基于大数据的网络安全分析
大数据背景下计算机网络信息安全问题分析
大数据背景下计算机网络信息安全问题分析在大数据背景下,计算机网络信息安全问题变得更加突出和复杂。
大数据的出现带来了海量的数据流和数据存储,网络攻击者可以利用这些数据进行恶意攻击和侵入,从而造成信息泄露、数据的不可用性、系统的瘫痪等安全问题。
大数据时代的计算机网络面临着更多的攻击目标。
大数据中存储着各种类型的数据,包括个人隐私、商业机密、财务数据等敏感信息。
攻击者可以利用大数据分析技术,通过对数据进行深入挖掘和分析,找到其中的漏洞和弱点,从而实施网络攻击。
大数据还包括了数据处理和传输的多个环节,攻击者有更多的机会进行攻击,比如在数据传输过程中截获数据、篡改数据内容等。
大数据对网络安全的挑战主要体现在以下几个方面。
大数据的特征决定了传统的安全防御手段无法很好地应对大数据的安全问题。
传统的网络安全手段主要包括防火墙、入侵检测系统等,可以对网络流量进行监控和拦截,但是对于大规模数据的安全防护和分析这些手段的效果较差。
大数据的分布式存储和计算模式给网络安全带来了更大的挑战。
大数据通常存储在多个节点上,由多个计算节点进行计算和处理,攻击者只需要攻击其中一个节点即可获取到大量数据或者对整个系统造成瘫痪。
大数据中的隐私和敏感信息较多,而隐私保护和数据脱敏等技术在大数据环境下面临更多困难。
大数据的快速增长和不断产生的新数据源导致网络安全的风险时刻在变化。
网络攻击形式不断演变和变异,网络安全防护需要及时跟进和更新。
为了解决这些问题,提高计算机网络的信息安全,在大数据背景下,可以采取以下几点策略。
加强网络安全意识和教育,对网络用户进行安全培训,提高他们的安全防范意识和能力,从源头上减少网络攻击的风险。
加强对大数据存储和传输过程的安全防护,确保数据在存储和传输过程中的机密性、完整性和可用性。
可以采用加密技术、访问控制机制等手段对数据进行保护,防止数据被未经授权的访问和攻击者的篡改。
加强对大数据环境中节点的安全防护,确保节点和系统的安全性,减少被攻击的可能性。
大数据背景下计算机网络信息安全问题及措施
大数据背景下计算机网络信息安全问题及措施随着信息技术的不断发展,大数据已经成为了当今社会中最重要的一个技术领域。
大数据技术为我们提供了方便、快捷的信息检索和分析方法,同时也为企业和政府部门提供了更多的数据存储和处理方式。
随着大数据技术的发展,计算机网络信息安全问题也日益凸显。
本文将从大数据背景下的计算机网络信息安全问题及其相关的解决措施展开探讨。
1. 数据泄露风险在大数据时代,企业和政府机构积累了大量的敏感数据,包括个人隐私信息、商业机密和国家重要数据。
随着数据量的增加,数据泄露的风险也在不断增加。
一旦这些敏感数据泄露,将给个人、企业和国家带来极大的损失。
2. 网络攻击风险伴随着大数据技术的应用,网络攻击也变得愈发频繁和复杂。
黑客利用大数据技术进行持续监控和分析,寻找系统漏洞并进行入侵攻击。
而传统的安全防护手段往往难以抵御这些高级网络攻击,导致信息安全风险大大增加。
3. 数据隐私保护问题在大数据应用的过程中,企业和政府机构需要收集和处理大量的个人数据,而如何保护这些个人数据的隐私成为了一个严峻的挑战。
如果这些个人数据被滥用或泄露,将对个人的隐私权产生极大威胁。
1. 加强网络安全意识教育在大数据时代,提高社会各界对网络安全的意识是保障信息安全的第一步。
企业和政府部门应加强网络安全教育,让员工和公民了解网络安全的重要性,能够识别和防范各种网络安全威胁。
2. 强化网络安全技术防护为了应对日益频繁和复杂的网络攻击,企业和政府部门需要加强网络安全技术防护。
包括建立完善的防火墙系统、入侵检测系统和数据加密机制等技术手段,及时发现和防范各类网络威胁。
