態(tài)勢感知——數(shù)據(jù)感知引擎

當前大部分網(wǎng)絡(luò)攻擊是針對Web應(yīng)用的，僅依靠傳統(tǒng)的防火墻與終端安全軟件已無法保護用戶免遭應(yīng)用層的威脅，加之現(xiàn)在企業(yè)的IT環(huán)境已逐步遷至云和Web端，更使得Web應(yīng)用脆弱不堪。

態(tài)勢感知之所以被喚起正是基于此原因，而態(tài)勢感知下的數(shù)據(jù)感知引擎能夠?qū)eb應(yīng)用數(shù)據(jù)進行安全監(jiān)測、通報預(yù)警和追蹤溯源。

盛邦安全CEO權(quán)小文表示，這需要將人的網(wǎng)絡(luò)空間和現(xiàn)實空間的行為做一一對應(yīng)，目的是便于追溯網(wǎng)絡(luò)空間中的違法行為。如果能將網(wǎng)絡(luò)中的行為基于IP地址轉(zhuǎn)化為基于人的行為畫像，便可對網(wǎng)絡(luò)中的違法行為進行快速處置和調(diào)查。因此數(shù)據(jù)感知引擎就顯示出傳統(tǒng)安全設(shè)備無法比擬的優(yōu)勢。

數(shù)據(jù)需要更加精細化

感知引擎每天收集大量的數(shù)據(jù)，數(shù)據(jù)來源于日志收集、分光數(shù)據(jù)、僵木蠕數(shù)據(jù)、安全情報、SOC和漏洞監(jiān)測。如何將這些數(shù)據(jù)有效利用起來，數(shù)據(jù)感知引擎就是將這些數(shù)據(jù)基于IP地址轉(zhuǎn)化為人員的畫像，從而做到快速響應(yīng)和追蹤溯源。

數(shù)據(jù)感知引擎包括了數(shù)據(jù)分光引擎和主動監(jiān)控引擎。其中數(shù)據(jù)分光引擎整合了僵木蠕引擎與DDoS檢測引擎（僵木蠕引擎中即已包含了對Web的深度檢測），數(shù)據(jù)分光引擎將僵木蠕引擎與DDoS檢測引擎規(guī)整起來，按照1:1的比例抽樣逐包檢測，保證了高精度；主動監(jiān)控引擎即為現(xiàn)在盛邦安全建立的監(jiān)測預(yù)警平臺，就是將Web漏洞、系統(tǒng)數(shù)據(jù)庫及木馬、暗鏈、釣魚等整合在一起建立的引擎。數(shù)據(jù)感知引擎將原來離散的檢測方式規(guī)整化，降低了成本和資源消耗的同時，做到了對數(shù)據(jù)的精細化管理。

DDoS檢測解決誤報

在DDoS檢測時最令人頭疼的莫過于噪音問題，而這些問題直接影響了檢測的精確度。傳統(tǒng)的DDoS檢測是針對IP在總體上設(shè)定某個固定閾值，當超過該閾值時系統(tǒng)將會認定為DDoS攻擊并報警。但很多時候有些正常訪問往往超過了該閾值，而該策略無法區(qū)分并報警，從而導(dǎo)致誤報。因此如何解決DDoS檢測過程中的誤報率是傳統(tǒng)DDoS檢測的難題。

盛邦安全采用的策略是對檢測流量中所有的IP地址，進行自動發(fā)現(xiàn)和跟蹤，并形成動態(tài)畫像。由于形成的是針對每個IP地址的動態(tài)基線而非傳統(tǒng)上的靜態(tài)整體閾值，當超過該動態(tài)基線時則將被判斷為DDoS攻擊行為，誤報問題能夠得到大幅改善。