• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)研究

    2020-09-16 14:36:42江欣
    關(guān)鍵詞:漏洞端口威脅

    ◆江欣

    安全模型、算法與編程

    基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)研究

    ◆江欣

    (國(guó)網(wǎng)福建省電力有限公司三明供電公司 福建 365000)

    近年來(lái),一些低風(fēng)險(xiǎn)、高回報(bào)勒索病毒的出現(xiàn),威脅者計(jì)算機(jī)用戶的財(cái)產(chǎn)安全,如果主機(jī)遭受勒索病毒的攻擊,則必然會(huì)導(dǎo)致用戶電腦內(nèi)的重要文件被加密,需要用戶繳納足夠的贖金才能恢復(fù)正常,這種勒索病毒不僅嚴(yán)重阻礙了用戶正常工作,還會(huì)帶來(lái)較大的經(jīng)濟(jì)損失?;诖耍恼聦?duì)基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)研究具有重要的實(shí)用意義。

    EDR;CARTA;動(dòng)態(tài)安全

    進(jìn)入21世紀(jì)以后,我國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)取得了長(zhǎng)足的進(jìn)步,對(duì)終端的定義也不再僅僅局限于電腦,還可能是各種類型的移動(dòng)設(shè)備,比如平板、手機(jī)、智能手表等,為提升計(jì)算機(jī)安全防護(hù)性能,我國(guó)投入了大量的資金,構(gòu)建起了一條龐大的“防御工事”,IDS、防火墻、掃描器、審計(jì)系統(tǒng)、WAF、防毒墻等安全設(shè)備應(yīng)有盡有。雖說(shuō)這些技術(shù)的應(yīng)用極大地提升了用戶的安全,但現(xiàn)如今網(wǎng)絡(luò)安全問題已然層出不窮,尤其是個(gè)人隱私數(shù)據(jù)泄露事件更是層出不窮,而這些網(wǎng)絡(luò)安全事件的發(fā)生多源于網(wǎng)絡(luò)惡意威脅。技術(shù)水平的發(fā)展不僅提升了網(wǎng)絡(luò)安全的防護(hù)能力,也促使了惡意威脅的手段從傳統(tǒng)盲目、粗暴形式逐漸轉(zhuǎn)變?yōu)榫珳?zhǔn)化、隱匿化的形式,惡意威脅會(huì)按照攻擊人的預(yù)設(shè)有條不紊地進(jìn)行,通過一系列的偵測(cè)、漏洞利用、植入滲透等一步步地達(dá)到竊取目標(biāo)信息的目的,且會(huì)在極短的時(shí)間內(nèi)造成用戶巨大的損失,而對(duì)于用戶來(lái)說(shuō)要想解決這個(gè)威脅則需要花費(fèi)大量的時(shí)間。因此,傳統(tǒng)弓的防御體系顯然不足以面臨更加高級(jí)的威脅,這就需要我們通過各種新型技術(shù)手段與措施,提升終端防御能力。

    1 項(xiàng)目背景介紹

    新一代終端安全的核心是通過利用已經(jīng)掌握的手段來(lái)防止已知的威脅,并借助云系統(tǒng)來(lái)快速地發(fā)現(xiàn)并采取措施來(lái)避免威脅系統(tǒng)進(jìn)一步侵入計(jì)算機(jī)。此外,還需要基于終端的背景數(shù)據(jù)、惡意軟件行為特征等,進(jìn)行全面的檢測(cè)與響應(yīng),并采取快速、自動(dòng)化的補(bǔ)救措施,達(dá)到保護(hù)終端的目的,這也是我們常說(shuō)的終端檢測(cè)與相應(yīng)機(jī)制,即終端EDR。它針對(duì)高級(jí)威脅具有一定的實(shí)時(shí)檢測(cè)與自動(dòng)相應(yīng)能力,并能夠達(dá)到自動(dòng)化的預(yù)防機(jī)制,保證主機(jī)在遭受到攻擊的第一時(shí)間內(nèi)做出最佳的響應(yīng)。它依靠大數(shù)據(jù)信息數(shù)據(jù),對(duì)最新安全線索快速鎖定威脅終端,并評(píng)估實(shí)時(shí)數(shù)據(jù)與歷史終端信息,揭示內(nèi)網(wǎng)終端的安全缺陷,并基于自動(dòng)化響應(yīng)機(jī)制完成威脅的預(yù)防與處理。如圖1所示為具體模型圖。具體模型包含持續(xù)監(jiān)測(cè)、主動(dòng)檢測(cè)、自動(dòng)響應(yīng)以及全面評(píng)估。

    圖1 具體模型圖

    2 研究目標(biāo)

