计算机犯罪研究，云态势感知如何构起信息安全的护城墙( 二 )_随着云服务和移动支付的兴起

由于安全威胁场景不断变化，普通的 NOC 产品无法分析出 APT 攻击，加上安全设备和安全事件的突增，传统的 NOC 已无法满足需求，所以在 2010 年 -2015 年逐步兴起 SIEM/SOC 平台。SIEM 是安全信息和日志管理平台。可以把主机上的安全日志包括登录日志都搜集上来存储到 SIEM 里，对分析攻击场景有很大的帮助。

不过，国内的一些安全厂商对 SOC 输出没有标准，导致搜集的日志格式不统一，后面的关联分析达不到用户需求，最终 80% 的 SOC 的项目都以失败告终。

那么新的态势感知相比 SOC 平台有哪些不同呢？

图1/9

首先是检测引擎，安全探针要提升自身的检测能力和准确性。主机层面通过在终端安装 EDR 产品或者下一代杀毒软件，进行搜集比较准确和简单关联的日志，利于更好地检测安全威胁。网络层面通过 NTA（全量日志分析产品）来匹配危机情报和沙箱等新技术进行分析。Web层面也会有基于语义分析的 WAF 日志，这样收集对关联分析起到很大作用，达到检测层面的提升。