基亍机器学习不攻击树的威胁感知方法不实践.PDF

基亍机器学习不攻击树的威胁感知方法不实践 充分发挥IPS/IDS价值 提高攻击对抗能力 CCIE CISSP CISA PMP 密级 ：限制分发 © 2015 绿盟科技 目录 1 IDS/IPS安全运维现状 2 基于机器学习与攻击树的威胁感知 3 实践案例-某企业云平台部署案例 1个疑问？ IPS/IDS在1G流量的环境下，一天内会产生多少条告警？ 答案 意味着归并后运维人员还需要面对12万条告警日志！ 近年来随着企业的网络应用越来越复杂、开放，黑客攻击也趋向频繁， 造成IPS/IDS此类检测2-7层攻击的安全设备的日志量越来越大 2-7层黑客攻击 IPS/IDS规则匹配 日志归并告警 •溢出攻击 •基亍攻击特征 •基亍同规则事 •蠕虫病毒 规则告警，绿 件的归并 •木马后门 盟科技IPS/IDS •DDoS攻击 规则库拥有 •网络嗅探 6400条规则约 •VOIP攻击 6400条规则 •WEB攻击 •混合型攻击 1G流量下约匹 约12万条告警 •… 配120万次攻击 告警丼例： 真实的故事1-于平台断网事件 发现内网一些主机被控制 对外发起实施ddos攻击 ， 峰值流量达到2G ，导致出 口防火墙挂掉。 黑客 云平台核心服务器群 黑客攻击 Internet WEB服务器 核心区 由内到外DDoS 测试发布区 运维服务区 NIDS Server • 一个看似平静的一天，突然整个于平台断网！ 该于平台IDS运维现状 实际上在此期间IDS已经检测到黑客攻击主机（主控端）不于平台主机（被控 端）之间的恶意通讯指令，如下图的告警信息。 由亍IDS告警量非常多（1G带宽下，IPS/IDS一天可产