网络犯罪和其他恶意活动的增加正在促使企业部署比以往任何时候都更多的安全控制以及收集更多的数据。现在,企业开始将大数据分析技术应用到安全监控中,试图通过范围更广更深入的分析来保护宝贵的公司资源。大数据安全分析技术部分利用了大数据的可扩展性,并结合了高级分析和安全事件与事故管理系统(SIEM)。
大数据安全分析适合很多用例,但并不适合所有用例。例如,我们应该考虑一下检测和阻止高级持续性威胁技术面临的挑战。使用这些技术的攻击者可能会采用慢节奏、低能见度的攻击模式来逃避检测,而传统的日志记录和监控技术可能无法检测到这种攻击,因为这种攻击的各个步骤可能在单独的设备执行,跨越很长的时间周期,并且看起来似乎没有关联。扫描日志和网络流量中的可疑活动有时候可能会错过攻击者杀伤链的关键部分,因为它们可能与正常活动的差别不大。而避免遗漏数据的方法之一是尽可能多地收集数据,而这正是大数据安全分析平台中使用的方法。
顾名思义,这种安全分析方法利用了大数据工具和技术,这些工具和技术可收集、分析和管理高速生成的大量数据。这些相同的技术还被用于提高各种产品的效率,从针对流媒体用户的电影推荐系统,到分析车辆性能特性来优化运输效率等。但应用到信息安全领域时,它们也同样有用。
在评估大数据安全分析平台时,一定要考虑以下五个因素,这五个因素是充分发挥大数据分析优势的关键:
• 统一数据管理平台;
• 支持多种数据类型,包括日志、漏洞和流量;
• 可扩展的数据获取;
• 信息安全专用分析工具;
• 合规性报告
总之,这些功能可提供广泛的功能来收集高速生成的大量数据,并且快速分析这些数据,让信息安全专业人员可有效地响应攻击。
第1个因素:统一数据管理平台
统一数据管理平台是大数据安全分析系统的基础;数据管理平台负责存储和查询企业数据。这听起来像是众所周知的已经解决的问题,而不应该是一个重要的特性,但它确实很重要。由于关系数据库无法像分布式NoSQL数据库(例如Cassandra和Accumulo)那样经济高效地扩展,处理大量数据通常需要分布式数据库。不过,NoSQL数据库的可扩展性也有自己的缺点。例如,我们很难部署数据库某些功能的分布式版本,如ACID事务等。
大数据安全分析产品下的数据管理平台需要平衡数据管理功能与成本及可扩展性。该数据库应该能够实时写入新数据,而不会阻止写入。同时,查询应该快速执行以支持对入站安全数据的实时分析。
统一数据管理平台的另一个重要方面是数据集成。
第2个因素:支持多种数据类型
我们通常会从数量、速度和种类来描述大数据。其中安全事件数据的多样性给数据集成带来了很多挑战。
这些事件数据是按不同的细粒度级别来收集。例如,网络数据包是低级别、细粒度数据,而有关管理员密码变更的日志条目则为粗粒度数据。尽管存在明显区别,它们还是可以关联在一起。例如网络数据包可以捕捉有关攻击者到达目标 服务器 采用的方法的数据,在攻击者获取目标服务器访问权限后,就可以更改管理员密码。
第3个因素:可扩展的数据获取
服务器、端点、网络和其他基础设施组件处于不断变化的状态。很多这些状态变化记录了有用的信息,这些信息应该发送到大数据安全分析平台。假设网络有足够的带宽,那么,最大的风险就是安全分析平台的数据获取组件无法应对入站数据。如果是这样的话,数据可能会丢失,而大数据安全分析平台则会失去价值。
系统可以通过对消息队列中排队数据维持高写入吞吐量,以适应可扩展的数据获取。同时,有些数据库专门用于支持高容量写入,它们采用仅允许附加的方式来写入,数据被附加在日志数据的后面,而不是写入到磁盘的任意块,这可减少了随机写入到磁盘而带来的延迟。或者,数据管理系统可以维持一个队列作为缓冲器,在数据写入到磁盘时保存数据。如果消息激增或者硬件故障减缓写入操作,数据可积累在队列中,直到数据库可以清除写入的积压。
第4个因素:安全分析工具
Hadoop和Spark等大数据平台是通用工具。虽然它们可以有效构建安全工具,但它们本身并不是安全分析工具。分析工具应该可以扩展来满足企业基础设施中生成的数据,这样来看,Hadoop和Spark等工具满足这个标准。此外,安全分析工具应该考虑不同数据类型之间的关系,例如用户、服务器和网络等。
