多源异构网络安全关联分析

（1）主机日志数据

多源异构网络安全数据主要包括主机日志数据、网络流量数据、安全告警数据、威胁情报数据等主机日志数据是指发生在主机运行过程中的各类审计日志记录，其中各个日志条目是对主机运行状况的监测结果，其中包括操作系统、应用程序、网络通信、安全告警等各类数据记录,包括系统信息（服务器、网络设备、操作系统、应用软件）、各种传感器等各类审计信息。主机日志记录反映了用户操作及操作系统日常行为，日志数据是识别和发现针对主机的攻击活动的最直接数据对象，也是攻击事件追溯过程中不可或缺的信息来源，下面以 Linux 系统为例说明主机日志数据的主要内容，其中主要包括内核及系统日志、用户日志、应用程序日志等。
 内核及系统日志：
Linux 系统内核及系统日志由操作系统内核中带有的 rsyslog 服务统一记录，日志记录内容和位置在/etc/rsyslog.conf 中给出具体配置信息，也有部分系统应用会将日志记录内容交由 rsyslog 进程管理，其日志记录方式与系统日志类似。
 用户日志：
用户日志数据是指系统用户登录 Linux 系统和进行日常操作的日志记录，用户日志内容包括系统登录、执行命令、文件操作等行为情况，日志记录包括 IP 地址、操作时间、操作用户名、执行结果等行为信息。
 应用程序日志：
不同应用程序的日志管理方式不同，部分应用程序会将程序行为日志交由 Linux 日志服务 rsyslog 进行统一管理，而部分应用程序则根据自身业务需求记录日志，由于不同应用程序日志记录方式不同，记录日志格式也不尽相同，在处理多个应用程序日志数据时需要对其进行日志格式解析和归一化处理，

（2）网络流量数据
多数 APT 攻击案例中也带有僵尸网络攻击（Botnet），攻击者往往利用僵尸网络的 C＆C 服务器（Command & Control Server）与受控节点进行通信，这些通信行为特征往往隐藏在网络流量数据中，通过对网络中传输的数据进行采集和解析，对上层协议数据进行分析，实现对网络事件的记录并发现安全威胁[20]。流量数据的采集形式往往采用流量镜像、流量嗅探、流量解析等方式，数据采集格式主要包括 PCAP 文件和 NetFlow 流数据， Pcap 文件是记录网络流量数据包的最主要格式，文件内容按照特定格式进行存储，
Pcap 文件在 Linux 系统往往使用 libpcap，windows 则使用 WinPcap 端口进行记录，二者均使用相同的文件格式，Pcap 数据包抓取过程对系统性能要求较高，且若要保证事后取证调查的精确度，其存储成本也相当昂贵。基于网络流量数据的分析内容包括：网络协议的识别分类、分析、判断和记录等，例如 HTTP、FTP、SMTP、SMTP、POP、Telnet 以及其他网络协议，并可通过网络流量监测识别对异常流量的识别并生成告警。 NetFlow[21]是一种 Cisco 公司开发的网络管理技术，其中包括网络数据包的 7 个属性：源 IP 地址、目标 IP 地址、源通信端口号、目标通信端口号、第三层协议类型、服务类型（TOS）字节、网络设备输入或输出的逻辑网络端口（iflndex）。基于 NetFlow 可以快速区分网络中传送的各种不同类型业务网络数据流，在 NetFlow 技术的演进过程中，Cisco公司一共开发出了 NetFlow V1、NetFlow V5、NetFlow V7、NetFlow V8 和 NetFlow V9 等 5
个主要的实用版本。
NetFlow 文件记录了网络流量的会话信息，其中并不包括完整流量的内容信息，其记录内容包括源 IP 地址、目的 IP 地址、输入流量输出流量统计信息、网络流字节数、起始时间、结束时间、源端口、目的端口、TCP 标志位、网络服务类型等信息。这种记录方式
不提供完整内容，但这种会话级记录方式更便于日常管理和维护。
NetFlow 原本是为实现网络性能管理而设计的专门协议，后来才被用作安全用途，其中提供的数据往往不够全面，由于缺少了端口、应用、主机上下文等威胁分析的基本要素，NetFlow 在用作攻击溯源分析时往往显得能力不足。
上述两种数据采集方式各自存在其优势和不足，在实际应用中需要在 NetFlow 和 PCAP之间进行权衡取舍，这也是安全分析中分析人员面临的现实情况。
（3）安全告警数据
安全告警数据是指部署在系统中的安全设备或产品，例如入侵检测系统、流量分析系统、应用防火墙、防病毒软件等产生的各类告警日志数据，这些部署的安全设备可被视作网络系统内的安全探针，其中采集的各类安全告警事件提供了低级的被动安全视图，已有安全产品的技术水平和检测层次的不同，其产生的各类安全告警事件同样质量高低不同，提供了不同视角的安全信息，如何验证和关联这些水平不一、层次不同的安全告警事件同样是定向网络攻击检测中的重要研究内容。下面以入侵检测系统和防火墙告警为例说明安

