首页 > 其他分享 >安全设备篇——态势感知

安全设备篇——态势感知

时间:2024-04-04 12:33:27浏览次数:21  
标签:鼠鼠 流量 态势 安全设备 规则 感知 态感

欢迎关注公众号"一己之见安全团队"

今天开始水一个新的系列,安全设备。其实网上很多有关安全设备的帖子,且各大厂家官网的产品详情也是介绍的清清楚楚的,开启此篇章的目的(除了水)主要是给刚入门的小师傅们尽可能通俗易懂的介绍各类安全设备的用途,而今天的主角就是——态势感知。

态势感知是安服仔们必然不可能避得开的一个设备,hw也好,996马楼也好,可以说哪怕你别的设备全都没见过,不知道不打听不感兴趣,也绝对不可能没有看过态感、没分析过数据包、没写过安全报告。就拿鼠鼠在的单位举个例子,鼠鼠我呀除了态势感知也没权限操作别的安全设备了。

先粘一段百度对态势感知词条的解释:

“态势感知安全设备是一种集传感器、算法、数据分析为一体的智能安全监控系统。它可以通过对周边环境的实时监测,对异常行为或威胁进行及时预警和响应。该设备可用于保护企业、机构和政府等各类场所的安全,包括物理安全和网络安全。”

放上一张百度来的图片,态感基本都长这样:

两个关键词分别是:“传感器”、“数据分析”。理解了这两个词就相当于理解了态势感知是干什么的了。

传感器

传感器其实就是探针,探针用来镜像流量,而态感就通过读取探针镜像的流量来分析数据的。这里涉及到一个态势感知部署方式的问题,分为旁路部署和直连部署,绝大部分情况下都是旁路部署。直连很好理解,直接在流量经过的地方,比如交换机、防火墙出口拿两根网线一插就完事,这样做的坏处就是态势感知如果挂掉那网络也会断掉,影响业务。旁路部署就是态势感知并不能直接读取到网络流量,而是间接的将流量镜像到探针上,通过探针来获取流量,这样的好处是既不会影响业务,也可以通过多部署探针的方式获取到尽可能全的流量数据。

数据分析

重点来了,其实光看上面的部分很多人会觉得态势感知和全流量设备很像(以师傅们的视角其实理解成小鲨鱼就行了,就是流量分析设备),其实本质上最核心的部分确实差不多,而之所以把态感和全流量设备能区分开的,就是数据分析,可以说就是核心的ids技术。态势感知内置了很多种payload以及自定义规则去检测流量中是否存在攻击威胁,刚好鼠鼠我毕设就自己写了个很水的态感交上去,以下图片就是我当时自写的规则库:

说的稍微儿童一点,以图片中的规则为例子,就是态势感知会去看流量中有没有这些payload,如果有就判断为sql注入嘛,我这里写的比较水,当时实习也没什么空搞这玩意,应该分的细一点的,比如联合注入啊盲注之类的。

剖析一下,态势感知规则库检测的底层原理就是if xx else xx,没了!当然了,现在态势感知的规则库都是很快就更新的,几天一更甚至一天几更都是很正常的,这也是在用量去保证规则覆盖的全面,这也引出了下一个问题:

“误报”。

关于误报

误报也是每一个安服仔的必修课,鼠鼠的第一篇文章就是关于误报的。感兴趣的朋友可以看看,附上链接:

https://blog.csdn.net/qq_61807674/article/details/137222970?utm_source=miniapp_weixin

误报是因为规则库是静态匹配规则,一旦传输内容中出现了某些内容匹配上了就会告警,我和一个做安全开发的朋友聊了聊,现在市面上主流的态感产品暂时还是避免不了这个问题,当然了这也是个趋势,ah的恒脑据说不就是要成为所有吗喽的噩梦���。说回正题,现在态势感知基本的更新模式(仅针对规则库一类)主要还是叠加形式的更新,除非已有的匹配库是错误的或者已证实规则不构成任何安全影响(可能性极低),不然都是在原有的基础上加上新的规则。

正因为规则库的不灵活和单一,所有才需要加入安服人员们(吗喽们)的人工干涉判断,即研判,有关研判的部分暂且挖个坑,之后会在单独的篇章里叙述。

联动处置

关于联动我目前接触比较深的是sxf的态感,可以和自家edr、xdr、防火墙等设备联动,也能接入云端,甚至能接入其他厂家的部分安全产品,鼠鼠就看同事接入过一个蜜罐。联动处置的意义是:态势感知并不具备阻断功能,且如果出现内网攻击行为态势感知是有可能无法检测到的。再有就是如果出现了木马外联、病毒感染这样的主机安全事件,更像是edr设备的主场,edr可以将病毒或木马的路径上报给态势感知,最后通过安服人员的研判就可以很轻松的排查病毒的位置,精确到路径。