分析师应该能够在抽象层面查询事件数据。例如,分析师应该能够查询使用特定服务器和应用的用户之间的关联,以及这些设备之间的关联。这种查询需要更多图形分析工具,而不是传统数据库中使用的行和列的查询。
第5个因素:合规性报告
合规报告不再是“最好满足”的要求,而是必须满足的要求。很多因合规目的报告的数据元素都涉及安全最佳做法。即使企业不需要维持合规报告,这些报告也可以为企业提供很好的内部监督。
当企业需要提供合规报告,企业需要审查各种大数据安全平台中的报告制度,以确保满足企业的业务需求。
有效部署大数据安全分析平台
大数据安全分析利用了大数据平台的可扩展性,以及安全分析和SIEM工具等的分析功能。对于企业而言,重要的是认识到这两者的特性,以及有效部署大数据安全分析平台所需的五个因素。简单地使用“安全”来重新命名大数据平台或者坚信SIEM可以处理大数据(尽管它并不是为此目的而构建)并不是真正的大数据安全分析平台。
Java中Set、List、Map集合类(接口)的特点及区别。分别有哪些常用实现类。
list与Set、Map区别及适用场景1、List,Set都是继承自Collection接口,Map则不是2、List特点:元素有放入顺序,元素可重复 ,Set特点:元素无放入顺序,元素不可重复,重复元素会覆盖掉,(注意:元素虽然无放入顺序,但是元素在set中的位置是有该元素的HashCode决定的,其位置其实是固定的,加入Set 的Object必须定义equals()方法 ,另外list支持for循环,也就是通过下标来遍历,也可以用迭代器,但是set只能用迭代,因为他无序,无法用下标来取得想要的值。 ) 和List对比: Set:检索元素效率低下,删除和插入效率高,插入和删除不会引起元素位置改变。 List:和数组类似,List可以动态增长,查找元素效率高,插入删除元素效率低,因为会引起其他元素位置改变。 适合储存键值对的数据5.线程安全集合类与非线程安全集合类 LinkedList、ArrayList、HashSet是非线程安全的,Vector是线程安全的;HashMap是非线程安全的,HashTable是线程安全的;StringBuilder是非线程安全的,StringBuffer是线程安全的。 下面是具体的使用介绍:ArrayList与LinkedList的区别和适用场景Arraylist:优点:ArrayList是实现了基于动态数组的数据结构,因为地址连续,一旦数据存储好了,查询操作效率会比较高(在内存里是连着放的)。 缺点:因为地址连续, ArrayList要移动数据,所以插入和删除操作效率比较低。 LinkedList:优点:LinkedList基于链表的数据结构,地址是任意的,所以在开辟内存空间的时候不需要等一个连续的地址,对于新增和删除操作add和remove,LinedList比较占优势。 LinkedList 适用于要头尾操作或插入指定位置的场景缺点:因为LinkedList要移动指针,所以查询操作性能比较低。 适用场景分析:当需要对数据进行对此访问的情况下选用ArrayList,当需要对数据进行多次增加删除修改时采用LinkedList。 ArrayList与Vector的区别和适用场景ArrayList有三个构造方法:Java代码public ArrayList(int initialCapacity)//构造一个具有指定初始容量的空列表。 public ArrayList()//构造一个初始容量为10的空列表。 public ArrayList(Collection c)//构造一个包含指定 collection 的元素的列表 Vector有四个构造方法:Java代码public Vector()//使用指定的初始容量和等于零的容量增量构造一个空向量。 public Vector(int initialCapacity)//构造一个空向量,使其内部数据数组的大小,其标准容量增量为零。 