关联分析

那么在云上安全备受瞩目的大环境下，云态势感知技术又如何为安全保驾护航呢？在未来又有着怎样的发展趋势呢？为此，京东云产品研发部产品经理梁洋洋，专门为大家解读了云态势感知的进化论。 01态势感知出现的技术背景 虽然态势感知是近几年新有的安全名词，但对于有安全背景的人来说，态势感知并不陌生，它是跟SOC（安全操作中心）对标的产品。 在2010年之前，安全威胁不是特别多，主要还是集中在网络层面，所以当时的SOC产品还是停留在NOC（网络操作中心）基础架构的阶段。 当时比较出名的产品是Cisco-MARS产品，主要是把所有Cisco的交换机、路由器、防火墙、IDS、IPS数据都收集上来，然后放到MARS里面来关联分析，形成攻击拓扑图。这就是态势感知最初始化的雏形，也就是把网络层面的安全数据收集到NOC的产品当中。在安全技术还未成熟的2010年，这个技术足以让人眼前一亮。 由于安全威胁场景不断变化，普通的NOC产品无法分析出APT攻击，加上安全设备和安全事件的突增，传统的NOC已无法满足需求，所以在2010年-2015年逐步兴起SIEM/SOC平台。SIEM是安全信息和日志管理平台。可以把主机上的安全日志包括登录日志都搜集上来存储到SIEM里，对分析攻击场景有很大的帮助。 不过，国内的一些安全厂商对SOC输出没有标准，导致搜集的日志格式不统一，后面的关联分析达不到用户需求，最终80

那么在云上安全备受瞩目的大环境下，云态势感知技术又如何为安全保驾护航呢？在未来又有着怎样的发展趋势呢？为此，京东云产品研发部产品经理梁洋洋，专门为大家解读了云态势感知的进化论。 01态势感知出现的技术背景 虽然态势感知是近几年新有的安全名词，但对于有安全背景的人来说，态势感知并不陌生，它是跟SOC（安全操作中心）对标的产品。 在2010年之前，安全威胁不是特别多，主要还是集中在网络层面，所以当时的SOC产品还是停留在NOC（网络操作中心）基础架构的阶段。 当时比较出名的产品是Cisco-MARS产品，主要是把所有Cisco的交换机、路由器、防火墙、IDS、IPS数据都收集上来，然后放到MARS里面来关联分析，形成攻击拓扑图。这就是态势感知最初始化的雏形，也就是把网络层面的安全数据收集到NOC的产品当中。在安全技术还未成熟的2010年，这个技术足以让人眼前一亮。 由于安全威胁场景不断变化，普通的NOC产品无法分析出APT攻击，加上安全设备和安全事件的突增，传统的NOC已无法满足需求，所以在2010年-2015年逐步兴起SIEM/SOC平台。SIEM是安全信息和日志管理平台。可以把主机上的安全日志包括登录日志都搜集上来存储到SIEM里，对分析攻击场景有很大的帮助。 不过，国内的一些安全厂商对SOC输出没有标准，导致搜集的日志格式不统一，后面的关联分析达不到用户需求，最终80

7.1.1 评估关注的质量属性 　　软件体系结构的设计是整个软件开发过程中关键的一步。对于当今世界上庞大而复杂的系统来说，如果没有一个合适的体系结构而要有一个成功的软件设计几乎是不可想象的。 　　不同类型的系统需要不同的体系结构，甚至一个系统的不同子系统也需要不同的体系结构。体系结构的选择是一个软件系统设计成败的关键。但是，怎样才能知道为软件系统所选用的体系结构是否恰当？如何确保按照所选用的体系结构能顺利地开发出成功的软件产品呢？要回答这些问题，需要使用专门的方法对软件体系结构进行分析和评估。 　　体系结构评估可以只针对一个体系结构，也可以针对一组体系结构。在体系结构评估过程中，评估人员所关注的是系统的质量属性，所有评估方法所普遍关注的质量属性有以下几个。 　　1．性能 　　性能是指系统的响应能力，即要经过多长时间才能对某个事件作出响应，或者在某段时间内系统所能处理的事件的个数。经常用单位时间内所处理事务的数量或系统完成某个事务处理所需的时间来对性能进行定量的表示。性能测试经常要使用基准测试程序(用以测量性能指标的特定事务集或工作量环境)。 　　2．可靠性 　　可靠性是软件系统在应用或系统错误面前、在意外或错误使用的情况下维持软件系统的功能特性的基本能力。可靠性是最重要的软件特性，通常用它衡量在规定的条件和时间内，软件完成规定功能的能力。可靠性通常用平均失效等待时间(Mean

