一 加密协议解析
数据库有时会采用加密协议通讯,为审计解析带来了困难,但这也是数据库审计产品必须解决的问题,否则将无法实现数据库访问完全审计的任务。例如针对SQL Server默认的数据库用户加密或者更深层次的加密协议,都需要数据库审计产品提供相应的解决办法。
二 复杂环境的数据采集
数据库审计产品除了常规的旁路部署通过交换机镜像数据库访问流量的审计方法外,还应具备适用于复杂网络的数据采集方式,例如在复杂的虚拟化网络环境下,通过“探针”方式捕获数据库流量。但是无论哪种部署方式,都需要在不影响数据库原有性能,无需应用、网络环境改造的前提下,提供可靠的数据库审计服务。
三 应用关联审计与监控
数据库审计产品除了具备常规的客户端一层的审计信息:客户端IP、数据库用户、主机名、 *** 作系统、用户名等,还应具备应用侧风险行为审计与监控的能力,例如对应用账户、应用IP等关联审计信息。
四 数据库入侵行为监测
数据库暴露于内外网络,且数据库各版本都有安全漏洞问题,因此数据库审计产品应提供针对数据库漏洞攻击的“检测”功能,并对这些漏洞攻击实时监控、有效记录,发现风险后及时告警,且能够有效追溯风险来源。
五 数据库异常行为监测
数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯,这需要数据库审计产品针对数据库通讯协议进行完全解析;并具备针对SQL语句的学习、归类形成模板的能力;最终结合会话信息、应用关联信息,实现数据库行为建模。基于访问模型,当数据库访问行为异常时,系统可提供实时的告警能力,降低数据泄露的损失。
六 数据库违规行为监测
数据库审计产品还应具备针对数据库的违规访问、登录等行为检测告警的能力。例如利用审计到的数据库账号和客户端IP信息,针对指定周期内,同一IP或账号的频次性失败登录行为进行监控并形成告警。
七 报表展现
数据库审计产品应具备将审计日志进行数据化分析并以个性化报表展示的能力,以便帮助安全管理人员更加便捷、深入的剖析数据库运行风险。例如:综合报表、合规性报表、专项报表、自定义报表等。
安华金和数据库审计产品不但完全具备以上7种能力,还具备更多的且具有用户价值的扩展功能,具体可以咨询他们~百度能查到相关资料的。1Cisco公司的NetRanger
1996年3月,WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分:监测网络包和发告警的传感器(9000美元),以及接收并分析告警和启动对策的控制器(1万美元)。
另外,至少还需要一台奔腾PC来跑传感器程序以及一台Sun SparcStation通过OpenView或NetView来跑控制器程序。两者都运行Sun的Solaris。在软硬件平台中,传感器上可能要花费13万美元,控制器上要花费25万美元。
NetRanger以其高性能而闻名,而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道,EDS、Perot Systems、IBM Global Services都是其分销商。
NetRanger在全球广域网上运行很成功。例如,它有一个路径备份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径上传过来。它甚至能做到从一个点上监测或把监测权转给第三方。
NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容,而且还看上下文,即从多个包中得到线索。这是很重要的一点,因为入侵者可能以字符模式存取一个端口,然后在每个包中只放一个字符。如果一个监测器只观察单个包,它就永远不会发现完整的信息。
按照GartnerGroup公司的研究专家Jude O'Reilley的说法,NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。
但是,对于某些用户来讲,NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下,在网络运行中心(NOC)使用,其配置需要对Unix有详细的了解。NetRanger相对较昂贵,这对于一般的局域网来讲未必很适合。
2Network Associates公司的CyberCop
Network Associates 公司是1977年由以做Sniffer类探测器闻名的Network General公司与以做反病毒产品为专业的 McAfee Associates公司合并而成的。NetWork Associates从Cisco那里取得授权,将NetRanger的引擎和攻击模式数据库用在CyberCop中。
CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWork Associates的主要客户群。其软件价格比NetRanger还贵:传感器为9000美元,服务器上的控制器为15000美元。但其平台却可以是运行Solaris 251的Dell PC(通常CyberCop是预装在里面的)。跑传感器的平台一般要3000美元,控制器的平台要5000美元。
另外,CyberCop被设计成一个网络应用程序,一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式:Windows NT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。