public Vector(Collection c)//构造一个包含指定 collection 中的元素的向量public Vector(int initialCapacity,int capacityIncrement)//使用指定的初始容量和容量增量构造一个空的向量ArrayList和Vector都是用数组实现的,主要有这么三个区别是多线程安全的,线程安全就是说多线程访问同一代码,不会产生不确定的结果。 而ArrayList不是,这个可以从源码中看出,Vector类中的方法很多有synchronized进行修饰,这样就导致了Vector在效率上无法与ArrayList相比;2.两个都是采用的线性连续空间存储元素,但是当空间不足的时候,两个类的增加方式是不同。 可以设置增长因子,而ArrayList不可以。 是一种老的动态数组,是线程同步的,效率很低,一般不赞成使用。 适用场景分析是线程同步的,所以它也是线程安全的,而ArrayList是线程异步的,是不安全的。 如果不考虑到线程的安全因素,一般用ArrayList效率比较高。 2.如果集合中的元素的数目大于目前集合数组的长度时,在集合中使用数据量比较大的数据,用Vector有一定的优势。 HashSet与Treeset的适用场景 是二差树(红黑树的树据结构)实现的,Treeset中的数据是自动排好序的,不允许放入null值 是哈希表实现的,HashSet中的数据是无序的,可以放入null,但只能放入一个null,两者中的值都不能重复,就如数据库中唯一约束 要求放入的对象必须实现HashCode()方法,放入的对象,是以hashcode码作为标识的,而具有相同内容的String对象,hashcode是一样,所以放入的内容不能重复。 但是同一个类的对象可以放入不同的实例适用场景分析:HashSet是基于Hash算法实现的,其性能通常都优于TreeSet。 为快速查找而设计的Set,我们通常都应该使用HashSet,在我们需要排序的功能时,我们才使用TreeSet。 HashMap与TreeMap、HashTable的区别及适用场景HashMap 非线程安全HashMap:基于哈希表实现。 使用HashMap要求添加的键类明确定义了hashCode()和equals()[可以重写hashCode()和equals()],为了优化HashMap空间的使用,您可以调优初始容量和负载因子。 TreeMap:非线程安全基于红黑树实现。 TreeMap没有调优选项,因为该树总处于平衡状态。 适用场景分析:HashMap和HashTable:HashMap去掉了HashTable的contains方法,但是加上了containsValue()和containsKey()方法。 HashTable同步的,而HashMap是非同步的,效率上比HashTable要高。 HashMap允许空键值,而HashTable不允许。 HashMap:适用于Map中插入、删除和定位元素。 Treemap:适用于按自然顺序或自定义顺序遍历键(key)。
QQ邮箱里的邮件(电子表格和文档)用快车下载下来以后打不开(即使打开也全是英文字母没表格)怎么回事
宏是Word 里一个非常有用的工具,但也是Word 的安全漏洞之一。 有一些恶意的人利用宏制造宏病毒,给别人带来麻烦。 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。 一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。 从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 1 宏病毒宏病毒已经成为发展最快和传播最迅速的病毒。 美国国际计算机安全协会ICSA 的《ICSA 1998 病毒流行调查报告》表明宏病毒独占 1998 年十大病毒感染事件的72%,在十大病毒中占了五席交椅: WM/Concept、WM/Cap、WM/Wazzu、WM/Npad 和XM/Laroux。 根据 DataFellow 公司每天特征码升级的F-Macro 所检测到的宏病毒数目,至1998 年12 月达到了3,332 个,而在1997 年12 月才是1,821 个,增长率为83.0%。 