網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置的內(nèi)容與方法

時(shí)間：2020-12-12作者：深圳市智恒金瑞科技有限公司瀏覽：397

一、安全態(tài)勢(shì)感知裝置的內(nèi)容
1、感知網(wǎng)絡(luò)資產(chǎn)
IT系統(tǒng)越來越復(fù)雜，從而產(chǎn)生大量的無主資產(chǎn)、僵尸資產(chǎn)，且這些資產(chǎn)長時(shí)間無人維護(hù)，存在大量的漏洞和配置違規(guī)，為用戶網(wǎng)絡(luò)安全帶來了較大隱患。因此，首先要摸清資產(chǎn)家底。任何網(wǎng)絡(luò)入侵和攻擊都是以資產(chǎn)為載體或目標(biāo)，如果網(wǎng)絡(luò)資產(chǎn)是一筆糊涂賬，那么網(wǎng)絡(luò)安全狀況將無法**。
感知資產(chǎn)的方法主要有主動(dòng)探測(cè)和被動(dòng)分析。主動(dòng)探測(cè)主要用于對(duì)未知網(wǎng)絡(luò)下的資產(chǎn)發(fā)現(xiàn)探測(cè)，被動(dòng)分析主要用于7×24小時(shí)持續(xù)性的監(jiān)聽已知網(wǎng)絡(luò)下的未發(fā)現(xiàn)資產(chǎn)。通過強(qiáng)大的資產(chǎn)指紋庫建立各類型資產(chǎn)的特征，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用中間件等，進(jìn)行識(shí)別資產(chǎn)并完成資產(chǎn)屬性的補(bǔ)全，較終實(shí)現(xiàn)未知資產(chǎn)的發(fā)現(xiàn)、識(shí)別與管理。同時(shí)，需要通過有代理或無代理方式監(jiān)控資產(chǎn)的運(yùn)行狀態(tài)，包括主機(jī)CPU、內(nèi)存、磁盤占用率變化情況、網(wǎng)絡(luò)帶寬的占用變化情況和交換機(jī)每個(gè)端口的流量情況。較進(jìn)一步，可采集服務(wù)進(jìn)程、線程數(shù)據(jù)、CPU和內(nèi)存占用率等[2]，為安全檢測(cè)分析提供數(shù)據(jù)支撐。
2、感知資產(chǎn)脆弱性
網(wǎng)絡(luò)安全脆弱性主要包括資產(chǎn)漏洞和弱密碼等配置不當(dāng)。脆弱性已經(jīng)成為網(wǎng)絡(luò)攻擊者入侵網(wǎng)絡(luò)竊取信息或者破壞系統(tǒng)的重要入口。因此，“摸清家底”的一個(gè)重點(diǎn)就是要摸清資產(chǎn)的脆弱性。如果資產(chǎn)漏洞和不合理配置不明確，將無法進(jìn)行資產(chǎn)安全加固并采取防護(hù)措施。
對(duì)于資產(chǎn)漏洞，感知方法是基于已知的漏洞信息，采用端口探測(cè)等手段，對(duì)網(wǎng)絡(luò)中*的主機(jī)、網(wǎng)絡(luò)設(shè)備等資產(chǎn)進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的漏洞；資產(chǎn)配置脆弱性感知方法是采用基線安全配置檢測(cè)工具，深度獲取主機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備等資產(chǎn)的配置信息，并與配置基線進(jìn)行比較，發(fā)現(xiàn)資產(chǎn)配置的脆弱性。較終，在發(fā)現(xiàn)脆弱性基礎(chǔ)上，維護(hù)所有資產(chǎn)脆弱性的生命周期信息，并分析可能的攻擊面和攻擊路徑。
3、感知安全事件
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全威脅的方式層出不窮。病毒、蠕蟲、后門和木馬等網(wǎng)絡(luò)攻擊方式越來越多，逐漸受到人們的廣泛關(guān)注。為了保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，網(wǎng)絡(luò)中廣泛使用了*墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)和安全審計(jì)系統(tǒng)等安全設(shè)備。這些安全設(shè)備會(huì)產(chǎn)生大量違反安全策略和安全規(guī)則的告警事件。但是，這些安全告警事件信息中含有大量的重復(fù)報(bào)警和誤報(bào)警，且各類安全事件之間分散獨(dú)立，缺乏聯(lián)系，無法給安全管理員提供在攻擊時(shí)序上和地域上真正有意義的指導(dǎo)。