前端设计成浏览器方式主要是考虑易于使用,发挥Network General在提炼包数据上的经验,用户使用时也易于查看和理解。像在Sniffer中一样,它在帮助文档里结合了专家知识。CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相比,CyberCop缺乏一些企业应用的特征,如路径备份功能等。
按照CyberCop产品经理Katherine Stolz的说法,Network Associates公司在安全领域将有一系列的举措和合作。"我们定位在大规模的安全上,我们将成为整体解决方案的提供者。"
3Internet Security System公司的RealSecure
按照GartnerGroup的O'Reilley的说法,RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似,RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警,控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行,并可以在混合的 *** 作系统或匹配的 *** 作系统环境下使用。它们都能在商用微机上运行。
对于一个小型的系统,将引擎和控制台放在同一台机器上运行是可以的,但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元,控制台是免费的。一个引擎可以向多个控制台报告,一个控制台也可以管理多个引擎。
RealSecure可以对CheckPoint Software的FireWall-1重新进行配置。根据入侵检测技术经理Mark Wood的说法,ISS还计划使其能对Cisco的路由器进行重新配置,同时也正开发OpenView下的应用。
4Intrusion Detection公司的Kane Security Monitor
基于主机的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在结构上由三部分组成,即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元(包括审计器和控制台),在此基础上每个工作站代理报价295美元。
按照位于加州Playa Del Rey以安全技术见长的Miora Systems Consulting公司的资深咨询专家David Brussin的看法,KSM在TCP/IP监测方面特别强。但他也提到,Intrusion Detection的产品不是为较快的广域网设计的。
公司的奠基人兼总裁Robert Kane说,Intrusion Detection在本季度将推出在OpenView下的应用,随后在年底将推出与Tivoli Management Environment(TME)的集成。将来,Intrusion Detection还计划支持Unix、微软的BackOffice和Novell的Netware。
5Axent Technologies公司的OmniGuard/Intruder Alert
与KSM的审计器、控制台、代理所对应的OmniGuard/Intruder Alert(ITA)在结构上的三个组成部分为一个管理器(1995美元)、控制台(免费)和代理(每个服务器为995美元,每个工作站为95美元)。
ITA比Intrusion Detection的KSM提供了更广泛的平台支持。它的管理器和代理能在Windows NT、95、31和Netware 3x、4x上运行,所有的部分在多种Unix下都能运行,如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。
可以根据一些解决方案来剪裁ITA,这些解决方案可来自主流的 *** 作系统、防火墙厂商、Web服务器厂商、数据库应用以及路由器制造商。Axent在2月份兼并了防火墙厂商Raptor,并将增强ITA,使其能对Raptor的防火墙进行重配置。
6Computer Associates公司的SessionWall-3/eTrust Intrusion Detection
SessionWall-3/eTrust Intrusion Detection可以通过降低对网络管理技能和时间的要求,在确保网络的连接性能的前提下,大大提高网络的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自动地识别网络使用模式,特殊网络应用,并能够识别各种基于网络的各种入侵、攻击和滥用活动。另外,SessionWall-3/eTrust Intrusion Detection还可以将网络上发生的各种有关生产应用、网络安全和公司策略方面的众多疑点提取出来。
SessionWall-3/eTrust Intrusion Detection是作为一种独立或补充产品进行设计的,它的特点包括:
·世界水平的攻击监测引擎,可以实现对网络攻击的监测;
·丰富的URL控制表单,可以实现对200,000个以上分类站点的控制;
·世界水平对Java/ActiveX恶意小程序的监测引擎和病毒监测引擎;
·SessionWall-3/eTrust Intrusion Detection远程管理插件,用于没有安装SessionWall-3/eTrust Intrusion Detection的机器的SessionWall-3/eTrust Intrusion Detection记录文件的归档和查阅,以及SessionWall-3/eTrust Intrusion Detection报表的查阅。
SessionWall-3/eTrust Intrusion Detection的网络安全保护