而且F-Macro 并不能检测到所有宏病毒。 在1998 年12 月出现了Word Class Object 的宏病毒,是由VicodinES 编写的。 1.1 宏病毒许多应用程序都允许在用户的数据库中包含一些宏,随着应用软件的进步,宏语言的功能也越来越强大,其中微软的Word Visual Basic for Application(VBA)已经成为应用软件宏语言的标准。 利用宏语言,可以实现几乎所有的操作,还可以实现一些应用软件原来没有的功能。 每个模板或数据文件中,都可以包含宏命令。 有不少应用软件允许用户利用宏修改软件菜单的功能,并可以将某一个宏加入到菜单中或设置成自动运行的命令。 利用这个功能,宏就可以修改软件本身的功能,从而将软件本身修改为病毒传播的源泉。 宏病毒就是利用Word VBA 进行编写的一些宏,这些宏可以自动运行,干扰用户工作,轻则降低工作效率,重则破坏文件,使用户遭受巨大损失。 一旦打开含有宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal 模板上。 从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 宏病毒成为传播最快的病毒,其原因有三个:第一,现在用户几乎对可执行文件病毒和引导区病毒已经有了比较一致的认识,对这些病毒的防治都有一定的经验,许多公司、企业对可执行文件和磁盘的交换都有严格的规定。 但对宏病毒的危害还没有足够的认识,而现在主要的工作就是交换数字文件,因此使宏病毒得到迅速传播。 第二,现在的查病毒、防病毒软件主要是针对可执行文件和磁盘引导区设计的,一般都假定数据文件中不会存在病毒,而人们相信查病毒软件的结论,从而使隐藏在数据文件中的病毒成为漏网之鱼。 第三,CD-ROM 和Interenet 使病毒的传播速度大大加快。 如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒;如果Word 系统中的模板包含了宏病毒,我们称Word 系统感染了宏病毒。 Word 2000 无法扫描软盘、硬盘或网络驱动器上的宏病毒(要得到这种保护,需要购买和安装专门的防病毒软件)。 但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息。 这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏。 如果您并不希望在文档中包含宏,或者不了解文档的确切来源。 例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的Internet 节点。 在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择。 Word 软件包安装后,系统中包含有关于宏病毒防护的选项,其默认状态是允许复选框。 如果愿意,可以终止系统对文档宏病毒的检查。 当Word 显示宏病毒警告信息时,清除复选框。 或者关闭宏检查:单击菜单中的命令,再从级联菜单中选择命令,出现对话框,选择选项卡,将安全级别设为。 不过一般建议用户不要取消宏病毒防护功能,否则会失去这道防护宏病毒的天然屏障。 1.2 宏病毒示例为了更好地理解宏病毒, 我们仔细分析一下宏病毒 W97M/Ethan.A。 下面是该病毒的代码。 Private Sub Document_Close()On Er请采纳评分下
我的电脑打不开
