7月4日消息，2012年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會在西安舉行，東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心副總經(jīng)理曹鵬在發(fā)表演講時表示，數(shù)據(jù)大集團(tuán)中網(wǎng)絡(luò)安全監(jiān)測模式面臨困境挑戰(zhàn)。

　　東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心副總經(jīng)理曹鵬

　　以下為演講實(shí)錄：

　　大家下午好。

　　數(shù)據(jù)大集團(tuán)中網(wǎng)絡(luò)大集中發(fā)現(xiàn)背景下的安全監(jiān)測模式面臨的困境挑戰(zhàn)。下面二級三級所有分支的機(jī)構(gòu)和單位會發(fā)現(xiàn)他們對信息安全，不管是人力物力還是財(cái)力的投入都會越來越少。成百上千個我們采購的設(shè)備，這些年來有一個質(zhì)疑的聲音說它們沒用，我們所能夠采用的數(shù)據(jù)規(guī)模如果越來越大，必然我們分析和看到的趨勢也將越來越多，如果未來大網(wǎng)是它發(fā)展的趨勢我們能夠在這張大網(wǎng)中做哪些改進(jìn)和改變。

　　大網(wǎng)掘金，一個差不多的金礦是100000：1是金礦石的合格含量，今天它同樣是大網(wǎng)背景下的安全監(jiān)測事件分析命中率。大網(wǎng)的安全檢測模式成為了發(fā)展趨勢，一個小型的A用戶、B用戶、C用戶，大網(wǎng)的第一個特點(diǎn)，你會看到數(shù)十個不同廠家的設(shè)備，在這種模式下面，如果我們安全的監(jiān)測和預(yù)警，整個的機(jī)制體制發(fā)揮效應(yīng)，你要采集到大量的內(nèi)容。我把我監(jiān)測出來的安全的實(shí)踐，如果通過我們的運(yùn)維提升它的效率，這是我們在思考的一個問題，我們應(yīng)該把我們的安全運(yùn)營放在一起不斷的開發(fā)，效率不斷的提升，所以你會發(fā)現(xiàn)很快就會做到我們個人能力的極限。如何能夠真正的讓我們?nèi)ネ黄七@個底線。

　　大網(wǎng)環(huán)境下安全設(shè)備的日志信息構(gòu)成“待開發(fā)的信息寶藏”。關(guān)鍵分析策略：首先重點(diǎn)關(guān)注被組織訪問行為，如某IP地址重復(fù)出現(xiàn)大量被阻止訪問告警日志，往往多為蠕蟲惡意代碼自動所為。其次關(guān)注內(nèi)到外的允許行為中短時間出現(xiàn)大量敏感業(yè)務(wù)端口。我們看第一個案例，內(nèi)網(wǎng)PC遭受黑客感染，來自安全域邊界防火墻的告警分析展示：內(nèi)網(wǎng)地址發(fā)現(xiàn)明顯黑客肉雞特征的大量攻擊行為，感染主機(jī)先后大范圍進(jìn)行散彈式隨機(jī)互聯(lián)網(wǎng)IP地址掃描探測，包含有445 80 3389 3306等敏感服務(wù)端口。在大量的正常訪問日志中建立基線觸發(fā)異常。入侵檢測設(shè)備告警日志分析關(guān)注應(yīng)用事件的上下聚合關(guān)聯(lián)。關(guān)鍵分析策略：根據(jù)事件名稱進(jìn)行事件類別歸類，同時取來源目的IP地址和端口。這個是典型告警事件分析2：夜間對部委網(wǎng)站發(fā)起的漏洞利用攻擊。內(nèi)網(wǎng)PC遭受黑客感染，顯示來自某理工大學(xué)的IP地址針對國家部委網(wǎng)站發(fā)起了一次明顯的應(yīng)用層漏洞攻擊。應(yīng)用層告警的判斷依據(jù)主要是數(shù)量多、業(yè)務(wù)層告警連續(xù)觸發(fā)誤告很低，且告警時間網(wǎng)站內(nèi)容敏感。短時間內(nèi)連續(xù)觸發(fā)大量告警行為其誤告率會下降。這是短時間內(nèi)針對目標(biāo)來自不同部署位置不同類型的安全設(shè)備告警，且告警攻擊類型和數(shù)量都較多，其攻擊行為的命中率也會非常高。建立一套合理的分析機(jī)制，將分析數(shù)據(jù)從日志聚合走向事件關(guān)聯(lián)。

　　防御體系中的運(yùn)行日志與誤告警。關(guān)鍵詞：是什么導(dǎo)致一套監(jiān)測防御體系建設(shè)后走向平庸。過于敏感的網(wǎng)絡(luò)流量檢測技術(shù)針對正常應(yīng)用訪問極易觸發(fā)各類誤告警，例如Web技術(shù)發(fā)展豐富多樣性，相關(guān)代碼最容易與安全關(guān)鍵檢測字樣本發(fā)生碰撞，誤告警過高使得真實(shí)告警事件難以發(fā)現(xiàn)。傳統(tǒng)安全防御體系中設(shè)備大部分還在傳統(tǒng)的就事論事的工作模式，即根據(jù)內(nèi)置樣本或者固化策略分析問題。

