0x00、前言
企业安全建设一般伴随着安全业务需求而生,安全运营中心建设过程中,应急响应处置流程,在清除阶段,需要查找安全事件产生的根本原因并且提出和实施根治方案,这就对网络层数据的回溯提出个更高的要求。那么如何在公有云上和专有云建设一套行之有效的全流量分析系统呢?下面提出一些方法和大家探讨。
0x01、产品调研
在自己没有建立这套系统之前,需要做一下产品调研,看看别人家都是怎么做的,当然,要寻找到适合自己的企业的全流量解决方案,首先我们要带着以下几个问题去思考:
1.寻找到适合自己网络环境的元数据的存储方案,没有好的数据,你的安全运营团队无法展开调查。
2.你的网络入侵检测引擎是否能分析网络异常流量,减少网络回溯的次数
3.你建设的全流量系统最终能体现的安全能力是啥?如何使应急响应闭环。
1、针对网络层数据,我们到底要存储什么?
全流量安全建设一般分以下几个阶段:
第一阶段:Network flow,只存储五元组数据统计信息,大致对网络流量有一个概况了解。
第二阶段:Network IDS,通过基于内容的规则匹配,例如:使用ET Pro规则,存储安全告警事件,有基于规则安全引擎,可以发现简单的入侵事件。
第三阶段:Network Metadata,存储高保真的元数据统计数据,为安全事件调查回溯做准备。
第四阶段:PCAP,全量存储网络流量数据,在调查某些细微流量的时候,提供证据支持。
针对公有云环境,面对海量数据交换,如何更有效的存储元数据。
第一阶段,通过IDS / IPS引擎采集netflow->kafka->ElasticSearch(近期热数据)->hbase(长期冷数据)
第二阶段:通过IDS / IPS引擎采集规则匹配数据->kafka->ElasticSearch(近期热数据)
第三阶段:个人理解需要对可疑流量做行为分析,对攻击链分析(reconnaissance、
lateral movement、Command&Control 、Data exfiltration),
第四阶段:使用packetbeat进行解析(DNS、http)->kafka->spark(过一遍攻击发现、信息泄露、内部威胁源等算法)->hbase(长期冷数据),攻击回放的时候,通过自研的程序把数据从hbase中读取出来,进入到ElasticSearch中,通过kibana做查询。
2、异常流量分析,我们需要AI么?
作为IDS签名的补充,异常网络流量分析是需要结合使用机器学习的,这里调研了Darktrace:
Darktrace:
机器学习的难点:
1.没有任何两个网络是一样的,要求机器学习算法要在每一个网络中工作。
2.需要客户极少的配置和调整模型
3.需要团队人员有较高安全能力和数学技能
4.必须立刻体现价值,伴随着环境的变化,需要持续学习和适应
5.必须具有线性可伸缩性
那么,机器学习具体怎么判定威胁的呢?以下为判断流程:
无监督学习实现手段:本方法是用于检测计算机系统的网络威胁。该方法包括接收输入数据,从输入数据派生指标,利用异常模型分析指标,计算威胁可能性,最终威胁判定。
首先,人们已经认识到,基于已知确定的威胁规则来保护网络并不充分。因此,人们更需要的是可动态适应网络安全威胁变化的方法。
第一阶段:获取的元数据
1.我们通过netflow获取五元组以及传输数据大小。
2.通过pcap文件中解析出文件访问、SSL证书、认证成功失败的信息。
第二阶段:派生指标
从这些原始数据源中,可以导出大量指标以及每个指标产生时间序列数据。数据被分成单独的时间片(例如,观察到的数量可以每1秒计算一次,每10秒或每60秒),可以在稍后阶段组合,以便为所选内部大小的任何倍数提供更长的范围值。例如,如果选择的基础时间片长度为60秒,因此每个指标时间序列存储单个每60秒得到一个指标值,那么,60秒(120秒,180秒,600秒等)的固定倍数的任何新的时间序列数据都可以计算出准确度。
在能分析应用层协议的情况下,可以定义更多类型的时间序列指标:
1.网络设备每个时间间隔生成的DNS请求数,也可以是任何可定义的目标网络范围或总数。
2.SSH、LDAP、SMTP,POP或IMAP登录的数量或机器每个时间间隔生成的登录成功失败信息。
3.通过文件共享协议传输的数据,例如:SMB、SMB2、FTP等。
第三阶段:分析指标
线性贝叶斯体系自动确定多个时间序列数据的周期性,并且识别单一和多个时间序列数据,以防止恶意行为的发生。
