山石网科高级安全关联分析技术白皮书.PDF

山石网科高级安全关联分析技术白皮书 信息安全事件可以被归类为 数据缺乏可用性、完整性、机密性。为了保护它们，很多安全厂商都曾投入 大量的研究和努力。于是产生了当今众多的安全产品和技术，如防火墙、入侵检测/ 防御系统、强认证访问控 制机制、虚拟专用网，公共密钥基础设施等。全世界的企业就在使用这些产品和技术来防御和发现信息安全 事件。 现在，系统的收集和关联不同安全产品和技术在用户网络中发现的行为，比以往更加势在必行。用户需 要一种信息，这种信息能够帮助分析师或管理员准确和及时的识别、定级、缓解网络攻击、策略漏洞、违规 现象。 山石网科安全信息关联管理系统能够集中存储和解析从山石网科StoneShield安全架构的不同子系统中获 取的安全事件数据，这样不仅能够不断积累安全事件拼图的碎片，而且能够把所有碎片放在一起，来揭示出 隐藏在表象背后的阴谋阳谋。 简而言之，当今的威胁场景和山石网科的关联分析策略可以总结如下： 当今的网络攻击包括多个步骤：端口扫描、漏洞扫描、入侵获取访问权限、维持访问权限、破坏或盗取 数据并清除痕迹。过程中的每一步都能找到攻击的证据。 因此，用户需要持续的进行恶意代码检测，来覆盖 整个威胁的生命周期。对不同阶段和攻击源进行关联是非常必要的，它能够缩小排查范围和找出真正的攻击 者。 销售/服务热线：400-828-6655 网络攻击的证据就散落在不同的事件、日志、告警，以及其它设备数据（如抓包、会话统计信息等） 中。 单一源的攻击检测会导致较高的误报率。 从大量的信息中尽可能多的利用证据是非常必要的，这样才能得到更好的检测准确率。 使用高效智能的关联算法非常重要，它能从大规模复杂网络环境中找出高超攻击的蛛丝马迹。 关联分析过程 分析的过程实际上就是构建低层面信息模型和高层面分析思维模型之间的桥梁。低层面信息模型负责格 式化多种多样相互独立的信息事件。关联引擎需要通过多种合并和变换算法来对这些