　　我們能不能真正去改變這樣的現(xiàn)狀。結(jié)合大網(wǎng)發(fā)展是未來非常好的趨勢，這個趨勢是勢不可當(dāng)?shù)摹Ｔ诖缶W(wǎng)環(huán)境下可以看到眾多廠家品牌的不同類型安全防御設(shè)備，其部署位置多樣其監(jiān)測分析的基礎(chǔ)能力可以說是蘊(yùn)含豐富。如果能夠?qū)⑦@些監(jiān)測資源能力進(jìn)行整合。大網(wǎng)促生未來安全監(jiān)測防御的生態(tài)華體系發(fā)展。安全監(jiān)測預(yù)警防御體系不應(yīng)是單純的設(shè)備重疊或者只是強(qiáng)調(diào)日志統(tǒng)一管理平臺的建設(shè)規(guī)模。我們能不能不再讓平臺是一個工具，如果說它是一個平臺，讓大家都能按照自己的需要，大家一起去到里面參與，改變安全監(jiān)測工具的模式，把工具變成平臺，我們能夠讓更多的人參與到里面的工作，也許會有很大的不同。為了能夠讓我們的想法，或者說讓我們的設(shè)想真正能夠開始落地，我們也一直尋找，我們在2011年的時候?qū)ふ伊诉@么一個建設(shè)機(jī)會，2011年在北京市電子政務(wù)外網(wǎng)取得技術(shù)突破獲得好評。自建67個節(jié)點(diǎn)17款不同類型設(shè)備入網(wǎng)進(jìn)行異構(gòu)部署。為了能夠讓我們的監(jiān)控更加有效，實(shí)時監(jiān)測網(wǎng)絡(luò)攻擊、蠕蟲木馬傳播、惡意病毒等等。然后配備了一個專門的監(jiān)控團(tuán)隊(duì)，組建安全運(yùn)營中心，專業(yè)運(yùn)維團(tuán)隊(duì)實(shí)時監(jiān)控值守。

　　我們?yōu)榱诉@個項(xiàng)目的支撐，完成我們第一個挑戰(zhàn)，編寫形成安全監(jiān)控交互式數(shù)據(jù)接口標(biāo)準(zhǔn)化草案。國內(nèi)首個行業(yè)內(nèi)信息安全監(jiān)控?cái)?shù)據(jù)交互接口規(guī)范。涵蓋數(shù)據(jù)上報(bào)、知識共享、查詢交互、認(rèn)證等多方面。兼容國內(nèi)主流安全產(chǎn)品。實(shí)現(xiàn)海量告警數(shù)據(jù)整合與多源告警分析。全網(wǎng)多層分布式共部署安全監(jiān)測設(shè)備200余臺，每天產(chǎn)生近億條待分析安全告警日志。這些日志信息除了合理存儲外，更需要建立層次化的實(shí)時關(guān)聯(lián)分析以及模擬攻擊場景的復(fù)雜策略分析。平臺創(chuàng)新設(shè)計(jì)了多層次分布式軟硬件支撐結(jié)構(gòu)和模糊場景關(guān)聯(lián)分析算法，有效的解決了海量告警數(shù)據(jù)的存儲和分析名中，系統(tǒng)目前已經(jīng)具備每日分析處置數(shù)億條原始日志的計(jì)算能力。監(jiān)控預(yù)警平臺應(yīng)用及推廣情況。目前，監(jiān)控預(yù)警平臺運(yùn)維穩(wěn)定，已有15家委辦局使用平臺提供的定制化監(jiān)測預(yù)警服務(wù)。截止到2012年7月3日18點(diǎn)，監(jiān)測網(wǎng)絡(luò)共上報(bào)原始報(bào)警日志479億條，平臺發(fā)現(xiàn)處置信息安全事件86450起，經(jīng)過運(yùn)維人員發(fā)現(xiàn)高危級事件367次，共涉及140余家相關(guān)單位，所有事件均得到了及時處置。首個應(yīng)用SaaS模式的監(jiān)控預(yù)警平臺構(gòu)成的初級防御生態(tài)體系。

　　把握住大網(wǎng)建設(shè)的發(fā)展機(jī)遇，產(chǎn)業(yè)內(nèi)充分合作構(gòu)建防御生態(tài)，才能真正開始信息安全的雙贏掘金之旅。我的介紹就到這里，謝謝大家。

　　推薦閱讀

　　我國網(wǎng)絡(luò)防護(hù)能力提高 智能終端成安全重點(diǎn)

記者從4日召開的2012中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會上獲悉，2011年我國企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率98.78%，較2010年的92.25%穩(wěn)步提升。但今年我國的網(wǎng)絡(luò)安全形勢更加復(fù)雜，智能終端將成為網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)目標(biāo)。 國家>>>詳細(xì)閱讀

本文標(biāo)題：曹鵬：網(wǎng)絡(luò)安全監(jiān)測模式面臨挑戰(zhàn)

地址：http://m.sdlzkt.com/a/11/20120705/73488.html

 1/2    1  2 下一頁