    (1)主機(jī)設(shè)備微邊界流量圖譜繪制技術(shù)研究

    根據(jù)對(duì)內(nèi)部邊界即主機(jī)與主機(jī)之間的流量情況繪制可視化圖譜,識(shí)別虛擬機(jī)之間,虛擬機(jī)和物理機(jī)之間的互訪關(guān)系,能標(biāo)識(shí)應(yīng)用及端口,識(shí)別東西向流量。從而梳理業(yè)務(wù)訪問邏輯,構(gòu)建一張完整的業(yè)務(wù)流量拓?fù)鋱D,提供針對(duì)流量和策略更加便捷的鉆取與控制能力。

    (2)業(yè)務(wù)應(yīng)用可信與彈性安全研究

    通過消除網(wǎng)絡(luò)結(jié)構(gòu)(例如,vlan、子網(wǎng)、區(qū)域或IP地址)來(lái)改進(jìn)策略創(chuàng)建過程,采用一種獨(dú)特的應(yīng)用及虛擬機(jī)定義方法,并建立一套可信的、可適應(yīng)的、接近用戶語(yǔ)言的策略模型,有效進(jìn)行業(yè)務(wù)應(yīng)用策略的彈性管理。

    (3)主機(jī)設(shè)備自適應(yīng)微隔離技術(shù)研究

    根據(jù)數(shù)據(jù)中心內(nèi)部的變化而自動(dòng)調(diào)整安全策略,結(jié)合微隔離技術(shù),能夠?qū)崿F(xiàn)自適應(yīng)的訪問控制。實(shí)現(xiàn)環(huán)境隔離、域間隔離、端到端隔離,并能根據(jù)環(huán)境變化,自動(dòng)實(shí)現(xiàn)策略調(diào)整。

    (4)主機(jī)安全平臺(tái)架構(gòu)自適應(yīng)技術(shù)研究

    能實(shí)現(xiàn)不依賴底層技術(shù)架構(gòu)來(lái)支持新的或現(xiàn)有的環(huán)境,可適用于私有云、公有云以及混合云環(huán)境,可部署在虛擬機(jī)、物理機(jī)、容器中。

    3 關(guān)鍵技術(shù)內(nèi)容

    (1)平臺(tái)架構(gòu)的搭建

    基于Hadoop大數(shù)據(jù)架構(gòu)構(gòu)建的安全大數(shù)據(jù)平臺(tái),能夠存儲(chǔ)和分析海量數(shù)據(jù),包括需要存儲(chǔ)的數(shù)據(jù)有原始數(shù)據(jù),處理后的數(shù)據(jù)以及分析結(jié)果。平臺(tái)對(duì)前端代理收集到的安全日志進(jìn)行集中存儲(chǔ)、快速分析及挖掘,結(jié)合接入的威脅情報(bào)信息,進(jìn)行行為關(guān)聯(lián)分析,準(zhǔn)確定位各種漏洞風(fēng)險(xiǎn)及入侵威脅,并進(jìn)行預(yù)警。

    (2)平臺(tái)安全性考慮

    (1)通訊機(jī)制

    前端Agent在部署配置時(shí)只需開放一個(gè)端口即可正常工作,通過此端口進(jìn)行與平臺(tái)和其他Agent之間的通訊。不同于其他類主機(jī)安全產(chǎn)品Agent,需要根據(jù)不同的配置文件開放多個(gè)端口才能正常工作通訊,這類主機(jī)安全產(chǎn)品避免了開放端口過多,個(gè)別產(chǎn)品通訊端口被占用,部分功能將失效帶來(lái)的產(chǎn)品使用風(fēng)險(xiǎn)和安全風(fēng)險(xiǎn)。Agent自身開放統(tǒng)一單個(gè)端口的設(shè)計(jì)極大地增強(qiáng)了Agent的穩(wěn)健性、安全性、易用性、管理性,為客戶長(zhǎng)期有效使用主機(jī)安全產(chǎn)品帶來(lái)強(qiáng)有力的保障。

    (2)監(jiān)控機(jī)制

    平臺(tái)設(shè)計(jì)自身具備監(jiān)控機(jī)制,可進(jìn)行自我狀態(tài)監(jiān)控,同時(shí)具備容錯(cuò)機(jī)制。平臺(tái)則會(huì)對(duì)自身組件的進(jìn)程和服務(wù)的CPU、內(nèi)存以及進(jìn)程運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè),相關(guān)負(fù)責(zé)人員可實(shí)時(shí)掌握系統(tǒng)運(yùn)行情況。利用設(shè)置好的平臺(tái)監(jiān)控任務(wù),定時(shí)監(jiān)測(cè)進(jìn)程的運(yùn)行狀況、CPU占用率等。如發(fā)現(xiàn)進(jìn)程掛掉不在運(yùn)行,可通過腳本去執(zhí)行啟動(dòng)命令重新啟動(dòng);如發(fā)現(xiàn)CPU占用率過高超出既定限制會(huì)及時(shí)警告。通過實(shí)時(shí)監(jiān)控反饋的數(shù)據(jù)信息,如果發(fā)現(xiàn)部署的組件出現(xiàn)異常情況會(huì)通知到運(yùn)維人員,在此基礎(chǔ)上運(yùn)維人員可及時(shí)發(fā)現(xiàn)系統(tǒng)的風(fēng)險(xiǎn)并進(jìn)行處置,保障系統(tǒng)運(yùn)行在長(zhǎng)期穩(wěn)定的安全環(huán)境中。

