在当今社会中,随着信息技术的迅猛发展,企业内部的网络环境正面临着复杂多变的信息安全问题。这里既有来自于互联网对企业内网的各种入侵和攻击威胁,也有来自于企业内网中的违规操作和信息泄漏。为了应对层出不究的网络攻击和系统漏洞,许多企业先后部署了防火墙、入侵检测与防护系统、漏洞扫描系统、病毒防护系统等安全产品。但由于这些安全产品都仅仅防堵来自某个方面的安全威胁,于是形成了一个个安全防御孤岛,无法产生协同效应。因此,就要求企业需要建立一套能够横向贯穿安全防线的统一安全管理平台,实现对全网IT资产整体安全风险的监控,真正让企业安全管理人员把握整体安全态势,实现有效地协同防御。

要构建一个统一的安全管理平台,首先就需要将来自企业网络中各类IT资产及其安全防御设施运行过程中不断产生的各类安全数据和安全日志进行统一收集、分析,形成企业网络的整体安全态势。而在企业网络安全中,各种网络安全设备产生的安全数据和安全日志数据等信息往往过于离散和庞大,很难进行人工解读,难以及时发现攻击的时间、空间、意图和危害等因素;同时,也给安全管理平台的收集和分析带来了巨大的挑战。安全管理平台决不能简单地将这些海量的信息直接展示给用户,否则,用户面对这些海量的安全事件将束手无策,管理运维效率将不升反降。而且网络安全设备自身的不足也会导致严重的误报及漏报情况,这也会增加安全人员发现攻击行为的难度。在这种情况下,安全管理人员难以发现完整的攻击场景、时序和地域关系,及时有效地处理这些离散事件的难度变得越来越大,这就迫切需要对大量的离散事件进行分类、整合和关联。因此,安全事件关联分析技术应运而生。

安全事件关联分析技术作为企业安全管理平台的核心功能之一,其目的在于从看似“分散独立”的海量安全数据中寻找异常活动的逻辑关系,发现攻击意图、步骤、危害、风险等信息。因此可以将安全事件关联分析定义为:用方法和工具表示的形式框架,用来对多源数据进行分析、聚类、分类、关联、以获得高质量的安全事件信息。

在企业安全管理平台中,完整的事件关联分析应包括异构海量日志采集、日志范式化处理、事件的过滤归并、事件关联分析引擎、事件告警响应、事件存储与展示等几个部分。其中,最核心的部分就是事件关联分析引擎。

企业安全管理平台采集异构海量日志,通过日志范式化和分类处理,将日志转换成标准格式,再经过进一步的过滤和归并后,将数据发送给关联分析引擎,经过关联分析引擎分析后生成告警。

经过整个事件关联分析流程生成的告警数据,在加密压缩处理入库存储后,通过监控、统计、查询、追溯、报表等平台业务层展示功能为用户提供安全态势分析和安全运维服务。

通过对流程图分析可以看出,在安全信息分析过程中,数据分析量是在逐层递减,但是数据价值是在逐层增加,通过关联分析引擎输出的告警可以较准确的定位网络攻击或预警潜在的安全威胁。

下面介绍几种安全管理平台中,目前常用的事件关联分析方法:

  • 基于规则的关联分析

基于规则的关联分析是指按平台预先内置关联规则,或者用户自定义关联规则对安全事件进行有效的关联分析。平台接收到安全事件以后,通过事件特征与告警规则进行匹配,一旦匹配到符合条件的规则,规则就会被触发。在规则设定的时间窗,平台会将多条成功匹配规则的安全事件进行关联,并按规则设定进行告警。

关联规则代表对攻击者攻击行为的模拟,将平台采集的海量安全日志归一化后,通过有效的字段组合(源IP,源端口、目的IP,目的端口,事件类型,协议以及其他有效数据),进行综合匹配分析,关联规则必须是基于企业实际业务场景定制出来的,满足企业实际业务最真实的网络场景。

基于规则的关联分析主要针对于已知安全事件的关联分析,当单独使用时有一定的误报率,并且对运算处理的要求比较高,能够检测的异常情况也比较有限。

  • 基于统计的关联分析

基于统计的关联分析,是在基于规则关联分析的基础上,从安全事件的各个属性出发,通过计算多个安全事件各属性之间的关系,对多条相关安全事件按规则设定的条件及阀值进行匹配,当这些安全事件符合一定的关系时将它们进行聚合,当这些关系符合一定条件时可以生成新的聚合告警。这种方法,通过判断多个安全事件之间的关系,利用其中一个或多个属性进行关联,归并大量重复的安全事件,从而实现安全事件关联的目的。

