2017年流量安全分析平臺建設.pdf

1、議題需求架構場景案例你是哪一種？世界上有三種人 被黑過 不知道被黑過 不承認被黑過傳統安全模型問題攻防如何博弈？防護檢測檢測、感知的目的孤島系統違規系統.有什么？風險、漏洞安全事件異常訪問.有什么問題？連接對象方式方法通信內容.在干嘛？數據來源終端數據流量數據安全數據傳統流量分析缺陷 基于傳輸層 知其然不知其所以然 適用于趨勢分析應用層檢測的最佳實踐安全需求自動化資產發現、端口、版本、關系資產發現5元組信息、會話時長、包數量、大小等協議解析內容解析威脅識別漏洞利用、掃描、C&C、異常訪問、威脅情報服務、應用、版本、通信內容解析全流量存儲原始流量保存，索引系統架構 1.多場景適應 2.易擴展網絡

2、分流層 1.數據一路多出 2.數據一路多分流量解析層 1.Bro：DPI內容識別 2.Snort：NIDS特征匹配告警 3.Moloch：全原始流量抓取，分析固證 about suricate數據存儲層 1.數據統一格式化處理 2.海量數據存儲 3.全文索引 4.易于使用分析應用層 讓數據產生價值的地方！資產自動發現主機識別：bro-knowhosts服務識別：bro-conn、應用識別：bro-software、snort-openid資產自動發現數據抽取主動掃描去重導入ESAPI關聯入庫案例 資產自動掃描被動式web漏洞掃描用途：發現未知漏洞發現未知攻擊免爬蟲掃描數據：bro-http被動式漏洞掃描數據抽取掃描檢測去重導入ESAPI關聯入庫案例-被動式web漏洞掃描威脅情報分析1域名檢測bro-dnsbro-http2URI檢測bro-httpbro-smtp3IP檢測bro-conn4HASH檢測bro-files案例-威脅情報分析案例-復用http服務后門 1.繞過防火墻ACL規則 2.特定IP生效案例-后門訪問 1.特定時間訪問 2.固定訪問頻率 3.特定C2地址SOCSIEM對接 1.復雜事件處理 2.關聯規則 3.自動化告警 4.聯動機器學習 1.監督學習的數據(特征、標簽)2.無監督學習的聚類數據案例-機器學習應用