事后难以追溯取证 市面上绝大多数网络安全类产品只能保持HTTP、DNS等常见应用日志的记录,而ARP请求、数据包和特殊的网络行为则无法存储和识别。这将导致日志记录太过单一,引起文件误报等行为,给用户决策带来干扰。其次,在追溯网络犯罪过程中没有原始的数据包作为支撑,当我们故障排查的时候很难准确定位问题环节,阻碍深入追溯分析的进行,给攻击目标带来无法挽回的损失。 单点检测管中窥豹 现如今的安全防御软件检测方式单一。如传统防火墙根据一定格式的协议对文件访问进行过滤,不能防范攻击者IP欺骗攻击;反病毒软件根据病毒特征或者黑白名单判断文件攻击性,无法阻止变种软件攻击等。而当前新型病毒具备多样性和高度隐藏功能,能够在不同的环境中通过合理的变形和伪装躲避反病毒软件的查杀,最终侵入系统核心部位爆发。 这些新型攻击手段,显然需要防御者能够综合分析多维度的信息,进行综合判断才能进行及时的检测和处置。 传统SOC存在局限 传统的安全管理中心(Security Operations Center,SOC)无论在技术层面上还是管理层面上都无法达到预期的效果。绝大多数SOC功能仅仅停留于各类设备日志的收集上,如:路由器、防火墙、交换机、数据库的日志,更谈不上数以千计的安全软、硬件产品的集中综合管理。其定义与实际功能严重不符,SOC平台仍然还需要向用户进一步证明其可扩展性、对安全事件的挖掘能力和趋势分析,以及用户的投资回报(Return On Investment,ROI)。 2方案理念 针对传统安全保障体系难以新型威胁和APT攻击,以及缺乏看到看懂的感知环节的不足,深信服提出了基于行为检测和关联分析技术、对全网流量进行安全监测的可视化和预警检测解决方案。方案设计体现适用性、前瞻性、可行性的基本原则,实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。
- N613202023-08-21资源是宝藏资源,实用也是真的实用,感谢大佬分享~
- 狂剑客2021-08-30用户下载后在一定时间内未进行评价,系统默认好评。
- 粉丝: 1782
- 资源: 1万+
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助