實(shí)際中，大部分的安全告警事件并不是孤立產(chǎn)生的，它們之間存在一定的時(shí)序或因果聯(lián)系。結(jié)合安全告警事件的運(yùn)行環(huán)境，對(duì)原來相對(duì)孤立的低層網(wǎng)絡(luò)安全事件數(shù)據(jù)集進(jìn)行關(guān)聯(lián)整合，并通過過濾、聚合等手段去偽存真，發(fā)掘隱藏在這些數(shù)據(jù)之后的事件之間的真實(shí)聯(lián)系，確定事件的時(shí)間、地點(diǎn)、人物、起因、經(jīng)過和結(jié)果。
4、感知網(wǎng)絡(luò)威脅
隨著技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)攻擊行為逐漸呈現(xiàn)分布化、遠(yuǎn)程化與虛擬化等趨勢(shì)。傳統(tǒng)基于對(duì)攻擊行為進(jìn)行特征識(shí)別與比對(duì)的威脅感知和甄別機(jī)制，受到了來自新型攻擊手法的巨大挑戰(zhàn)。層出不窮的各類高危漏洞、0Day漏洞，使攻擊特征庫的及時(shí)較新與長期維護(hù)面臨巨大困難[4]。此外，傳統(tǒng)的威脅檢測(cè)手段在應(yīng)對(duì)APT攻擊時(shí)顯得力不從心，因?yàn)閭鹘y(tǒng)的檢測(cè)手段主要針對(duì)已知的威脅，對(duì)未知的漏洞利用、木馬程序、攻擊手法無法進(jìn)行檢測(cè)和定位。
面對(duì)層出不窮的網(wǎng)絡(luò)攻擊和新的網(wǎng)絡(luò)安全形勢(shì)，感知網(wǎng)絡(luò)威脅的方法可以概括為“知己”和“知彼”兩個(gè)方面?！爸骸狈矫媸遣杉瘍?nèi)部網(wǎng)絡(luò)流量數(shù)據(jù)、日志數(shù)據(jù)和安全數(shù)據(jù)等，進(jìn)行基于大數(shù)據(jù)分析、人工智能技術(shù)的異常行為檢測(cè)，發(fā)現(xiàn)隱藏在海量數(shù)據(jù)中的網(wǎng)絡(luò)異常行為；“知彼”方面是通過監(jiān)測(cè)、交換和購買等各種方式，搜集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網(wǎng)絡(luò)或者主機(jī)特征、攻擊工具、攻擊戰(zhàn)技術(shù)、攻擊組織等網(wǎng)絡(luò)威脅情報(bào)數(shù)據(jù)，用于支撐安全運(yùn)行維護(hù)、安全檢測(cè)分析和安全運(yùn)營管理。
5、感知網(wǎng)絡(luò)攻擊
在網(wǎng)絡(luò)攻擊的一次迭代過程中，一般分為情報(bào)收集、目標(biāo)掃描、實(shí)施攻擊、維持訪問和擦除痕跡5個(gè)階段[5]。感知網(wǎng)絡(luò)攻擊是持續(xù)不斷地收集當(dāng)前網(wǎng)絡(luò)中的攻防對(duì)抗數(shù)據(jù)。一方面實(shí)時(shí)展現(xiàn)當(dāng)前網(wǎng)絡(luò)中的攻防對(duì)抗實(shí)況，深入挖掘各種攻擊行為，如端口掃描、口令猜測(cè)、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、IP地址欺騙以及會(huì)話劫持等；另一方面，借助網(wǎng)絡(luò)異常行為檢測(cè)和歷史攻擊信息，分析潛藏的高危攻擊行為和未知威脅，并協(xié)助安全分析師抽取高**的威脅情報(bào)。
6、感知安全風(fēng)險(xiǎn)
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知是在感知網(wǎng)絡(luò)資產(chǎn)、脆弱性、安全事件、安全威脅和安全攻擊的基礎(chǔ)上，進(jìn)一步進(jìn)行數(shù)據(jù)融合分析，建立全網(wǎng)的安全風(fēng)險(xiǎn)指標(biāo)體系和風(fēng)險(xiǎn)評(píng)估模型，從抽象的高度來評(píng)估當(dāng)前網(wǎng)絡(luò)的整體安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估可采用定量與定性相結(jié)合的綜合評(píng)估方法。層次分析法（AHP）是一種典型的評(píng)估方法，是一種定性與定量相結(jié)合的多目標(biāo)決策分析方法。這一方法的**是將決策者的經(jīng)驗(yàn)判斷予以量化，從而為決策者提供定量形式的決策依據(jù)。
