Alcance de los datos de la conciencia de la situación de seguridad de la red del análisis completo de la seguridad del tráfico

Con referencia a parte del contenido de Internet, el alcance de los datos incluye principalmente los siguientes aspectos:

● Datos de contenido completos (PCAP)

        Al analizar paquetes de datos, se suelen utilizar las siguientes tres técnicas básicas:

        Filtrado de paquetes: paquetes de datos separados a través de los metadatos de cada protocolo o el campo o el valor del campo en la carga útil.

        Coincidencia de patrones: busque rápidamente el contenido del paquete de datos para encontrar las palabras clave, cadenas, nombres o patrones de protocolo que sean de interés. Puede combinar palabras clave en expresiones regulares y utilizar herramientas auxiliares para la coincidencia de patrones.

        Análisis de campo de protocolo: extraiga los datos en el campo de protocolo del paquete de datos capturado.

● Extraer datos de contenido

          Los datos de la cadena de paquetes se derivan de los datos de captura de paquetes y es un formato de datos entre los datos de captura de paquetes y los datos de la sesión.El formato de datos incluye la cadena de texto sin formato extraída del encabezado del protocolo de mensajes. Su granularidad está cerca de los datos de captura de paquetes, pero es más fácil de administrar que los datos de captura de paquetes en capacidad y puede almacenarse durante un período de tiempo más largo. Los datos de la cadena de paquetes tienen tanto la integridad de los datos de captura de paquetes como la velocidad de los datos de la sesión, y los requisitos de espacio de almacenamiento no son tan altos y pueden personalizarse de acuerdo con las necesidades del usuario, por lo que es un tipo de red ideal y apropiado. datos de seguridad.

● Datos de la sesión

          Los datos de sesión más comunes son los datos estándar de cinco tuplas

          Hay dos tipos más comunes de datos de sesión: NetFlow e IPFIX.

          NetFlow proporciona una vista a nivel de sesión del tráfico de la red y registra información sobre cada transacción. Un flujo NetFlow se define como un flujo de paquetes de datos unidireccional transmitido entre una dirección IP de origen y una dirección IP de destino, y todos los paquetes de datos tienen un número de puerto de origen y destino de capa de transporte común. Netflow es una forma estándar de datos de sesión, que describe en detalle "quién, qué, cuándo y dónde" del tráfico de red.

          IPFIX se denomina Exportación de información de flujo de IP, es decir, salida de información de flujo de datos de IP. De forma predeterminada, IPFIX utiliza siete atributos clave del equipo de red para representar el tráfico de red por recurso compartido, a saber, dirección IP de origen, dirección IP de destino, puerto de origen / UDP, puerto de destino / UDP, tipo de protocolo de tres capas, byte de tipo de servicio y entrada lógica. interfaz. Si los siete campos clave en diferentes paquetes IP pueden coincidir, estos paquetes IP se considerarán como pertenecientes al mismo tráfico de red.

● Estadísticas

● Metadatos

          Los metadatos también se denominan datos intermedios y datos de retransmisión. La definición simple son los datos que describen los datos. Se refiere a los datos estructurados (como título, versión, datos de publicación, instrucciones relacionadas, incluidos los puntos de acceso, etc.) extraídos de los recursos de información para describir sus características y contenido, utilizados para la organización, descripción, recuperación, conservación y gestión de la información y recursos de conocimiento. Por ejemplo, sobre un libro (recurso de información), podemos recuperar la siguiente información del sistema de la biblioteca,

          Un metadato básico consta de elementos de metadatos y contenido de metadatos. Aquí, el "título" es el elemento de metadatos y "Steve Jobs Walter Isaacson eng" es el contenido de los metadatos. Otro ejemplo, "autor" y "editor" son elementos de metadatos, mientras que "Isaacson (Isaacson, Walter)" y "CITIC Publishing House" son contenido de metadatos. Después de usar metadatos para describir recursos, podemos hacer muchas cosas. Por ejemplo, determine los recursos, proporcione puntos de acceso para los recursos e intercambie datos entre diferentes sistemas.

           Para obtener metadatos, extraemos elementos clave de las actividades de la red y luego usamos algunas herramientas externas para comprenderlos. Muchas otras formas de metadatos pueden derivarse del tráfico de la red, y estos metadatos brindan información clave e importante sobre las actividades de las amenazas cibernéticas. Como el contenido de salida de WHOIS de la dirección IP del sitio web y los metadatos del nombre de dominio.

● Datos de registro

         Según la fuente del registro, el registro se puede dividir en registro de dispositivo físico, registro de dispositivo de red, registro del sistema operativo y registro de aplicación.

         Según la estructura de registro de registros, los registros se pueden dividir en registros locales, registros distribuidos remotos y registros de administración centralizada.

         Los datos de registro se pueden usar como un tipo de datos importante y una fuente para el conocimiento de la situación de seguridad de la red. Se pueden agregar a través de la consola de administración centralizada y verlos a través de líneas de comando o herramientas visuales, así como usar palabras clave específicas para buscar, filtrar y reconocer patrones de actividad y características Técnicas de análisis y correlación para análisis de registros.

● Datos de alarma

          Los datos de alarma se refieren a la información de advertencia generada automáticamente por el sistema cuando el valor de alguna cantidad en el sistema de detección excede el límite especificado, o coincide con la regla de detección establecida, o cualquier dato que está configurado para ser verificado es anormal. El sistema de detección de intrusiones (IDS) es una fuente importante de datos de alarma, puede monitorear y analizar el tráfico de la red. El personal de seguridad puede revisar los datos de alarma en la consola IDS.

         El análisis de conciencia de la situación de seguridad de la red de los eventos a menudo se genera en función de los datos de alarma. Acerca de la diferencia entre alarmas y eventos que permiten la respuesta de alarma del personal de seguridad, y el evento es un usuario del comportamiento del sistema, acciones, como cambiar el valor de una variable, o inicio / cierre de sesión del usuario, sitios de inicio / salidas y otros eventos No Se requiere la respuesta del personal de seguridad.

Supongo que te gusta

Origin blog.csdn.net/liushulin183/article/details/103636049
Recomendado
Clasificación