本文主要基于目前业界主流的两大安全态势感知系统安全要素获取维度, 进行综合对比分析,旨在为安全态势感知系统的建设寻找更适合的建设模式。
本模式主要通过在网络的关键路径,如服务器区、核心区、出口区旁路部署探针设备(一般均为软硬件一体设备),对网络流量中的异常安全事件进行解析,包括攻击流量特征、威胁文件传输等,然后把结果实时同步到上端分析平台,进行深度关联分析及问题定位呈现。
不需要现网其他设备对接配合,可实现快速部署,可复制性强,且借助原始流量关键信息的还原、存储,可以提供更多的原始数据回溯支持,便于深度分析。
不能整合现网已有网络组件的安全信息,包括已经部署的大量安全设备,分析能力受限于一家厂商的研发水平,不能集各家所长,同时对于需要日志强相关的分析模型无法建立,例如本地异常登录、NAT溯源等等,这些模型必须依靠日志的强支撑。
本模式主要通过采集现网网络组件的日志,包括安全设备、网络设备、服务器、中间件、甚至业务系统等,进行统一日志标准处理后,对安全问题进行关联分析。广义上说,其实所对接的安全设备等也属于平台的感知探针之一。
能充分整合全网安全相关信息,采集分析维度更全面,依据各安全设备的分析日志结果,可以集各家所长,不受限于一家厂商的分析能力。同时对日志的采集,也天然满足了网络安全法、等保日志审计的合规要求,这个是流量分析所不具备的。
由于每个用户现场设备厂商、类型差异非常大,所以可采集到的信息不可控,分析模型的复制性受限,对接优化周期较长,同时对安全问题回溯,由于没有原始流量数据支撑,深度排查可能受限。
只有将“日志维度+流量维度”有效融合,同时结合威胁情报、智能分析的建设模式才是后续安全态势感知系统发展的方向。此模式可以很好地发挥日志分析全面性、异构性、合规性优势,同时配合流量分析维度,解决威胁深度分析、回溯支持、快速部署等问题。基于以上理念,锐捷网络在2016年推出了安全态势感知系统RG-BDS大数据安全平台。
三、流量分析是否可以替代日志分析
虽然从协议层面,日志发送大部分采用SYSLOG非加密方式,通过流量探针,理论上是可以解析出来所传输日志内容,但实际项目部署角度,所有的网络组件默认都是不往外发送日志的,只有配置日志外发功能后,才有日志的流量产生。因此直接配置将日志外发到分析平台最直接、最准确的方式,而通过配置日志外发后再用流量探针从流量中抓取出来,本身就是不合理的方式,同时还会带来原始日志还原度问题。
网络中不是所有的日志,都是主动发送模式,例如很多业务日志、文件日志,是需要分析平台主动读取日志,所以通过流量探针无法读取到其日志数据。
另外需要强调的是,日志抓取并不是分析平台的核心技术,考验一个平台对日志的分析能力,最关键的是平台对各类型日志的解析能力以及综合关联分析能力。
综上所述,安全态势感知平台建设应有效融合“日志+流量”两大维度,相互发挥各自优势。实际应用中也可考虑采用分阶段建设模式,如先将日志维度纳入,在建设态势感知平台的同时满足等保、安全法合规需求,再分阶段纳入流量分析维度进行安全分析能力的进一步完善。
分享文章:流量分析?日志分析?安全态势感知该怎么选?
分享链接:https://www.cdcxhl.com/news1/105151.html
成都网站建设公司_创新互联,为您提供电子商务、网站导航、企业建站、搜索引擎优化、ChatGPT、网站设计
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联