不管是面试经or实际应急响应,联动处置在鼠鼠个人观点看来都是很重要的知识点,墨守陈规byd是坏事,在积累和继承前人经验的同时也要更新自己,看清楚趋势,究其物理,咱也不能总当只猴子呀���。

总结

这一篇全文会通俗很多,并没有着重去描写日常使用场景及案例,主要是介绍设备本身功能和用途,为入门级别的小伙伴扫扫盲罢,各大安全厂家自己学的使用手册还是推荐大家去看一看,目前主流的厂家做出的态感还是存在一定差别,产品思路和未来研究方向上还是以减少人工介入为主,在这点上某步和某所的产品推荐大家了解一下。

诚邀您关注一己之见安全团队公众号!我们会不定期发布网络安全技术分享和学习笔记,您的关注就是给予我们最大的动力

标签:鼠鼠,流量,态势,安全设备,规则,感知,态感
From: https://blog.csdn.net/qq_61807674/article/details/137371875

相关文章

  • BEV 目标感知能力:效果稳定,目标丰富
    今年7月,昊铂GT正式量产下线。绝影再度携手广汽埃安,为广汽埃安旗下高端纯电轿跑车型昊铂GT提供智驾感知算法,率先实现BEV感知算法的大规模量产,成为业内焦点之一。本期将与大家分享昊铂GT出众智驾感知能力的「奥秘」——业内领先的BEV目标感知算法、BEV车道线感知......
  • 深度学习(二),感知机——超详细公式推导及代码实例
    一,感知机(Perceptron) 1.1介绍    大名鼎鼎的感知机,是一个二分类模型,也是最早的AI模型之一。它的原理简单,便于理解,且实现简单,在线性分类问题上效果卓越,在60年代备受瞩目。但也正是因为它受到的期望过高,当潜在的一些问题暴露出来后(如无法拟合XOR函数,无法解决非线......
  • 神经网络与深度学习 Chapter2 线性分类与感知机
    Chapter2线性分类与感知机2.1线性回归线性回归定义:利用数理统计中回归分析,来确定两种或两种以上变量间相互依赖的定量关系的一种统计分析方法。线性回归要素:训练集(或训练数据),一般记为x......
  • 【安全设备系列】-- 上网行为审计-1
    1、上网行为审计系统-1......
  • # 自动驾驶感知新范式——BEV感知经典论文总结和对比(一)
    自动驾驶感知新范式——BEV感知经典论文总结和对比(一)博主之前的博客大多围绕自动驾驶视觉感知中的视觉深度估计(depthestimation)展开,包括单目针孔、单目鱼眼、环视针孔、环视鱼眼等,目标是只依赖于视觉环视摄像头,在车身周围产生伪激光雷达点云(Pseudolidar),可以模拟激光雷达的测距......
  • 全地形人形机器人(humanoid)是否只能进行短距视野感知呢 —— 实时地形感知
    相关:https://capital.lenovo.com/news/detail/id/924/s/1.html常见的人形机器人都是测试其手臂灵活度为主,但是近日看到一款以全地形步态行走为主的机器人(逐际动力,CL-1)。虽然很少有用双足机器人测试全地形行走能力的,但是全地形行走的能力测试在四足机器人中极为常见的,感觉测试......
  • 是否具有环境感知能力是人形机器人的基本要求 —— 基于感知的运动控制算法
    智能机器人与传统机器人的区别在于是否具有智能决策模块,直白的说就是在于是否使用强化学习算法进行动作的智能决策。但是,并不是使用强化学习算法的机器人就是智能机器人,尤其是人形机器人。强化学习算法是需要对环境进行感知的,这其实还可以分为两类,第一类是比较理想下的设定,就是指......
  • 深度学习模型的基础--感知机
    AI大模型学习在当前技术环境下,AI大模型学习不仅要求研究者具备深厚的数学基础和编程能力,还需要对特定领域的业务场景有深入的了解。通过不断优化模型结构和算法,AI大模型学习能够不断提升模型的准确性和效率,为人类生活和工作带来更多便利。方向一:AI大模型学习的理论基础提示......
  • 深度学习4:感知器-三种激活函数及梯度下降算法
    文章目录1.感知器定义2.激活函数2.1常用的激活函数(1)三种激活函数的值域比较(2)三种函数对于定义域比较(3)PyTorch中的三种激活函数代码3求最优权重和偏置项(w,b)的方法3.1梯度下降算法(一元函数)实例3.2随机梯度下降算法(多元函数,单个样本)实例3.3批量梯度下降算法(......
  • 伤害感知
    描述伤害感知是通过'报告伤害事件'节点告知造成伤害的主主体的位置案例使用调试键替代攻击当调试键(攻击)按下后,敌人收到伤害感知报告的伤害源位置后,向玩家位置移动1.启用伤害感知2.在AI控制器中编写伤害感知的逻辑(由于功能一致,在这里使用听力感知的做法进行改动)3.在玩家......