SessionWall-3/eTrust Intrusion Detection屡获殊荣,是面的网络安全管理软件。
SessionWall-3/eTrust Intrusion Detection的特点包括:
·提供从先进的网络统计到特定用户使用情况的统计的全面网络应用报表;
·网络安全功能包括内容扫描、入侵监测、阻塞、报警和记录。
·Web和内部网络使用策略的监视和控制,对Web和公司内部网络访问策略实施监视和强制实施;
·公司保护(Company preservation),或称诉讼保护,即对电子邮件的内容进行监视,记录、查看和存档;
SessionWall-3/eTrust Intrusion Detection还包括用于WEB访问的策略集(用于监视/阻塞/报警)和用于入侵监测的策略集(用于攻击监测、恶意小程序和恶意电子邮件)。这些策略集包含了SessionWall-3/eTrust Intrusion Detection对所有通信进行扫描的策略,这些策略不仅指定了扫描的模式、通信协议、寻址方式、网络域、URL以及扫描内容,还指定了相应的处理动作。一旦安装了SessionWall-3/eTrust Intrusion Detection,它将立即投入对入侵企图和可疑网络活动的监视,并对所有电子邮件、WEB浏览、新闻、Telnet和FTP活动进行记录。
SessionWall-3/eTrust Intrusion Detection还可以很方便地追加新规则,或利用菜单驱动选项对现有规则进行修改。
SessionWall-3/eTrust Intrusion Detection可以满足各种网络保护需求,它的主要应用对象包括审计人员、安全咨询人员、执法监督机构、金融机构、中小型商务机构、大型企业、ISP、教育机构和政府机构等。
SessionWall-3/eTrust Intrusion Detection的功能
SessionWall-3/eTrust Intrusion Detection是一种功能全面且使用方便的网络保护解决方案,它克服了网络保护中的主要业务障碍,其采用的主要手段包括:
·程度地降低用户技能和资源需求;
·提供一种经济的和可扩展的解决方案;
·提供管理报表;
·提供灵活易用的工具。
从 *** 作的角度讲,SessionWall-3/eTrust Intrusion Detection去除了某些网络保护解决方案在安装和 *** 作的麻烦。实际上,SessionWall-3/eTrust Intrusion Detection可以提供许多人们所期望网络内在特性,而这些特性在过去是必需借助多种工具并通过复杂的分析之后才能够得到的。为了达到这一目的,SessionWall-3/eTrust Intrusion Detection采用了如下措施:
·即插即用安装(自动配置);
·易用的图形用户界面;
·登录网络活动的在线查阅;
·实时统计和图形显示;
·全面的"追根溯源(drill down)"报表;
·联机查询和定时报表;
·易于更新的监视、阻塞和报警规则;
·综合的响应和报警集合,包括实时干涉,预定义阻塞规则、第三方应用启动响应接口、以及不同的信息发送方式。
·用于监视和阻塞的全面URL站点分类和控制列表。
·支持WEB自速率系统(RSACi)。
·先进的可疑小程序监测(例如,Java/ActiveX引擎)。
·综合病毒扫描引擎和病毒库。
·完整的格式化内容和附件浏览器。
·电子文字模式内容的扫描和阻塞;
·菜单驱动的自动地址解析。
·特殊的保密特性,可以对控制访问权限提供登录和管理的访问控制。
SessionWall-3/eTrust Intrusion Detection的特点
SessionWall-3/eTrust Intrusion Detection与大多数网络保护产品不同,后者是生硬地安插在网络通信路径中的,而前者则是完全透明的,它不需要对网络和地址做任何的变化,也不会给独立于平台的网络带来任何的传输延迟。
SessionWall-3/eTrust Intrusion Detection可全面满足你的需要!
SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet网络保护产品,它具备前所未有的访问控制水平、用户的透明度、性能、灵活性、适应性和易用性。SessionWall-3/eTrust Intrusion Detection无需使用昂贵的UNIX主机,也避免了因非路由防火墙所造成的额外开销。另外,SessionWall-3/eTrust Intrusion Detection还包括一个会话视窗,可以用于网络入侵的监视、审计,并可以为电子通信的滥用现象提供充分的证据。
技术规范
· *** 作系统:Windows 95(OSR 2), Windows 98或Windows NT 40(SP3以上)以上版本;
·系统平台:Intel Pentium 100MHz以上;
·内存:64MB RAM
·磁盘空间:200MB可用空间
·网络接口:标准以太网/令牌环网/FDDI
·软件介质:CD-ROM
7Trusted Information System公司的Stalkers
由Haystack Labs于1993年推出的Stalker是一个基于主机的监测器,它能用于NT以及多种版本的Unix,包括Solaris、AIX、HP-UX和SCO的 UnixWare。21版的管理器价格为9995美元,每个代理为695美元。
