日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
基于記憶的APT檢測原理系統(tǒng)框架

按照數(shù)據(jù)—信息—知識逐層提煉的模式,基于記憶的APT攻擊檢測系統(tǒng)結(jié)構(gòu)分為三級,系統(tǒng)整體架構(gòu)圖如下:

創(chuàng)新互聯(lián)于2013年創(chuàng)立,先為寶雞等服務(wù)建站,寶雞等地企業(yè),進行企業(yè)商務(wù)咨詢服務(wù)。為寶雞企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

 基于記憶的檢測系統(tǒng)架構(gòu)圖

存儲層

存儲層完成對從互聯(lián)網(wǎng)直接獲取的實時數(shù)據(jù)流的預(yù)處理和存儲管理工作。對實時數(shù)據(jù)流首先進行傳輸層的會話還原,消除因網(wǎng)絡(luò)條件造成的亂序、重傳、延遲等對后續(xù)分析的干擾;然后進行應(yīng)用協(xié)議識別,判斷數(shù)據(jù)流上所承載的具體應(yīng)用;最終從非結(jié)構(gòu)化的數(shù)據(jù)流中抽取結(jié)構(gòu)化的元數(shù)據(jù)信息,以便后續(xù)的各類統(tǒng)計和關(guān)聯(lián)分析。

預(yù)處理后的原始數(shù)據(jù)流,既包括完整的全流量數(shù)據(jù),又包括提取后的元數(shù)據(jù)??紤]到海量數(shù)據(jù)的存儲壓力,可對不同類型的數(shù)據(jù)采取靈活的管理策略:

(1) 對于全流量數(shù)據(jù),進行窗口長度為星期級的存儲。由于全流量數(shù)據(jù)會占用海量存儲空間,不宜進行長期存儲,但全流量數(shù)據(jù)對于后續(xù)的回溯分析又是必須的。為此采用折中的存儲策略:只存儲最近幾周(例如1-2周)的全流量信息,對于超期的數(shù)據(jù)進行降解處理。

(2) 對于元數(shù)據(jù),進行年度級的存儲。提取后的元數(shù)據(jù)只包含應(yīng)用層會話的關(guān)鍵信息,其數(shù)據(jù)量大約相當(dāng)于全流量信息的5%,這類信息對后續(xù)的統(tǒng)計、關(guān)聯(lián)和數(shù)據(jù)挖掘具有重要的作用,且占用的空間在可接受范圍內(nèi),因此在平臺中進行長期存儲。

分析層

分析層完成從原始流量數(shù)據(jù)中產(chǎn)生獨立報警信息的工作,主要方法包括:

(1) 對于能引起網(wǎng)絡(luò)流量顯著異常的攻擊,如DDoS、掃描、蠕蟲傳播等,可通過異常流量檢測和統(tǒng)計分析的方式進行識別。通過建立全面、完整的安全基準(zhǔn)指標(biāo)體系,可以快速識別網(wǎng)絡(luò)流量異常;通過統(tǒng)計分析,可準(zhǔn)確定位異常的位置和原因。

(2) 對于不引起流量異常的未知攻擊,可通過可疑行為建模的方式進行識別。例如對于尚未提取特征的木馬,其連接控制端的時候可能會存在未知的加密傳輸、疑似心跳信號的間歇性連接、惡意域名訪問、異常的上下行流量比等行為,通過對這些可疑行為進行關(guān)聯(lián),就有可能檢測到木馬連接行為。

(3) 對于通過異常檢測模塊產(chǎn)生的各類報警,由于缺乏攻擊簽名信息進行驗證,其準(zhǔn)確度往往低于基于特征匹配的誤用檢測。為此還需要結(jié)合原始報文,對報警的有效性進一步確認(rèn)。通過報文所承載的應(yīng)用層對象做細粒度的協(xié)議解析和還原,可輔助分析人員判定會話內(nèi)容是否包含攻擊數(shù)據(jù),從而進一步產(chǎn)生精確報警。

展示層

展示層完成從孤立的攻擊報警信息生成完整的攻擊場景的關(guān)聯(lián)工作,并提供可視化分析前端工具,幫助分析人員從存儲的海量歷史數(shù)據(jù)中獲取知識。對于攻擊場景關(guān)聯(lián),常見的方法是基于關(guān)聯(lián)規(guī)則匹配攻擊場景。由于APT攻擊手段的復(fù)雜性,在實際環(huán)境中往往會因為報警事件的缺失導(dǎo)致無法進行完整攻擊路徑圖的匹配,進而導(dǎo)致建立APT場景失敗,為此要解決基于不完整攻擊路徑的攻擊場景匹配問題。對于多維數(shù)據(jù)可視化分析,要提供給分析人員一套能從地址、端口、協(xié)議類型等維度對數(shù)據(jù)進行統(tǒng)計展示的工具,并支持按照不同的粒度對數(shù)據(jù)進行鉆取,方便分析人員在大數(shù)據(jù)中定位可疑行為。


網(wǎng)頁題目:基于記憶的APT檢測原理系統(tǒng)框架
文章出自:http://www.dlmjj.cn/article/dposdss.html