色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

通過日志記錄和警報識別異常設備行為

哈哈哈 ? 來源:安徒生童話 ? 作者:安徒生童話 ? 2023-01-04 11:17 ? 次閱讀

隨著越來越多的嵌入式設備被添加到已經擁擠的網絡中,發現攻擊者變得越來越困難。在這篇博客中,我們將探討一些可用的技術,這些技術可以讓防御者在檢測攻擊者方面具有優勢,以及您作為系統設計者或實施者可以做些什么來幫助完成這些工作。我們將從查看典型的入侵檢測系統 (IDS) 開始,然后查看更復雜的安全信息事件管理 (SIEM) 系統,以及您作為設備開發人員如何幫助支持這些控制。

使用傳統入侵檢測系統進行日志記錄和警報

傳統的 IDS 試圖通過攻擊者的行為來發現他們。IDS 可能在網絡或主機上運行,??并將它看到的流量與它自己的簽名庫進行比較,以識別可能是更大攻擊的一部分的事件。在許多情況下,這些系統只能對它們自己看到的內容發出警報。根據其簽名和配置的質量,IDS 可能容易出現更高的誤報率,或與簽名匹配但不表示真正攻擊的事件。為您的網絡調整 IDS 是減少誤報數量的重要步驟。調整過程受簽名質量、簽名更新頻率、IDS 系統對其環境的了解程度以及 IDS 傳感器所在位置的影響。例如,在防火墻外部安裝網絡 IDS 傳感器會非常嘈雜,并且在檢測已成功滲透您的網絡的攻擊者時不一定有用。但是,在防火墻外部安裝網絡 IDS 傳感器可能會從 Internet 中獲取有趣的數據,或者有助于創建特定攻擊起源地的人口統計數據。

規避傳統入侵檢測系統的檢測

老練的攻擊者了解 IDS 的工作原理,并將構建試圖逃避檢測的攻擊。攻擊者可能使用的一種技術是使用合法訪問點簡單地訪問您的網絡。攻擊者使用來自毫無戒心的用戶的釣魚(竊取)用戶名和密碼登錄 VPN 集中器,在 IDS 系統看來可能是合法的。然而,雖然單個登錄事件可能不會觸發警報,但攻擊者采取的后續行動可能會被另一種類型的監控系統檢測到。因此,單獨的 IDS 通常不足以檢測所有類型的攻擊。成功的攻擊檢測需要共享來自各種日志和事件的良好信息,這些日志和事件可以關聯和過濾,以提供防御者可以調查的高質量警報。

以這兩個動作為例:

首先,在財務組工作的員工遠程登錄到網絡并分配了一個 IP 地址。

然后,幾分鐘后該 IP 地址訪問工程數據庫服務器。

單獨來看,這些事件可能看起來很正常。但是,將這些事件關聯在一起可能會引發一個問題,說明財務用戶為什么要訪問工程系統。將多個事件源與針對特定環境定制的強大分析和規則相結合,可以實現關聯??捎脭祿蕉?,可以創建的相關性就越強。

關聯引擎攝取的日志數據應來自各種系統和跨業務組。例如,用戶是否在其人力資源系統記錄被禁用后登錄到 IT 管理的 VPN 集中器?該答案可能需要來自 VPN 集中器的身份驗證日志以及 HR 系統數據查詢。再舉一個例子,將來自另一個國家的同一用戶遠程登錄后幾小時內發生的個人對建筑物的物理訪問關聯起來,可能需要房東和 IT 團隊之間的合作。

使用 SIEM 系統進行日志記錄和警報

SIEM 系統為關聯和事件警報提供平臺。SIEM 平臺提供強大的防御層,幫助防御者從日常噪音和活動中辨別出攻擊者留下的真實信號和線索。請記住,開箱即用的規則很少是足夠的,并且確定和構建用于構建關聯規則的正確用例需要時間和對網絡環境的深入了解。

您的設備必須生成適當的事件并與其他監控和 SIEM 系統共享這些日志以確保安全。大多數現代嵌入式設備都具有將事件日志轉發到遠程服務器的功能。為嵌入式設備提供支持的特定操作系統和固件可能有助于日志記錄,您可以使用自己的特定于應用程序的事件進行擴充。許多設備都支持 syslog,這是一種消息記錄標準。作為支持系統日志的設備的最終用戶,您通常能夠配置將任何事件轉發到哪里以及指定發送多少信息——例如,一個關鍵事件或只是一個警告。