Haystack Labs在1996年6月推出了WebStalker Pro,其 *** 作系统运行平台和Stalker是一样的,但其使用对象是Web服务器。它在Unix下的报价是4995美元,在NT下的报价是2995美元。Sun的Netra Web服务器在销售时就带有一个WebStalker的专门版。IBM Global Services也销售WebStalker。
开发基于NT防火墙产品Gauntlet的Trusted Information System公司于1997年10月收购了Haystack。于1997年12月宣布了只在NT下运行且为微软的Proxy Server 20设计的监测器——ProxyStalker。ProxyStalker计划于第一季度推出,其价格尚未宣布,但估计和Proxy Server应该是同等档次的产品,即少于1000美元。
所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置,三种产品也都可以在发现入侵的同时消灭入侵。例如,WebStalker Pro可以终止一个登录或一个进程,它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。
8Network Security Wizards公司的Dragon IDS
Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气,但它在表现极好。它在检测到较多攻击。Dragon是一个非常原始的工具,建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话, Dragon还是一个很不错的选择。
Dragon通过命令行方式来执行,只有非常简单的基于Web 的报告工具。除了NFR外,NSW是一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件,使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活,但它同样能够达到目的。通过使用一个基本的参数定义集合,用户可以定义要搜索的端口、协议、样本大小、字符串等。
不幸的是,Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具,它产生的数据冗长而又复杂,很不容易看懂。Dragon的成熟还需要一个过程。
Dragon能够处理碎片重组。它不仅能够无错地重组碎片,而且即使当网络占用率达70~80%时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒,这些功能盒能够以130Mbps的速率运行。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话,那么Dragon是很好的选择。
9Network Ice公司的BlackIce Defender and Enterprise Icepac 10
Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时,没有留下特别的印象:管理接口相当麻烦,配置选择也不是很多。然而BalckIce执行起来非常好,能够进行碎片重组。
BlackIce能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名,BlackIce要比许多其他基于网络的入侵检测产品表现的好。
但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用,通信未加密就通过>
随着产业互联网时代各行业数字化转型的逐步深入,用户有越来越多的业务依托公有云承载。公有云为用户构建数字化业务带来了极大便利和效率提升,但同时也对用户安全体系的建设带来了新的挑战。根据咨询机构的调查显示,公有云上安全事件发生的原因主要有用户不当的云配置以及云上的不当 *** 作行为和越权 *** 作。用户在公有云上除了需要应对外部威胁外,也需要做好自身的安全配置及云上 *** 作的管理,防患于未然。
基于用户面临的云上安全挑战,腾讯安全即将发布腾讯云安全运营中心20,在原有安全运营中心的安全事件管理、泄漏监测及安全大屏等功能基础上新增资产安全中心、安全配置管理、云上用户行为智能分析、合规管理及安全评分等功能,帮助用户实现更全面的安全风险监测和一站式的自动化安全运营,提升用户在公有云上的整体安全水平。
安全评分
安全运营中心全新发布安全评分功能。基于安全运营中心的云上安全数据湖,从安全事件、漏洞及云安全配置风险等维度对云上安全情况进行整体评分,帮助云上用户直观了解自身腾讯云上业务的整体安全态势。
统一云上资产安全中心
资产安全运营是安全运营的基础。安全运营中心全新发布资产安全中心,实现12类云上资产的统一安全管理,涉及云服务器CVM、负载均衡LB、MySQL数据库、TDSQL数据库、Redis数据库、对象存储COS、云硬盘CBS及SSL证书等。资产安全中心可基于安全运营视角,从配置风险、漏洞及安全事件等角度对资产安全风险进行定位和管理,实现面向云资产的安全运营管理。针对云服务器,资产安全中心提供统一的漏洞运营平台,结合腾讯安全云鼎实验室提供的关键漏洞预警能力,帮助用户提升漏洞应对能力。
自动化云安全配置检查
针对云上各类型资产的配置风险,安全运营中心基于腾讯自身安全实践,为用户提供云原生的资产配置风险检查功能。从基础安全防护、身份认证与权限、网络访问控制、数据安全、日志审计及监控告警等维度,对云上12类资产进行自动化的配置风险检查;针对发现的风险问题提供相应的处置建议和快速修复方式,从源头提升云上风险应对水平。
云上用户行为智能分析(预览)
