1.sensors 在此书中指的是一切能为安全数据分析提供数据的对象,可以是任何东西
2.安全数据分析永远离不开可靠的数据来源,磨刀不误砍柴工,多花时间在数据源的收集上会为后面工作节省大量时间
3.数据的质量是一个折中的感念,是相对的,在速度和质量中求衡,
4.系统应当是可知的,当一个alert发生时,我们应当知道where and why(rule‘s history and provenance)
Sensors 的三个属性(从数据的角度)
Vantage(优势地位):sensors部署在网络的环境不同决定他们对同一事物接收到的信息不同。
Domain:表达了where and how the data is collected,在相同Vantage然而不通Domain的sensors往往对同一时间收集到互补的数据,
Action:sensors 的行为
.
详细描述见书P5
Network相关的sensors可以是pcap,packet headers或者是netflow,往往是可解释或者可读的**(然而越来越多的数据被加密了)**
Services可以是某个web服务,nginx或者apache,可以是ssh服务,数据来源往往是logs,也可以是syslog,那么问题往往在于我们必须提前知道具有这个服务才能相应的去部署,然而很多复杂网络系统中我们并不知道部署了什么服务。
Host 的sensors往往用于监控系统,内存使用情况,磁盘情况,文件变化,AV程序的信息,然而这些信息的Timing往往是不定发,有的state-based system是固定时间周期发送alert,有的intrusion-based system是偶发性的。
Active 由某些行为触发而产生,例如scanning,traceroute,异常行为(如试图打开不存在或者不公开的内部网站)
Vantage,举例,不同位置的sensors的不同意义
可以说,任何一个网络位置都可以部署sensors,不同的Vantage points有着不同的效果和能力,看到的traffic也就不同,例如A点并不能看到所有traffic,128.1.1.1到128.2.1.1之间的流量,也就是network的内部流量就无从得知了。
Action,举例,每个Sensor如何处理Data
根据domain不同,sensor可能会采用一系列不同的action。
report
report 的sensor只负责提供观察到的信息,是最简单和最基础的组成sensor,典型的report sensor有NetFlow,tcpdump,server logs。
event
event的sensor并不会单纯的记录并发送所有信息,而是从信息中提取事件,并且将事件报告,典型的event sensor有IDS,AV
control
control的sensor消费大量数据,对于数据做出决断,在发送一个event时,可以修改或者阻止网络流量(权限较高),典型的control sensor有IPSs,firewall,antispam systems,以及部分AVs
上图表示了三种sensors对于不同的情况的不同反应。
Validity and Action,
合法性是一个面对质疑时的重要武器,如何回答这些问题:你怎么确定你的sensors正常工作?这是否真的是一个威胁?
因此我们同时需要构建一个任务评判系统,用于时刻监视整个安全系统的合法性(正常)运营。
主要有以下四个方明的检测
Internal 内部合法性指的是如果我们由事件A–>B,那么我们内部合法性检查需要检测A是否真的与B相关,或者是否存在第三方事件影响二者之间的关系。
external外部合法性指的一次实验结果对于外界,A,B是一个整体,那么这个整体应当具有相当的合法性用于反应外部的data和result、
statistical统计合法性是指应使用适当的统计学方法,正确的解释和收集data
Construct 构建是指如果我们想要监视一个文件的传输,我们需要一系列的data。这个data重新成的传输过程即构建,构建合法性主要是其是否能够准确,再生产、是否被质疑。
每个合法性的详细说明可以见书P13-P15