探测器对第二级指标计进行分析。探测器是离散的数学模型针对不同的变量集与目标网络实现特定的数学方法。例如,HMM可能看起来特定于节点之间的分组的大小和传输时间。探针以层次结构提供,该层次结构是错误排列的模型金字塔。每个探测器或模型都有效地充当过滤器并将其输出传递到金字塔上方的另一个模型。金字塔的顶部是HyperCylinder,它是最终的威胁决策模型。低阶探测器各自监视不同的全局属性或特征软件说明网络和计算机。这些分支具有更高的内部计算功能,如分组速度和形态,端点文件系统值,以及TCP / IP协议定义的事件。每个探测器都是特定的,并且根据诸如HMM之类的内部数学模型来解决不同的环境因素。
第四阶段:计算威胁可能性
启发式是使用加权逻辑表达式的复杂链构建的,表现为正则表达式,其中运算时从数据测量/标记化探测器的输出和局部上下文信息中导出。这些逻辑表达式链然后存储在和 /或在线库并实时解析测量/标记化探针的输出。一个示例政策可以采取“警告我,如果任何员工受人力资源管理纪律情况(情境信息)在进行比较以前的行为(模型输出)时是否接受敏感信息(启发式定义)”。 另外,提供了不同的探针金字塔阵列用于检测特定类型的威胁
第五阶段:威胁判断
威胁检测系统使用映射到观察到的行为生命周期分析上的自动自适应周期性检测来计算威胁风险参数,该威胁风险参数指示存在威胁的可能性。 这推断出随着时间的推移存在威胁,这些属性本身已经表明偏离了规范的集体或个人行为。自动自适应周期性检测使用超级计算机计算的时间段在观察到的网络中最相关和/ 此外,生命分析确定了人类和/或机器在一段时间内的行为方式,即他们典型地开始和停止工作。由于这些模型不断地自我调整,因此它们本身就比已知的更难打败。
3、安全应急响应闭环
当我们有了基础的网络数据,也经过监督或者非监督学习后,那么接下来需要做什么?在我们应急响应的安全实践过程中,我们发现网络获取到安全威胁分类,需要进一步丰富客户端的数据,例如:EDR数据才能更真实有效的确定攻击。否则无法形成闭环。那么如何把整个调查过程连接在一起呢?所以真正能形成战斗力的解决方案:NTA+EDR+SOAR。
0x03、总结
1.拥有一套网络元数据存储方案,方便调查回溯。
2.企业应该强烈考虑NTA使用全新的机器学习检测手段来补充基于签名检测方法。NTA工具检测到其他外围安全工具遗漏的可疑网络流量。
3.单存NTA解决方案是无法满足用户应急响应需求的,需要EDR丰富入侵证据,需要SOAR融入自动化应急响应流程。
iPhone7plus隐藏功能大全 苹果7plus隐藏功能有哪些
1、隐藏照片这是一个非常灵巧的隐藏照片功能。 长按照片,选择“隐藏”。 隐藏过后,所隐藏的照片不会出现在收集和年份中,而是储存在只有你能看到的隐藏相册中。 这样就不会有人知道你都用iPhone拍了哪些照片。 2、短信静音iOS 8可以静音接收指定人的短信。 在短信对话中点击“详细信息”,打开勿扰模式,因此你可以在响铃模式中静音接收到你所指定人的短信息。 这个功能使你不想让别人看到的信息不引人注意,而且要比隐藏全部信息便利。 3、更多的文本控制iOS 8制定了更多的短信编辑和接收功能,包括批量删除短信。 长按你选中的文本短信,会出现“复制”和“更多”选项。 点击“更多”,你可将选中的短信转发给他人或删除它。 4、信用卡扫描当你通过Safari浏览器购物时,你会发现一个“扫描信用卡”的选项而不是手动输入信用卡信息。 这个功能会自动出现在键盘上。 选择之后,将你的付款信用卡放到手机镜头区域,它会安全地录入你的个人信息。 5、黑白模式对那些想体验复古感觉的手机用户,进入“通用”,点击“辅助功能”,开打“灰度”模式,手机主屏幕中的每一个软件和邮件都会以黑白显示。 6、互动提醒你再也不需要停下手中的事情去回复短信、邮件、日历提醒和消息了。 当收到短信或邮件时,提醒的标志会出现在屏幕上方,而你只需要将提醒滑下来就可以回复。 没错,这是iOS 8系统新增加的最好功能。 7、医疗IDiOS 8提供了一个有医疗身份证的全新健康软件HealthKit。 在紧急情况下,任何人可以通过这个医疗身份证联系到你的紧急联系人。 这意味着任何不知道你手机密码的人可以在紧急情况下立即获得你的健康信息或者通知你的联系人。 8、定时自拍新系统在照相机中加入了定时器,你可以用三秒或十秒准确捕捉到你想要的画面。 你可以在制定定时器之前摆好手机,因此不需要用手来拍照。 用手机拍照时,屏幕上方会出现一个定时器的小图标,点击进去就可设置三秒或十秒的定时。
挖掘机小松-5油温水温高是什么原因呢?
油温高有多种原因,主要是 ①发动机掉转速造成液压系统超负荷 ②主泵磨损严重 ③液压回路背压阀不畅; 液压泵发出响声...具体解决可以找专业维修厂家.
