天融信TSM产品介绍.pptVIP

风险管理 第二十六页，共五十六页。 安全事件处理流程 Event Database Agent VPN Virus HIDS NIDS Firewall Database Router Switch Server Knowledge Database Raw Data Information Key Information Action Expert Manager 1 Manager 2 Advisor Knowledge Console 呼叫中心 安全管理员 归一化 过滤 归并 100万 Events 1 万 Events 1百 Events 第二十七页，共五十六页。 事件整合流程 Raw Events Denial of Service Worm antivirus Normal/Benign Normalization and filtering Correlate and analyze Threat Events sources Event category 表示一个事件 过滤 冗余处理 归纳分类 绑定环境 杂乱的事件 长短一致 颜色分类 攻击场景匹配 第二十八页，共五十六页。 9/10/01 5：05：29 PM， %PIX-6-106015：Deny TCP（no connection）from 8/2182 to 0/63228 flags SYN RST PSH ACK on interface outside 2001-08-20 16:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6| Tcp,sp=11711,dp=1031,flags=AP| Product Name ET SIP SP DIP DP Location Dept services OS PIX_FW Beijing Finance HTTP WIN2000 IDS Shanghai Market SMTP SOLARIS PIX Firewall – standard syslog format IDS – Data Items separated by pipes EVENTS Table Normalization Business Relevance 9/10/01 5：05：29 PM 2001-08-20 16:12:56 8 2182 0 63228 40 11711 41 1031 安全事件管理——事件标准化 第二十九页，共五十六页。 系统支持二级过滤功能，大量的噪音数据可以在Agent端直接丢弃，在管理服务器端还可以进行进一步的过滤以减少数据库的压力。 所有事件过滤功能都使用SQL 92标准组合任意过滤条件，可以使用户灵活的控制事件过滤条件。 安全事件管理——事件过滤 第三十页，共五十六页。 基于状态机的关联分析 S0 S1 S2 E0入侵检测事件 E1FW事件 E2DB事件 E3web事件 E5超时 E4FW2事件 关联分析引擎实现对来自不同应用、设备、系统等产生的不同类型的事件的实时关联 通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发 实时关联来自不同设备的安全事件，可以大大的降低IDS的误报率，发现引发安全事件的真正原因和隐藏的威胁。 系统不可用 Firewall? HOST? DB? Web Server ? TSM 关联分析 主机应用异常导致服务问题 S0:正常 E0:应用系统异常事件（From Application Host） E1:防火墙异常事件 E2:数据库系统异常事件 S1:系统部分异常 E3:WEB服务异常事件 S2:WEB SERVER出现异常 E4:状态超时 由于XX（E0,E1,E2,E3）原因导致的服务异常 第三十一页，共五十六页。 关联分析可加速问题定位、提高系统可用性 第三十二页，共五十六页。 基于规则的关联分析： 将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列安全事件序列）加以预先定义。系统能够使用定义好的关联性规则表达式，对收集到的安全事件进行检查，确定该事件是否和特定的规则匹配。 基于统计的关联分析： 定义一些大的安全事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到该阀值，可以产生一个级别更高的安全事件。 基于资产的关联分析： 安全事件能与相关资产的敏感性以及相关资产上的漏洞进行关联，从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。 基于广义漏洞的关联分析： 安全事件能同网段的相