3. 加强数据隐私保护措施企业和政府机构在收集和处理个人隐私数据时,应加强数据隐私保护措施。
包括建立健全的数据隐私保护法规、采用数据脱敏和加密技术、限制数据访问权限等手段,保障个人数据隐私的安全。
4. 采用人工智能技术进行安全防护随着人工智能技术的发展,企业和政府机构可以利用人工智能技术进行网络安全防护。
网络安全态势感知与大数据分析
网络安全态势感知与大数据分析在当今数字化高速发展的时代,网络已经成为了人们生活和工作中不可或缺的一部分。
从日常的社交娱乐到重要的商业交易,从便捷的在线服务到关键的基础设施运行,网络的触角几乎延伸到了社会的每一个角落。
然而,随着网络的日益普及和复杂,网络安全问题也日益凸显。
网络攻击手段不断翻新,攻击规模不断扩大,给个人、企业乃至国家带来了巨大的威胁。
在这样的背景下,网络安全态势感知与大数据分析应运而生,成为了保障网络安全的重要手段。
网络安全态势感知是一种对网络安全状态进行实时监测、分析和评估的技术。
它能够帮助我们全面了解网络中的安全状况,及时发现潜在的安全威胁,并对可能发生的安全事件进行预测。
通过收集和整合来自网络各个节点的安全数据,如防火墙日志、入侵检测系统警报、服务器日志等,态势感知系统可以构建出一个完整的网络安全态势图。
这张图不仅能够展示当前网络中正在发生的安全事件,还能够揭示出潜在的安全风险和趋势。
大数据分析在网络安全态势感知中发挥着至关重要的作用。
在网络环境中,每天都会产生海量的数据,这些数据包含着丰富的安全信息。
然而,如果没有有效的分析手段,这些数据就只是一堆杂乱无章的数字和字符,无法为我们提供有价值的洞察。
大数据分析技术的出现,为我们解决了这一难题。
它能够快速处理和分析大规模的数据,从中提取出关键的安全信息。
首先,大数据分析可以帮助我们发现隐藏在海量数据中的异常行为。
例如,通过对用户访问行为的分析,如果发现某个用户在短时间内频繁访问了大量敏感数据,或者其访问模式与正常用户有显著差异,那么这可能就是一个潜在的安全威胁。
其次,大数据分析能够对网络攻击进行溯源和追踪。
当发生网络攻击时,攻击者往往会在网络中留下一些痕迹。
通过对相关数据的深入分析,我们可以追溯到攻击的源头,了解攻击者的手段和目的,从而采取针对性的防御措施。
此外,大数据分析还可以用于预测网络安全事件的发生。
通过对历史数据的分析,建立起相应的预测模型,提前发现可能出现的安全风险,为我们争取更多的应对时间。
大数据环境下的网络安全挑战与对策分析
大数据环境下的网络安全挑战与对策分析网络安全是指在互联网环境中保护计算机系统、网络基础设施、数据和用户免受未经授权访问、损坏或窃取的威胁。
随着大数据时代的到来,大数据环境下的网络安全面临着新的挑战和对策分析。
本文将对大数据环境下的网络安全挑战进行分析,并提出相应的对策。
首先,大数据环境下的网络安全面临的首要挑战是数据的安全性。
大数据技术的发展带来了海量数据的采集、存储和处理,其中包含着大量的敏感信息。
保护这些数据的安全性变得至关重要。
为了应对这一挑战,可以采取以下对策:1. 加强数据的加密。
对于存储在大数据环境中的敏感数据,应采用先进的加密算法,确保数据在传输和存储过程中的安全。
同时,对于访问大数据的用户,也要实施身份验证和访问控制,确保只有授权的用户才能访问敏感数据。
2. 建立数据备份和灾备机制。
大数据环境中的数据往往是不可替代的,一旦遭到破坏或丢失,将造成巨大的损失。
为了防止数据丢失,必须建立完备的数据备份和灾备机制,确保数据可以及时恢复。
其次,大数据环境下的网络安全还面临着隐私保护的挑战。
随着大数据的采集和分析,用户的隐私信息暴露的风险也越来越高。
为了应对这一挑战,可以采取以下对策:1. 强化隐私保护法律法规。
