0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

充分开发网络元数据,它将具有无限的潜能

独爱72H 来源:网络整理 作者:佚名 2020-03-16 17:03 次阅读

(文章来源:网络整理)

网络安全行业有一段名言:只有两种企业,一种是知道了自己被入侵的企业,一种是不知道自己被入侵的企业。现代化的企业或机构的网络中潜伏着恶意攻击者,已经成了新常态。IBM的研究报告显示,企业平均需要197天才能发现网络被入侵,需要69天的时间来控制事态。但不管攻击者多么狡猾,总是会在网络中留下蛛丝马迹。

如同房子的门窗,IP地址、代理服务器、邮箱等就是网络入侵者的出入口,他们总是会在这些出入口上留下痕迹。分析人员可以基于大量的网络元数据,来识别并隔离网络入侵。

网络元数据通常被定义为数据的数据,或者是令数据变得有用的信息。如同数字摄影,照片上会包含使用的相机型号、曝光度、像素,甚至是GPS等信息,这些都是数字文件的元数据,帮助我们分类和组织我们的相册。网络元数据则包含了网络上需要运行的各种硬件设备和软件信息,从电子邮件到应用服务器,再到防火墙和云网关。单独的某一设备或软件,可能无法说明什么,但把所有的信息集中起来,对其进行分析和回溯,一个清晰的画面就会展现出来。

对于安全人员来说,网络元数据是一种关键但未被开发利用的威胁情报,分析人员必需将其整合到入侵检测的工具集中,将有价值的数据形成可执行的威胁情报,这些有价值的数据包括:DNS查询提供了一个上下文环境,它记录了从攻击者的设备到企业网络的每一次连接,从而有助于识别攻击者渗透网络的特定路径。

网络流数据(Net Flows),理解数据包如何在网络中流动,可以提供非常有价值的信息。如攻击者控制了哪些设备,这些设备是否被攻击者用来在网络络横向移动等。

边界代理与防火墙访问日志,如果攻击者没有通过DNS解析进行访问,那么这些连接的部分信息可以在防火墙或其他边界代理设备的日志中找到。垃圾邮件过滤的数据通常会被忽略,但这些元数据能够为企业所遭受的攻击手段判断提供非常有价值的情报。更进一步的,如果发现某些终端用户成为相似攻手段的目标,则意味着企业很可能已经被入侵。

虽然网络元数据有着很大的实用价值,却由于计算与存储资源等原因并没有被很好地利用。如,数据的存储和处理成本令人难以接受。但公有云的普及带来了希望,数据的存储成本已经从2000年时的12.4美元/G,降到现在的0.004美元/G。计算资源也有了飞跃式的激增,是20年前的1万倍。计算与存储的指数级发展,为收集与管理不断增长的海量元数据带来充足的空间。

当把这些所有的元数据与机器学习AI结合在一起,并进行有效关联分析的时候,一个新的安全阶段就会来临,安全团队不再头痛于网络里是否存在攻击者,我们可以通过非常便利、有效的数据工具,在几分钟内发现入侵,而不是现在的几个月。
(责任编辑:fqj)

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据
    +关注

    关注

    8

    文章

    6499

    浏览量

    87401
  • 互联网
    +关注

    关注

    54

    文章

    10834

    浏览量

    100480
收藏 人收藏

    评论

    相关推荐

    亿联无限终止创业板上市计划

    深圳市亿联无限科技股份有限公司(以下简称“亿联无限”),这家专注于宽带接入设备、无线网络设备等网络终端设备的高新技术企业,近日主动撤回了其在深圳证券交易所创业板首次公
    的头像 发表于 03-13 15:21 223次阅读

    鸿蒙原生应用服务实战-发布时多设备选择注意事项

    的时间是不确定的。 或者只能如下架现有的应用服务,在重新用新ID上架新服务只发布手机版本,这样应用服务原数据归零,肯定是比较麻烦的。 所以,申请上架的时候要注意,只申请技术上支持的开发
    发表于 02-21 10:22