可能的原因:电脑无法正常启动的原因多种多样。 弄明白问题是由硬件还是软件引起有助于解决问题。 1、首先:检查所有的线缆(包括电源插头),以确保所有设备都是正确而且紧固地连接在一起。 2、接下来,检查电源是否打开。 聆听电源风扇的声音,硬盘是否正常运转。 如果什么也没听见, 你可能需要更换电源设备。 为了确定这一点,可以考虑使用电源测试设备,比如PC Power and Cooling去测试电源输出。 当然了,在把电脑大卸之前,你应该先检查房间里的电源短路器,并试试看能否启动其它带电设备以确保电路没有问题。 3、如果电源供应正常,但屏幕上仍然是一片漆黑,试着给电脑另外连接一台显示器(你可以借一 台如果有必要的话),以确定不是显示器的问题。 如果显示器工作正常,换一根视频连接线缆看看,还是没有任何图像?如果此时硬盘能正常运转,很有可能显卡出 了故障。 要更换新的主板,请参看我们的文章“如果更换显卡”,或者使用主板的整合显卡,如果主板有这个功能的话。 当机箱打开后,检查一番电源启动后所有的 风扇是否正常运转,电脑也可能遇上了过热的问题。 4、如果你的显示器工作正常,但硬盘没有启动并且显示屏不没有任何图像(或者你能看到图像但 电脑无法通过自检启动),考虑重新设置一下CMOS。 关闭电脑,拔掉电源,然后戴上防静电保护手套等,从主板上取下电池。 然后等上大约五分钟,查阅你的 PC用户手册或者访问生产商的网站寻找关于如何重置CMOS设置的信息。 设置成功后重启电脑看看问题是否解决了。 5、如果电脑依旧无法启动,罪魁祸首可能是坏掉的内存条。 每次取下一条内存(或者用已知的正常内存替代),并在每次更换后重启。 此外,还可以在另一台电脑上创建一张免费的MemTest86启动盘,然后用它去甄选内存条。 6、如果上述方法都不奏效,有可能是主板或者CPU坏掉了,需要进行更换(所需费用为80美 元至300美元甚至更多)。 然而此时电脑上的数据仍有可能是完好的,只要把硬盘连接至其它PC主机,你可以把数据都取出来。 可以考虑去电脑修理店请人修复 电脑,这比换一台新的电脑要划算一些。 如果你用的是笔记本电脑,修理店可能是你最好也是惟一的选择。 若是操作系统故障该怎么办?与上述可怕的电脑硬件故障相比,你碰上软件问题的机率要大得多,例如Windows无法启动或者在启动时抛锚。 接下来告诉您如何应对操作系统问题。 1、以安全模式启动。 在Windows启动时按下某个指定的键进入启动菜单,并从中选择安全 模式。 通常,当你选择安全模式后Windows会尝试进行修复,然后关机再正常地启动。 如果你安装了Windows Vista,可以试一下从启动菜单里选择“修复你的电脑”(如果你的启动菜单项里没有此选项,去Vista安装光盘上找找看)。 你将有许多选择去修复电 脑,“启动修复”绝对值得一试。 2、还是不能正常启动?试试启动菜单里的“最后一次正确配置”,如果你近期更换过硬件或者驱 动程序这个选项会特别有用。 若成功启动了电脑,请换下新安装的硬件(可能有兼容问题),同时在设备管理器里“返回驱动程序”。 右键单击“我的电脑” (Vista里为“计算机”),选择“硬件”(Windows XP系统),然后选择“设备管理器”。 3、如果你能够以完全模式启动电脑,但在普通模式下却无法进入系统,可以试试用系统还原把电 脑设置回溯至上一次正常工作时的状态(Windows XP里选择“程序”,“附件”,“系统工具”;若是Vista,单击“开始”,输入“system”,然后从程序列表中选择“系统还原”)。 通过自动更新 下载更新文件并安装后电脑就有可能变得不稳定,你可以更改默认设置来避免此类事件发生。 此外,你还应该在安全模式下运行反病毒及反间谍软件。 4、如果电脑仍无法启动,很有可能Windows系统出了大问题。 试着从应急光盘如Knoppix disc或者应急启动光盘启动,它们可以帮助你查明电脑到底还能启动与否,并从硬盘上拷出紧要的文件。 5、若此时电脑仍无法启动,重装系统或许是惟一可行的方法了。 使用标准Windows安装光盘即可,同时硬盘上的数据都能得以保存。 有些PC生产商还提供了修复光盘,可以在保证数据安全的情况下修复系统,查阅你的用户手册看看是否有相关功能。 避免问题重现:电脑经常毫无征兆地出现故障,你可以:启用系统还原,保留好系统修复光盘,备 份常用的程序便于重装系统时使用,经常备份系统等。 使用磁盘镜像软件,比如售价50美元的Acronis True Image 10或者是70美元的诺顿Ghost 10,它们可以让系统与数据恢复变得更简单。 而且如果可以的话,拥有一台备用电脑也是个好主意,当你常用的电脑出故障时你可以使用备用电脑
发表评论