態(tài)勢(shì)感知——數(shù)據(jù)感知引擎

當(dāng)前大部分網(wǎng)絡(luò)攻擊是針對(duì)Web應(yīng)用的，僅依靠傳統(tǒng)的防火墻與終端安全軟件已無法保護(hù)用戶免遭應(yīng)用層的威脅，加之現(xiàn)在企業(yè)的IT環(huán)境已逐步遷至云和Web端，更使得Web應(yīng)用脆弱不堪。

態(tài)勢(shì)感知之所以被喚起正是基于此原因，而態(tài)勢(shì)感知下的數(shù)據(jù)感知引擎能夠?qū)eb應(yīng)用數(shù)據(jù)進(jìn)行安全監(jiān)測(cè)、通報(bào)預(yù)警和追蹤溯源。

盛邦安全CEO權(quán)小文表示，這需要將人的網(wǎng)絡(luò)空間和現(xiàn)實(shí)空間的行為做一一對(duì)應(yīng)，目的是便于追溯網(wǎng)絡(luò)空間中的違法行為。如果能將網(wǎng)絡(luò)中的行為基于IP地址轉(zhuǎn)化為基于人的行為畫像，便可對(duì)網(wǎng)絡(luò)中的違法行為進(jìn)行快速處置和調(diào)查。因此數(shù)據(jù)感知引擎就顯示出傳統(tǒng)安全設(shè)備無法比擬的優(yōu)勢(shì)。

數(shù)據(jù)需要更加精細(xì)化

感知引擎每天收集大量的數(shù)據(jù)，數(shù)據(jù)來源于日志收集、分光數(shù)據(jù)、僵木蠕數(shù)據(jù)、安全情報(bào)、SOC和漏洞監(jiān)測(cè)。如何將這些數(shù)據(jù)有效利用起來，數(shù)據(jù)感知引擎就是將這些數(shù)據(jù)基于IP地址轉(zhuǎn)化為人員的畫像，從而做到快速響應(yīng)和追蹤溯源。

數(shù)據(jù)感知引擎包括了數(shù)據(jù)分光引擎和主動(dòng)監(jiān)控引擎。其中數(shù)據(jù)分光引擎整合了僵木蠕引擎與DDoS檢測(cè)引擎（僵木蠕引擎中即已包含了對(duì)Web的深度檢測(cè)），數(shù)據(jù)分光引擎將僵木蠕引擎與DDoS檢測(cè)引擎規(guī)整起來，按照1:1的比例抽樣逐包檢測(cè)，保證了高精度；主動(dòng)監(jiān)控引擎即為現(xiàn)在盛邦安全建立的監(jiān)測(cè)預(yù)警平臺(tái)，就是將Web漏洞、系統(tǒng)數(shù)據(jù)庫及木馬、暗鏈、釣魚等整合在一起建立的引擎。數(shù)據(jù)感知引擎將原來離散的檢測(cè)方式規(guī)整化，降低了成本和資源消耗的同時(shí)，做到了對(duì)數(shù)據(jù)的精細(xì)化管理。

DDoS檢測(cè)解決誤報(bào)

在DDoS檢測(cè)時(shí)最令人頭疼的莫過于噪音問題，而這些問題直接影響了檢測(cè)的精確度。傳統(tǒng)的DDoS檢測(cè)是針對(duì)IP在總體上設(shè)定某個(gè)固定閾值，當(dāng)超過該閾值時(shí)系統(tǒng)將會(huì)認(rèn)定為DDoS攻擊并報(bào)警。但很多時(shí)候有些正常訪問往往超過了該閾值，而該策略無法區(qū)分并報(bào)警，從而導(dǎo)致誤報(bào)。因此如何解決DDoS檢測(cè)過程中的誤報(bào)率是傳統(tǒng)DDoS檢測(cè)的難題。

盛邦安全采用的策略是對(duì)檢測(cè)流量中所有的IP地址，進(jìn)行自動(dòng)發(fā)現(xiàn)和跟蹤，并形成動(dòng)態(tài)畫像。由于形成的是針對(duì)每個(gè)IP地址的動(dòng)態(tài)基線而非傳統(tǒng)上的靜態(tài)整體閾值，當(dāng)超過該動(dòng)態(tài)基線時(shí)則將被判斷為DDoS攻擊行為，誤報(bào)問題能夠得到大幅改善。