二、安全態(tài)勢(shì)感知裝置的方法
1、微觀層面態(tài)勢(shì)感知
這里所指的微觀層面，是針對(duì)具體企業(yè)或**的信息網(wǎng)絡(luò)而言的。作為網(wǎng)絡(luò)安全的具體**對(duì)象，企業(yè)信息網(wǎng)絡(luò)態(tài)勢(shì)感知的目的是詳細(xì)掌握企業(yè)網(wǎng)絡(luò)資產(chǎn)、脆弱性、告警事件、威脅、攻擊和風(fēng)險(xiǎn)，并進(jìn)行應(yīng)急響應(yīng)、調(diào)查分析等閉環(huán)處置。具體方法是盡可能全面采集信息網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，包括網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、安全設(shè)備數(shù)據(jù)、主機(jī)設(shè)備數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)以及應(yīng)用系統(tǒng)和中間件數(shù)據(jù)，融合威脅情報(bào)進(jìn)行基于大數(shù)據(jù)平臺(tái)的安全管理與安全分析，實(shí)現(xiàn)資產(chǎn)管理、漏洞管理、事件管理、威脅告警、調(diào)查分析和應(yīng)急響應(yīng)等業(yè)務(wù)功能，為安全運(yùn)營（管理、分析、響應(yīng)）團(tuán)隊(duì)提供技術(shù)支撐。
微觀層面的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的部署方式可根據(jù)信息網(wǎng)絡(luò)的規(guī)模采用集中式部署（適用于中小企業(yè)信息網(wǎng)絡(luò)），或者分布采集、集中運(yùn)營管理的部署方式。
對(duì)于中小型企業(yè)，可以采用集中部署的方式，在中心集中部署采集器集群；對(duì)于*型企業(yè)，則采用分布式采集部署方式。
2、中觀層面態(tài)勢(shì)感知
這里所指的中觀層面，是針對(duì)具有多個(gè)微觀管理域職能的企業(yè)集團(tuán)或行業(yè)主管部門而言的。作為企業(yè)集團(tuán)或行業(yè)主管部門，既有自身信息網(wǎng)絡(luò)安全**的職責(zé)，也有下級(jí)網(wǎng)絡(luò)安全監(jiān)管職責(zé)，其網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)應(yīng)該是一個(gè)分級(jí)分域的架構(gòu)，其功能架構(gòu)與微觀層面態(tài)勢(shì)感知平臺(tái)類似。但是，上級(jí)平臺(tái)除具有微觀態(tài)勢(shì)感知的全部功能外，需要對(duì)匯聚的下級(jí)平臺(tái)態(tài)勢(shì)信息進(jìn)行統(tǒng)計(jì)分析和關(guān)聯(lián)分析，并向下級(jí)平臺(tái)預(yù)警等。
3、宏觀層面態(tài)勢(shì)感知
這里所指的宏觀層面，是針對(duì)**監(jiān)管機(jī)構(gòu)而言的，關(guān)注的重點(diǎn)是管轄范圍內(nèi)的宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)。宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)感知需要匯聚轄區(qū)內(nèi)中觀態(tài)勢(shì)感知平臺(tái)個(gè)獨(dú)立的微觀態(tài)勢(shì)感知平臺(tái)的態(tài)勢(shì)信息、重要事件信息，同時(shí)結(jié)合互聯(lián)網(wǎng)大范圍監(jiān)測(cè)的DDoS攻擊態(tài)勢(shì)、WEB攻擊態(tài)勢(shì)、僵木蠕態(tài)勢(shì)以及第三方網(wǎng)絡(luò)威脅情報(bào)中心的情報(bào)信息，分析、研判轄區(qū)內(nèi)宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)，針對(duì)重大、特別重大網(wǎng)絡(luò)安全事件進(jìn)行預(yù)警通報(bào)和應(yīng)急指揮。




