Flow 概述
Flow 是网络流量的元数据摘要。
| 特征 | Event | Flow |
|---|---|---|
| 内容 | "发生了什么" | "通信了什么" |
| 来源 | 设备日志 | 网络设备导出 |
| 粒度 | 事件级别 | 会话级别 |
| 体积 | 较小 | 较大 |
| 用途 | 行为分析 | 通信模式分析 |
Flow 来源与协议
| 来源类型 | 协议 | 端口 | 特点 |
|---|---|---|---|
| NetFlow v5/v9 | UDP | 2055 | Cisco 标准,最常用 |
| IPFIX | UDP | 4739 | IETF 标准化版本 |
| sFlow | UDP | 6343 | 采样统计,适合高速网络 |
| J-Flow | UDP | 2055 | Juniper 版本 |
| QFlow | 内部 | - | QRadar 内部 Flow 收集 |
配置 Flow 源
# Cisco 路由器 NetFlow 配置示例
configure terminal
!
ip flow-export version 9
ip flow-export destination qradar-ip 2055
ip flow-export source Loopback0
!
interface GigabitEthernet0/0
ip flow ingress
ip flow egress
!
end# Linux iptables 导出 Flow(使用 fprobe)
# 安装 fprobe
yum install fprobe -y
# 配置 fprobe
fprobe -i eth0 -fip qradar-ip:2055
# 或使用 ulogd2Network Activity 界面
Flow 关键字段
| 字段 | 说明 | 调查用途 |
|---|---|---|
| Source IP / Port | 源地址和端口 | 识别发起方 |
| Destination IP / Port | 目标地址和端口 | 识别目标 |
| Protocol | TCP / UDP / ICMP | 通信类型 |
| Application | 识别的应用 | HTTP / DNS / HTTPS |
| Source Bytes / Packets | 发送流量 | 数据外泄指标 |
| Destination Bytes / Packets | 接收流量 | 下载指标 |
| First Packet Time | 首次通信 | 攻击起始 |
| Last Packet Time | 最后通信 | 攻击是否持续 |
| Flags | TCP 标志位 | SYN/FIN/RST 分析 |
Flow 分析场景
场景 1:发现异常外部通信
AQL:
SELECT sourceip, destinationip, destinationport,
SUM(sourcebytes) as upload_bytes
FROM flows
WHERE destinationip NOT IN REFERENCESET('Internal_Networks')
GROUP BY sourceip, destinationip, destinationport
HAVING upload_bytes > 104857600
ORDER BY upload_bytes DESC
LAST 24 HOURS场景 2:检测 C2 通信
场景 3:服务端口扫描
SELECT sourceip,
destinationip,
destinationport,
COUNT(*) as probe_count
FROM flows
WHERE destinationport IN (22, 23, 3389, 445, 135, 443, 80)
GROUP BY sourceip, destinationip, destinationport
HAVING probe_count > 10
ORDER BY probe_count DESC
LAST 1 HOURSFlow 与 Event 联合分析
配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf - 📄
06-cheatsheets/aql-cheatsheet.md
上一章:04 - 资产管理 下一章:06 - 报告与搜索