日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
天融信服務(wù)世博之信息安全管理平臺(tái)事件數(shù)據(jù)標(biāo)準(zhǔn)化方法

一:背景概述

網(wǎng)站建設(shè)哪家好,找成都創(chuàng)新互聯(lián)公司!專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、重慶小程序開(kāi)發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶(hù)創(chuàng)新互聯(lián)還提供了延津免費(fèi)建站歡迎大家使用!

信息化在推動(dòng)上海世博會(huì)業(yè)務(wù)更好更快的發(fā)展上起到了不可替代的作用,但同時(shí)上海世博會(huì)在信息化建設(shè)中也面臨著許多的信息安全威脅,如邊界安全風(fēng)險(xiǎn),主要包括黑客攻擊、垃圾郵件等;內(nèi)網(wǎng)安全風(fēng)險(xiǎn),主要包括主機(jī)系統(tǒng)漏洞、服務(wù)配置不當(dāng)?shù)?;?yīng)用風(fēng)險(xiǎn),主要包括Web服務(wù)器、文件服務(wù)器安全風(fēng)險(xiǎn)等。所以,對(duì)上海世博局來(lái)說(shuō),重視和加強(qiáng)信息化安全整體監(jiān)控的建設(shè)刻不容緩。

而建立統(tǒng)一的信息安全監(jiān)控平臺(tái)需要與世博會(huì)各個(gè)業(yè)務(wù)系統(tǒng)提供商、網(wǎng)絡(luò)服務(wù)提供商、安全服務(wù)提供商、以及相關(guān)部門(mén)進(jìn)行有序的技術(shù)協(xié)商和安全管理思路的融合,同時(shí)日志標(biāo)準(zhǔn)化的工作面臨著時(shí)間緊、責(zé)任大、技術(shù)難度高等一系列問(wèn)題,安全監(jiān)控平臺(tái)技術(shù)進(jìn)展面臨著很大的考驗(yàn)。

二:四因素制約事件數(shù)據(jù)標(biāo)準(zhǔn)化

第41屆上海世博會(huì)是歷史上參與國(guó)家最多、參觀(guān)人員最多的一次。支持此次盛會(huì)的信息系統(tǒng)非常復(fù)雜,這對(duì)信息安全提出了非常高的要求。

對(duì)于支撐、保障這些業(yè)務(wù)系統(tǒng)正常運(yùn)行的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、系統(tǒng)、數(shù)據(jù)庫(kù)等產(chǎn)生的事件數(shù)據(jù)全球沒(méi)有統(tǒng)一標(biāo)準(zhǔn),世博局設(shè)備種類(lèi)眾多,各個(gè)廠(chǎng)家設(shè)備的事件數(shù)據(jù)日志格式各異,功能各異,部署地點(diǎn)不在同一安全域,采集方式多異,歸并難度大,強(qiáng)度高,事件流路徑復(fù)雜等。這為事件數(shù)據(jù)采集、過(guò)濾、歸并、關(guān)聯(lián)帶來(lái)的很大的技術(shù)挑戰(zhàn)。

品牌各異:上海世博會(huì)為了通過(guò)信息化支撐業(yè)務(wù)系統(tǒng),采購(gòu)了大量的不同品牌的產(chǎn)品,如微軟、IBM、CISCO、華為等等。

產(chǎn)品功能各異:操作系統(tǒng)、數(shù)據(jù)庫(kù)、存儲(chǔ)、路由器、交換機(jī)、防火墻、UTM、網(wǎng)閘

部署地點(diǎn)各異:安全管理域、互聯(lián)網(wǎng)域、周家渡、行政中心機(jī)房等

事件內(nèi)容各異:各個(gè)廠(chǎng)家都有自己的自定義字段

事件發(fā)送方式各異:snmp syslog wmi opsec 等,甚至有些廠(chǎng)家沒(méi)有提供顯示的日志發(fā)送功能(通過(guò)二次開(kāi)發(fā)融合)。

三:從四方面入手解決事件數(shù)據(jù)標(biāo)準(zhǔn)化的問(wèn)題

經(jīng)過(guò)細(xì)致深入的討論研究后,攻關(guān)團(tuán)隊(duì)將問(wèn)題分解為4個(gè)方面,分別著手解決日志標(biāo)準(zhǔn)化的問(wèn)題。這4個(gè)部分是:

