态势感知

本书涉及面较广，但是白话较多，没有太多的干货。寸之深，亩只阔，适合作为科普读物快速阅读。 文章目录 Ⅰ 基础知识 1 开启网络安全态势感知的旅程 2 大数据平台和技术 2.1 大数据基础 2.1.1 大数据关键技术 2.1.2 大数据计算模式 2.2 大数据主流平台框架 2.2.1 Hadoop 2.2.2 Spark 2.2.3 Storm 2.3 网络安全态势感知架构 2.4 大数据采集与预处理技术 2.5 大数据存储与管理技术 2.6 大数据处理与分析技术 2.7 大数据可视化技术 Ⅱ 态势提取 3 网络安全数据范围 3.1 完整内容数据 3.2 提取内容数据 3.3 会话数据 3.4 统计数据 3.5 元数据 3.6 日志数据 3.7 告警数据 4 网络安全数据采集 4.1 制定数据采集计划 4.2 主动式采集 4.3 被动式采集 4.4 数据采集工具 4.5 采集点部署 5 网络安全数据预处理 5.1 数据清洗 5.2 数据集成 5.3 数据归约 5.4 数据变换 5.5 数据融合 Ⅲ 态势提取 6 网络安全检测与分析 6.1 入侵检测 6.1.1 IDS分类 6.1.2 入侵检测的分析方法 6.2 入侵防御 6.2.1 IPS分类 6.3 入侵容忍 6.4 安全分析 6.4.1 安全分析流程 6.4.2 数据包分析 6.4.3 计算机/网络取证 6.4.4 恶意软件分析

阿里云态势感知和安骑士都是阿里云盾安全产品，态势感知属于安全管理类的产品，安骑士数据服务器安全类产品，本文详细说下阿里云态势感知和安骑士之间的区别： 简单来说，安骑士是检测云服务器漏洞的，态势感知提供安全类的大数据分析服务。 使用服务器的朋友都知道服务器安全问题太重要了，尤其是商业用途的领域更是重中之重，一定不能马虎。 态势感知：安全大数据分析平台，通过机器学习和结合全网威胁情报，发现传统防御软件无法覆盖的网络威胁，溯源攻击手段、并且提供可行动的解决方案。 安骑士：轻量级的主机安全产品。集安全配置核查、漏洞管理、入侵防护于一体，让攻击无“门”，服务器稳定运转。 势感知和安骑士的区别 态势感知大数据分析产品，安骑士服务器漏洞检测 态势感知现在升级为云安全中心，更多参阅 官方文档 安骑士的 官方文档 态势感知主要功能： 威胁发现：利用机器学习对企业安全进行量化分析，发现传统安全产品无法覆盖的网络威胁。 风险分析：预测和避免安全风险对您业务造成的损失，溯源攻击行为，提供可行动的解决方案。 可视化大屏：专业的安全运维作战指挥中心，8块可视化大屏，全面掌控安全状况，辅助决策。 安骑士主要功能： 安全配置核查：检测服务器账号与口令、权限、访问控制、文件系统、异常服务、日志和审计，以达到企业级服务器安全准入标准。 主机漏洞管理：自研Web应用软件漏洞补丁，支持一键修复，同时共享云盾漏洞库

如果要问这个世界上什么动物最缺乏安全感？非喵星人莫属。 作为一名吸猫重症患者，小编深深感受到， 每一只猫，都自带“态势感知”属性 ——时刻保持极高警惕性，洞察周围一切。 看到这你可能要说，别过家家了，就凭一只猫的警惕性，你怎么用它来概括态势感知系统的复杂性？ 你还真别不信，态势感知所有特点，喵星人都具备。 攻击态势感知 ：分析安全攻击趋势，并对风险评估 喵感知 ：预测其他喵是否会攻击自己，抢占地盘 威胁态势感知 ：脆弱性分析，发现资产配置漏洞，感知未知威胁情报 喵感知 ：查找自身漏洞，预防疾病发生 行为态势感知 ：关键要素异常行为分析，内网安全监控 喵感知 ：观察主人对喵的关心程度，维护自身形象 流量态势感知 ：通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击链和TTP 喵感知 ：查看日常必需品是否配备齐全，数量是否正常 合规态势感知 ：策略生命周期管理，合规自检，加固建议 喵感知 ：喵窝探测，生活质量检查 正因为喵星人有了这样的“态势感知”能力，它们才的过得悠然自得，走上喵界巅峰。 但是对于开发者来说，数据泄露、黑客攻击、基础设施攻击、安全漏洞发现、恶意软件……网络安全事件频发，例如Binance交易所攻击事件、蓝宝菇等APT攻击事件、Facebook用户数据泄露、勒索病毒全球肆虐、Github遭遇MemcachedDDoS TB级攻击……

