汽车资讯

起底奇安信分布式关联分析引擎Sabre_科技频道_东方资

在网络安全中,溯源一个攻击事件的全貌,就像现实生活中的警察破案,以一般典型案例的侦查为例,其一般程序同样是首先初步收集与案件有关的各种线索,然后汇总后分析,最后确定侦查方向、划定侦查范围,直至破案。

探案的初期往往是千万线索或头绪中的抽丝剥茧。在大多数企业网络安全运营者的工作实际中,通过众多厂商的安全产品、设备发现威胁已成常态,然而带给他们众多困扰的不是不仅仅是发现威胁,他们更多情况就像企业里负责网络安全的“警察”,要从众多设备告警中,通过分析研判,追踪溯源,找到威胁来源,采取措施保障业务系统损失最小化,网络环境更安全和稳定。然而,众多设备和系统每天产生大量告警,再加上参差不齐的误报率,使得网络安全运营者陷入无从下手的困境。

并且,网络攻击是复杂的、多阶段、持续时间分散、跨多节点的动态过程,独立的日志源无法看到攻击的全貌,而只能看到完整攻击的一个片段,不进行关联,就无法把大量的片段组合起来完成全景拼图。在实际使用场景中,就是用户经常淹没在多个设备频繁告警中,无法通过智能手段将这些告警集中并进行关联处理。

这与真实的警察破案难度不相上下。

你需要一面“线索墙”:事件关联

事件关联是一类用于对数以百计的设备中产生的数以百万计的日志进行分析以发现难以捉摸的攻击模式的技术。我们在奇安信NGSOC产品中引入了分布式流式关联分析引擎Sabre,其目的利用关联分析技术来解决安全运营的难题。

这里的事件一般分为简单事件和复杂事件两种,简单事件一般指数据源产生的原始数据,复杂事件则指简单事件经分析后产生的高级事件。

举个例子:房间内部放置着若干个温度传感器,那么这些传感器会不停地产生一系列的事件,一般是类似“某时刻房间温度为xx度”,很明显这类事件是简单事件,这类简单事件经过事件关联分析后会产生更为复杂的事件,例如“房间温度已经持续30分钟上升,接近火警警戒线”,这种就是简单事件经过分析后生成复杂事件的典型例子。