政府应加强隐私保护方面的立法,并对违反隐私保护法规的行为进行严厉处罚,以提高隐私保护意识和抑制滥用数据的行为。
2. 采用数据匿名化技术。
在进行大数据分析时,可以采用数据匿名化的方式对个人隐私信息进行保护,确保分析过程中不会暴露个人身份和敏感信息。
此外,大数据环境下的网络安全还面临着高级持续性威胁(APT)的挑战。
APT是指持续、有组织和有计划地对目标系统进行攻击的威胁行为。
为了应对这一挑战,可以采取以下对策:1. 建立完备的安全防护体系。
大数据环境中的安全防护措施包括安全设备的部署、安全策略的制定、日志分析和监控等。
通过建立完备的安全防护体系,能够及时发现并应对APT攻击,减少损失。
大数据背景下计算机网络信息安全问题分析
大数据背景下计算机网络信息安全问题分析随着互联网的蓬勃发展,大数据分析和利用的需求也越来越迫切。
但是,在大数据时代,计算机网络信息安全问题也相应地变得更加突出和严峻。
在不断增长的数据量和不断发展的技术应用下,网络空间安全形势更加错综复杂,随之而来的数据泄露、黑客攻击、病毒侵害等问题也日益频繁。
因此,保障大数据安全已成为当前互联网信息安全领域的重要任务。
大数据时代的信息安全存在问题:1. 数据泄露风险在大数据应用中,数据通常是被储存在云端服务器上的。
如同海量数据的容器一般,这些服务器存储的数据非常庞大,就像一张张巨大的网,学术研究和业务应用、隐私保护和数据安全早已融为了一体,极大地降低了数据泄露的安全性。
2. 数据隐私保护风险大数据的表现力和应用价值都来源于其所带有的数据,但往往在经过大数据分析处理后,这些数据往往具有较高的敏感性。
这就要求有关数据在处理和应用时,要遵循保护隐私的法规和规范,而很多商业上运营的大数据平台却往往不遵循这些规范,这就使数据泄露隐私保护成为大数据的一大安全隐患。
3. 大数据开放共享风险大数据的应用是通过数据的共享和开放实现的,这是大数据的一个核心和最大的优势。
但是,数据的开放共享也存在一系列安全隐患。
首先,相应的数据资料会被大量加工和过滤,其最后的形态是很容易掌握的。
数据开放的另一个安全隐患是因为数据交互产生的访问控制问题,这导致数据易被无心或者有意的黑客访问和窃取。
4. 网络诈骗风险网络诈骗泛滥,已经成为大数据时代网络安全风险的重要成分之一。
窃密、勒索、诈骗、网络攻击等,尤其是巨大的经济利益,已成为黑客攻击的主要原因之一。
大数据时代的网络安全对策1. 严格数据管理制度并人性化由于大数据的特有性和数据的高敏感性,必须建立严谨的数据管理制度,要求数据采集和管理必须符合相关的法律法规和行业标准,并采用适当的技术手段进行隐私保护和数据加密。
同时,还应实行人性化的管理手段,防止数据泄露风险。
大数据背景下的网络安全问题分析
大数据背景下的网络安全问题分析随着信息技术的不断进步和互联网的普及,大数据已经成为了我们生活中不可忽视的一部分。
大数据的崛起给我们的生活带来了很多便利,同时也给我们的网络安全带来了很大的挑战。
我们必须要清醒地意识到大数据背景下网络安全面临的问题,采取措施保障网络安全。
一、大数据为网络安全带来的挑战1、数据泄漏随着大数据技术的发展,越来越多的数据被收集和存储,存在各种各样的数据库中。
一旦没有足够的保护措施,这些数据就容易泄漏。
泄漏的数据往往包含许多个人的敏感信息,如信用卡号、社保号、家庭住址等。
一旦这些敏感信息被泄露,肆意使用者可能会对个人隐私进行窃取、滥用等。
2、网络攻击大数据的应用在很大程度上依靠网络,因此网络的安全问题非常重要。
黑客可能会通过进行一系列的黑客攻击,如“恶意软件”攻击、DDoS攻击、SQL注入攻击等,利用大数据泄露的漏洞,对网络系统进行攻击,导致大规模数据泄露和网络的中断等问题。
一旦这些攻击成功,我们的大数据安全就无法得到保证。
