04.天融信TSM3.0产品介绍.pptVIP

* * * 事件通过收集、归并、关联分析、响应、处理、恢复等等过程，完成信息采集-安全分析-报警响应。 * 事件整合是将统一好的事件按照类型进行归并分类，提取需要分析的安全事件。 * * 事件统一过程是将杂乱无章的各种事件类型的不同格式事件统一为同一事件格式，为之后的分析做铺垫。 * * 使用图形化的方式将过滤条件的定义按照SQL语言的方式组织出来，使用户可以通过图形方式定义复杂的SQL标准条件，提供了SQL语言支持的所有的图形表达方式。目前该技术在国内属于领先地位。 关联分析的重点就是把几个设备或者服务器产生的事件，按照顺序进行分析，顺序的构成非常灵活：fw－服务器，fw和ids－服务器。 我们的核心竞争力就体现在随意定义要先分析谁，再分析谁。而其他厂家往往无法这样灵活的定义。 * * 随着计算机技术的发展，企业的业务应用日益复杂；系统, 网络和应用软件的问题都会导致企业IT系统的不可用。 复杂的网络，系统及应用软件导致问题定位问题的困难。大型的企业IT应用系统出现问题后发现和定位故障点的往往需要花去我们百分之80%的时间，而解决问题本身往往只需20%的时间即可。 IDS及传统的审计技术无法实现和不同企业业务应用进行有效整合，同时也无法实现与企业IT应用的业务流程相关，关联分析有效解决了传统系统所无法解决的问题，帮助企业最终实现“可信”，“可靠”企业应用。 关联分析将不同应用，设备和系统产生的事件按根据用户实际业务系统及流程制定的场景进行关联和分析。 * * * * 采用池技术，重复利用状态对象，减小资源消耗提高响应效率。 并且提供了有效状态管理机制，防止状态爆炸 * * * * 9/10/01 5：05：29 PM， %PIX-6-106015：Deny TCP（no connection）from 8/2182 to 0/63228 flags SYN RST PSH ACK on interface outside 2001-08-20 16:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6| Tcp,sp=11711,dp=1031,flags=AP| Product Name ET SIP SP DIP DP Location Dept services OS PIX_FW Beijing Finance HTTP WIN2000 IDS Shanghai Market SMTP SOLARIS PIX Firewall – standard syslog format IDS – Data Items separated by pipes EVENTS Table Normalization Business Relevance 9/10/01 5：05：29 PM 2001-08-20 16:12:56 8 2182 0 63228 40 11711 41 1031 安全事件管理——事件标准化 系统支持二级过滤功能，大量的噪音数据可以在Agent端直接丢弃，在管理服务器端还可以进行进一步的过滤以减少数据库的压力。 所有事件过滤功能都使用SQL 92标准组合任意过滤条件，可以使用户灵活的控制事件过滤条件。 安全事件管理——事件过滤 基于状态机的关联分析 S0 S1 S2 E0入侵检测事件 E1FW事件 E2DB事件 E3web事件 E5超时 E4FW2事件 关联分析引擎实现对来自不同应用、设备、系统等产生的不同类型的事件的实时关联 通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发 实时关联来自不同设备的安全事件，可以大大的降低IDS的误报率，发现引发安全事件的真正原因和隐藏的威胁。 系统不可用 Firewall? HOST? DB? Web Server ? TSM 关联分析 主机应用异常导致服务问题 S0:正常 E0:应用系统异常事件（From Application Host） E1:防火墙异常事件 E2:数据库系统异常事件 S1:系统部分异常 E3:WEB服务异常事件 S2:WEB SERVER出现异常 E4:状态超时 由于XX（E0,E1,E2,E3）原因导致的服务异常 关联分析可加速问题定位、提高系统可用性 基于规则的关联分析： 将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列安全事件序列）加以预先定义。系统能够使用定义好的关联性规则表达式，对收集到的安全事件进行检查，确定该事件是否和特定的规则匹配。 基于统计的关联分析： 定义一些大的安全事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到该阀值，可以产