对于京东云来说，今年11.11年终大促和往年不同。往年的大促，京东云平台根据京东商城、物流、金融的各个不同的业务场景，独立提供符合场景需求的安全解决方案，使用相对应的安全产品进行安全防护。 例如： IP高防 承担网络层攻击防护职责，面对大促大流量DDoS攻击，建立起安全防护堤坝； Web应用防火墙 承担应用层防护职责，面对黑客和羊毛党的狂轰滥炸，建立起业务安全防护网； 主机安全 承担系统层防护职责，面对病毒、木马、蠕虫的渗透，建立起坚固的安全防护堡垒。 “海陆空”三位一体的安全防护加上安全专家团队的7x24小时的全天候监控和响应，为大促“剁手党”们安全流畅的购物体验保驾护航。 今年，从11月1日零时起至11月11日23时59分59秒，“11.11京东全球好物节”累计下单金额超过2044亿元，较2018年11.11实现大幅超越。这也是继今年年中“618十六周年庆”累计下单金额创下2015亿元之后，京东在年末11.11打造的又一实力新主场。 在此次的安全护航行动中，我们又加入了一位 新的“指挥官”-京东云安全大脑 ， 其核心是具备机器学习、实时鉴别、智能编排、自动化联动IP高防、WAF和主机安全能力的态势感知产品。 自2019年10月30日起到2019年11月12日结束，态势感知系统每天分析处理数十TB日志数据，基于威胁情报和关联模型等大数据分析。通过流量防护、主机防护

对于京东云来说，今年11.11年终大促和往年不同。往年的大促，京东云平台根据京东商城、物流、金融的各个不同的业务场景，独立提供符合场景需求的安全解决方案，使用相对应的安全产品进行安全防护。 例如： IP高防 承担网络层攻击防护职责，面对大促大流量DDoS攻击，建立起安全防护堤坝； Web应用防火墙 承担应用层防护职责，面对黑客和羊毛党的狂轰滥炸，建立起业务安全防护网； 主机安全 承担系统层防护职责，面对病毒、木马、蠕虫的渗透，建立起坚固的安全防护堡垒。 “海陆空”三位一体的安全防护加上安全专家团队的7x24小时的全天候监控和响应，为大促“剁手党”们安全流畅的购物体验保驾护航。 今年，从11月1日零时起至11月11日23时59分59秒，“11.11京东全球好物节”累计下单金额超过2044亿元，较2018年11.11实现大幅超越。这也是继今年年中“618十六周年庆”累计下单金额创下2015亿元之后，京东在年末11.11打造的又一实力新主场。 在此次的安全护航行动中，我们又加入了一位 新的“指挥官”-京东云安全大脑 ， 其核心是具备机器学习、实时鉴别、智能编排、自动化联动IP高防、WAF和主机安全能力的态势感知产品。 自2019年10月30日起到2019年11月12日结束，态势感知系统每天分析处理数十TB日志数据，基于威胁情报和关联模型等大数据分析。通过流量防护、主机防护