3、虚假信息大数据分析可能会受到虚假信息的影响,这些虚假信息可能会对分析结果产生影响,甚至是导致误导。
比如,某个人在社交媒体上撒谎,说自己健康状况很好,但实际上却是身体并不好。
然后这个不健康的人开始购买很多与健康相关的产品,这就导致了大数据在分析时结论的偏差,直接造成了公司或机构投资预测的错误。
二、如何保障大数据安全1、加强数据安全管理首先,加强数据安全管理是很有必要的。
不仅仅要保证数据的传输过程安全,更要保证数据的存储和处理的安全。
建立完善的数据安全机制,根据风险等级来制定不同的保护策略,对数据进行全面的保护措施,哪怕是数据泄露,也要尽可能的控制泄露范围和损失。
2、加强网络安全防护加强网络安全防护是非常重要的一步。
这个步骤需要从防范内部人员和外部黑客的角度来考虑。
企业或机构可以建立安全防护团队,通过实时监控和预警等手段,能够预先识别和防范攻击,快速响应和处置网络攻击,保障网络系统安全和数据安全。
基于大数据分析的社交网络用户数据隐私保护研究
基于大数据分析的社交网络用户数据隐私保护研究随着社交网络的兴起和迅速发展,大量的个人用户数据被广泛收集和应用,给用户数据隐私带来了重大威胁。
因此,研究如何保护社交网络用户数据的隐私成为了一个紧迫且重要的课题。
基于大数据分析的隐私保护研究,旨在利用先进的数据分析技术保护用户的个人隐私信息。
首先,基于大数据分析的用户数据隐私保护需要考虑对数据的有效匿名化处理。
数据匿名化的目的是去除或模糊化数据中的个人身份信息,使得无法将具体数据与特定个体相关联。
常见的匿名化方法包括去标识化、泛化和扰动等。
去标识化是指删除或替换个人身份信息,例如姓名、地址和电话号码等,以减少用户的可识别性。
泛化则是将具体的个人数据转化为更一般化的数据,例如将年龄转化为年龄段、将地理位置转化为经纬度范围等。
扰动方法则是在原始数据中添加噪音,从而使得数据无法被直接利用。
其次,基于大数据分析的用户数据隐私保护需要考虑数据共享的问题。
在大数据分析中,数据共享是常见的运作模式,但也带来了隐私泄露的风险。
为了克服这一问题,可以采用安全多方计算(Secure Multiparty Computation, SMC)协议来实现数据的加密共享和计算,保证数据在交互过程中不被泄露。
此外,还可以通过引入数据共享协议和权限控制机制,限制数据的使用范围和权限,确保只有合法授权的用户才能访问和使用数据。
另外,基于大数据分析的用户数据隐私保护还需要考虑到隐私权的法律保护。
随着技术的不断发展,大数据分析在很多领域得到了广泛应用,但同时也引发了关于个人隐私权的问题。
因此,相关的规法和政策也应相应地跟进。
政府需要制定和完善与大数据分析和隐私保护相关的法律法规,明确对于隐私泄露行为的法律责任和惩罚措施,加强对数据的监管和保护。
同时,个人用户也需要加强自身的权利保护意识,了解和行使自己的隐私权。
此外,基于大数据分析的社交网络用户数据隐私保护也需要考虑到技术的创新与发展。
随着技术的进步,新型的数据隐私保护技术也应运而生。
网络安全态势感知与大数据分析技术
网络安全态势感知与大数据分析技术在当今数字化时代,网络已经成为我们生活和工作中不可或缺的一部分。
然而,随着网络的日益普及和复杂,网络安全问题也变得越来越严峻。
网络攻击手段不断翻新,攻击规模日益增大,给个人、企业和国家带来了巨大的威胁。
为了有效地应对这些威胁,保障网络安全,网络安全态势感知与大数据分析技术应运而生。
网络安全态势感知是一种对网络安全状态进行实时监测、分析和评估的技术。
它能够帮助我们全面了解网络的安全状况,及时发现潜在的安全威胁,并采取相应的措施进行防范和应对。
网络安全态势感知就像是网络世界中的“瞭望塔”,让我们能够站在高处,俯瞰整个网络的运行情况,洞察其中的安全隐患。
大数据分析技术则为网络安全态势感知提供了强大的支持。
