流量分析？日志分析？安全態勢感知該怎么選？

2021-03-14 分類：網站建設

本文主要基于目前業界主流的兩大安全態勢感知系統安全要素獲取維度，進行綜合對比分析，旨在為安全態勢感知系統的建設尋找更適合的建設模式。

本模式主要通過在網絡的關鍵路徑，如服務器區、核心區、出口區旁路部署探針設備（一般均為軟硬件一體設備），對網絡流量中的異常安全事件進行解析，包括攻擊流量特征、威脅文件傳輸等，然后把結果實時同步到上端分析平臺，進行深度關聯分析及問題定位呈現。

不需要現網其他設備對接配合，可實現快速部署，可復制性強，且借助原始流量關鍵信息的還原、存儲，可以提供更多的原始數據回溯支持，便于深度分析。

不能整合現網已有網絡組件的安全信息，包括已經部署的大量安全設備，分析能力受限于一家廠商的研發水平，不能集各家所長，同時對于需要日志強相關的分析模型無法建立，例如本地異常登錄、NAT溯源等等，這些模型必須依靠日志的強支撐。

本模式主要通過采集現網網絡組件的日志，包括安全設備、網絡設備、服務器、中間件、甚至業務系統等，進行統一日志標準處理后，對安全問題進行關聯分析。廣義上說，其實所對接的安全設備等也屬于平臺的感知探針之一。

能充分整合全網安全相關信息，采集分析維度更全面，依據各安全設備的分析日志結果，可以集各家所長，不受限于一家廠商的分析能力。同時對日志的采集，也天然滿足了網絡安全法、等保日志審計的合規要求，這個是流量分析所不具備的。

由于每個用戶現場設備廠商、類型差異非常大，所以可采集到的信息不可控，分析模型的復制性受限，對接優化周期較長，同時對安全問題回溯，由于沒有原始流量數據支撐，深度排查可能受限。

只有將“日志維度+流量維度”有效融合，同時結合威脅情報、智能分析的建設模式才是后續安全態勢感知系統發展的方向。此模式可以很好地發揮日志分析全面性、異構性、合規性優勢，同時配合流量分析維度，解決威脅深度分析、回溯支持、快速部署等問題。基于以上理念，銳捷網絡在2016年推出了安全態勢感知系統RG-BDS大數據安全平臺。

三、流量分析是否可以替代日志分析

雖然從協議層面，日志發送大部分采用SYSLOG非加密方式，通過流量探針，理論上是可以解析出來所傳輸日志內容，但實際項目部署角度，所有的網絡組件默認都是不往外發送日志的，只有配置日志外發功能后，才有日志的流量產生。因此直接配置將日志外發到分析平臺最直接、最準確的方式，而通過配置日志外發后再用流量探針從流量中抓取出來，本身就是不合理的方式，同時還會帶來原始日志還原度問題。

網絡中不是所有的日志，都是主動發送模式，例如很多業務日志、文件日志，是需要分析平臺主動讀取日志，所以通過流量探針無法讀取到其日志數據。

另外需要強調的是，日志抓取并不是分析平臺的核心技術，考驗一個平臺對日志的分析能力，最關鍵的是平臺對各類型日志的解析能力以及綜合關聯分析能力。

綜上所述，安全態勢感知平臺建設應有效融合“日志+流量”兩大維度，相互發揮各自優勢。實際應用中也可考慮采用分階段建設模式，如先將日志維度納入，在建設態勢感知平臺的同時滿足等保、安全法合規需求，再分階段納入流量分析維度進行安全分析能力的進一步完善。

分享文章：流量分析？日志分析？安全態勢感知該怎么選？
分享鏈接：http://m.kartarina.com/news1/105151.html

成都網站建設公司_創新互聯，為您提供電子商務、網站導航、企業建站、搜索引擎優化、ChatGPT、網站設計

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容