網(wǎng)絡(luò)安全態(tài)勢感知裝置的內(nèi)容與方法

時間：2020-12-12作者：深圳市智恒金瑞科技有限公司瀏覽：405

一、安全態(tài)勢感知裝置的內(nèi)容
1、感知網(wǎng)絡(luò)資產(chǎn)
IT系統(tǒng)越來越復(fù)雜，從而產(chǎn)生大量的無主資產(chǎn)、僵尸資產(chǎn)，且這些資產(chǎn)長時間無人維護，存在大量的漏洞和配置違規(guī)，為用戶網(wǎng)絡(luò)安全帶來了較大隱患。因此，首先要摸清資產(chǎn)家底。任何網(wǎng)絡(luò)入侵和攻擊都是以資產(chǎn)為載體或目標(biāo)，如果網(wǎng)絡(luò)資產(chǎn)是一筆糊涂賬，那么網(wǎng)絡(luò)安全狀況將無法**。
感知資產(chǎn)的方法主要有主動探測和被動分析。主動探測主要用于對未知網(wǎng)絡(luò)下的資產(chǎn)發(fā)現(xiàn)探測，被動分析主要用于7×24小時持續(xù)性的監(jiān)聽已知網(wǎng)絡(luò)下的未發(fā)現(xiàn)資產(chǎn)。通過強大的資產(chǎn)指紋庫建立各類型資產(chǎn)的特征，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用中間件等，進行識別資產(chǎn)并完成資產(chǎn)屬性的補全，較終實現(xiàn)未知資產(chǎn)的發(fā)現(xiàn)、識別與管理。同時，需要通過有代理或無代理方式監(jiān)控資產(chǎn)的運行狀態(tài)，包括主機CPU、內(nèi)存、磁盤占用率變化情況、網(wǎng)絡(luò)帶寬的占用變化情況和交換機每個端口的流量情況。較進一步，可采集服務(wù)進程、線程數(shù)據(jù)、CPU和內(nèi)存占用率等[2]，為安全檢測分析提供數(shù)據(jù)支撐。
2、感知資產(chǎn)脆弱性
網(wǎng)絡(luò)安全脆弱性主要包括資產(chǎn)漏洞和弱密碼等配置不當(dāng)。脆弱性已經(jīng)成為網(wǎng)絡(luò)攻擊者入侵網(wǎng)絡(luò)竊取信息或者破壞系統(tǒng)的重要入口。因此，“摸清家底”的一個重點就是要摸清資產(chǎn)的脆弱性。如果資產(chǎn)漏洞和不合理配置不明確，將無法進行資產(chǎn)安全加固并采取防護措施。
對于資產(chǎn)漏洞，感知方法是基于已知的漏洞信息，采用端口探測等手段，對網(wǎng)絡(luò)中*的主機、網(wǎng)絡(luò)設(shè)備等資產(chǎn)進行漏洞檢測，發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的漏洞；資產(chǎn)配置脆弱性感知方法是采用基線安全配置檢測工具，深度獲取主機、服務(wù)器和網(wǎng)絡(luò)設(shè)備等資產(chǎn)的配置信息，并與配置基線進行比較，發(fā)現(xiàn)資產(chǎn)配置的脆弱性。較終，在發(fā)現(xiàn)脆弱性基礎(chǔ)上，維護所有資產(chǎn)脆弱性的生命周期信息，并分析可能的攻擊面和攻擊路徑。
3、感知安全事件
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全威脅的方式層出不窮。病毒、蠕蟲、后門和木馬等網(wǎng)絡(luò)攻擊方式越來越多，逐漸受到人們的廣泛關(guān)注。為了保證網(wǎng)絡(luò)系統(tǒng)的安全運行，網(wǎng)絡(luò)中廣泛使用了*墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)和安全審計系統(tǒng)等安全設(shè)備。這些安全設(shè)備會產(chǎn)生大量違反安全策略和安全規(guī)則的告警事件。但是，這些安全告警事件信息中含有大量的重復(fù)報警和誤報警，且各類安全事件之間分散獨立，缺乏聯(lián)系，無法給安全管理員提供在攻擊時序上和地域上真正有意義的指導(dǎo)。
實際中，大部分的安全告警事件并不是孤立產(chǎn)生的，它們之間存在一定的時序或因果聯(lián)系。結(jié)合安全告警事件的運行環(huán)境，對原來相對孤立的低層網(wǎng)絡(luò)安全事件數(shù)據(jù)集進行關(guān)聯(lián)整合，并通過過濾、聚合等手段去偽存真，發(fā)掘隱藏在這些數(shù)據(jù)之后的事件之間的真實聯(lián)系，確定事件的時間、地點、人物、起因、經(jīng)過和結(jié)果。
4、感知網(wǎng)絡(luò)威脅
隨著技術(shù)的不斷進步，網(wǎng)絡(luò)攻擊行為逐漸呈現(xiàn)分布化、遠程化與虛擬化等趨勢。傳統(tǒng)基于對攻擊行為進行特征識別與比對的威脅感知和甄別機制，受到了來自新型攻擊手法的巨大挑戰(zhàn)。層出不窮的各類高危漏洞、0Day漏洞，使攻擊特征庫的及時較新與長期維護面臨巨大困難[4]。此外，傳統(tǒng)的威脅檢測手段在應(yīng)對APT攻擊時顯得力不從心，因為傳統(tǒng)的檢測手段主要針對已知的威脅，對未知的漏洞利用、木馬程序、攻擊手法無法進行檢測和定位。