在网络环境中,每时每刻都产生着海量的数据,包括网络流量、系统日志、用户行为等。
这些数据蕴含着丰富的信息,但如果没有有效的分析手段,它们就只是一堆杂乱无章的数字和字符。
大数据分析技术能够从这些海量的数据中挖掘出有价值的信息,帮助我们发现异常行为、识别攻击模式、预测潜在的威胁。
那么,网络安全态势感知与大数据分析技术是如何工作的呢?首先,需要通过各种传感器和监测工具收集网络中的数据。
这些数据来源广泛,包括网络设备、服务器、应用程序等。
收集到的数据通常具有多样性和复杂性,需要进行预处理和整合,以便后续的分析。
接下来,运用大数据分析技术对这些数据进行深入挖掘。
通过数据清洗、筛选、关联分析等手段,找出数据中的规律和异常。
例如,通过分析网络流量的模式,可以发现突然出现的异常流量峰值,这可能是一次 DDoS 攻击的迹象;通过分析用户的登录行为,可以发现异常的登录地点或时间,这可能意味着账号被盗用。
在分析的过程中,还会使用各种算法和模型。
比如,基于机器学习的算法可以自动学习正常的网络行为模式,从而能够更准确地识别出异常行为。
而关联规则挖掘算法则可以发现不同数据之间的关联关系,帮助我们找出隐藏在背后的攻击链条。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于大数据的网络安全分析 作者: 蓝盾研发中心-刘峰 今年接手SOC产品研发,产品经理一直强调核心是事件关联分析,数据大集中后挖掘各种安全隐患,实时性关联分析以及识别或预防各种未知的攻击是技术难点。了解了一下,SOC已进入3.0时代,随着大数据技术的成熟,各个竞争对手都引入大数据平台解决先前无法解决的各种技术问题,比如大数据量存储、实时在线分析,以及各种机器挖掘技术,虽然有技术难度,但比较好的是大数据技术最近才成熟流行起来,大型的互联网公司和运营商虽然已掌握,但大部分公司和产品还未采用或者正在研发,大家基本上都在同一个起跑线上,由于大数据必须与业务紧密结合才能发挥价值,对我们来说是一个机会,正好赶上。
当前的挑战 当前网络与信息安全领域,正面临着全新的挑战。一方面,伴随大数据和云计算时代的到来,安全问题正在变成一个大数据问题,企业和组织的网络及信息系统每天都在产生大量的安全数据,并且产生的速度越来越快。另一方面,国家、企业和组织所面对的网络空间安全形势严峻,需要应对的攻击和威胁变得日益复杂,这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。 面对这些新挑战,现有安全管理平台的局限性显露无遗,主要体现在以下三个方面 1. 数据处理能力有限,缺乏有效的架构支撑:当前分析工具在小数据量时有效,在大数据量时难以为继,海量异构高维数据的融合、存储和管理遇到困难;安全设备和网络应用产生的安全事件数量巨大,IDS误报严重,一台IDS系统,一天产生的安全事件数量成千上万,通常99%的安全事件属于误报,而少量真正存在威胁的安全事件淹没在误报信息中,难以识别; 2. 威胁识别能力有限,缺乏安全智能:安全分析以基于规则的关联分析为主,只能识别已知并且已描述的攻击,难以识别复杂的攻击,无法识别未知的攻击;安全事件之间存在横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实时预测。一个攻击活动之后常常接着另外一个攻击活动,前一个攻击活动为后者提供基本条件;一个攻击活动在多个安全设备上产生了安全事件;多个不同来源的安全事件其实是一种协作攻击,这些都缺乏有效的综合分析 3. 安全预判能力有限,缺乏对抗能力:安全运营以被动应急响应为主,难以对风险进行提前的评估与研判,总是疲于救火。
