OSSIM识别APT的三板斧
OSSIM识别APT的三板斧
许多遭受APT***的受害者所在单位拥有防火墙,防病毒系统,监控系统,但仍未能阻止威胁进入,这些系统未能感知到异常行为,直到损失被曝光。安全团队应考虑到当今复杂多变的网络威胁环境,可以假设其IT环境已被或间歇性遭受到不明来历的******,这时我们需要了解***的各个阶段的详细情况,包括对持续的威胁见识以及快速的***检测。过去使用Cacti、Zabbix等工具,等到在系统中发现问题时已经到了***完成阶段,***者早已得手,并消失的无影无踪。要提高网络***的可视化、提高对网络***的敏感性和处理高级威胁的速度,SIEM(安全信息和事件管理)是理想的平台,适合于目前企业中大规模集中数据安全分析。作为开源SIEM产品OSSIM具备了以下3个方面的能力:
(1)可视化--获知异构的IT环境中,所发生的一切信息需要多种数据源,包括网络数据包捕获,和完整会话的重建以及来自网络设备、服务器、数据库的日志文件,需要将这些数据有效组织起来,通过图形化方式展现给用户,而且将各种视图统一的整合到一个位置,孤立的日志收集系统只不过是虚有其表的摆设。
(2)扩展性--收集安全数据的平台必须能在横向和纵向进行扩展,以处理来自企业内部和外部的海量安全事件,深入分析网络流量的同时会产生大量pcap文件,这会使安全分析平台的数据成倍增加,OSSIM通过分布式多层存储体系结构处理了密集型数据。
(3)关联分析-具有一定的智能分析是因为内置的关联分析引擎的缘故。传统计算机安全机制偏重于静态的封闭的威胁防护,所以只能被动应对安全威胁,往往是安全事件发生后才处理,面对******,在***过程中,检测到扫描、注入、暴力破解和漏洞利用***时OSSIM的关联引擎从多数据源获得数据,通过抓包和多数据源收最大范围和深度收集有效信息,比如在应用系统日志中有相关登录失败等异常指标,进行主动安全分析,在事件发生阶段就发出预警信息,以便管理员实现快速响应。
OSSIM识别APT的三板斧相关推荐
- 基于OSSIM系统的APT攻击检测实践
目录 0.背景 1. APT的显著特征 2. APT 的主要阶段 3.APT分层 防御策略 4.检测与防御技术 5.复杂网络环境部署OSSIM 6.在特殊场景的应用 7.利用OSSIM识别APT攻击 ...
- [论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结
<娜璋带你读论文>系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢.由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学 ...
- [个人小记]什么是APT攻击
什么是APT攻击 一.什么是APT攻击 二.APT攻击与Web的不同 三.APT攻击的工作原理 四.企业如何防范APT攻击行为 一.什么是APT攻击 高级持续威胁,描述入侵者团队在网络上建立非法的长期 ...
- FireEye:GreedyWonk行动针对经济和外交政策网站
显然,在识别APT并公开分析方面,FireEye走到了前面,比之前的Kapersky,TrendMicro, McAfee, Symantec,他们貌似走到了最最闪耀的聚光灯下.也许他们的沙箱技术大规 ...
- FireEye:K3chang行动***欧洲外交部门
美国时间2013年12月9日,FireEye公布了一个最新的APT***行动,并取名为K3chang.这个***行动被NYTimes,路透社,FT纷纷报道. 据fireeye报告,这个***行动最新的 ...
- 恶意邮件智能监测与溯源技术研究
导读:近年因电子邮件安全问题引起的恶性网络事件影响范围越来越广.造成后果越来越恶劣.传统邮件监测技术无法应对高级持续性威胁.基于此,提出新一代智能恶意邮件监测与溯源的系统框架,将多元行为分析.威胁情报 ...
- 新型威胁分析与防范研究
新型威胁分析与防范研究 Last Modified @ 2013/5/26by yepeng [摘要]本文通过对以APT为代表的新型威胁的实例研究,分析了新型威胁的攻击过程.技术特点.当前国内外的发展 ...
- 如何开展网安XX行动防护工作
一.攻击队(蓝队)分类 军火商级:掌握0day漏洞.具备编写工具的能力.甚至有vpn的漏洞.攻击特点:直接攻击,如导弹.大炮一般,攻击猛烈,效果极强. 间谍级:长期APT钓鲸攻击,打入红队内部,通过木 ...
- 网络安全行业黑话大全
网络安全行业黑话大全 Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中 ...
最新文章
- groovy–运算符重载
- C#中如何得到机器的IP地址
- 往sde中导入要素类报错000732
- SakaiCLE2.9数据库迁移
- 图神经网络(GNN)综述
- Python科学计算
- 60款mac超酷炫动态苹果免费屏保壁纸
- WiFi连接过程简要分析
- 浙江开票系统服务器窗口,浙江增值税发票综合服务平台常见问题解答
- c语言怎么学自学,初学者如何学习c语言,带你玩转C语言
- apple tv 开发_如何在新的Apple TV上重新排列,配置和删除应用程序和游戏
- Java 标准 I/O 流编程一览笔录( 下 )
- 服务器抓不到mrcp协议,MRCP协议学习笔记-MRCP背景知识介绍
- alisoft 开放旺旺SDK,我也来凑合一下
- 网络代理服务器的设计与实现
- C++ 使用string的头文件和要求
- Data truncation: Incorrect datetime value: ‘XXXX‘
- composer init 命令详解
- DXperience皮肤设置 C#第三方控件学习笔记
- Note For Linux By Jes(2)-Linux文件与目录管理