数据安全分析思想探索

前言

日志分析在入侵检测中的应用越来越广泛，合适的使用日志，使日志产生巨大的价值，本文旨在探讨如何让日志的价值在安全领域发挥作用。

安全日志分析的目的意义

1.通过对企业内部的各项数据进行汇总关联分析，如防火墙、安全设备、WAF、HIDS等产生的攻击日志，关联killchain的上下文信息，感知可能正在发生的攻击，从而规避存在的安全风险；

2.安全检测：从不同角度维度检测系统内部的安全风险；

3.应急响应：从日志中还原攻击者的攻击路径，从而挽回已经造成的损失；

4.溯源分析：回溯攻击入口与方式；

5.安全趋势：从较大的角度观察攻击者更“关心”哪些系统；

6.安全漏洞：发现已知或未知攻击方法，从日志中发现应用0day、Nday；

数据安全分析图

要做数据安全分析，数据收集是基础，数据收集之后，就要对数据进行治理，数据治理的意义就是服务于数据分析阶段，而数据分析的源头在于收集了哪些数据。因此在数据分析过程中，这三个阶段是循环的过程。好比买菜、洗菜、炒菜。买菜的过程就是数据收集的过程，洗菜就是数据治理的过程，炒菜就是数据分析的过程。要做成什么菜，就需要买相应的食材，你要我用web日志分析勒索攻击，这……

一、数据收集

基本上任何有关数据的工作第一步都是数据的收集，所以我们先买菜吧！通过爬虫也好，通过日志也好、通过旁路流量也好，都可以收集数据。数据收集阶段是数据治理阶段和数据分析阶段的基础。（买菜是洗菜和做菜的基础。）

在数据收集阶段，我们要从数据分析的角度去思考，我们在做安全分析的时候，我们需要哪些数据，由此产生以下4问。

1.What 收集哪些数据

2.Where 数据在哪

3.How 如何去收集

4.All 数据接完了吗

1.1 What:收集哪些？

下面简单列出一些收集的日志，重点在于，收集的对象，它能产出哪些日志？

1.1.1 服务器日志服务器日志包括系统运行，账户认证，命令操作，系统运行等等日志。

1.1.2 流量检测日志流量检测设备通过旁路的方式分析全网流量，包括DNS请求，SMTP发送日志。

1.1.3 设备日志设备的种类很多，每一种设备都有自己检测的日志

网络设备：VPN,负载,代理服务器,路由,交换

安全设备：FW,IDS,IPS,AV,UTM,WAF,APT,抗DDoS

审计设备：数据库审计,上网行为,运维安全审计,内网审计系统

PC终端：杀毒软件

1.1.4 应用日志：Nginx,Tomcat,Jboss,Apache,Tuxedo,WebLogic

1.1.5 数据库日志：DB2,MySQL日志,Oracle日志,SQLserver

1.1.6 应用系统日志认证系统：堡垒机,电子签章,CA认证,身份服务引擎,无线网络控制

管理系统：数据库管理系统,数据交换系统

1.1.7 业务日志

1.1.8 ……

确定了收集哪些方面的数据后，然后就需要了解这些服务器设备有哪些日志，在数据安全分析时需要服务器及安全设备的哪些日志。

色综合网 t.cn/RSxGk9F

撸啊撸在线视频 t.cn/RSxG3pg