1.數(shù)據(jù)采集方法的標(biāo)準(zhǔn)化

攻關(guān)團(tuán)隊(duì)在原有的基礎(chǔ)上完善了系統(tǒng)的數(shù)據(jù)采集層。新的數(shù)據(jù)采集層能夠?qū)崿F(xiàn)對(duì)各類(lèi)安全設(shè)備的安全數(shù)據(jù)的采集,在組成形式上數(shù)據(jù)采集層可以由多種形式的采集功能組件組合構(gòu)成,支持分布式的采集處理架構(gòu)。

新的數(shù)據(jù)采集層支持對(duì)各類(lèi)安全對(duì)象的標(biāo)準(zhǔn)接口協(xié)議的適配。實(shí)現(xiàn)對(duì)包括安全對(duì)象的配置、運(yùn) 行狀態(tài)、安全事件、脆弱性等數(shù)據(jù)的采集。數(shù)據(jù)采集層應(yīng)支持主流采集協(xié)議或接口方式,包括但不限于:

Syslog:采集Unix,支持Syslog協(xié)議的防火墻、路由器、交換機(jī)、防病毒和IDS等系統(tǒng)或設(shè)備;

SNMP、SNMPTrap V1、V2、V3:采集支持Snmp協(xié)議的防火墻、路由器、交換機(jī)、防病毒、終端補(bǔ)丁、IDS和應(yīng)用系統(tǒng)等系統(tǒng)或設(shè)備;

OPSEC:采集CheckPoint防火墻的日志;#p#

ODBC/JDBC:采集存儲(chǔ)到于關(guān)系型數(shù)據(jù)庫(kù)的應(yīng)用系統(tǒng)日志;

通用文件:支持基于文件的日志采集,能夠通過(guò)模板配置完成日志記錄的格式化;

專(zhuān)用日志采集接口:對(duì)僅支持專(zhuān)用管理接口的系統(tǒng),能夠支持多種專(zhuān)用API采集接口和通用的采集調(diào)度能力,例如脆弱性?huà)呙柘到y(tǒng)的API或接口XML文件、Windows的WMI;

2.原始事件格式標(biāo)準(zhǔn)化:

安全事件采集過(guò)程收集到多種類(lèi)型的原始事件信息,而這些原始事件的格式和內(nèi)容不盡相同。攻關(guān)團(tuán)隊(duì)開(kāi)發(fā)了一套基于數(shù)據(jù)格式和數(shù)據(jù)映射腳本的數(shù)據(jù)標(biāo)準(zhǔn)方法和過(guò)程。數(shù)據(jù)格式化腳本,用于按照需要對(duì)數(shù)據(jù)進(jìn)行靈活的拆分、組裝,實(shí)現(xiàn)數(shù)據(jù)格式化。數(shù)據(jù)映射腳本,用于將格式后的數(shù)據(jù)進(jìn) 行語(yǔ)義表達(dá),實(shí)現(xiàn)數(shù)據(jù)映射。最終實(shí)現(xiàn)數(shù)據(jù)歸一化。與傳統(tǒng)的基于插件的數(shù)據(jù)標(biāo)準(zhǔn)方法相比,具有開(kāi)發(fā)、維護(hù)難度小,快速靈活適應(yīng)客戶(hù)化等特點(diǎn)。

事件標(biāo)準(zhǔn)化過(guò)程將不同的事件數(shù)據(jù)格式轉(zhuǎn)換成標(biāo)準(zhǔn)的事件格式并對(duì)其分類(lèi)與存儲(chǔ),能夠?yàn)樯蠈痈鞣治瞿K提供數(shù)據(jù)支持。

經(jīng)標(biāo)準(zhǔn)化處理后的各事件包括以下屬性:

