14探针

## 概述

在网络安全领域，“探针” 是一个功能概念，它指的是一种部署在网络关键节点，用于采集、镜像、预处理网络流量或安全数据，并将其发送给后端分析系统进行深度检测与分析的软件或硬件组件。

简单来说，探针是安全系统的 “眼睛”和“耳朵” ，它负责在前线收集原始情报，而其背后的分析平台（如态势感知、NTA/NDR、SIEM） 则是“大脑”，负责处理情报并做出决策。

> 比喻

一个城市的公共安全指挥中心（态势感知/NDR平台） 需要了解全市的交通和安全状况。

探针就是安装在各个路口、重要地点的摄像头和传感器。它们7x24小时不间断地抓拍车辆画面（镜像流量）、记录车牌和速度（提取元数据），并将这些原始数据实时传回指挥中心。

指挥中心利用强大的计算能力，对这些数据进行分析，从而发现违章行为（安全威胁）、追踪可疑车辆（攻击链溯源）和疏导交通（优化策略）。

## 特点

被动采集与旁路部署：这是探针最核心的特征。它通常通过交换机端口镜像的方式获取流量副本，不直接串联在网络链路中，因此不会影响原始流量的传输，也不会引入网络延迟或成为单点故障。

数据采集与预处理：探针不仅是简单地复制数据，它通常具备一定的计算能力，能够对原始流量进行初步处理，如：

- 协议解析与元数据提取：从原始数据包中解析出五元组（源IP、目标IP、源端口、目标端口、协议）、时间戳、流量大小、TCP标志位、HTTP URL、DNS查询等关键信息。这些结构化的元数据远比原始数据包体积小，更利于后续分析。
- 数据过滤与聚合：过滤掉无用的噪音流量（如CDN流量、系统更新流量），并对数据进行初步聚合，减少传输和存储压力。
- 数据标准化与压缩：将数据转换为后端平台能够识别的标准格式，并进行压缩。

高性能与稳定性：在网络出口或核心交换节点，探针需要处理海量流量（可能达万兆甚至更高），因此其自身必须具备极高的数据包处理能力和稳定性，避免丢包。

## 功能

### **全流量捕获与存储**

这是探针最基础也是最重要的功能。它将网络流量的原始数据包（PCAP）完整地保存下来。这部分数据是进行事后取证和深度回溯分析的“铁证”。当一个新的威胁指标（IoC）出现时，安全分析师可以回溯查询历史流量，确认是否受到影响以及攻击的全貌。

### **网络元数据生成**

探针会持续输出网络会话的元数据日志（NetFlow、IPFIX等），这些数据是进行实时行为分析、异常检测和威胁狩猎的主要数据源。

### **深度包检测**

对数据包的载荷进行深度分析，以识别应用类型、发现隐藏在协议中的恶意代码或敏感信息。

### **提供分析数据源**

作为上游安全分析平台（如SIEM、态势感知、NDR系统）的数据采集器，为这些平台提供高质量、经过预处理的网络数据。

## 类型

### **硬件探针**

以专用硬件设备的形式部署，通常具备专用的网络处理器和强大的I/O能力。

优点：性能极高，处理大流量时稳定可靠。

缺点：成本较高，部署不够灵活。

适用场景：大型数据中心、网络核心节点等高速网络环境。

### **软件探针**

以软件形式安装在通用的服务器或虚拟机上。

优点：部署灵活，成本较低，易于在云环境中部署。

缺点：性能受限于底层硬件和宿主机资源。

适用场景：分支机构、云环境、虚拟化网络。

## 部署位置

探针的价值取决于其部署位置所能看到的“视野”。关键部署点包括：

- **互联网出口/入口**：监控所有进出内网的流量，用于检测外部攻击和数据泄露。
- **核心交换机**：监控内部东西向流量，用于检测横向移动和内网威胁。
- **数据中心服务器区前方**：重点保护核心业务和数据的访问流量。
- **关键网段边界**：如研发网段、财务网段与其他网段的边界。