日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
基于記憶的APT檢測原理系統(tǒng)框架

按照數(shù)據(jù)—信息—知識逐層提煉的模式,基于記憶的APT攻擊檢測系統(tǒng)結(jié)構(gòu)分為三級,系統(tǒng)整體架構(gòu)圖如下:

創(chuàng)新互聯(lián)于2013年創(chuàng)立,先為寶雞等服務(wù)建站,寶雞等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為寶雞企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

 基于記憶的檢測系統(tǒng)架構(gòu)圖

存儲(chǔ)層

存儲(chǔ)層完成對從互聯(lián)網(wǎng)直接獲取的實(shí)時(shí)數(shù)據(jù)流的預(yù)處理和存儲(chǔ)管理工作。對實(shí)時(shí)數(shù)據(jù)流首先進(jìn)行傳輸層的會(huì)話還原,消除因網(wǎng)絡(luò)條件造成的亂序、重傳、延遲等對后續(xù)分析的干擾;然后進(jìn)行應(yīng)用協(xié)議識別,判斷數(shù)據(jù)流上所承載的具體應(yīng)用;最終從非結(jié)構(gòu)化的數(shù)據(jù)流中抽取結(jié)構(gòu)化的元數(shù)據(jù)信息,以便后續(xù)的各類統(tǒng)計(jì)和關(guān)聯(lián)分析。

預(yù)處理后的原始數(shù)據(jù)流,既包括完整的全流量數(shù)據(jù),又包括提取后的元數(shù)據(jù)??紤]到海量數(shù)據(jù)的存儲(chǔ)壓力,可對不同類型的數(shù)據(jù)采取靈活的管理策略:

(1) 對于全流量數(shù)據(jù),進(jìn)行窗口長度為星期級的存儲(chǔ)。由于全流量數(shù)據(jù)會(huì)占用海量存儲(chǔ)空間,不宜進(jìn)行長期存儲(chǔ),但全流量數(shù)據(jù)對于后續(xù)的回溯分析又是必須的。為此采用折中的存儲(chǔ)策略:只存儲(chǔ)最近幾周(例如1-2周)的全流量信息,對于超期的數(shù)據(jù)進(jìn)行降解處理。

(2) 對于元數(shù)據(jù),進(jìn)行年度級的存儲(chǔ)。提取后的元數(shù)據(jù)只包含應(yīng)用層會(huì)話的關(guān)鍵信息,其數(shù)據(jù)量大約相當(dāng)于全流量信息的5%,這類信息對后續(xù)的統(tǒng)計(jì)、關(guān)聯(lián)和數(shù)據(jù)挖掘具有重要的作用,且占用的空間在可接受范圍內(nèi),因此在平臺中進(jìn)行長期存儲(chǔ)。

分析層

分析層完成從原始流量數(shù)據(jù)中產(chǎn)生獨(dú)立報(bào)警信息的工作,主要方法包括:

(1) 對于能引起網(wǎng)絡(luò)流量顯著異常的攻擊,如DDoS、掃描、蠕蟲傳播等,可通過異常流量檢測和統(tǒng)計(jì)分析的方式進(jìn)行識別。通過建立全面、完整的安全基準(zhǔn)指標(biāo)體系,可以快速識別網(wǎng)絡(luò)流量異常;通過統(tǒng)計(jì)分析,可準(zhǔn)確定位異常的位置和原因。

(2) 對于不引起流量異常的未知攻擊,可通過可疑行為建模的方式進(jìn)行識別。例如對于尚未提取特征的木馬,其連接控制端的時(shí)候可能會(huì)存在未知的加密傳輸、疑似心跳信號的間歇性連接、惡意域名訪問、異常的上下行流量比等行為,通過對這些可疑行為進(jìn)行關(guān)聯(lián),就有可能檢測到木馬連接行為。

(3) 對于通過異常檢測模塊產(chǎn)生的各類報(bào)警,由于缺乏攻擊簽名信息進(jìn)行驗(yàn)證,其準(zhǔn)確度往往低于基于特征匹配的誤用檢測。為此還需要結(jié)合原始報(bào)文,對報(bào)警的有效性進(jìn)一步確認(rèn)。通過報(bào)文所承載的應(yīng)用層對象做細(xì)粒度的協(xié)議解析和還原,可輔助分析人員判定會(huì)話內(nèi)容是否包含攻擊數(shù)據(jù),從而進(jìn)一步產(chǎn)生精確報(bào)警。

展示層

展示層完成從孤立的攻擊報(bào)警信息生成完整的攻擊場景的關(guān)聯(lián)工作,并提供可視化分析前端工具,幫助分析人員從存儲(chǔ)的海量歷史數(shù)據(jù)中獲取知識。對于攻擊場景關(guān)聯(lián),常見的方法是基于關(guān)聯(lián)規(guī)則匹配攻擊場景。由于APT攻擊手段的復(fù)雜性,在實(shí)際環(huán)境中往往會(huì)因?yàn)閳?bào)警事件的缺失導(dǎo)致無法進(jìn)行完整攻擊路徑圖的匹配,進(jìn)而導(dǎo)致建立APT場景失敗,為此要解決基于不完整攻擊路徑的攻擊場景匹配問題。對于多維數(shù)據(jù)可視化分析,要提供給分析人員一套能從地址、端口、協(xié)議類型等維度對數(shù)據(jù)進(jìn)行統(tǒng)計(jì)展示的工具,并支持按照不同的粒度對數(shù)據(jù)進(jìn)行鉆取,方便分析人員在大數(shù)據(jù)中定位可疑行為。


文章標(biāo)題:基于記憶的APT檢測原理系統(tǒng)框架
文章地址:http://www.5511xx.com/article/dposdss.html