图数据库实践 - 如何将图数据库应用于网络安全

news2024/11/16 9:52:36

网络化办公为企业创造便捷的同时,也带来了数据泄露的威胁。根据IBM Security最新发布的年度《数据泄露成本报告》显示,2023全球数据泄露的平均成本达到445万美元,创该报告有史以来以来最高记录,也较过去3年均值增长了15%。同一时期内,检测安全漏洞和漏洞恶化带来的安全成本上升了42%,占安全漏洞总成本的比值也来到史上最高。这些数值的增长表明,企业应对安全漏洞的调查和处理方式变得更加复杂。
image.png
企业内部网络中,常见的数据泄露途径有:内部员工泄露、外部黑客攻击、第三方合作伙伴泄露、物理设备丢失。我们可通过规范化管理的方式,避免第三方合作伙伴泄露和物理设备丢失的泄露风险。内部员工泄露指企业员工可能会利用职务之便,盗取并复制企业敏感信息,例如客户数据、企业财报等,将数据提供给竞对或不法分子。外部黑客攻击指黑客利用网络漏洞入侵企业系统,盗取企业数据。例如通过钓鱼邮件、木马攻击等方式。针对这两类数据泄露途径,我们将在下文讲述如何利用图数据库技术,帮助企业加强网络安全管理。

图技术需求

网络是由硬件设备和传输流程构成的拓扑结构,而图数据库天然适配于处理此类场景。服务器、路由器交换机、IGP、BGP等路由交换通信协议栈、DNS、终端设备等软硬件组成网络互联系统,任何网络攻击都需要依赖于这些实体互联。我们将上述物理实体抽象成点,交换协议、互联关系抽象成边,通过图数据库构建网络安全图谱,直观追溯攻击路径、匹配泄露态势,有效降低网络安全威胁。

以Galaxybase图数据库构建网络安全图谱的基本原理图如下。

image.png

图模型构建

根据网络攻击的基本模式,对攻击进行追踪,需要警报来源追溯到具体服务,而服务会被系统记录在日志内,同时日志也会记录执行服务所调用的资源、设备、IP、用户。系统可标记此类节点,当这一类型的警报再次入侵时及时预警。此外,系统还可以登记异常的用户行为,当用户操作匹配异常行为时,系统及时进行感知。接下来使用Galaxybase图数据库来创建数据模型,点类型和点属性如下表所示。

点类型属性
警报类型类型ID等
警报警报ID、警报时间、警报类型等
事件事件ID、开始时间、结束时间、事件类型等
服务配送点ID、地址等
服务器服务器ID等
IPIP地址、被禁止的IP等
用户用户ID等
资源资源ID、资源名、URL、资源类型等
设备设备ID等

边类型、起始点类型、终止点类型如下表所示。

边类型起始点类型终止点类型
产生服务事件
警报服务器警报
警报服务警报
来源事件设备
类型警报警报类型
涉及事件IP
涉及用户事件
涉及事件服务
输出事件资源
写入资源事件

网络安全模型如下图所示。

image.png
更多图模型构建方式请参考图构建。

图谱应用 - 攻击溯源

在网络安全中,根据具体警报的类型可以将警报进行归类,不同类型的警报会调用不同类型的资源,通过调用的资源追溯到具体事件,可发现事件是由一类用户产生,而这些用户可以被追溯IP,在系统内记录。下一次有这类IP进入网络时,重点关注对应警报,做好攻击预警。例如,从警报类型Data Corrupted开始溯源,查询其涉及的IP地址,上文所建图模型中,我们将进行探查。

查询结果

如下图所示,通过图查询语言检测从警报类型Data Corrupted开始,在警报输入时间段内调用相应资源的所有用户名,并返回这些用户名下的IP地址。可以直观的看到该警报类型下追溯到了7个IP地址,说明这7个地址容易产生该类型警报,提醒系统将结果登记。下一次这些IP进行访问时,需要重点关注Data Corrupted类型的警报,提前做好预警,避免违规操作的产生。

在这里插入图片描述

图谱应用 - 威胁感知

从历史数据可得,网络安全检测的有效期在秒级。如果无法在窗口期分析出攻击威胁来源,将对企业产生巨大损失。因此,提高企业对威胁的感知能力是网络安全系统需要解决的重要任务。我们通过模型训练的方式,将具备违规性质的操作提前录入系统。当用户触碰到违规规则时,提前做出威胁感知。例如,用户1在短时间内操作了大量事件,我们查看他在相近时间段内是否有镜像操作,上文所建图模型中,我们将进行探查。

查询结果

如下图所示,短时间内操作大量事件已经是异常行为。而通过模式匹配算法发现用户1还进行镜像操作,上述两项行为在系统内均属于违规性质操作,需提醒管理员注意用户1的异常行为,做好威胁感知,避免内部人员数据泄露的行为出现。

image.png

结语

以上仅为网络安全图谱的简单展示,通过上述两个例子,可以看到图数据库将网络安全系统内涉及的软硬件设备构建为图,帮助工作人员利用图谱可视化能力直观还原攻击路径,并根据警报类型挖掘攻击源头、匹配攻击模式,提前制定防御、监测机制,大幅度提高企业对网络威胁感知的敏捷度,有效降低数据泄露风险。

