12,5 МБ. Если интерфейс NTA/NDR способен принимать лишь 10 Гбит/с (≈1,25 МБ/мс), то разница — порядка 11 МБ — должна быть временно размещена в буфере. При пике длительностью 10 мс объём уже достигает сотен мегабайт, а при наложении нескольких последовательных пиков — гигабайтов.

Вместо заключения: от теории — к практике

Недавно наши разработчики выпустили новую прошивку для брокера DS Integrity-100G EVO с поддержкой одновременной работы функций дедупликации и буферизации (объём пакетного буфера — 8 Гбайт). Это важное обновление: именно сочетание этих механизмов позволяет эффективно обрабатывать высокоскоростные агрегированные потоки и стабильно передавать трафик в NTA/NDR без потерь.

Первыми новую прошивку протестировали специалисты нашего технологического партнёра — Positive Technologies. Испытания прошли успешно: все функции брокера, включая дедупликацию и буферизацию, отработали корректно. Результаты подтвердили, что связка DS Integrity EVO и PT NAD обеспечивает высокое качество обнаружения угроз даже под высокой нагрузкой и полностью готова к внедрению в корпоративных инфраструктурах.

Если вам интересна тема мониторинга и сетевой безопасности, заглядывайте в наш Telegram-канал — там мы регулярно публикуем новости и материалы, посвящённые брокерам сетевых пакетов и практическим кейсам их использования.

Комментарии (0)