0151 聊聊安全态势感知的分类

今天聊聊安全态势感知。

最近因为工作的原因，接触到一些安全态势感知的产品，和大家分享下。

安全态势感知的产品，可以分为三类。流量分析、日志分析、主机感知。

第一类安全态势感知产品是流量分析，流量分析是目前最常见的一种方式，流量一般为旁路方式，将流量镜像后引入流量分析软件或硬件平台，平台通过分析异常流量发现潜在的安全威胁。

如果有使用过抓包工具Wireshark，应该能了解流量分析的原理，就是持续的抓包，并根据包的特点进行分析。当然，如果是个人，需要的是经验，需要对TCP/IP协议有深刻的了解，对各种网络协议有深刻的理解。如果是平台，则是相当于建立了一个特征库，能够根据不同的特征进行分析，并给出结论，并且这个特征库还需要不断升级。

开源的流量分析工具有Snort，NTOP等，也有不同侧重点的开源工具，比如专门分析WEB流量的工具。

流量分析平台的挑战有两个，一是流量很大的时候，性能要能跟的上，二是特征库要保持更新。

如果流量小要求不高，可以使用开源的流量分析工具，如果流量较大，希望有不错的效果，还是推荐使用商业的工具。

第二类安全态势感知是日志分析，日志分析的原理是采集所有设备，包括网络、安全设备、操作系统的日志，通过日志进行分析。理论上所有的安全事件，在日志上肯定有反映。

日志分析的挑战有两个，一是日志采集，所有的设备都要进行配置，还好现在基本所有的设备都支持rsyslog。二是分析，不同的设备日志格式不一样，需要进行转译，而且日志是海量的，必须有自动化的分析方法。

日志分析也有开源方案，比如rsyslog加ELK的方案，但是这种方案需要对安全理解很深的团队参与。还有就是知名的splunk，在一定的日志额度之下是免费的。国内也有和splunk对标的产品，有兴趣可以自行搜索。

第三类安全态势感知是主机安全产品，即Gartner定义的CWPP产品，理论上所有的安全攻击最终都是面向主机的攻击，CWPP产品在主机上有agent，随时可以检测到攻击，并且上报。

但是，安全态势感知是CWPP的副业，并且只覆盖服务器系统，对于PC操作系统不能覆盖。