在当今数字经济飞速发展的环境下,网络安全领域面临着多方面的挑战:越来越多的外部攻击,包括被利益驱动或国家驱动的难以察觉的高级攻击;心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导致的各种内部威胁;数字化基础设施的脆弱性和风险暴露面越来越多,业务需求多变持续加剧;安全团队人员不足或能力有限,深陷不对称的“安全战争”之中。在网络安全事件频发、网络攻击手段日渐复杂多变的今天,单纯依靠入侵防御系统等被动的防御手段已经无法有效地维护网络空间安全。而图技术能及时、精准地对海量数据进行分析处理,提取关键要素和关联关系,在处理海量化、分散化、碎片化以及关系隐蔽化的网络安全数据有巨大的潜在价值,为网络安全防护提供了新的解决路径。

创邻科技已与浙江大学网络安全实验室就基于图数据库的网络安全管理确立了联合研究规划,共同研究如何利用图技术打击网络安全威胁,实现精准及时的风险排查、监控与溯源,在用户实体行为分析(UEBA)、构建全网访问控制策略等领域共建创新方案。全球数字化浪潮下,网络环境变得更多元、人员变得更复杂、接入方式多种多样,网络边界逐渐模糊甚至消失,网络安全已成为人身安全、社会安全、国家安全的重要前提。创邻科技将持续投入,联合高校培养图数据库网络安全人才,结合学术理论研究与产品应用推广,赋能网络数据安全管理的智能化升级,为数字化经济新基建保驾护航。

后续,我们会在创邻科技微信公众号发布更多图数据库热点应用场景和前沿资讯,并将可复现的数据集、建模方法、查询语句进行公开,欢迎对图数据库感兴趣的同学关注。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/804908.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2.3 HLSL常用函数

一、函数介绍 函数图像参考网站:Graphtoy 1.基本数学运算 函数 含义 示例图 min(a,b) 返回a、b中较小的数值 mul(a,b) 两数相乘用于矩阵计算 max(a,b) 返回a、b中较大的数值 abs(a) 返回a的绝对值 round(x) 返回与x最近的整数 sqrt(x) 返回x的…

QT【day4】

chat_QT服务器端&#xff1a; //.h #ifndef WIDGET_H #define WIDGET_H#include <QWidget> #include<QTcpServer> //服务器类 #include<QTcpSocket> //客户端类 #include<QMessageBox> //对话框类 #include<QList> //链表容器 #inc…

美团/华为/字节/滴滴等大厂真实面试面经

一、美团测试开发面经 一面&#xff0c;1小时 自我介绍 自已觉得最好的项目&#xff1f;主要做了什么&#xff1f;遇到的最大困难&#xff1f; 浏览器输入网址后发生了什么&#xff1f; 三次握手和四次挥手 http和https的区别 https的加密过程 知道哪些排序算法 快排的…

现在入行软测=49年入国军?三句话,让面试官再掏2K

还有一个月就步入金九银十&#xff0c;很多软测人吐槽因为疫情&#xff0c;公司都在裁员&#xff0c;别说跳槽涨薪&#xff0c;能保住现在的工作就不错了。 但也有那么一批人&#xff0c;凭借自己口才与实力拿到年薪近50W的offer。面试是初见1小时就要相互了解优缺点的过程&am…

工作10年的老码农手把手教你如何3分钟看懂IT技术管理!速收藏!

老陈是谁&#xff1f; 一个码龄十年的老码农&#xff0c;从刚毕业开始被代码折磨的死去活来&#xff0c;到公司里“被迫”成为多线技术栈的“工程师”&#xff0c;这几年又从IT技术转向做IT管理。 基本可以说从一个坑跳到了另一个坑&#xff0c;虽然坑多水深&#xff0c;但是…

【Golang】Golang进阶系列教程--Golang中文件目录操作的实现

文章目录 一、文件二、文件目录三、文件目录操作3.1、读取文件3.1.1、方法一 (file.Read())3.1.2、方法二 (bufio读取文件)3.1.3、方法三 (ioutil 读取方法) 3.2、写入文件3.2.1、方法一3.2.2、方法二3.2.3、方法三 (ioutil写入文件) 3.3、复制文件3.3.1、方法一3.3.2、方法二 …

AI人工智能未来在哪里?2023年新兴产业人工智能有哪些就业前景?

