一、態(tài)勢感知

1、概念

態(tài)勢感知（SA --- Situational Awareness）是對一定時間和空間內(nèi)的環(huán)境元素進(jìn)行感知，并對這個元素的含義進(jìn)行理解，最終預(yù)測這些元素在未來的發(fā)展?fàn)顟B(tài)。

作用：

態(tài)勢感知能夠檢測出超過20大類的云上安全風(fēng)險，包括DDos攻擊、暴力破解、web攻擊、后門木馬、僵尸主機(jī)、異常行為、漏洞攻擊、命令與控制等。利用大數(shù)據(jù)分析技術(shù)，態(tài)勢感知可以對攻擊事件、威脅告警和攻擊源頭進(jìn)行分類統(tǒng)計和綜合分析，為用戶呈現(xiàn)出全局安全的攻擊態(tài)勢。

2、工作原理

通過日志采集探針和流量傳感器分別進(jìn)行不同系統(tǒng)日志和流量日志的采集和處理任務(wù)。分析主要體現(xiàn)在引擎的豐富性和檢測的準(zhǔn)確性，通過關(guān)聯(lián)分析引擎、異常分析引擎、數(shù)據(jù)統(tǒng)計引擎、批處理引擎等進(jìn)行威脅判定，結(jié)果通過多維度綜合判斷來保障威脅判定的嚴(yán)謹(jǐn)性。業(yè)務(wù)層與服務(wù)、大數(shù)據(jù)、采集為基礎(chǔ)搭建威脅發(fā)現(xiàn)、感知、分析、和風(fēng)險管理的功能。讓平臺成為用戶發(fā)現(xiàn)威脅的眼睛和分析威脅的大腦，讓宏觀監(jiān)控、精準(zhǔn)分析和定點處理成為現(xiàn)實。

采集層分析

• 流量探針：相當(dāng)于在PC端部署小型IDS，將處理后的數(shù)據(jù)傳輸給服務(wù)器端的NIDS
• 日志探針：需在主機(jī)上收集日志。將收集后的日志在日志分析系統(tǒng)上再次進(jìn)行處理后，再將日志信息傳輸給NIDS
• 資產(chǎn)探針：收集本地資產(chǎn)，上報給NIDS。
• 漏洞探針：PC端安裝小型殺毒軟件，掃描漏洞

資產(chǎn)：數(shù)字資產(chǎn)：主機(jī)數(shù)量，操作系統(tǒng)，版本等等，將拓?fù)浣Y(jié)構(gòu)內(nèi)的交換機(jī)、路由器、服務(wù)器、業(yè)務(wù)系統(tǒng)等等進(jìn)行匯總，進(jìn)行資產(chǎn)盤點。
資產(chǎn)盤點的方法：主機(jī)中安裝資產(chǎn)代理程序，收集本地資產(chǎn)信息。

3、現(xiàn)狀及問題

4、態(tài)勢感知的三個層級

Endsley將態(tài)勢感知分為了三個層級，分別是態(tài)勢要素感知、態(tài)勢理解、態(tài)勢預(yù)測。

• 要素感知（Level 1）：感知環(huán)境中相關(guān)要素的狀態(tài)、屬性和動態(tài)等信息。
• 態(tài)勢理解（Level 2）：通過識別、解讀和評估的過程，將不相關(guān)的要素信息聯(lián)系起來，并關(guān)注這些信息對預(yù)期目標(biāo)的影響。
• 態(tài)勢預(yù)測（Level 3）：對前兩級信息的理解，預(yù)測未來的發(fā)展態(tài)勢和可能產(chǎn)生的影響。

Endsley模型

由此可以看出，要做到態(tài)勢感知，需要具備感知能力和理解能力，然后就是預(yù)測能力。態(tài)勢感知是將現(xiàn)有信息加工后尋求特定時間線上的最優(yōu)方案。

態(tài)勢感知也可以從時間概念上進(jìn)行理解，也就是態(tài)勢感知的根本任務(wù)：了解昨天，思考今天，預(yù)測明天。

5、人機(jī)交互

人機(jī)交互的本質(zhì)就是通過不斷調(diào)整的目標(biāo)驅(qū)動操作和數(shù)據(jù)驅(qū)動反饋循環(huán)，完成階段性任務(wù)目標(biāo)。

二、VPN --- 虛擬私有網(wǎng)，隧道技術(shù)實現(xiàn)

1、分類：

（1）按業(yè)務(wù)結(jié)構(gòu)劃分：

• client to LAN（access VPN）

幫助客戶端連入遠(yuǎn)程局域網(wǎng)

• LAN to LAN（site to site）

GRE，MPLS

（2）按網(wǎng)絡(luò)層次劃分：

2、VPN常用技術(shù)：

• 隧道技術(shù)
• 加解密技術(shù)
• 數(shù)據(jù)認(rèn)證技術(shù)
• 身份認(rèn)證技術(shù)
• 密鑰管理技術(shù)