如果要问这个世界上什么动物最缺乏安全感？非喵星人莫属。 作为一名吸猫重症患者，小编深深感受到，每一只猫，都自带“态势感知”属性——时刻保持极高警惕性，洞察周围一切。 看到这你可能要说，别过家家了，就凭一只猫的警惕性，你怎么用它来概括态势感知系统的复杂性？ 你还真别不信，态势感知所有特点，喵星人都具备。 攻击态势感知 ：分析安全攻击趋势，并对风险评估 喵感知 ：预测其他喵是否会攻击自己，抢占地盘 威胁态势感知 ：脆弱性分析，发现资产配置漏洞，感知未知威胁情报 喵感知 ：查找自身漏洞，预防疾病发生 行为态势感知 ：关键要素异常行为分析，内网安全监控 喵感知 ：观察主人对喵的关心程度，维护自身形象 流量态势感知 ：通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击链和TTP 喵感知 ：查看日常必需品是否配备齐全，数量是否正常 合规态势感知 ：策略生命周期管理，合规自检，加固建议 喵感知 ：喵窝探测，生活质量检查 正因为喵星人有了这样的“态势感知”能力，它们才的过得悠然自得，走上喵界巅峰。 但是对于开发者来说，数据泄露、黑客攻击、基础设施攻击、安全漏洞发现、恶意软件……网络安全事件频发，例如Binance交易所攻击事件、蓝宝菇等APT攻击事件、Facebook用户数据泄露、勒索病毒全球肆虐、Github遭遇MemcachedDDoS TB级攻击……

那么在云上安全备受瞩目的大环境下，云态势感知技术又如何为安全保驾护航呢？在未来又有着怎样的发展趋势呢？为此，京东云产品研发部产品经理梁洋洋，专门为大家解读了云态势感知的进化论。 01态势感知出现的技术背景 虽然态势感知是近几年新有的安全名词，但对于有安全背景的人来说，态势感知并不陌生，它是跟SOC（安全操作中心）对标的产品。 在2010年之前，安全威胁不是特别多，主要还是集中在网络层面，所以当时的SOC产品还是停留在NOC（网络操作中心）基础架构的阶段。 当时比较出名的产品是Cisco-MARS产品，主要是把所有Cisco的交换机、路由器、防火墙、IDS、IPS数据都收集上来，然后放到MARS里面来关联分析，形成攻击拓扑图。这就是态势感知最初始化的雏形，也就是把网络层面的安全数据收集到NOC的产品当中。在安全技术还未成熟的2010年，这个技术足以让人眼前一亮。 由于安全威胁场景不断变化，普通的NOC产品无法分析出APT攻击，加上安全设备和安全事件的突增，传统的NOC已无法满足需求，所以在2010年-2015年逐步兴起SIEM/SOC平台。SIEM是安全信息和日志管理平台。可以把主机上的安全日志包括登录日志都搜集上来存储到SIEM里，对分析攻击场景有很大的帮助。 不过，国内的一些安全厂商对SOC输出没有标准，导致搜集的日志格式不统一，后面的关联分析达不到用户需求，最终80

那么在云上安全备受瞩目的大环境下，云态势感知技术又如何为安全保驾护航呢？在未来又有着怎样的发展趋势呢？为此，京东云产品研发部产品经理梁洋洋，专门为大家解读了云态势感知的进化论。 01态势感知出现的技术背景 虽然态势感知是近几年新有的安全名词，但对于有安全背景的人来说，态势感知并不陌生，它是跟SOC（安全操作中心）对标的产品。 在2010年之前，安全威胁不是特别多，主要还是集中在网络层面，所以当时的SOC产品还是停留在NOC（网络操作中心）基础架构的阶段。 当时比较出名的产品是Cisco-MARS产品，主要是把所有Cisco的交换机、路由器、防火墙、IDS、IPS数据都收集上来，然后放到MARS里面来关联分析，形成攻击拓扑图。这就是态势感知最初始化的雏形，也就是把网络层面的安全数据收集到NOC的产品当中。在安全技术还未成熟的2010年，这个技术足以让人眼前一亮。 由于安全威胁场景不断变化，普通的NOC产品无法分析出APT攻击，加上安全设备和安全事件的突增，传统的NOC已无法满足需求，所以在2010年-2015年逐步兴起SIEM/SOC平台。SIEM是安全信息和日志管理平台。可以把主机上的安全日志包括登录日志都搜集上来存储到SIEM里，对分析攻击场景有很大的帮助。 不过，国内的一些安全厂商对SOC输出没有标准，导致搜集的日志格式不统一，后面的关联分析达不到用户需求，最终80