7月4日消息,2012年中國計算機網絡安全年會在西安舉行,東軟網絡安全產品營銷中心副總經理曹鵬在發表演講時表示,數據大集團中網絡安全監測模式面臨困境挑戰。
東軟網絡安全產品營銷中心副總經理曹鵬
以下為演講實錄:
大家下午好。
數據大集團中網絡大集中發現背景下的安全監測模式面臨的困境挑戰。下面二級三級所有分支的機構和單位會發現他們對信息安全,不管是人力物力還是財力的投入都會越來越少。成百上千個我們采購的設備,這些年來有一個質疑的聲音說它們沒用,我們所能夠采用的數據規模如果越來越大,必然我們分析和看到的趨勢也將越來越多,如果未來大網是它發展的趨勢我們能夠在這張大網中做哪些改進和改變。
大網掘金,一個差不多的金礦是100000:1是金礦石的合格含量,今天它同樣是大網背景下的安全監測事件分析命中率。大網的安全檢測模式成為了發展趨勢,一個小型的A用戶、B用戶、C用戶,大網的第一個特點,你會看到數十個不同廠家的設備,在這種模式下面,如果我們安全的監測和預警,整個的機制體制發揮效應,你要采集到大量的內容。我把我監測出來的安全的實踐,如果通過我們的運維提升它的效率,這是我們在思考的一個問題,我們應該把我們的安全運營放在一起不斷的開發,效率不斷的提升,所以你會發現很快就會做到我們個人能力的極限。如何能夠真正的讓我們去突破這個底線。
大網環境下安全設備的日志信息構成“待開發的信息寶藏”。關鍵分析策略:首先重點關注被組織訪問行為,如某IP地址重復出現大量被阻止訪問告警日志,往往多為蠕蟲惡意代碼自動所為。其次關注內到外的允許行為中短時間出現大量敏感業務端口。我們看第一個案例,內網PC遭受黑客感染,來自安全域邊界防火墻的告警分析展示:內網地址發現明顯黑客肉雞特征的大量攻擊行為,感染主機先后大范圍進行散彈式隨機互聯網IP地址掃描探測,包含有445 80 3389 3306等敏感服務端口。在大量的正常訪問日志中建立基線觸發異常。入侵檢測設備告警日志分析關注應用事件的上下聚合關聯。關鍵分析策略:根據事件名稱進行事件類別歸類,同時取來源目的IP地址和端口。這個是典型告警事件分析2:夜間對部委網站發起的漏洞利用攻擊。內網PC遭受黑客感染,顯示來自某理工大學的IP地址針對國家部委網站發起了一次明顯的應用層漏洞攻擊。應用層告警的判斷依據主要是數量多、業務層告警連續觸發誤告很低,且告警時間網站內容敏感。短時間內連續觸發大量告警行為其誤告率會下降。這是短時間內針對目標來自不同部署位置不同類型的安全設備告警,且告警攻擊類型和數量都較多,其攻擊行為的命中率也會非常高。建立一套合理的分析機制,將分析數據從日志聚合走向事件關聯。
防御體系中的運行日志與誤告警。關鍵詞:是什么導致一套監測防御體系建設后走向平庸。過于敏感的網絡流量檢測技術針對正常應用訪問極易觸發各類誤告警,例如Web技術發展豐富多樣性,相關代碼最容易與安全關鍵檢測字樣本發生碰撞,誤告警過高使得真實告警事件難以發現。傳統安全防御體系中設備大部分還在傳統的就事論事的工作模式,即根據內置樣本或者固化策略分析問題。
我們能不能真正去改變這樣的現狀。結合大網發展是未來非常好的趨勢,這個趨勢是勢不可當的。在大網環境下可以看到眾多廠家品牌的不同類型安全防御設備,其部署位置多樣其監測分析的基礎能力可以說是蘊含豐富。如果能夠將這些監測資源能力進行整合。大網促生未來安全監測防御的生態華體系發展。安全監測預警防御體系不應是單純的設備重疊或者只是強調日志統一管理平臺的建設規模。我們能不能不再讓平臺是一個工具,如果說它是一個平臺,讓大家都能按照自己的需要,大家一起去到里面參與,改變安全監測工具的模式,把工具變成平臺,我們能夠讓更多的人參與到里面的工作,也許會有很大的不同。為了能夠讓我們的想法,或者說讓我們的設想真正能夠開始落地,我們也一直尋找,我們在2011年的時候尋找了這么一個建設機會,2011年在北京市電子政務外網取得技術突破獲得好評。自建67個節點17款不同類型設備入網進行異構部署。為了能夠讓我們的監控更加有效,實時監測網絡攻擊、蠕蟲木馬傳播、惡意病毒等等。然后配備了一個專門的監控團隊,組建安全運營中心,專業運維團隊實時監控值守。
我們為了這個項目的支撐,完成我們第一個挑戰,編寫形成安全監控交互式數據接口標準化草案。國內首個行業內信息安全監控數據交互接口規范。涵蓋數據上報、知識共享、查詢交互、認證等多方面。兼容國內主流安全產品。實現海量告警數據整合與多源告警分析。全網多層分布式共部署安全監測設備200余臺,每天產生近億條待分析安全告警日志。這些日志信息除了合理存儲外,更需要建立層次化的實時關聯分析以及模擬攻擊場景的復雜策略分析。平臺創新設計了多層次分布式軟硬件支撐結構和模糊場景關聯分析算法,有效的解決了海量告警數據的存儲和分析名中,系統目前已經具備每日分析處置數億條原始日志的計算能力。監控預警平臺應用及推廣情況。目前,監控預警平臺運維穩定,已有15家委辦局使用平臺提供的定制化監測預警服務。截止到2012年7月3日18點,監測網絡共上報原始報警日志479億條,平臺發現處置信息安全事件86450起,經過運維人員發現高危級事件367次,共涉及140余家相關單位,所有事件均得到了及時處置。首個應用SaaS模式的監控預警平臺構成的初級防御生態體系。
把握住大網建設的發展機遇,產業內充分合作構建防御生態,才能真正開始信息安全的雙贏掘金之旅。我的介紹就到這里,謝謝大家。
推薦閱讀
記者從4日召開的2012中國計算機網絡安全年會上獲悉,2011年我國企業網絡安全防護措施總體達標率98.78%,較2010年的92.25%穩步提升。但今年我國的網絡安全形勢更加復雜,智能終端將成為網絡安全防護的重點目標。 國家>>>詳細閱讀
本文標題:曹鵬:網絡安全監測模式面臨挑戰
地址:http://www.geekbao.cn/a/11/20120705/73488.html
網友點評
精彩導讀
科技快報
品牌展示