    鸿蒙原生应用/服务实战-AGC团队账户

    参与应用市场(付费推广、应用内付费除外)开发、运营、数据分析操作、鲸鸿动能流量变现服务中媒体展示位管理及相关报表操作,以及主题中心业务中作品、活动、评论等管理的操作。暂不支持成员独立结算及部分开放能力
    发表于 01-18 16:38

    利用电表诊断数据发挥AMI部署的全部潜能

    电子发烧友网站提供《利用电表诊断数据发挥AMI部署的全部潜能.pdf》资料免费下载
    发表于 11-27 09:29 0次下载
    利用电表诊断<b class='flag-5'>数据</b>发挥AMI部署的全部<b class='flag-5'>潜能</b>

    xNURBS具有无限的能力来解决NURBS问题

    XNurbs由我们自己的内核(即xnkernel.dll)提供动力。XNurbsRhino和SolidWorks插件是我们直接基于内核开发的两个最终用户应用程序。(内核仅适用于ISV,终端用户不可用。)
    的头像 发表于 11-25 09:20 555次阅读
    xNURBS<b class='flag-5'>具有无限</b>的能力来解决NURBS问题

    用电表诊断数据发挥部署AMI的全部潜能

    电子发烧友网站提供《用电表诊断数据发挥部署AMI的全部潜能.pdf》资料免费下载
    发表于 11-24 09:35 0次下载
    用电表诊断<b class='flag-5'>数据</b>发挥部署AMI的全部<b class='flag-5'>潜能</b>

    家庭必备的4G路由器-轻松畅享无限网络

    在如今信息化高度发展的社会,家庭的网络需求也越来越高。而4G无限路由器的出现,为我们提供了一个解放网络的新方式,成为了家庭必备的利器,让家庭网络畅通无阻,让我们轻松畅享
    的头像 发表于 11-21 14:40 154次阅读

    具有无线收发功能的电子血压计设计

    电子发烧友网站提供《具有无线收发功能的电子血压计设计.pdf》资料免费下载
    发表于 10-20 10:44 1次下载
    <b class='flag-5'>具有无</b>线收发功能的电子血压计设计

    LCD12864的数据和指令是分开的吗?

    LCD12864的数据和指令是分开的吗
    发表于 10-09 08:05

    HarmonyOS服务开发实践:桌面卡片字典

    。 4.服务内具有搜索功能,用户可以通过搜索查询相应的字和解释,采用了类似现在用户习惯的上下滑动方式来进行逐字详细阐述。 5.基于API9、ArkTS语言开发,通过serverless云服务实现注册、登录
    发表于 08-24 16:55

    第四代英特尔® 至强® 可扩展处理器赋能下一代边缘内容分发网络

    ● 面向网络优化的第四代英特尔 至强 处理器具备更多内核、更快 I/O 和面向负载均衡、复制转发数据操作和加解密处理的内置加速技术,与前几代处理器相比,可使内容分发网络 (CDN) 的性能提高
    的头像 发表于 08-19 11:15 316次阅读

    关于运算放大器特性的常见问题

    理想的运算放大器不采用任何功率,具有无限输入阻抗、无限增益带宽和压摆率、无输入偏置电流和无输入失调。它们具有无限的电压合规性。
    的头像 发表于 07-03 10:00 206次阅读

    网络音频模块可开发网络寻呼话筒

    网络音频模块可开发自助银行终端 网络音频模块可开发矿井求助终端 网络音频模块可开发网络播放器
    的头像 发表于 06-01 11:09 328次阅读

    简述Linux系统收发网络数据包的过程

    Linux 服务器收到网络数据包,需要经过哪些处理,一步步将数据传给应用进程的呢?应用进程发送数据包时,Linux 又是如何操作将数据包发送
    的头像 发表于 05-05 10:04 391次阅读
    简述Linux系统收<b class='flag-5'>发网络</b><b class='flag-5'>数据</b>包的过程

    物体的有无用什么检测?

    在现代工业和生活中,准确地检测物体的有无是一项非常重要的任务。从生产线上的零部件检测到无人机中的障碍物检测,我们需要能够快速而准确地检测物体的存在。本文阿童木科技小编将聊聊一些用于检测物体有无的常见
    的头像 发表于 04-17 15:56 477次阅读
    物体的<b class='flag-5'>有无</b>用什么检测?