除了外部攻击及自身配置风险外,公有云业务面临的另一大安全风险来自于云上业务运营中的异常行为与风险 *** 作。安全运营中心的Cloud UBA功能模块通过可视化、统计分析和异常检测等方式可对用户在公有云上的 *** 作行为进行智能分析,识别安全风险。一方面,通过对 *** 作路径、 *** 作的云资源、 *** 作行为、以及用户登录趋势等的统计与可视化呈现,帮助安全管理人员高效、直观地掌握云资源 *** 作情况;另一方面,通过对云上的 *** 作行为进行异常检测与动态风险评估,实现云上 *** 作行为的风险智能化识别。
持续自动化的合规评估(预览)
合规是用户上云的基本安全要求。安全运营中心可为云上用户提供云原生的安全合规评估功能。针对用户公有云上的安全措施及安全体系建设情况,结合安全合规要求,安全运营中心通过自动化地、持续性地监测、评估来帮助用户实现云上业务的安全合规。目前已经覆盖了等级保护20标准中的部分安全通用要求及云计算安全扩展要求,并提供相应的解决方案建议,后续腾讯云将逐步提高对各类合规标准的覆盖。
噪声数据随着经济和信息技术的不断发展,许多企业开始引入了ERP等系统,这些系统使得企业的众多活动数据可以实时记录,形成了大量有关企业经营管理的数据仓库。从这些海量数据中获取有用的审计数据是目前计算机审计的一个应用。接下来我为你带来基于大数据审计的信息安全日志分析法,希望对你有帮助。
大数据信息安全日志审计分析方法
1.海量数据采集。
大数据采集过程的主要特点和挑战是并发数高,因此采集数据量较大时,分析平台的接收性能也将面临较大挑战。大数据审计平台可采用大数据收集技术对各种类型的数据进行统一采集,使用一定的压缩及加密算法,在保证用户数据隐私性及完整性的前提下,可以进行带宽控制。
2.数据预处理。
在大数据环境下对采集到的海量数据进行有效分析,需要对各种数据进行分类,并按照一定的标准进行归一化,且对数据进行一些简单的清洗和预处理工作。对于海量数据的预处理,大数据审计平台采用新的技术架构,使用基于大数据集群的分布式计算框架,同时结合基于大数据集群的复杂事件处理流程作为实时规则分析引擎,从而能够高效并行地运行多种规则,并能够实时检测异常事件。
3.统计及分析。
按照数据分析的实时性,分为实时数据分析和离线数据分析。大数据平台在数据预处理时使用的分布式计算框架Storm就非常适合对海量数据进行实时的统计计算,并能够快速反馈统计结果。Storm框架利用严格且高效的事件处理流程保证运算时数据的准确性,并提供多种实时统计接口以使用。
4.数据挖掘。
数据挖掘是在没有明确假设的前提下去挖掘信息、发现知识,所以它所得到的信息具有未知、有效、实用三个特征。与传统统计及分析过程不同的是,大数据环境下的数据挖掘一般没有预先设定好的主题,主要是在现有数据上面进行基于各种算法的计算,从而起到预测的效果,并进一步实现一些高级别数据分析的需求。
大数据分析信息安全日志的解决方案
统一日志审计与安全大数据分析平台能够实时不间断地将用户网络中来自不同厂商的安全设备、网络设备、主机、 *** 作系统、数据库系统、用户业务系统的日志和警报等信息汇集到管理中心,实现全网综合安全审计;同时借助大数据分析和挖掘技术,通过各种模型场景发现各种网络行为、用户异常访问和 *** 作行为。
1.系统平台架构。
以国内某大数据安全分析系统为例,其架构包括大数据采集平台、未知威胁感知系统、分布式实时计算系统(Storm)、复杂事件处理引擎(Esper)、Hadoop平台、分布式文件系统(HDFS)、分布式列数据库(Hbase)、分布式并行计算框架(Map/Reduce、Spark)、数据仓库(Hive)、分布式全文搜索引擎(ElasticSearch)、科学计算系统(Euler)。这些技术能够解决用户对海量事件的采集、处理、分析、挖掘和存储的需求。
如图1所示,系统能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事件,提高工作效率。
2.实现功能。
系统能够实现的功能包括:审计范围覆盖网络环境中的全部网络设备、安全设备、服务器、数据库、中间件、应用系统,覆盖200多种设备和应用中的上万类日志,快速支持用户业务系统日志审计;系统收集企业和组织中的所有安全日志和告警信息,通过归一化和智能日志关联分析引擎,协助用户准确、快速地识别安全事故;通过系统的'安全事件并及时做出安全响应 *** 作,为用户的网络环境安全提供保障;通过已经审计到的各种审计对象日志,重建一段时间内可疑的事件序列,分析路径,帮助安全分析人员快速发现源;整个Hadoop的体系结构主要通过分布式文件系统(HDFS)来实现对分布式存储的底层支持。
3.应用场景。
上述系统可解决传统日志审计无法实现的日志关联分析和智能定位功能。如在企业的网络系统中,大范围分布的网络设备、安全设备、服务器等实时产生的日志量非常大,要从其中提取想要的信息非常困难,而要从设备之间的关联来判断设备故障也将是一大难点。例如,某企业定位某设备与周围直连设备的日志消息相关联起来判断该设备是否存在异常或故障,如对于其中一台核心交换机SW1,与之直连的所有设备如果相继报接口down的日志,则可定位该设备SWl为故障设备,此时应及时做出响应。而传统数据难以通过周围设备的关联告警来定位该故障,大数据审计平台则是最好的解决方法。
大数据分析方法可以利用实体关联分析、地理空间分析和数据统计分析等技术来分析实体之间的关系,并利用相关的结构化和非结构化的信息来检测非法活动。对于集中存储起来的海量信息,可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)