无码午夜人妻一区二区三区不卡视频 ,一本色道久久综合亚洲精品不卡

什么是態(tài)勢(shì)感知：態(tài)勢(shì)感知是一種基于環(huán)境的、動(dòng)態(tài)、整體地洞悉安全風(fēng)險(xiǎn)的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動(dòng)，是安全能力的落地。態(tài)勢(shì)感知的概念最早在軍事領(lǐng)域被提出，覆蓋感知、理解和預(yù)測(cè)三個(gè)層次。并隨著網(wǎng)絡(luò)的興起而升級(jí)為“網(wǎng)絡(luò)態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA）”。旨在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè)，進(jìn)而進(jìn)行決策與行動(dòng)。

流量分析？日志分析？安全態(tài)勢(shì)感知的建設(shè)模式該怎么選？

“態(tài)勢(shì)感知”并不是一個(gè)新名詞，最早是在軍事領(lǐng)域被提出并應(yīng)用，主要體現(xiàn)在對(duì)現(xiàn)有狀態(tài)的感知理解以及對(duì)未來(lái)趨勢(shì)的預(yù)警能力。而如今，伴隨著網(wǎng)絡(luò)安全問(wèn)題重視程度日益提升，在網(wǎng)絡(luò)領(lǐng)域升級(jí)為“網(wǎng)絡(luò)安全態(tài)勢(shì)感知“，旨在對(duì)網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、分析、呈現(xiàn)并進(jìn)行趨勢(shì)的預(yù)測(cè)。

本文主要基于目前業(yè)界主流的兩大安全態(tài)勢(shì)感知系統(tǒng)安全要素獲取維度，進(jìn)行綜合對(duì)比分析，旨在為安全態(tài)勢(shì)感知系統(tǒng)的建設(shè)尋找更適合的建設(shè)模式。

縱觀業(yè)界安全態(tài)勢(shì)感知平臺(tái)建設(shè)模式，態(tài)勢(shì)感知平臺(tái)安全要素獲取維度分為兩個(gè)大類：流量分析和日志采集分析，同時(shí)再結(jié)合威脅情報(bào)、智能分析等技術(shù)實(shí)現(xiàn)對(duì)整網(wǎng)安全問(wèn)題的分析、定位以及安全狀態(tài)的可視化度量。而對(duì)于流量分析和日志分析兩大維度的差異點(diǎn)以及可替代性分析如下：

一、流量分析

本模式主要通過(guò)在網(wǎng)絡(luò)的關(guān)鍵路徑，如服務(wù)器區(qū)、核心區(qū)、出口區(qū)旁路部署探針設(shè)備（一般均為軟硬件一體設(shè)備），對(duì)網(wǎng)絡(luò)流量中的異常安全事件進(jìn)行解析，包括攻擊流量特征、威脅文件傳輸?shù)?，然后把結(jié)果實(shí)時(shí)同步到上端分析平臺(tái)，進(jìn)行深度關(guān)聯(lián)分析及問(wèn)題定位呈現(xiàn)。

優(yōu)勢(shì)：

不需要現(xiàn)網(wǎng)其他設(shè)備對(duì)接配合，可實(shí)現(xiàn)快速部署，可復(fù)制性強(qiáng)，且借助原始流量關(guān)鍵信息的還原、存儲(chǔ)，可以提供更多的原始數(shù)據(jù)回溯支持，便于深度分析。

劣勢(shì)：

不能整合現(xiàn)網(wǎng)已有網(wǎng)絡(luò)組件的安全信息，包括已經(jīng)部署的大量安全設(shè)備，分析能力受限于一家廠商的研發(fā)水平，不能集各家所長(zhǎng)，同時(shí)對(duì)于需要日志強(qiáng)相關(guān)的分析模型無(wú)法建立，例如本地異常登錄、NAT溯源等等，這些模型必須依靠日志的強(qiáng)支撐。

二、日志分析

本模式主要通過(guò)采集現(xiàn)網(wǎng)網(wǎng)絡(luò)組件的日志，包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、甚至業(yè)務(wù)系統(tǒng)等，進(jìn)行統(tǒng)一日志標(biāo)準(zhǔn)處理后，對(duì)安全問(wèn)題進(jìn)行關(guān)聯(lián)分析。廣義上說(shuō)，其實(shí)所對(duì)接的安全設(shè)備等也屬于平臺(tái)的感知探針之一。

優(yōu)勢(shì)：

能充分整合全網(wǎng)安全相關(guān)信息，采集分析維度更全面，依據(jù)各安全設(shè)備的分析日志結(jié)果，可以集各家所長(zhǎng)，不受限于一家廠商的分析能力。同時(shí)對(duì)日志的采集，也天然滿足了網(wǎng)絡(luò)安全法、等保日志審計(jì)的合規(guī)要求，這個(gè)是流量分析所不具備的。

