2017年流量安全分析平台建设.pdf

1、议题需求架构场景案例你是哪一种？世界上有三种人 被黑过 不知道被黑过 不承认被黑过传统安全模型问题攻防如何博弈？防护检测检测、感知的目的孤岛系统违规系统.有什么？风险、漏洞安全事件异常访问.有什么问题？连接对象方式方法通信内容.在干嘛？数据来源终端数据流量数据安全数据传统流量分析缺陷 基于传输层 知其然不知其所以然 适用于趋势分析应用层检测的最佳实践安全需求自动化资产发现、端口、版本、关系资产发现5元组信息、会话时长、包数量、大小等协议解析内容解析威胁识别漏洞利用、扫描、C&C、异常访问、威胁情报服务、应用、版本、通信内容解析全流量存储原始流量保存，索引系统架构 1.多场景适应 2.易扩展网络

2、分流层 1.数据一路多出 2.数据一路多分流量解析层 1.Bro：DPI内容识别 2.Snort：NIDS特征匹配告警 3.Moloch：全原始流量抓取，分析固证 about suricate数据存储层 1.数据统一格式化处理 2.海量数据存储 3.全文索引 4.易于使用分析应用层 让数据产生价值的地方！资产自动发现主机识别：bro-knowhosts服务识别：bro-conn、应用识别：bro-software、snort-openid资产自动发现数据抽取主动扫描去重导入ESAPI关联入库案例 资产自动扫描被动式web漏洞扫描用途：发现未知漏洞发现未知攻击免爬虫扫描数据：bro-http被动式漏洞扫描数据抽取扫描检测去重导入ESAPI关联入库案例-被动式web漏洞扫描威胁情报分析1域名检测bro-dnsbro-http2URI检测bro-httpbro-smtp3IP检测bro-conn4HASH检测bro-files案例-威胁情报分析案例-复用http服务后门 1.绕过防火墙ACL规则 2.特定IP生效案例-后门访问 1.特定时间访问 2.固定访问频率 3.特定C2地址SOCSIEM对接 1.复杂事件处理 2.关联规则 3.自动化告警 4.联动机器学习 1.监督学习的数据(特征、标签)2.无监督学习的聚类数据案例-机器学习应用