安全开发之流量

在安全分析之前先搞清楚流量的全路径、经过了哪些节点，这些节点能采集到对应的流量数据，采集的时效性，采集工具的性能指标，以及设计对流量处理模型

我们先看下一个用户请求从客户端到服务器的路径

服务器返回给客户端

经过上面两个来回，流量就从外到内，然后从内到外全路径走完

敲黑板，那么重点什么

重点是我们需要把从客户端->服务器->客户端的全流程的流量进行统一，然后进行分析。

so，第一步就先拿到以下模型的流量数据

这样我们只需要根据客户端IP、服务器域名/IP，就能知道用户的请求做了哪些事情，请求信息中都使用和拿到了什么样的数据；

第二步数据分析，必须是在第一步数据统一后的条件下才能开展；

当然这里会有一些实时检测的引擎，比如waf，一般商业购买或自研，通常自带规则库，通过运用编写规则实时对流量数据进行分析，必要时阻断请求；

webids，旁路入侵检测，运营基于webids提供的规则对流量进行打标，一般来说webids不具备阻断请求的功能；

自研检测引擎，通常用来替代商业的webids，在商业产品不能满足自身需求的情况采取自研；

其中webids，自研检测引擎都是旁路入侵检测，用于对流量打标输出威胁告警至告警中心；

告警中心对告警进行二次分析，通常会告警进行增强处理，根据增强结果进行后续的告警事件工单处理。

最后针对确诊为威胁的告警进行止损处理，比如阻断客户请求。