推薦閱讀： OSN1500 ZXMPS330


深圳市智恒金瑞科技有限公司專注于調(diào)度數(shù)據(jù)網(wǎng),二次安防設(shè)備,在線安全監(jiān)測(cè)裝置,OSN1500等

• 詞條

  詞條說明

• 日常維修保養(yǎng)二次安防設(shè)備注意事項(xiàng)

  安防設(shè)備使用過程中，也會(huì)不定期出現(xiàn)各種問題，給我們的造成不必要的麻煩。我們需要定期對(duì)各設(shè)備、線路排查、維護(hù)等。如：線路、報(bào)警設(shè)備、監(jiān)控軟件、硬盤錄像機(jī)設(shè)備等。維保服務(wù)內(nèi)容如下：1、 報(bào)警信號(hào)線路、視頻信號(hào)線路、攝像機(jī)云臺(tái)控制線路的檢測(cè)、故障排除、隱患排查。2、 所有接口、線路接口的焊點(diǎn)的檢測(cè)、視頻頭的更換等。3、 監(jiān)控系統(tǒng)**攝像機(jī)的鏡頭清理、設(shè)備除塵、位置調(diào)整、設(shè)備維修及更換、故障排除等。4、

• 環(huán)境實(shí)時(shí)在線監(jiān)測(cè)系統(tǒng)在哪里可以使用？

  環(huán)境在線監(jiān)測(cè)系統(tǒng)是由污染源在線監(jiān)測(cè)系統(tǒng)、主要水域水質(zhì)自動(dòng)監(jiān)測(cè)系統(tǒng)、城市空氣質(zhì)量監(jiān)測(cè)系統(tǒng)、城市噪音監(jiān)測(cè)系統(tǒng)、和監(jiān)測(cè)中心組成的監(jiān)測(cè)系統(tǒng)。該系統(tǒng)可進(jìn)行自動(dòng)采樣、對(duì)主要污染因子進(jìn)行在線監(jiān)測(cè)；掌握城市污染源排放情況及污染排放總量，監(jiān)測(cè)數(shù)據(jù)自動(dòng)傳輸?shù)江h(huán)保監(jiān)測(cè)中心；由監(jiān)測(cè)中心的服務(wù)器進(jìn)行數(shù)據(jù)匯總、整理和綜合分析；監(jiān)測(cè)信息傳至**，由**對(duì)污染源進(jìn)行監(jiān)督管理。1）整合 GPRS/CDMA/寬帶通訊技術(shù)，實(shí)時(shí)監(jiān)

• 安防設(shè)備有哪些？

  安防設(shè)備有哪些：1、入侵探測(cè)器入侵探測(cè)器是入侵報(bào)警系統(tǒng)中的**裝置，由各種探測(cè)器組成，是入侵報(bào)警系統(tǒng)的觸覺部分，相當(dāng)于人的眼睛、鼻子、耳朵、皮膚等，感知現(xiàn)場(chǎng)的溫度、濕度、氣味、能量等各種物理量的變化，并將其按照一定的規(guī)律轉(zhuǎn)換成適于傳輸?shù)碾娦盘?hào)。2、汽車防盜系統(tǒng)它由電子控制的遙控器或鑰匙、電子控制電路、報(bào)警裝置和執(zhí)行機(jī)構(gòu)等組成。 較早的汽車門鎖是機(jī)械式門鎖，只起行車安全作用，不起防盜作用。隨著社會(huì)的

• 安防設(shè)備如何防雷？

  安防設(shè)備如何防雷：現(xiàn)代的安防監(jiān)控產(chǎn)品均系微電子化產(chǎn)品，監(jiān)控設(shè)備具有高密度、高速度、低電壓和低功耗等特性。其對(duì)各種諸如雷電過電壓、電力系統(tǒng)操作過電壓、靜電放電、電磁輻射等電磁干擾非常敏感，這就使得監(jiān)控系統(tǒng)設(shè)備較易遭受雷擊/過電壓破壞，其后果可能會(huì)使整個(gè)監(jiān)控系統(tǒng)運(yùn)行失靈，并造成難以估計(jì)的經(jīng)濟(jì)損失和安全方面的風(fēng)險(xiǎn)。監(jiān)控整個(gè)系統(tǒng)分布廣闊、線路較長、很*遭受感應(yīng)雷襲擊損壞設(shè)備，所以，傳輸線路兩端的設(shè)備，包