1.sensors 在此書中指的是一切能爲安全數據分析提供數據的對象,可以是任何東西
2.安全數據分析永遠離不開可靠的數據來源,磨刀不誤砍柴工,多花時間在數據源的收集上會爲後面工作節省大量時間
3.數據的質量是一個折中的感念,是相對的,在速度和質量中求衡,
4.系統應當是可知的,當一個alert發生時,我們應當知道where and why(rule‘s history and provenance)
Sensors 的三個屬性(從數據的角度)
Vantage(優勢地位):sensors部署在網絡的環境不同決定他們對同一事物接收到的信息不同。
Domain:表達了where and how the data is collected,在相同Vantage然而不通Domain的sensors往往對同一時間收集到互補的數據,
Action:sensors 的行爲
.
詳細描述見書P5
Network相關的sensors可以是pcap,packet headers或者是netflow,往往是可解釋或者可讀的**(然而越來越多的數據被加密了)**
Services可以是某個web服務,nginx或者apache,可以是ssh服務,數據來源往往是logs,也可以是syslog,那麼問題往往在於我們必須提前知道具有這個服務才能相應的去部署,然而很多複雜網絡系統中我們並不知道部署了什麼服務。
Host 的sensors往往用於監控系統,內存使用情況,磁盤情況,文件變化,AV程序的信息,然而這些信息的Timing往往是不定發,有的state-based system是固定時間週期發送alert,有的intrusion-based system是偶發性的。
Active 由某些行爲觸發而產生,例如scanning,traceroute,異常行爲(如試圖打開不存在或者不公開的內部網站)
Vantage,舉例,不同位置的sensors的不同意義
可以說,任何一個網絡位置都可以部署sensors,不同的Vantage points有着不同的效果和能力,看到的traffic也就不同,例如A點並不能看到所有traffic,128.1.1.1到128.2.1.1之間的流量,也就是network的內部流量就無從得知了。
Action,舉例,每個Sensor如何處理Data
根據domain不同,sensor可能會採用一系列不同的action。
report
report 的sensor只負責提供觀察到的信息,是最簡單和最基礎的組成sensor,典型的report sensor有NetFlow,tcpdump,server logs。
event
event的sensor並不會單純的記錄併發送所有信息,而是從信息中提取事件,並且將事件報告,典型的event sensor有IDS,AV
control
control的sensor消費大量數據,對於數據做出決斷,在發送一個event時,可以修改或者阻止網絡流量(權限較高),典型的control sensor有IPSs,firewall,antispam systems,以及部分AVs
上圖表示了三種sensors對於不同的情況的不同反應。
Validity and Action,
合法性是一個面對質疑時的重要武器,如何回答這些問題:你怎麼確定你的sensors正常工作?這是否真的是一個威脅?
因此我們同時需要構建一個任務評判系統,用於時刻監視整個安全系統的合法性(正常)運營。
主要有以下四個方明的檢測
Internal 內部合法性指的是如果我們由事件A–>B,那麼我們內部合法性檢查需要檢測A是否真的與B相關,或者是否存在第三方事件影響二者之間的關係。
external外部合法性指的一次實驗結果對於外界,A,B是一個整體,那麼這個整體應當具有相當的合法性用於反應外部的data和result、
statistical統計合法性是指應使用適當的統計學方法,正確的解釋和收集data
Construct 構建是指如果我們想要監視一個文件的傳輸,我們需要一系列的data。這個data重新成的傳輸過程即構建,構建合法性主要是其是否能夠準確,再生產、是否被質疑。
每個合法性的詳細說明可以見書P13-P15