SOC3.0时代来临 SOC3.0以大数据分析架构为支撑,以业务安全为导向,构建起以数据为核心的安全管理体系,强调更加主动、智能地对企业和组织的网络安全进行管理和运营。 在DT时代, SOC3.0的核心要素是:业务、主动、智能、大数据。 业务?用户的业务系统是安全的终极保障对象,以业务为核心的安全就是要从业务四要素(支撑环境、流程、数据和人)出发去保障业务安全,并通过建立指标体系来度量安全效果。 主动?强调构建主动的安全机制,进行前摄性的安全防御,包括集成漏洞管理、配置核查,并引入外部威胁情报,进行积极的安全预警和主动运维。 智能?强调建立起智能化的安全分析能力,既要保留现有基于规则的关联分析,也要利用更加丰富的情境数据(漏洞、情报、身份、资产等信息)进行情境关联,更要借助诸如行为分析、机器学习、数据挖据等技术来做到知所未知。 大数据?大数据时代的安全管理必然是数据驱动的,必须以大数据架构为支撑,基于大数据技术重新构建信息采集、数据融合、事件存储、高级安全分析、态势感知和可视化等安全管理能力。
事件关联分析场景介绍 对于每套系统管理都有它的安全防护措施,只不过是安全孤岛,但是万物之间必然有它的联系,将这些日志联系到一起分析,就是关联分析,这里关联的好坏就决定于他的关联库、关联规则和知识库。 场景一 针对一个典型的网络构成如下图,介绍基本的关联分析过程: 1. 路由器记录所有数据包通过的信息 2. 防火墙根据指定的策略记录下所有允许和丢弃的数据包访问信息 3. IDS对所有数据检测后,记录可疑数据包的告警信息 4. 应用服务器记录对各种服务的访问信息以及进行的文件操作 5. 场景二 对于WEB漏洞发起的攻击包检测,通常经历下面几步: 1. IDS检查到对目标WEB服务器的漏洞攻击包 2. 检查路由器日志,触发告警的包是否通过路由器 3. 分析防火墙日志,过滤器是否拦截攻击包 4. 检查服务器文件完整性,运行Tripwire检查文件完整性,查看文件权限是否修改 5. 分析syslog输出或服务器事件日志,检查攻击是否真正发生 通过上述分析,基本确定一个攻击事件是否发生,需要通过分析许多相关设备日志信息,同时能够追溯到攻击源,从全局来观察攻击事件的开始、发展、结束过程以及是否造成危害 场景三 1. 比如在VPN服务器日志显示张三3:00钟,从外面登陆到内部网 2. 在3:05分登陆FTP服务器,并在FTP服务器上下载了某个文件 3. 在门禁系统的日志显示张三在不久前刚刚进入办公区域 这三个日志可以关了出一个安全事件 场景四 1. 某公司核心数据库前端部署了防火墙系统,某日安全系统监测发现张三登陆了MyS QL 数据库服务器 2. 但是在防火墙日志中并没有发现张三的访问日志 这说明张三很有可能绕过防火墙直接登陆数据库服务器 场景五 1. 网络中OpenVAS扫到某台Linux主机存在的Apache2.2.x Scoreboard(本地安全限制绕过)漏洞 2. 与此同时,NIDS检测到了一个正在对该主机漏洞扫描的尝试攻击事件,如果此时该Linux服务器打上了相应补丁,则关联分析结果不会报警,如果没有,此时应该会产生报警
关联分析类型
数据关联:将多个数据源的数据进行联合(Association)、相关(Correlation)或组合(Combination)分析,以获得高质量的信息。它将不同空间设备的日志,不同时间序列存在的问题进过特定关联方法结合在一起,最终确定工具的分析方法。
交叉关联:它是最常见的数据关联方式,可以将安全事件与网络拓扑、系统开放的服务、设备存在的漏洞进行关联匹配,以分析攻击成功的可能性。利用这种关联方法可以检测到某些威胁,并实现自动响应(比如发出告警等)。
