QQ登录

只需一步,快速开始

微信登录

扫一扫,访问微社区

柳月论坛

查看: 159|回复: 2

数据安全分析思想探索

  [复制链接]
九方名座 发表于 2018-7-21 14:43:57 | 显示全部楼层 |阅读模式

注册会员,学习更多最新技术!

您需要 登录 才可以下载或查看,没有帐号?点击注册

x
前言

日志分析在入侵检测中的应用越来越广泛,合适的使用日志,使日志产生巨大的价值,本文旨在探讨如何让日志的价值在安全领域发挥作用。


安全日志分析的目的意义

1.通过对企业内部的各项数据进行汇总关联分析,如防火墙、安全设备、WAF、HIDS等产生的攻击日志,关联killchain的上下文信息,感知可能正在发生的攻击,从而规避存在的安全风险;

2.安全检测:从不同角度维度检测系统内部的安全风险;

3.应急响应:从日志中还原攻击者的攻击路径,从而挽回已经造成的损失;

4.溯源分析:回溯攻击入口与方式;

5.安全趋势:从较大的角度观察攻击者更“关心”哪些系统;

6.安全漏洞:发现已知或未知攻击方法,从日志中发现应用0day、Nday;

数据安全分析图

要做数据安全分析,数据收集是基础,数据收集之后,就要对数据进行治理,数据治理的意义就是服务于数据分析阶段,而数据分析的源头在于收集了哪些数据。因此在数据分析过程中,这三个阶段是循环的过程。好比买菜、洗菜、炒菜。买菜的过程就是数据收集的过程,洗菜就是数据治理的过程,炒菜就是数据分析的过程。要做成什么菜,就需要买相应的食材,你要我用web日志分析勒索攻击,这…… 1531367470913.jpg

一、数据收集

基本上任何有关数据的工作第一步都是数据的收集,所以我们先买菜吧!通过爬虫也好,通过日志也好、通过旁路流量也好,都可以收集数据。数据收集阶段是数据治理阶段和数据分析阶段的基础。(买菜是洗菜和做菜的基础。)

在数据收集阶段,我们要从数据分析的角度去思考,我们在做安全分析的时候,我们需要哪些数据,由此产生以下4问。

1.What 收集哪些数据

2.Where 数据在哪

3.How 如何去收集

4.All 数据接完了吗

1.1 What:收集哪些?

下面简单列出一些收集的日志,重点在于,收集的对象,它能产出哪些日志?

1.1.1 服务器日志服务器日志包括系统运行,账户认证,命令操作,系统运行等等日志。

1.1.2 流量检测日志流量检测设备通过旁路的方式分析全网流量,包括DNS请求,SMTP发送日志。

1.1.3 设备日志设备的种类很多,每一种设备都有自己检测的日志

网络设备:VPN,负载,代理服务器,路由,交换

安全设备:FW,IDS,IPS,AV,UTM,WAF,APT,抗DDoS

审计设备:数据库审计,上网行为,运维安全审计,内网审计系统

PC终端:杀毒软件

1.1.4 应用日志:Nginx,Tomcat,Jboss,Apache,Tuxedo,WebLogic

1.1.5 数据库日志:DB2,MySQL日志,Oracle日志,SQLserver

1.1.6 应用系统日志认证系统:堡垒机,电子签章,CA认证,身份服务引擎,无线网络控制

管理系统:数据库管理系统,数据交换系统

1.1.7 业务日志

1.1.8 ……


确定了收集哪些方面的数据后,然后就需要了解这些服务器设备有哪些日志,在数据安全分析时需要服务器及安全设备的哪些日志。


回复

使用道具 举报

ovldt75 发表于 2018-11-26 00:58:53 | 显示全部楼层
色综合网 t.cn/RSxGk9F
回复 支持 反对

使用道具 举报

kgsxn47 发表于 2018-11-26 14:49:00 | 显示全部楼层
撸啊撸在线视频 t.cn/RSxG3pg
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 点击注册

本版积分规则

QQ|手机版|小黑屋|Archiver| 柳月论坛 ( 鄂ICP备16013399号-1 )

GMT+8, 2018-12-14 17:54 , Processed in 0.115455 second(s), 22 queries , Gzip On.

Powered by 柳月论坛

© 2010-2018

快速回复 返回顶部 返回列表