面對層出不窮的網(wǎng)絡(luò)攻擊和新的網(wǎng)絡(luò)安全形勢，感知網(wǎng)絡(luò)威脅的方法可以概括為“知己”和“知彼”兩個方面?！爸骸狈矫媸遣杉瘍?nèi)部網(wǎng)絡(luò)流量數(shù)據(jù)、日志數(shù)據(jù)和安全數(shù)據(jù)等，進行基于大數(shù)據(jù)分析、人工智能技術(shù)的異常行為檢測，發(fā)現(xiàn)隱藏在海量數(shù)據(jù)中的網(wǎng)絡(luò)異常行為；“知彼”方面是通過監(jiān)測、交換和購買等各種方式，搜集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網(wǎng)絡(luò)或者主機特征、攻擊工具、攻擊戰(zhàn)技術(shù)、攻擊組織等網(wǎng)絡(luò)威脅情報數(shù)據(jù)，用于支撐安全運行維護、安全檢測分析和安全運營管理。
5、感知網(wǎng)絡(luò)攻擊
在網(wǎng)絡(luò)攻擊的一次迭代過程中，一般分為情報收集、目標(biāo)掃描、實施攻擊、維持訪問和擦除痕跡5個階段[5]。感知網(wǎng)絡(luò)攻擊是持續(xù)不斷地收集當(dāng)前網(wǎng)絡(luò)中的攻防對抗數(shù)據(jù)。一方面實時展現(xiàn)當(dāng)前網(wǎng)絡(luò)中的攻防對抗實況，深入挖掘各種攻擊行為，如端口掃描、口令猜測、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、IP地址欺騙以及會話劫持等；另一方面，借助網(wǎng)絡(luò)異常行為檢測和歷史攻擊信息，分析潛藏的高危攻擊行為和未知威脅，并協(xié)助安全分析師抽取高**的威脅情報。
6、感知安全風(fēng)險
網(wǎng)絡(luò)安全風(fēng)險感知是在感知網(wǎng)絡(luò)資產(chǎn)、脆弱性、安全事件、安全威脅和安全攻擊的基礎(chǔ)上，進一步進行數(shù)據(jù)融合分析，建立全網(wǎng)的安全風(fēng)險指標(biāo)體系和風(fēng)險評估模型，從抽象的高度來評估當(dāng)前網(wǎng)絡(luò)的整體安全風(fēng)險。風(fēng)險評估可采用定量與定性相結(jié)合的綜合評估方法。層次分析法（AHP）是一種典型的評估方法，是一種定性與定量相結(jié)合的多目標(biāo)決策分析方法。這一方法的**是將決策者的經(jīng)驗判斷予以量化，從而為決策者提供定量形式的決策依據(jù)。
二、安全態(tài)勢感知裝置的方法
1、微觀層面態(tài)勢感知
這里所指的微觀層面，是針對具體企業(yè)或**的信息網(wǎng)絡(luò)而言的。作為網(wǎng)絡(luò)安全的具體**對象，企業(yè)信息網(wǎng)絡(luò)態(tài)勢感知的目的是詳細掌握企業(yè)網(wǎng)絡(luò)資產(chǎn)、脆弱性、告警事件、威脅、攻擊和風(fēng)險，并進行應(yīng)急響應(yīng)、調(diào)查分析等閉環(huán)處置。具體方法是盡可能全面采集信息網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，包括網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、安全設(shè)備數(shù)據(jù)、主機設(shè)備數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)以及應(yīng)用系統(tǒng)和中間件數(shù)據(jù)，融合威脅情報進行基于大數(shù)據(jù)平臺的安全管理與安全分析，實現(xiàn)資產(chǎn)管理、漏洞管理、事件管理、威脅告警、調(diào)查分析和應(yīng)急響應(yīng)等業(yè)務(wù)功能，為安全運營（管理、分析、響應(yīng)）團隊提供技術(shù)支撐。
微觀層面的網(wǎng)絡(luò)安全態(tài)勢感知平臺的部署方式可根據(jù)信息網(wǎng)絡(luò)的規(guī)模采用集中式部署（適用于中小企業(yè)信息網(wǎng)絡(luò)），或者分布采集、集中運營管理的部署方式。
對于中小型企業(yè)，可以采用集中部署的方式，在中心集中部署采集器集群；對于*型企業(yè)，則采用分布式采集部署方式。
2、中觀層面態(tài)勢感知
這里所指的中觀層面，是針對具有多個微觀管理域職能的企業(yè)集團或行業(yè)主管部門而言的。作為企業(yè)集團或行業(yè)主管部門，既有自身信息網(wǎng)絡(luò)安全**的職責(zé)，也有下級網(wǎng)絡(luò)安全監(jiān)管職責(zé)，其網(wǎng)絡(luò)安全態(tài)勢感知平臺應(yīng)該是一個分級分域的架構(gòu)，其功能架構(gòu)與微觀層面態(tài)勢感知平臺類似。但是，上級平臺除具有微觀態(tài)勢感知的全部功能外，需要對匯聚的下級平臺態(tài)勢信息進行統(tǒng)計分析和關(guān)聯(lián)分析，并向下級平臺預(yù)警等。
3、宏觀層面態(tài)勢感知
這里所指的宏觀層面，是針對**監(jiān)管機構(gòu)而言的，關(guān)注的重點是管轄范圍內(nèi)的宏觀網(wǎng)絡(luò)安全態(tài)勢。宏觀網(wǎng)絡(luò)安全態(tài)勢感知需要匯聚轄區(qū)內(nèi)中觀態(tài)勢感知平臺個獨立的微觀態(tài)勢感知平臺的態(tài)勢信息、重要事件信息，同時結(jié)合互聯(lián)網(wǎng)大范圍監(jiān)測的DDoS攻擊態(tài)勢、WEB攻擊態(tài)勢、僵木蠕態(tài)勢以及第三方網(wǎng)絡(luò)威脅情報中心的情報信息，分析、研判轄區(qū)內(nèi)宏觀網(wǎng)絡(luò)安全態(tài)勢，針對重大、特別重大網(wǎng)絡(luò)安全事件進行預(yù)警通報和應(yīng)急指揮。