在 SIEM 系統中管理事件

作為設備的設計者,您將擁有更多的控制權。您可以啟用應發送哪些事件以及如何格式化事件。在設計新的嵌入式設備時,請考慮您的設備將如何駐留在網絡上,以及它生成的事件如何增強現有的更廣泛的監控系統。問問自己,您可以將哪些事件和警報添加到您的設備以幫助防御者發現異常行為,即使它不在您的設備上。將您的設備配置為在您的設備上發生有趣的活動時記錄事件。這些活動可能包括用戶何時登錄、何時用戶提升其權限(例如sudo或啟用),當用戶編寫配置時,或當用戶重新啟動系統時。這些事件單獨來看可能并不重要,但與其他事件結合起來可能會證實一個更大的故事。通過提供此類信息,防御者可以使用您的設備活動以及其他數據來增強他們的檢測過程。

除了定義和記錄特定事件之外,請確保包含足夠的關于事件的元數據,以便對防御者有用。例如,用戶登錄事件可能帶有 TCP/IP 地址和時間戳,但在事件消息中包含其他數據(如用戶名、設備品牌和型號等)會更有幫助登錄是成功還是失敗。機器將讀取您的事件,而人們將使用商業智能工具和切片器來分析您的數據,因此創建易于解析的事件非常重要。

為了幫助運營中心將您的設備納入他們的系統,請務必清楚地記錄您將支持的事件的結構和性質。包括對事件及其模式的描述也會讓防御者了解您的設備如何運行以及他們在觀察其在網絡上的行為時應該期待什么。此外,記錄您的設備將使用哪些網絡協議以及它通常與哪些系統通信。此信息是描述您的設備將如何與其他系統通信的數據流圖的一部分。

結論

日志記錄和警報是基本工具,不僅可以檢測錯誤和創建維護票據,還可以通過將單個事件拼湊成一個更大的畫面來幫助防御者檢測攻擊者。使用聯網的嵌入式設備時,無論您的設備多么不重要,它仍然是網絡上的另一個節點。無論您的設備是攻擊者還是旁觀者的目標,它創建和記錄然后與其他安全系統共享的事件對于發現和阻止攻擊者都至關重要。

請參閱我的其他安全博客條目,包括通過基于主機和網絡的防火墻對嵌入式設備進行表面區域管理,以了解更多安全最佳實踐。

審核編輯:湯梓紅

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • IDS
    IDS
    +關注

    關注

    0

    文章

    27

    瀏覽量

    16154
  • 嵌入式設備
    +關注

    關注

    0

    文章

    110

    瀏覽量

    16955
  • 日志
    +關注

    關注

    0

    文章

    138

    瀏覽量

    10639
收藏 人收藏

    評論

    相關推薦

    華為發布駕駛員行為異常檢測新專利

    近日,華為技術有限公司公布了一項名為“一種駕駛員行為異常檢測方法和裝置”的新專利。這一專利的公布,標志著華為在智能交通系統領域的又一重要突破。 據悉,該專利通過獲取第一對象的行為信息、
    的頭像 發表于 12-04 13:42 ?150次閱讀

    AI行為識別攝像機

    攝像機是一種利用深度學習算法和計算機視覺技術,對視頻圖像進行實時分析的智能設備。它能夠自動識別并分析人類的各種行為,如抽煙、打斗、跌倒等,并根據設定的規則做出相應反應
    的頭像 發表于 11-21 10:49 ?159次閱讀
    AI<b class='flag-5'>行為</b><b class='flag-5'>識別</b>攝像機

    一種讓你的MCU日志可無線查看和實時記錄跟蹤的方法

    想象一下你是一位批量設備的管理員,這些設備分布在市面上的各個環境下,如在屋頂上的光照設備,在充電樁的充電設備,在火車站汽車站的共享設備等等;
    的頭像 發表于 11-17 01:01 ?189次閱讀
    一種讓你的MCU<b class='flag-5'>日志</b>可無線查看和實時<b class='flag-5'>記錄</b>跟蹤的方法

    Linux日志管理經驗總結

    日志內容,合理的日志內容(日志錨點,內容格式,等)可以為應用服務的執行記錄、問題排查提供最有力的幫助。
    的頭像 發表于 10-24 17:36 ?198次閱讀

    日志篇:模組日志總體介紹

    ?今天我們學習合宙模組日志總體介紹,以下進入正文。 一、本文討論的邊界 本文是對合宙 4G 模組, 以及 4G+GNSS 模組的日志功能的總體介紹。通過日志,可以對研發過程中,以及模組
    的頭像 發表于 10-24 07:16 ?183次閱讀
    <b class='flag-5'>日志</b>篇:模組<b class='flag-5'>日志</b>總體介紹

    攀高行為識別攝像機

    在城市化進程加速的今天,建筑物越來越高、設施越來越復雜,隨之而來的安全隱患也不斷增加。攀高行為識別攝像機應運而生,成為保障公共安全和防范事故的重要工具。這種智能設備通過先進的技術手段,
    的頭像 發表于 10-10 14:31 ?144次閱讀
    攀高<b class='flag-5'>行為</b><b class='flag-5'>識別</b>攝像機