情境关联: 将安全事件、故障告警事件与当前网络、业务、设备的实际运行环境、状态、重要程度进行关联,透过更广泛的信息相关性分析,识别安全威胁。情境关联可以根据事件的特点结合不同情境进行关联分析,扩展成不同的功效。参考下面几种: ➢ 与漏洞信息关联:将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;(如:IDS告警源IP对目的IP进行漏洞攻击 & 目的IP存在该编号的漏洞 & 该漏洞是个高危漏洞) ➢ 与资产信息关联:将事件中的IP地址与资产价值、资产类型、自定义资产属性(如密级)等进行关联判断事件的准确性与风险程度;(如:IDS告警源IP对目的IP进行SQL注入攻击 & 目的IP是个WEB应用服务器 & 该WEB应用是个机密性很高的系统) ➢ 与性能状态关联:将事件中的IP地址与设备的当前对应性能指标关联判断事件的准确性与风险程度;(如:IDS告警源IP对目的IP进行SYN攻击并且目的IP的响应参数明显降低或不响应) ➢ 与网络状态关联:将安全事件与该事件所针对的目标资产(或发起的源资产)当前发生的告警信息以及当前的网络告警信息进行关联;(如:IDS告警存在ARP攻击 & 发生攻击的网段大部分设备掉线 & 只有某台设备在线->基本可以判定该设备就是攻击源) ➢ 与物理拓扑关联:根据网络物理拓扑信息进行网络连接关联分析与网络路径可达性检测,自动进行网络根本故障源定位。(如:某区域终端设备突然全部掉线 & 这些终端都连接同一个交换设备 & 该交换机也属于掉线状态 & 该交换机上联的网络设备在线->基本可以判定该交换机是故障源)
逻辑关联:等于、不等于、大于、小于、不大于、不小于、与、或、非、位于……之间、属于、包含、FollowBy
统计关联:对单位时间内日志某个或多个属性进行统计计数分析,关联出达到一定统计规则的事件。如:一分钟内某个源IP连续向某个目的IP发送2000个SYN半连接包
时序关联:按照某些事件发生的时序进行关联分析。根据某些攻击行为、网络故障特征,可通过时序关联来设定相应的分析规则,达到事前警告、事中阻断的效果。如:某源IP先对某目的IP的所有端口进行连接,然后IDS告警源IP对目的IP进行漏洞攻击;
大数据分析场景 基线分析:将重要设备或业务的安全关键点要素(如服务器上的账户信息、权限信息、端口开放信息、进程启动信息、服务启动信息、网络连接信息)进行基线分析,通过单个或多个关键点的变动进行综合分析,达到对威胁的确认。 如:某台服务器突然增加了个登录账号;突然打开某个端口,并且向外部连接; 宏观态势分析:基于时间周期同比对某一类或整体事件数进行宏观分析,判定当前网络整体性能或安全状况、预测后期网络性能或安全的态势。 如:今天某个时段的IDS告警量突然比之前同一时段增加很多(由于同一时间段网络的使用情况应该是相差不大的,告警量的突增标明网络中肯定存在某些威胁或故障)
大数据的切入点
分析引擎实现 实时关联分析实现 离线分析实现 • 态 势评估:包括关联分析(Correlation Analysis)、态势分析(Situation? Analysis)、态势评价(Situation Evaluation),核心是事件关联分析。关联分析就是要使用采用数据融合(Data Fusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。 • ?业务评估:包括业务风 险评估(Business Risk Assessment)和业务影响评估(Business Impact Assessment),还包括业务合规审计(BusinessComplianceAudit)。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。 • ?预警与响应:态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。
异常检测引擎?