@时光机
2年前 提问
1个回答
流量安全监控体系从哪些方面建设
007bug
2年前
流量安全监控体系可以从以下方面建设:
全流量监控:任何请求或者攻击是通过网络线路,都会有网络流量, 恶意攻击流量和正常的数据肯定有所差异,通过全网流量监控去发现和捕获异常流量结合安全工程师进行分析是当前最有效的安全手段之一。
主机监控:最后的防御屏障,任何攻击最终目标是获取主机。部署主机安全系统,对恶意的命令执行、异常进程启停、非法文件创建、恶意代码或者webshell写入等进行实时监控。
日志审计:建立一套完善和独立的日志安全分析机制,收集和分析各类系统和软件的日志进行针对性的安全审计,可以帮助防守队从中找到意想不到攻击信息。
部署蜜罐:部署蜜罐伪装目标,保护真实目标,可以诱敌深入,持续消耗攻击队的资源和耐心,化被动为主动,从中还能意外收获,捕获0day攻击特征和流量。
实时情报:建立实时情报和威胁情报收集体系,很多时候0day特征和攻击信息第一时间不是来自于自身网络攻击流量,而是实时情报的及时收集,根据收集到的特征反向去历史攻击日志或者请求流量中查询。
动态防御:部署不依靠特征匹配的动态防御系统,可以抵御99%左右的第一波0day自动化扫描探测攻击,可以防御90%以上的第二波0day手工利用攻击。