企业级网空态势感知
1. 态势感知系统的挑战
从海量的日志、网络流量、安全告警及业务交易日志中找到所需的信息是一个巨大的挑战;其次,对于孤立系统生成的信息整合和理解也是一个挑战,没有现成的整合框架或模型可被用于工具、算法和技术的耦合;第三,相关技术很少考虑安全分析人员在其中的作用。
(1)安全监测:记录网络流量的WireShark、Ntop、Tcpdump、Bro以及Snort
扫描漏洞的Nessus、OVA、GFILanGuard、QualysGuard以及McAfee FoundStone
用于网络测绘与发现的Lumeta IPSonar、SteelCentral NetCollector(即OPNET NetMapper)、Nmap以及JANASSURE
用于拦截系统调用的Backtracker、Shelf以及Patrol
用于捕获运行态安全事件的Malwarebytes Anti-Exploit、AVG Antivirus以及McAfee Antivirus。
(2)入侵检测