数据准备工作与终端安全风险管理

2023-11-23 理论教育版权反馈

【摘要】：要进行深度分析，首先要进行分析数据的准备工作。分析数据的来源与分析数据的目标密切相关。除时间外，还有MAC地址、IP地址等需要格式化的数据类型。如即使都是IP地址，但根据语义不同可以区分为源IP地址和目的IP地址，根据语义可以知道数据是谁发出的等，在确定语义后，将信息元分别填充到归一化事件对应的字段中。表11-2 常用标准的数据级别定义

分析数据的目的主要是根据获取的事件信息，揭示可能已知或未知的趋势，为终端安全管理工作提供管理和监督的实际数据支持。通过对数据的深入分析，可以对终端安全的工作情况深入了解，并对后续的整改提供分析的依据，或为计划提供可靠的实际数据支持。

要进行深度分析，首先要进行分析数据的准备工作。分析数据的来源与分析数据的目标密切相关。结合终端安全管理体系的内容，分析的数据来源可列举如下：

√ 终端本身的安全事件

√ 与终端相关的设备上对终端记录的安全事件

√ 相关应用系统上对终端记录的安全事件，包括但不限于审计系统、行为分析系统等

√ 其他设备或系统记录的终端相关的安全事件

由于有如此之多的数据来源，且这些数据来源提供的安全事件在内容上必然存在极大的差别，为了能够对这些安全事件进行统一的管理和分析，需要对这些事件进行归一化的处理。一般而言，数据归一化处理可以分为数据格式化与数据语义映射两个部分。

（1）数据格式化

数据格式化，将数据通过格式化的方式，转换为统一的表现形式。其处理过程又可细分为数据预处理、数据处理与数据填充。

1）数据预处理，将原始数据解析为信息元（有特定含义的数据单元，信息元的划分一般与归一化事件字段有关）。如：

CISCO交换机UDP日志：

＜39＞233159：^*Mar2604：04：10：UDP：rcvdsrc=192.168.101.239（137），dst=192.168.101.255（137），length=58

CISCOPIX防火墙UDP日志：

＜166＞%PIX-6-302016：Teardown UDP connection 12385695 for outside：61.171.177.212/16405toinside：192.168.101.255/40560duration0：02：01bytes70(www.chuimin.cn)

处理后的信息元如表11-1所示。

表11-1 处理后的信息元

（续）

2）数据处理，对信息元的数据进行处理，将相同类型的数据处理为统一的格式。比如时间，它可以有非常多的表现形式，如“Dec311：00：00 2007”，“2007-12-3 11：00：00”或“MonDec311：00：00 CST 2007”等，它们表示的都是同一个时间，但表现形式上有差别。计算机无法自动认知这些差别，所以为了后续的数据表现及数据处理，需要对时间进行格式化，统一其表现形式。除时间外，还有MAC地址、IP地址等需要格式化的数据类型。除了格式上的统一外，还需要对数值型数据的度量进行统一，如文件或空间的大小，可能用MB（兆字节）、KB（千字节）或BYTE（字节）等任意一个度量做单位，单位的不同会造成数据的巨大差异，因此也需要对数值型的数据进行度量统一。

3）数据填充，将经过数据处理的信息元填充到相应语义的归一化数据字段中。通过正确分析原始数据的整体语义，正确地理解信息元的含义。如即使都是IP地址，但根据语义不同可以区分为源IP地址和目的IP地址，根据语义可以知道数据是谁发出的等，在确定语义后，将信息元分别填充到归一化事件对应的字段中。

（2）数据语义映射

数据语义映射用于统一数据的语义表述，即将表示相同语义的不同内容统一为同一的表述形式。该过程将不同原始数据中，表示相同语义的内容统一为同一的语义表示。这里有别于格式化的是，这里强调的是对数据内容语义的统一。如数据的级别，在Syslog标准中定义了8个级别，而Windows的Event Log日志中定义了5个级别，它们分别如表11-2所示。

因为二者在划分级别的个数上不统一，而且定义不统一，势必造成后续的数据表示及处理的不一致，所以必须对它们级别的内容进行数据映射，统一它们的语义。上面表格的映射部分给出了数据映射的对照关系。像这样需要进行数据映射的内容还包括病毒信息、漏洞信息、补丁信息、IDS攻击信息等，以上的信息均会因为厂商或标准的不同，信息的描述上存在差异。如不同的反病毒厂商会给同一种病毒定义不同的名字，这里就需要将不同的名字映射为同一个名字，以便后续的数据处理。

表11-2 常用标准的数据级别定义

数据准备工作与终端安全风险管理

相关推荐