劣勢(shì)：

由于每個(gè)用戶現(xiàn)場(chǎng)設(shè)備廠商、類型差異非常大，所以可采集到的信息不可控，分析模型的復(fù)制性受限，對(duì)接優(yōu)化周期較長(zhǎng)，同時(shí)對(duì)安全問(wèn)題回溯，由于沒(méi)有原始流量數(shù)據(jù)支撐，深度排查可能受限。

最合適的態(tài)勢(shì)感知建設(shè)模式建議：

只有將“日志維度+流量維度”有效融合，同時(shí)結(jié)合威脅情報(bào)、智能分析的建設(shè)模式才是后續(xù)安全態(tài)勢(shì)感知系統(tǒng)發(fā)展的方向。此模式可以很好地發(fā)揮日志分析全面性、異構(gòu)性、合規(guī)性優(yōu)勢(shì)，同時(shí)配合流量分析維度，解決威脅深度分析、回溯支持、快速部署等問(wèn)題?；谝陨侠砟睿J捷網(wǎng)絡(luò)在2016年推出了安全態(tài)勢(shì)感知系統(tǒng)RG-BDS大數(shù)據(jù)安全平臺(tái)。

以某實(shí)際用戶案例為例，用戶部署了基于流量分析的態(tài)勢(shì)感知方案，通過(guò)探針流量分析確實(shí)發(fā)現(xiàn)下聯(lián)單位存在勒索病毒異常主機(jī)，但下聯(lián)單位都是通過(guò)NAT地址轉(zhuǎn)換后接入，由于沒(méi)有NAT日志的結(jié)合，異常主機(jī)無(wú)法溯源，問(wèn)題無(wú)法得到有效閉環(huán)。

目前業(yè)界將日志和流量維度有效融合的方案還十分欠缺，大部分為日志和流量取其一，或者雖包含有兩個(gè)維度，但仍然割裂狀態(tài)，分屬不同模塊。銳捷安全態(tài)勢(shì)感知方案早在上市時(shí)就已經(jīng)完成了日志維度的全面分析，并于2018年將流量分析納入安全態(tài)勢(shì)感知產(chǎn)品體系，并開(kāi)發(fā)上線了專業(yè)流量探針，真正將“日志+流量”兩大維度有效融合，整合全網(wǎng)安全監(jiān)測(cè)防護(hù)資源，進(jìn)行更全面、更準(zhǔn)確的安全分析。

三、流量分析是否可以替代日志分析

有用戶和廠商持有疑慮或觀點(diǎn)：由于網(wǎng)絡(luò)日志也是一種流量，因此流量探針也可以抓取到網(wǎng)絡(luò)中的日志，從而可以替代日志分析。但如果真正落地的用戶場(chǎng)景去深入分析，流量分析和日志分析是無(wú)法相互替代的，原因如下：

1. 雖然從協(xié)議層面，日志發(fā)送大部分采用SYSLOG非加密方式，通過(guò)流量探針理論上是可以解析出來(lái)所傳輸日志內(nèi)容，但實(shí)際項(xiàng)目部署角度，所有的網(wǎng)絡(luò)組件默認(rèn)都是不往外發(fā)送日志的，只有配置日志外發(fā)功能后，才有日志的流量產(chǎn)生。因此直接配置將日志外發(fā)到分析平臺(tái)最直接、最準(zhǔn)確的方式，而通過(guò)配置日志外發(fā)后再用流量探針從流量中抓取出來(lái)，本身就是不合理的方式，同時(shí)還會(huì)帶來(lái)原始日志還原度問(wèn)題。

2. 即使通過(guò)流量探針抓取日志，由于日志產(chǎn)生源眾多且高度分散，全網(wǎng)部署探針為了抓取日志，無(wú)論從建設(shè)成本和網(wǎng)絡(luò)運(yùn)維都不現(xiàn)實(shí)。

3. 網(wǎng)絡(luò)中不是所有的日志，都是主動(dòng)發(fā)送模式，例如很多業(yè)務(wù)日志、文件日志，是需要分析平臺(tái)主動(dòng)讀取日志，所以通過(guò)流量探針無(wú)法讀取到其日志數(shù)據(jù)。

另外需要強(qiáng)調(diào)的是，日志抓取并不是分析平臺(tái)的核心技術(shù)，考驗(yàn)一個(gè)平臺(tái)對(duì)日志的分析能力，最關(guān)鍵的是平臺(tái)對(duì)各類型日志的解析能力以及綜合關(guān)聯(lián)分析能力。

綜上所述，安全態(tài)勢(shì)感知平臺(tái)建設(shè)應(yīng)有效融合“日志+流量”兩大維度，相互發(fā)揮各自優(yōu)勢(shì)。實(shí)際應(yīng)用中也可考慮采用分階段建設(shè)模式，如先將日志維度納入，在建設(shè)態(tài)勢(shì)感知平臺(tái)的同時(shí)滿足等保、安全法合規(guī)需求，再分階段納入流量分析維度進(jìn)行安全分析能力的進(jìn)一步完善。

027-8771-8812