推薦閱讀： OSN1500 ZXMPS330


深圳市智恒金瑞科技有限公司專注于調(diào)度數(shù)據(jù)網(wǎng),二次安防設(shè)備,在線安全監(jiān)測裝置,OSN1500等

• 詞條

  詞條說明

• 中信ZXMPS385是什么設(shè)備

  我公司是一家專業(yè)從事中興各系列產(chǎn)品板件及整套設(shè)備的銷售與安裝，包括中興波分M900 M820 M721 8700,中興PTN 6500-8 -16 -32，中興SDH光傳輸設(shè)備S200，中興ZXMP S325，中興ZXMP S330，中興ZXMP S385以及中興PCM接入設(shè)備BX10等各設(shè)備可配置的單板電纜。公司擁有一批專業(yè)工程師，可負(fù)責(zé)各交換網(wǎng)絡(luò)的設(shè)計，產(chǎn)品的安裝，調(diào)試，維護，培訓(xùn)等項目，公司

• osn6800是什么

  OSN1500智能光傳輸體系是承繼了MSTP技能的全部特色，與傳統(tǒng)SDH，osn6800功能、MSTP網(wǎng)絡(luò)保持兼容，融SDH、PDH、Ethe、WDM、ATM、ESCON、FC/FICON、DVB-ASI(DigitalVideoBroadcast-AsynchronousSerialerface)、RPR等技能為一體的新一代集成型(MSTP)，首要應(yīng)用在城域網(wǎng)絡(luò)中的接入層，為現(xiàn)有SDH設(shè)備向智能

• ZXMP S325單板OL16有什么功能?

  中興ZXMPS325是光傳輸通訊設(shè)備的一種，中興ZXMPS325是**上廣泛運用的通訊設(shè)備，為確保中興ZXMPS325產(chǎn)品的質(zhì)量，我司自己提供產(chǎn)品以及會有良好的后期維護服務(wù)。產(chǎn)品優(yōu)勢中興ZXMPS325通訊設(shè)備在交通、電力、水利、教育、鐵路、環(huán)藝、餐飲等行業(yè)中興ZXMPS325都被廣泛運用。中興ZXMPS325是通訊設(shè)備中的重要產(chǎn)品,中興ZXMPS325也是重要模塊，是信息接入與輸出的樞紐。在廣大

• 如何理解電力調(diào)度數(shù)據(jù)網(wǎng)雙平面？

  兩個平面可以理解為兩套獨立的數(shù)據(jù)網(wǎng)，根據(jù)不同的地方的規(guī)定，分別與地調(diào)和省調(diào)連接。比如一平面省調(diào)二平面地調(diào)，地調(diào)主站只需要接二平面，省調(diào)主站兩個平面都需要接。也有的地方兩個平面和省調(diào)地調(diào)都要接。也有的地方省調(diào)只接省調(diào)的平面，地調(diào)反而要接兩個平面。兩個平面屬于調(diào)度端和廠站端的中間的通訊通道。雙平面是通過地調(diào)及以上的調(diào)度端路由去匯聚起來的。通過不同等級的路由器，進行數(shù)據(jù)劃分傳輸，較終把數(shù)據(jù)全部匯集到兩個