打开水龙头燃气热水器不启动什么原因
打开水龙头燃气热水器不启动的原因:1、水管内没有水流通过,热水器不工作。 2、电池电量不足,不足以推动点火器,所以热水不工作。 3、水压低造成水压开关不启动,热水器不工作。 4、点火器控制总成损坏,无高压输出,无法点火,所以热水器不工作。 一、打开水龙头燃气热水器不启动的解决办法:1、确认水管内有水流通过,并保持它畅通。 2、更换全新的电池保证其容量充足。 3、增加水压,在进水端加增压泵来解决水压低的问题。 4、直接更换原装型号的点火器控制总成,使其正常工作。 二、燃气热水器的工作原理:1、燃气热水器的基本工作原理是冷水进入热水器,流经水气联动阀体在流动水的一定压力差值作用下,推动水气联动阀门,并同时推动直流电源微动开关将电源接通并启动脉冲点火器,与此同时打开燃气输气电磁阀门,通过脉冲点火器继续自动再次点火,直到点火成功进入正常工作状态为止,此过程约连续维持5~10秒时间,当燃气热水器在工作过程或点火过程出现缺水或水压不足、缺电、缺燃气、热水温度过高、意外吹熄火等故障现象时,脉冲点火器将通过检测感应针反馈的信号,自动切断电源,燃气输气电磁阀门的缺电供给的情况下立刻回复原来的常闭阀状态,也就是说此时已切断燃气通路,关闭燃气热水器起安全保护作用。 2、通常一台合格的燃气热水器,指各项性能指标符合GB6932-2001《家用燃气快速热水器》国家标准要求的燃气热水器,从点火状态到进入正常工作状态的整个过程是全自动控制,无需人为调整或附加设置,只要打开冷水开关或接通冷水水源,通过水量调节装置和气量调节装置调节得到合适的水量与水温,燃气热水器就立刻在5~10秒较短的时间内进入正常工作状态,同时产出热水,一旦出现以上意外故障,燃气热水器将会在10秒内自动停止工作,并立刻切断燃气通路,防止燃气继续流出,且不能自动重新开启,除非人为地排除以上故障后再重新启动燃气热水器,方能正常工作状态,因此,其工作性能较为安全可靠。 三、燃气热水器的安全使用:1、使用燃气热水器前必须仔细阅读说明书,并按说明书和铭牌指示的使用方法、注意事项使用、维修热水器。 燃气管道宜用金属管,不宜用橡胶管,以免老化后发生意外。 使用场所要保持通风换气良好,最好不要长时间连续使用燃气热水器,若有多人洗浴,应有一定的间隔时间。 2、要经常检查气源至热水器的整个管路系统,用肥皂水泡沫在管路及各接头处涂抹,以检查燃气管道及外接胶管是否有裂纹、老化、松脱等故障,要保证无漏气现象。 一旦发生漏气,应首先关闭供气总阀,打开门窗通风,切勿扳动照明和电器开关或热水器的电源开关,以防电火花引起火灾。 点火或熄火时要注意检查点火燃烧器是否确实点燃或熄灭。 3、燃气热水器四周应有安全间距,不要密封在吊柜内,上面或周围不要放置易燃物,不要把毛巾、抹布堵挡在热水器的进、排气口上以预防火灾。 当燃气热水器出现漏气、漏水、停水后火焰不灭、燃烧状况不良等现象时,应停止使用,并及时通知特约维修单位修理,严禁私自拆卸修理。 热水器每半年或一年应请燃气管理部门指定的专业人员对其进行检修保养,保持燃气热水器性能良好。 平时也要经常进行自检,如检查进水阀过滤纱网,避免造成进水阀堵塞。 清除方法是将进水管路旋开,取出过滤纱网进行清洗。 每半年或一年对热交换器和主燃烧器检查一次,看是否有堵塞现象。 如果有,应及时进行清洗,否则会引起燃烧不完全,产生有害气体,严重时会发生中毒事件。 检查喷嘴与热电偶,长时间使用燃气热水器,喷嘴与热电偶处易积碳,影响顺利点火。 4、每次使用燃气热水器前都应检查安装热水器的房间窗子或排气扇是否打开、通风是否良好。 在使用时,若进水阀打开后,发现大火未点燃而又有燃气溢出,应立即关闭进水阀,稍停一下再开。 如多次均不能将大火点燃,应停止使用,进行检修。 当开启进水阀大火点燃后,一般45秒钟后即可放出热水,然后再根据需要调节水量。 5、刮风天气发现安装热水器的房间倒灌风或烟道式热水器从烟道倒烟时,应暂停使用热水器。 6、运行时发现火焰溢出外壳或有火苗窜出,应暂停使用。 热水器运行时上部冒黑烟,说明热交换器已经严重堵塞或燃烧器内有异物存在,应立即停用并联系维修。 发现热水器有火苗窜出,可能是燃气压力过高或气源种类不对,应停止使用查明原因。 7、燃气热水器用完后,必须关闭燃气及进水管路的阀门。 对未成年人、外来亲朋使用热水器,应特别注意安全指导,教会正确使用,切勿大意。 8、排烟管道应注意防止腐蚀,烟道不可漏烟或堵塞。
发表评论