序號(hào) 名稱(chēng) 是否必需 說(shuō)明
1.           發(fā)送安全事件的設(shè)備地址 發(fā)送該事件的設(shè)備地址。
2.           發(fā)送安全事件的系統(tǒng)類(lèi)型 該設(shè)備的設(shè)備類(lèi)型名稱(chēng)。
3.           事件名稱(chēng) 格式如 “HTTP_讀命令”
4.           協(xié)議類(lèi)型 涉及網(wǎng)絡(luò)協(xié)議的事件必填。參照常用協(xié)議類(lèi)型表,未列出的自行填寫(xiě)。
5.           特征串 詳細(xì)事件特征串
6.           事件源IP 按網(wǎng)絡(luò)字節(jié)序存
7.           事件目的IP 按網(wǎng)絡(luò)字節(jié)序存。在病毒、蠕蟲(chóng)類(lèi)事件中,為感染這些惡意代碼的系統(tǒng)IP。
8.           事件源端口 按網(wǎng)絡(luò)字節(jié)序存
9.           事件目的端口 按網(wǎng)絡(luò)字節(jié)序存
10.       發(fā)送流量 發(fā)送的流量。異常流量事件必填。
11.       接收流量 接收的流量。異常流量事件必填
12.       發(fā)送流量單位 如有發(fā)送流量,必填。其中,0:KB;1:MB。
13.       接收流量單位 如有發(fā)送流量,必填。其中,0:KB;1:MB。
14.       進(jìn)入數(shù)據(jù)包數(shù) 接收數(shù)據(jù)包數(shù)量。異常流量事件必填。
15.       離開(kāi)數(shù)據(jù)包數(shù) 發(fā)送數(shù)據(jù)包數(shù)量。異常流量事件必填。
16.       事件相關(guān)域名和URL 網(wǎng)頁(yè)掛馬、域名劫持、CGI攻擊、網(wǎng)絡(luò)仿冒等涉及域名和URL的事件必填
17.       原始危害等級(jí) 直接取原始事件中的某個(gè)字符串在初始化部分賦給它即可
18.       歸并數(shù)量   多個(gè)事件歸并的數(shù)量
19.       事件內(nèi)容 事件內(nèi)容描述 (從原始日志中提取得關(guān)鍵字),例如Syslog包所有原始內(nèi)容

以上是安全事件屬性的基本內(nèi)容,其他屬性可以作為對(duì)安全事件描述的輔助屬性。

安全事件的屬性是可以擴(kuò)展訂制的,擴(kuò)展屬生與基本屬性都可以參與事件的標(biāo)準(zhǔn)化、邏輯判斷、條件查詢(xún)、報(bào)表輸出等。

3.原始事件過(guò)濾標(biāo)準(zhǔn)化。

為了從海量的事件中進(jìn)行有針對(duì)性的分析,攻關(guān)團(tuán)隊(duì)優(yōu)化了安管平臺(tái)的事件有過(guò)濾功能。事件過(guò)濾功能可以對(duì)接入的已經(jīng)標(biāo)準(zhǔn)化的安全事件進(jìn)行進(jìn)一步過(guò)濾篩選。安全事件過(guò)濾規(guī)則包含以下屬性:

過(guò)濾規(guī)則名稱(chēng):對(duì)過(guò)濾規(guī)則的描述;

過(guò)濾條件:設(shè)定安全事件應(yīng)該滿(mǎn)足的條件;

響應(yīng)方式:對(duì)滿(mǎn)足條件的安全事件的處理方式;

下面對(duì)安全事件過(guò)濾中的過(guò)濾條件、響應(yīng)方式、以及安全事件調(diào)整進(jìn)行統(tǒng)一要求。#p#

A.過(guò)濾條件

安全事件的過(guò)濾條件,根據(jù)標(biāo)準(zhǔn)化的安全事件的基本屬性,過(guò)濾條件至少可以按照以下屬性進(jìn)行過(guò)濾:

安全事件名稱(chēng);模糊匹配方式,比如包含、等于、等;

設(shè)備地址;地址匹配方式,比如等于;

設(shè)備類(lèi)型名稱(chēng);模糊匹配方式,比如包含、等于、等;

源地址;地址匹配方式,比如等于;

源端口;數(shù)字匹配方式,比如等于、大于、等;

目的地址;地址匹配方式,比如等于;

目的端口;數(shù)字匹配方式,比如等于、大于、等;

B.事件處理方式

安全事件過(guò)濾完成后,需要進(jìn)行進(jìn)一步的處理,這種處理是對(duì)滿(mǎn)足過(guò)濾條件的事件響應(yīng)方式,安全事件的過(guò)濾響應(yīng)方式至少應(yīng)包括以下方式:

丟棄:直接對(duì)滿(mǎn)足條件的安全事件丟棄,不再寫(xiě)入數(shù)據(jù)庫(kù),也不再進(jìn)一步處理;

寫(xiě)入數(shù)據(jù)庫(kù):對(duì)滿(mǎn)足條件的安全事件存入數(shù)據(jù)庫(kù),作進(jìn)一步的處理;

4.原始事件歸并標(biāo)準(zhǔn)化。

對(duì)于過(guò)濾后的安全事件,仍然存在很多重復(fù)或者相似的事件。所以事件數(shù)據(jù)標(biāo)準(zhǔn)化的第四個(gè)方面是對(duì)事件進(jìn)行歸并。歸并規(guī)則,就是在什么情況下,滿(mǎn)足什么條件,對(duì)哪些字段進(jìn)行歸并。

事件歸并功能可以對(duì)海量的安全事件依據(jù)歸并條件進(jìn)行歸并,達(dá)到簡(jiǎn)化安全事件,提高安全事件準(zhǔn)確率。

A.安全事件歸并規(guī)則應(yīng)該包含以下屬性

歸并規(guī)則名稱(chēng):對(duì)過(guò)濾規(guī)則的描述;

歸并條件:設(shè)定安全事件應(yīng)該滿(mǎn)足的條件;

歸并字段:歸并處理的事件字段,所列字段內(nèi)容相同的事件才進(jìn)行歸并,比如安全事件的名稱(chēng),設(shè)備地址等事件基本屬性;

歸并時(shí)間:歸并事件的時(shí)間窗口,指多長(zhǎng)時(shí)間進(jìn)行一次歸并;

歸并數(shù)目:需要?dú)w并事件的數(shù)量,指多少事件進(jìn)行一次歸并;

對(duì)被歸并事件的處理方式:被歸并的事件以何種方式進(jìn)行處理;

B.被歸并事件的處理方式

阻塞方式:直接將被歸并事件全部丟棄,不寫(xiě)入數(shù)據(jù)庫(kù);

非阻塞方式:將被歸并事件全部寫(xiě)入數(shù)據(jù)庫(kù);

C.可定義的歸并策略如下

根據(jù)事件名稱(chēng)進(jìn)行歸并分析;

根據(jù)事件類(lèi)型進(jìn)行歸并分析;

根據(jù)源進(jìn)程進(jìn)行歸并分析;

根據(jù)目標(biāo)進(jìn)程進(jìn)行歸并分析;

根據(jù)攻擊源進(jìn)行歸并分析;

根據(jù)攻擊目標(biāo)地址進(jìn)行歸并分析;

根據(jù)事件原始時(shí)間進(jìn)行歸并分析;

根據(jù)受攻擊設(shè)備類(lèi)型進(jìn)行歸并分析。

四:實(shí)際運(yùn)行效果

通過(guò)不斷研究和探索,技術(shù)攻關(guān)團(tuán)隊(duì)成功了解決了世博信息系統(tǒng)中海量的、復(fù)雜的安全事件信息的標(biāo)準(zhǔn)化難題。為世博安全管理平臺(tái)的運(yùn)營(yíng)打下了堅(jiān)實(shí)的基礎(chǔ)。以下是一些運(yùn)營(yíng)數(shù)據(jù):

世博安管平臺(tái)中目前共有收集了16大類(lèi)67個(gè)設(shè)備的安全事件數(shù)據(jù)。每天收集的總?cè)罩玖吭?00W條左右。每天的安全事件約4400條,每周約3W條。其中每周內(nèi)網(wǎng)事件約5400條,外網(wǎng)攻擊的事件約24600。其中,WEB攻擊占83%。

從這些安全事件中,通過(guò)分析系統(tǒng)每天發(fā)出攻擊告警約300次,處理約50次,每天封鎖約2個(gè)IP。

主機(jī)狀態(tài)告警,每月約200次,處理約60次,另外140次是系統(tǒng)正常啟動(dòng)造成。

病毒告警,約100次,處理了60次,定位了20個(gè)IP。


網(wǎng)站題目:天融信服務(wù)世博之信息安全管理平臺(tái)事件數(shù)據(jù)標(biāo)準(zhǔn)化方法
文章鏈接:http://www.5511xx.com/article/cojphhj.html