    4 重難點(diǎn)突破

    (1)自動(dòng)采集主機(jī)重要安全參數(shù)信息

    通過客戶端Agent自動(dòng)采集匯總主機(jī)重要安全參數(shù)信息,包括計(jì)算機(jī)名、IP地址、漏洞、病毒、病毒庫(kù)時(shí)間等5個(gè)終端安全最基本最重要信息,能夠有效降低日常人工半小時(shí)采集的工作量。

    (2)便捷遠(yuǎn)程病毒查殺及漏洞修復(fù)管理

    通過客戶端Agent能夠自動(dòng)采集匯總主機(jī)病毒查殺及漏洞修復(fù)管理的參數(shù)信息,包括計(jì)算機(jī)名、IP地址、病毒,最后查殺時(shí)間、已修復(fù)的終端數(shù)、未修復(fù)的終端數(shù)、已忽略終端數(shù)、補(bǔ)丁名稱、補(bǔ)丁描述、漏洞級(jí)別、發(fā)布日期、高危漏洞數(shù)等12個(gè)病毒及漏洞相關(guān)的參數(shù)信息,以及能下發(fā)病毒掃描策略,實(shí)現(xiàn)快速掃描、全盤掃描、強(qiáng)力查殺、文件查殺等功能,有效降低日常人工1天病毒查殺及漏洞修復(fù)的工作量。

    (3)高效資產(chǎn)登記及外聯(lián)設(shè)備的管控

    通過下發(fā)安全策略給Agent,能夠?qū)崿F(xiàn)對(duì)主機(jī)資產(chǎn)登記及對(duì)移動(dòng)存儲(chǔ)、外部設(shè)備的嚴(yán)格管控,包括IP地址、上報(bào)時(shí)間、設(shè)備類型、設(shè)備用途、使用部門、使用人、工號(hào)、手機(jī)、物理位置、座機(jī)、移動(dòng)存儲(chǔ)設(shè)備列表、移動(dòng)存儲(chǔ)授權(quán)、移動(dòng)存儲(chǔ)例外、外設(shè)統(tǒng)計(jì)等14個(gè)信息維度,有效降低日常人工0.5天的工作量。

    (4)提升運(yùn)維人員效率

    通過上述幾點(diǎn)的功能大大降低運(yùn)維人員和安全分析師的日常工作量。

    5 結(jié)論

    基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)的應(yīng)用,可以基于大數(shù)據(jù)威脅情報(bào)對(duì)終端威脅進(jìn)行快速檢檢索與定位,并及在第一時(shí)間給出自動(dòng)化響應(yīng)與修復(fù)能力,進(jìn)而確保終端的整體安全性。

    [1]曾辛,袁華松,張人方,譚劍.利用態(tài)勢(shì)感知技術(shù)加強(qiáng)網(wǎng)絡(luò)信息安全平臺(tái)建設(shè)[J].廣播電視信息,2020(02):59-63.

    [2]李貴鵬,李思藝,徐冰清.智慧城市信息安全運(yùn)營(yíng)平臺(tái)研究[J].信息安全研究,2019,5(05):420-429.

    [3]石樂義,劉佳,劉祎豪,朱紅強(qiáng),段鵬飛.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J].計(jì)算機(jī)工程與應(yīng)用,2019,55(24):1-9.

    猜你喜歡
    漏洞端口威脅
    漏洞
    一種端口故障的解決方案
    人類的威脅
    受到威脅的生命
    面對(duì)孩子的“威脅”,我們要會(huì)說(shuō)“不”
    家教世界(2017年11期)2018-01-03 01:28:49
    端口阻塞與優(yōu)先級(jí)
    三明:“兩票制”堵住加價(jià)漏洞
    漏洞在哪兒
    Why Does Sleeping in Just Make Us More Tired?
    高鐵急救應(yīng)補(bǔ)齊三漏洞
    彭泽县| 屯留县| 柳林县| 巴彦淖尔市| 班玛县| 桐城市| 洞头县| 栾城县| 灵台县| 昔阳县| 彩票| 卓尼县| 宜君县| 义马市| 容城县| 河东区| 乌海市| 南投县| 江门市| 枣庄市| 孝昌县| 桦南县| 越西县| 米脂县| 韶山市| 利津县| 海安县| 思南县| 江永县| 高密市| 探索| 曲水县| 彭州市| 漳州市| 台安县| 红桥区| 新龙县| 宜宾市| 巴彦县| 东方市| 凤山市|