（1）隧道技術(shù)

封裝技術(shù)實現(xiàn)：

• 私有網(wǎng)絡(luò)之間的通信
• 異種網(wǎng)絡(luò)的通信

隧道技術(shù)之間的比較：

（2）加解密技術(shù)

<1> 含義：加解密技術(shù)是計算機(jī)和通信領(lǐng)域中的一項重要技術(shù)，用于保護(hù)數(shù)據(jù)的機(jī)密性和完整性。加解密技術(shù)主要涉及兩個方面：加密和解密。加密是將明文轉(zhuǎn)換為密文，而解密是將密文轉(zhuǎn)換回明文。

<2> 流程：發(fā)送方使用加密技術(shù)將數(shù)據(jù)轉(zhuǎn)換為密文，并將其發(fā)送到接收方。接收方使用解密技術(shù)將密文轉(zhuǎn)換回明文以獲得原始數(shù)據(jù)。

（3）什么是數(shù)據(jù)認(rèn)證技術(shù)？

<1> 含義：數(shù)據(jù)認(rèn)證技術(shù)是指在數(shù)據(jù)傳輸或存儲過程中，對數(shù)據(jù)的真實性、完整性、可信度進(jìn)行驗證的技術(shù)手段。其主要目的是確保數(shù)據(jù)在傳輸或存儲過程中不被篡改或損壞，以保證數(shù)據(jù)的安全性和可靠性。

<2> 分類：數(shù)據(jù)認(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證碼、哈希函數(shù)等。

• 數(shù)字簽名是在數(shù)據(jù)傳輸或存儲過程中，用私鑰對數(shù)據(jù)進(jìn)行簽名，用公鑰對簽名進(jìn)行驗證的技術(shù)，可以保證數(shù)據(jù)的完整性和真實性
• 消息認(rèn)證碼是將消息與一個密鑰綁定生成一個認(rèn)證碼，用于驗證數(shù)據(jù)的完整性和真實性
• 哈希函數(shù)是將任意長度的消息壓縮成一個固定長度的消息摘要，用于驗證數(shù)據(jù)的完整性

（4）什么是身份認(rèn)證技術(shù)？

<1> 含義：身份認(rèn)證技術(shù)是指用來驗證用戶身份的技術(shù)手段，以確定用戶是否有權(quán)訪問系統(tǒng)或資源。

<2> 常見身份驗證技術(shù)：

1. 用戶名和密碼認(rèn)證：用戶通過輸入用戶名和密碼來驗證身份，常見于各種網(wǎng)站、電子郵箱等

2. 生物識別技術(shù)認(rèn)證：如指紋、虹膜、面部識別等，通過對用戶身體生物特征進(jìn)行掃描或比對，來驗證身份。

3. 證書認(rèn)證：在公鑰基礎(chǔ)設(shè)施(PKI)中，用戶會獲得數(shù)字證書來驗證自己的身份

4. 雙因素認(rèn)證：結(jié)合兩種或多種不同的身份驗證方式來提高安全性，例如：密碼+短信驗證碼、密碼+生物識別等。

5. 單點登錄(SSO)認(rèn)證：用戶只需要登錄一次，就可以訪問多個相互信任的系統(tǒng)或資源，例如：企業(yè)內(nèi)部門戶網(wǎng)站。

（5）密鑰管理技術(shù)

<1> 含義：密鑰管理技術(shù)是指在加密和解密過程中管理密鑰的技術(shù)，主要包括密鑰的生成、存儲、傳輸和銷毀等方面。

<2> 重要性：密鑰是加密和解密的核心，密鑰管理的好壞直接影響到系統(tǒng)的安全性。

<3> 分類：

1. 隨機(jī)數(shù)生成技術(shù)：用于生成隨機(jī)的加密密鑰，保證密鑰的安全性。

2. 密鑰協(xié)商技術(shù)：用于在通信雙方之間協(xié)商密鑰，確保密鑰的安全傳輸。

3. 密鑰分發(fā)技術(shù)：用于將密鑰安全地分發(fā)給參與通信的各方，保證密鑰的機(jī)密性和完整性。

4. 密鑰存儲技術(shù)：用于安全地存儲密鑰，防止密鑰泄露和丟失。

5. 密鑰更新和銷毀技術(shù)：用于定期更換密鑰，保證密鑰的有效性和安全性。

6. 密鑰恢復(fù)技術(shù)：用于在密鑰丟失或損壞時，通過備份或其他手段恢復(fù)密鑰。文章來源地址http://www.zghlxwxcb.cn/news/detail-605671.html

到了這里，關(guān)于安全防御 --- 態(tài)勢感知、VPN的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！