胡律师:13306647218

如何做网络安全数据集,如何通过多维数据整合

时间:2021-07-26 16:55:41

文/大连医科大学现代教育技术中心郭大智

作为学校的网络安全负责人,头上挂着达摩克利斯之剑,不容疏忽,需要时刻警惕学校网络的变化和异常。 没有100%的安全是指采用各种防御手段和安全制度尽量增加被攻击的成本。 这些完成后,在日常运维中各维度对安全状态的监控是安全管理员最大的线索,但由于安全相关面广、数据量大、人员劳动力有限等原因,安全监控管理效率一直很低,难以实现面面俱到因此,我们也在不断寻找适合学校环境、大幅提高监控管理效率的产品。

如何通过多维数据整合,实现网络安全的高效运维

大连医科大学安全形势感知平台

从2018年开始,我们考察和测试了各厂商的安全状况感知平台产品,帮助提高网络安全管理工作的效率,从下半年开始接触尖锐的安全状况感知解决方案,从整体理念上非常符合我校的安全管理理念,整合了所有的网络日志, 但是,光有理念是不够的,实际效果还需要经过实际场景效果的验证。 这也是我们选择产品方案一直实践的原则。

5月11日,锐捷态势感知第一个版本(P3版本)的在线测试,主要根据现网日志进行综合分析,包括安全设备日志、网络日志、服务器日志等。 该模型显然可以非常有效地利用现有的安全资源。 同时,由于收集的维度多,分析的全面性有优势,但在实际测试中发现了该模型存在的挑战和局限性:

日志采集难题:我们的互联网上存在一些旧的安全设备,不能支持向第三方发送日志,所以无法将一些有价值的信息汇总到平台上,也影响了平台分析素材的支持。 日志标准化难题:由于市场上设备的类型号很多,在日志分析模式中,如何详细分析收集的日志是考验安全分析平台能力的非常重要的因素,也是考验一个产品是否齐全的非常重要的参考指标,同时也是该产品的第二点,即便通过了实际测试,锐捷也做得非常好,包括兼容的设备模型、日志分析的细分性、锐捷提供的日志优化效率等。

从整体上看,这个版本展示了界面的美丽,但对我们这样的具体承运人来说并不实用。 首先,在受限部分日志不足的情况下,分析的问题比较少,在三个月的体验时间里发现了一些安全问题。 准确性足够,但肯定不完全。 另外,易用性存在很大差异,从我们用户的角度来看,在测试期间如何提高安全分析的全面性和易用性等,也尖锐地提出了许多优化建议。

如何通过多维数据整合,实现网络安全的高效运维

全网多维安全态势感知

需求出现后不到两个月,他们公布了新的流量探测器组件,并于11月在我校进行了在线测试。 这次分析能力的全面性有了质的提高,用新的流量探测器很好地补充了流量的相关数据。 日志流量综合分析模型极大地提高了安全分析效果,在线10天发现了近10个重要的安全问题。 与单一的日志分析模型相比,安全分析的全面性和准确性得到了极大的提高,具有整体安全监控的触角和平台。 通过这一轮的实际测试,我们认为“日志流量”的综合分析模式才是高校进行整体安全分析平台建设的合适模式。 虽然在这个阶段测试效果明显提高,但是以前的平台部分的易用性问题依然存在。

如何通过多维数据整合,实现网络安全的高效运维

基于“网络杀伤链”的安全分析

在这里确实赞扬了产品部敏锐的需求应对和开发团队。 不到一个月,他们又发布了态势感知主平台的新版本(P4版本)。 迄今为止在测试期间执行了非常多的优化建议,在综合分析能力和易用性上有了很大的提高。 在安全事件维度上展示问题比以往的单一警告维度要容易得多,杀手链攻击阶段的展示和攻击链的时间轴也便于检查,问题的小贴士和知识库也赋予了问题这个版本通过“日志流量”的关联分析,得出杀手链在线一周内发现30个安全问题并发出警告,分析能力得到质的提高,对我校的网络安全管理工作有真正的帮助。

经过半年多的引进使用,见证了敏锐的安全态势感知方案不断发展,从最初的分析能力和易用性限制,到现在的全面提高,非常幸运地参与了该产品的蝶泳工艺,在实际使用环境中打磨出的产品才是好产品,真正解决了问题并加以使用