利用基于统计关联的方法,我们可以将已经范式化的安全事件,按源IP、目的IP、攻击事件分类等等进行归类统计,一方面实现一段时间内安全事件数量趋势的统计分析,另一方面可以通过针对攻击事件的分类统计实现安全事件预警和事件追溯分析。例如,将攻击事件按攻击链模型的七个攻击阶段进行归类统计,具有一定关系(如IP地址、事件类型等)的多个安全事件,对应到攻击链的合适攻击阶段,即将这些事件标记上攻击链的攻击阶段,基于已经发现的攻击阶段进行推理,预测未来可能会发生的攻击事件,并可以通过平台进行告警、预警和追溯分析。

通过基于统计的关联分析方法,可以大幅减少重复告警的数量,降低告警冗余度,从而提高关联分析的效率。

  • 基于威胁情报的关联分析

基于威胁情报数据的关联分析,是企业安全管理平台未来的主要发展趋势,依赖于威胁情报数据的新一代企业安全管理平台,可以大大提升安全事件分析效率,和对威胁行为的检测能力和响应速度。

威胁情报分为战略情报和战术情报,从技术上可以分为基础数据情报、高级威胁情报和定制情报等,其中:

基础数据情报:包括IP指纹、web指纹、IP信息、域名信息、漏洞库、样本库、IP信誉、域名信誉、URL信誉、文件信誉、C&C信誉等。

高级威胁情报:包括高级威胁分析报告、安全事件分析报告、TTP分析报告等。

定制情报:包括周期性威胁播报、热点威胁分析报告、行业威胁分析报告、资产威胁分析报告等。

通常情况下,企业安全管理平台与部署在云端的威胁情报平台互联。经过安全管理平台的关联分析引擎生成的本地安全威胁告警,与云端威胁情报平台推送的威胁情报数据进行关联,通过对IP信誉、域名信誉、URL信誉、文件信誉、C&C信誉等多个维度的匹配,分析出安全威胁告警的可信程度,过滤掉告警中的噪音事件,从而增加了本地安全威胁告警的精准度,使得企业安全管理人员可以迅速定位威胁来源和相关联的资产和业务,并及时通过工单和处置流程进行快速响应;同时,利用威胁情报可以对攻击者进行深入分析和溯源取证。

针对传统的防病毒、入侵检测防御等产品依赖签名技术来识别恶意攻击行为,对于恶意攻击行为早期破坏和高级持续性威胁(APT)攻击难以应对的情况,通过早期推送基于攻击特征的威胁情报并与安全管理平台基础数据集成,可以有效填补基于签名工具遗留的缺口,提高用户对未知威胁的发现和处置能力。

本文阐述了安全事件关联分析在企业安全管理平台中的核心技术应用,以及常用的关联分析方法。传统的企业安全管理平台多是以基于规则的关联分析方法为主,其只能对已知的安全事件进行识别和关联分析,对于复杂的或未知的威胁攻击很难得以识别,同时使用单一的关联分析方法也无法对所有攻击进行有效且准确的识别和分析。因此,新一代的企业安全管理平台应该结合多种关联分析方法,进行优势互补,形成多层纵深的安全事件关联分析。

未来的企业安全管理平台应当建立在大数据基础框架之下,结合威胁情报数据,进行基于实际场景的大数据安全事件关联分析。同时,建立资产、脆弱性、威胁风险三要素的关联关系,结合对机器学习、数据挖据算法、可视化分析及智能化分析等新技术的研究,实现企业安全管理平台的智能化关联分析和安全态势感知,从而更加主动、弹性地去应对新型复杂的威胁和未知多变的风险。

浅谈安全管理平台中的事件关联分析相关推荐

  1. 浅谈精益生产中的价值流图分析法(zt)

    1. 概述 精益生产管理,是一种以客户需求为拉动,以消灭浪费和不断改善为核心,使企业以最少的投入获取成本和运作效益显著改善的一种全新的生产管理模式.它的特点是强调客户对时间和价值的要求,以科学合理的制 ...