多源异构网络安全关联分析相关推荐

SSM多源异构数据关联技术构建智能校园计算机毕设源码64366
摘要随着科学技术的飞速发展,社会的方方面面.各行各业都在努力与现代的先进技术接轨,通过科技手段来提高自身的优势,高校当然也不能排除在外.多源异构数据关联技术构建的智能校园是以实际运用为开发背景, ...
大数据场景下多源异构数据的实时处理分析
随着大数据应用的发展,人们对实时数据的要求越来越高,大数据也逐渐从最初的离线数据仓库架构发展到Labmda架构,实现了离线实时更新的目标.到后来的Kappa体系结构中,Labmda体系结构的实时部分被 ...
【2017年第1期】智慧城市多源异构大数据处理框架
刘岩1,王华2,秦叶阳3,朱兴杰1 1. 泰康保险集团股份有限公司数据信息中心,北京 102206 2. 中国人民大学,北京 100872 3. 北京大学,北京 100871 摘要:智慧城市建设 ...
网络安全-日志监控-关联分析-大数据
2019/12/26 - 今天首先看了APT攻击的内容,apt攻击反正也不算是一种新颖的攻击,基本上就是多种攻击方式的融合:文章[1]中对这种攻击进行了介绍,但我感觉想要检测这种攻击怕是不简单:0日攻 ...
深度学习OSSIM关联分析（附源码注解）
从海量安全事件中挖掘有用的威胁信息与情报是当今讨论的热门话题,同时这也是一个难点?怎么实现呢?这里用到一种技术叫做关联分析,他也是SIEM(Security Information Event Ma ...
深度剖析SOC高性能实时事件关联分析引擎
[引言]安全管理平台(SOC) 的一项关键技术就是事件关联分析.借助实时的事件关联分析引擎,安全管理平台能够发掘出复杂的海量安全日志和事件背后隐藏的信息,引导安全管理人员发现外部***和内部违规行为 ...
浅谈安全管理平台中的事件关联分析
在当今社会中,随着信息技术的迅猛发展,企业内部的网络环境正面临着复杂多变的信息安全问题.这里既有来自于互联网对企业内网的各种入侵和攻击威胁,也有来自于企业内网中的违规操作和信息泄漏.为了应对层出不究的 ...
OSSIM平台安全事件关联分析实践
OSSIM平台安全事件关联分析实践在<开源安全运维平台OSSIM最佳实践>一书中叙述到,事件关联是整个OSSIM关联分析的核心,对于OSSIM的事件关联需要海量处理能力,主要便于现在需要 ...
多源异构数据_构建数字孪生城市的CIM数据平台哪家强？
文/王颖初数字城市系统建设中数据领域存在的问题随着经济的发展和信息化水平的飞速提升,数字城市的系统建设也日益普及.数字城市涉及规划.建设.城市管理.国土.交通.水利.安防.人防.环境保护.文物保护 ...

多源异构网络安全关联分析

多源异构网络安全关联分析相关推荐

最新文章

热门文章