    攀高行為檢測識別攝像機

    攀高行為檢測識別攝像機是一種結合了圖像識別技術和智能算法的設備,旨在監測和識別人員在高空作業中的攀高行為
    的頭像 發表于 08-29 10:17 ?213次閱讀
    攀高<b class='flag-5'>行為</b>檢測<b class='flag-5'>識別</b>攝像機

    嵌入式C編程常用的異常錯誤處理

    (Exception Handling) 雖然C語言本身不支持異常處理,但可以通過結構化的錯誤處理機制來模擬異常處理。 6. 日志記錄
    發表于 08-06 14:32

    日志框架簡介-Slf4j+Logback入門實踐

    前言 隨著互聯網和大數據的迅猛發展,分布式日志系統和日志分析系統已廣泛應用,幾乎所有應用程序都使用各種日志框架記錄程序運行信息。因此,作為工程師,了解主流的
    的頭像 發表于 07-30 10:00 ?1129次閱讀
    <b class='flag-5'>日志</b>框架簡介-Slf4j+Logback入門實踐

    鐵威馬教程 如何收集NAS的日志

    時,重啟后TOS網頁的系統報告缺失相關日志,不利于異常原因的分析。 故障原因: 當TNAS設備出現宕機重啟TNAS后,系統相關部份日志會被清空。針對這種現象,需采用其他
    的頭像 發表于 07-16 18:02 ?626次閱讀
    鐵威馬教程 如何收集NAS的<b class='flag-5'>日志</b>

    加油站視頻監控行為識別分析系統 OpenCV

    智慧加油站視頻監控行為識別分析系統選用視頻監控系統智能分析技術,對給油區和卸油區工作人員抽煙、通電話、用火、濃煙等異常現象開展智能識別、警報
    的頭像 發表于 07-06 10:40 ?261次閱讀
    加油站視頻監控<b class='flag-5'>行為</b><b class='flag-5'>識別</b>分析系統 OpenCV

    AI行為識別視頻監控系統 Python

    的具體內容。人工智能技術行為識別可以精確識別情景當中人員的異常行為,而傳統化的安防監控是各種各樣情景轉變后形成的視頻,不可以精確
    的頭像 發表于 07-06 10:36 ?531次閱讀
    AI<b class='flag-5'>行為</b><b class='flag-5'>識別</b>視頻監控系統 Python

    如何處理STM32的HAL庫函數返回異常問題?

    人工干預重啟后可以讀取出這個結果而且通過串口上報到服務器上,這樣就可以遠程定位故障。 (4)直屬上司類比的給我講 安卓手機開發有 buge……之類的崩潰記錄工具,設備端的STM32是否可以利用同樣的手段
    發表于 04-17 06:39

    工作睡覺識別預警攝像機

    工作睡覺識別預警攝像機是一種基于人工智能技術的智能監控設備,旨在監測員工是否在工作時間內打盹或者睡覺。通過識別工作環境中出現的睡覺行為,及時
    的頭像 發表于 03-30 10:57 ?330次閱讀
    工作睡覺<b class='flag-5'>識別</b>預警攝像機

    STM32F107VC USB的通信異常,無法識別設備怎么排查問題?

    本人使用ST官方USB例程VCP,下載后發現USB的通信異常,無法識別設備,且設備管理器顯示設備描述符請求失敗,抓取波形發現DM無電平輸出
    發表于 03-11 08:30
    主站蜘蛛池模板: 日本69xx 老师| 胸大美女又黄的网站| 亚洲国产综合另类视频| 早乙女由依在线观看| 苍老师刺激的120分钟| 黑人 尺寸 强行害怕 痛哭| 女厕所边摸边吃奶边做爽视频| 三级黄视频| 影音先锋男人av橹橹色| 成人免费视频网站www| 久久99re7在线视频精品| 奇米网一区二区三区在线观看| 亚洲国产成人久久精品影视| 99热久久爱五月天婷婷| 国产亚洲精品线观看不卡| 嫩B人妻精品一区二区三区| 亚洲电影不卡| 草民电影网午夜伦理电影网| 国产呦精品一区二区三区网站| 嫩草在线播放| 尤物yw193can入口| 国产精品国产三级国产AV麻豆| 伦理片免费秋霞e| 驯服有夫之妇HD中字日本| 憋尿调教绝望之岛| 蓝男色gay| 亚洲色在线| 国产精品久久久久久熟妇吹潮软件| 捏奶动态图吃奶动态图q| 亚洲欧美自拍清纯中文字幕| 父亲猜女儿在线观看| 内射人妻骚骚骚| 真实国产精品视频国产网| 国产亚洲精品网站在线视频| 三男强一女90分钟在线观看| 97在线免费观看| 久久国产亚洲电影天堂| 亚洲国产精品无码中文在线| 囯产精品一区二区三区线| 欧美精品AV一区二区无码| 重口味av|