  2. 浅谈 Linux 系统中的 SNMP Trap 【转】

    文章来源:浅谈 Linux 系统中的 SNMP Trap 简介 本文讲解 SNMP Trap,在介绍 Trap 概念之前,首先认识一下 SNMP 吧. 简单网络管理协议(Simple Network ...

  3. 浅谈VB6.0中的实用技巧

    浅谈VB6.0中的实用技巧 (一) VB6.0中文本框处理技巧 在Visual Basic中,文本框(TextBox)是最常用的控件,熟练运用文本框 是开发出高质量的应用程序的基础.笔者在从事应用程序 ...

  4. 浅谈软件性能测试中关键指标的监控与分析(转)

    浅谈软件性能测试中关键指标的监控与分析 一.软件性能测试需要监控哪些关键指标? 软件性能测试的目的主要有以下三点: Ø  评价系统当前性能,判断系统是否满足预期的性能需求. Ø  寻找软件系统可能存在 ...

  5. Python 基于python+mysql浅谈redis缓存设计与数据库关联数据处理

    基于python+mysql浅谈redis缓存设计与数据库关联数据处理 by:授客  QQ:1033553122 测试环境 redis-3.0.7 CentOS 6.5-x86_64 python 3 ...

  6. php hasmany,浅谈laravel orm 中的一对多关系 hasMany

    个人对于laravel orm 中对于一对多关系的理解 文章表 article,文章自然可以评论,表 comment 记录文章的评论,文章和评论的关系就是一对多,一篇文章可以有多个评论. 在 comm ...

  7. python文本框与数据库的关联_Python 基于python+mysql浅谈redis缓存设计与数据库关联数据处理...

    基于python+mysql浅谈redis缓存设计与数据库关联数据处理 by:授客 QQ:1033553122 测试环境 redis-3.0.7 CentOS 6.5-x86_64 python 3. ...

  8. 让数据站住脚-浅谈用户研究中的信度与效度

    让数据站住脚-浅谈用户研究中的信度与效度 在用户研究工作中,如何让自己的数据和结论更有说服力,是很重要的问题.最近将自己积累的用研信度和效度的笔记整理一下,罗列在文中,希望对大家有所帮助. 一.调查的 ...

  9. c语言弱符号与函数指针,浅谈C语言中的强符号、弱符号、强引用和弱引用【转】...

    首先我表示很悲剧,在看<程序员的自我修养--链接.装载与库>之前我竟不知道C有强符号.弱符号.强引用和弱引用.在看到3.5.5节弱符号和强符号时,我感觉有些困惑,所以写下此篇,希望能和同样 ...

最新文章

  1. django 中文乱码或不识别
  2. 每天要问自己的十个问题
  3. typedef四用途与两陷阱
  4. c++计算数组均值方差_协方差分析的基本思想和应用前提(上)
  5. 【zookeeper】zookeeper 启动 源码解读
  6. 无向图中两点之间的距离_九上数学:二次函数图像,一动点到两定点距离和最小...
  7. 战地5服务器不显示ping怎么回事,战地5常见bug解决办法分享
  8. 【Android】Error:Execution failed for task ':app:lint'
  9. 企业SpringBoot 教程(五)springboot整合beatlsql
  10. Centos上安装jdk版本出错的问题
  11. 12. JavaScript Number 对象
  12. server.xml引入子文件配置(tomcat虚拟主机)[转]
  13. 正则表达式判断是否为数字
  14. MySQL安装(详细,适合小白)
  15. hello.java_helloworld怎么写java
  16. 大数据分析师高级证书_有大数据分析师资格证书吗?
  17. JMeter做http接口功能测试
  18. 魔百和CM201-1 线机教程 救砖(大部分情况能用)
  19. 计算机安装win10系统还原,预装win10的ThinkPad笔记本电脑一键恢复出厂系统步骤
  20. 数据预处理 - 归一化与Z-Score标准化

热门文章

  1. fabric1.1开发(零-基础知识)
  2. 据说:只有程序员才能看懂的图!
  3. android购物车简单实现全选+加减器+总价格
  4. python pyserial 使用大全
  5. Android Studio Chipmunk 同时打开多个项目的正确方法
  6. 解决Cannot call sendError() after the response has been committed和getOutputStream() has already been
  7. MyBaitsPlus快速入门
  8. 从原生到黑科技:闲鱼 Flutter 图片优化经历了什么?
  9. 【从0到1搭建LoRa物联网】20、LoRaWAN扩展
  10. PLC系统中复位和格式化操作指令