AI人工智能未来在哪里&#xff1f;2023年新兴产业人工智能有哪些就业前景&#xff1f; 随着科技的不断发展&#xff0c;人工智能技术也在不断地进步。在数字化时代&#xff0c;人工智能技术已经渗透到了我们生活的各个方面。2023年为止中国产业80%已经实现半自动化&#xff0c;…

element 级联 父传子

html代码例子 父组件 <el-cascaderstyle"width: 100%"change"unitIdChange":options"unitOptions"filterablev-model"formInline.unitId":props"unitProps"/></el-form-item>//改变级联传值到这个组件里面<r…

自动化测试如何做?搭建接口自动化框架从0到1实战(超细)

目录&#xff1a;导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结&#xff08;尾部小惊喜&#xff09; 前言 传统软件测试行业…

C#时间轴曲线图形编辑器开发1-基本功能

目录 一、前言 1、简介 2、开发过程 3、工程下载链接 二、基本功能实现 1、绘图面板创建 &#xff08;1&#xff09;界面布置 &#xff08;2&#xff09;显示面板代码 &#xff08;3&#xff09; 面板水平方向、竖直方向移动功能实现 &#xff08;4&#xff09;面板放…

kotlin 编写一个简单的天气预报app(三)

使用eventbus替换broadcast 将从Broadcast切换到EventBus有以下几个好处&#xff1a; 解耦性&#xff1a;通过使用EventBus&#xff0c;您可以实现组件之间的解耦。传统的Broadcast机制需要发送方和接收方明确知道对方的存在&#xff0c;并且需要在代码中设置Intent过滤器和广…

Mnist分类与气温预测任务

目录 传统机器学习与深度学习的特征工程特征向量pytorch实现minist代码解析归一化损失函数计算图Mnist分类获取Mnist数据集&#xff0c;预处理&#xff0c;输出一张图像面向工具包编程使用TensorDataset和DataLoader来简化数据预处理计算验证集准确率 气温预测回归构建神经网络…

网页版五子棋项目演示

项目源码&#xff1a;五子棋游戏 演示使用的用户名&#xff1a;zyz 密码:123 注册页面&#xff1a; 登录页面&#xff1a; 游戏大厅页面&#xff1a; 未匹配&#xff1a; 匹配中&#xff1a; 游戏房间页面&#xff1a; 对方落子&#xff1a; 己方落子&#xff1a; 对…

5.6 Java递归讲解

5.6 Java递归讲解 A方法调用B方法&#xff0c;我们很容易理解递归就是&#xff1a;A方法调用A方法&#xff01;就是自己调用自己利用递归可以实现通过简单的程序来解决一些复杂的问题。它通常把一个大型复杂的问题层层转化为一个与原问题相似的规模较小的问题来求解&#xff0…

Redis的五大数据类型介绍

、简介 Redis的五大数据类型也称五大数据对象&#xff1b;前面介绍过6大数据结构&#xff0c;Redis并没有直接使用这些结构来实现键值对数据库&#xff0c;而是使用这些结构构建了一个对象系统redisObject&#xff1b;这个对象系统包含了五大数据对象&#xff0c;字符串对象&am…

MFC第二十四天 使用GDI对象画笔和画刷来开发控件(分页控件选择态的算法分析、使用CToolTipCtrl开发动静态提示)

文章目录 GDI对象画笔和画刷来开发控件梯形边框的按钮控件CMainDlg.hCMainDlg.cppCLadderCtrl.hCLadderCtrl.cpp 矩形边框的三态按钮控件 CToolTipCtrl开发动静态提示CMainDlg.hCMainDlg.cppCLadderCtrl.hCLadderCtrl.cpp: 实现文件 矩形边框的三态按钮控件 CToolTipCtrl开发动…

linux服务器安装redis

一、安装下载 下载安装参考文章 下载安装包地址&#xff1a;https://download.redis.io/releases/ 亲测有效&#xff0c;但是启动的步骤有一些问题 安装完成&#xff01;&#xff01;&#xff01; 二、启动 有三种启动方式 默认启动指定配置启动开机自启 说明&#xff1a…

CentOS下 Docker、Docker Compose 的安装教程

Docker 是一个开源的应用容器引擎&#xff0c;让开发者可以打包他们的应用以及依赖包到一个可移植的容器中&#xff0c;然后发布到任何流行的 Linux 机器上&#xff0c;也可以实现虚拟化。容器是完全使用沙箱机制&#xff0c;相互之间不会有任何接口。 Docker Compose是用于定义…

【Lua学习笔记】Lua进阶——Table(4)继承,封装,多态

文章目录 封装继承多态 封装 // 定义基类 Object {}//由于表的特性&#xff0c;该句就相当于定义基类变量 Object.id 1//该句相当于定义方法&#xff0c;Object可以视为定义的对象&#xff0c;Test可以视为方法名 //我们知道Object是一个表&#xff0c;但是抽象地看&#xff…

为什么要有虚拟内存?

操作系统是通过内存分段和内存分页的方式管理虚拟内存地址和物理内存地址之间的关系 内存分段 程序是由若干个逻辑分段组成的&#xff0c;代码分段、数据分段、栈段、堆段组成&#xff0c;不同的段有不同的属性&#xff0c;所以就用分段的形式分离开。 分段机制下的虚拟内存…