序言 本篇主要目的有二： 1、看懂t-sql的执行计划，明白执行计划中的一些常识。 2、能够分析执行计划，找到优化sql性能的思路或方案。 如果你对sql查询优化的理解或常识不是很深入，那么推荐几骗博文给你： SqlServer性能检测和优化工具使用详细 ， sql语句的优化分析 ， T-sql语句查询执行顺序 。 执行计划简介 1、什么是执行计划？ 大哥提交的sql语句，数据库查询优化器，经过分析生成多个数据库可以识别的高效执行查询方式。然后优化器会在众多执行计划中找出一个资源使用最少，而不是最快的执行方案，给你展示出来，可以是xml格式，文本格式，也可以是图形化的执行方案。 2、预估执行计划，实际执行计划 选择语句，点击上面其中一个执行计划，预估执行计划可以立即显示，而实际执行计划则需要执行sql语句后出现。预估执行计划不等于实际执行计划，但是绝大多数情况下实际的执行计划跟预估执行计划都是一致的。统计信息变更或者执行计划重编译等情况下，会造成不同。 3、为什么要读懂执行计划 首先执行计划让你知道你复杂的sql到底是怎么执行的，有没有按照你想的方案执行，有没有按照最高效的方式执行，使用啦众多索引的哪一个，怎么排序，怎么合并数据的，有没有造成不必要资源浪费等等。官方数据显示，执行t-sql存在问题，80%都可以在执行计划中找到答案。 4、针对图形化执行计划分析 执行计划，可以以文本

监控系统： 提供故障节点的配置信息和关联信息 故障的影响范围和根源分析 流程系统： 事件管理中事件相关对象的配置信息 问题管理中问题相关对象的配置信息 变更管理中对象的配置信息 可用性（双机热备等）和连续性（灾备等）中对象的配置信息 运维自动化： 自动化操作涉及对象的配置信息 业务可视化展现： 展现中涉及对象的配置信息和关联信息 资产管理系统： 一套数据，两个纬度 来源： https://blog.51cto.com/031028/2431413

OSSIM平台安全事件关联分析实践 在《开源安全运维平台OSSIM最佳实践》一书中叙述到，事件关联是整个OSSIM关联分析的核心，对于OSSIM的事件关联需要海量处理能力，主要便于现在需要及时存储从设备采集到的日志，并能关联匹配和输出，进而通过Web UI展示。从实时性上看，关联分析的整个处理过程不能间断，这对系统的实时性要求较高，另外Ossim系统是基于规则的，Ossim内部具有多套高速规则分析引擎，以实现模式匹配和对关联分析结果调用。所以系统的关联引擎是一个典型数据处理系统，必须依靠强大的数据库做支撑，在开源OSSIM系统中就采用了基于MySQL5.6数据库的数据库，在商业版采用MonogDB。 普通日志存入数据库较容易，但如果是关联引擎将报警存入数据库的过程要复杂，到底它的压力在哪儿？例如一个关联规则需要在1秒钟内，通过SQL语句获取10条数据，那么关联引擎就需要在1秒钟内进行10次磁盘存取，这个要求就比普通日志存入数据库高，而OSSIM数据库中的表、字段、索引都为了这种事务处理进行特殊设置，具有一次写多次读的特性。对于复杂模式的匹配非常有用，例如，筛选出1分钟内SSH登录服务器，失败次数超过5次的源IP地址，关联分析引擎将定时进行SQL访问，找到某个符合要求的事件记录。 许多安全管理者抱怨，已经设置了防火墙、入侵检测、防病毒系统、网管软件，为什么网络安全管理仍很麻烦