《大型互联网企业安全架构》读书笔记

安全理念

todo：

安全异常发现既需要机器学习也不需要机器学习，原因在于异常数据在整体业务中是十分少的，整体数据都拿来训练会出现很大的偏差。同时在流量上异常通过可以借助规则发现。
NTA技术（网络流量分析）主要监控网络流量的安全攻击，开源系统：Apache Spot（使用了大数据和无监督学习技术Hadoop Spark） Stream4Flow基于Spark的大数据流量分析系统。 Netcap使用机器学习进行流量分析的论文项目
借助Snort或Suricata的检测能力，结合大数据分析和威胁情报建立自己的NTA系统。
HIDS：Windows系统可以选择Sysmon，它可以记录WMI事件，记录到Windows事件日志中。Linux系统借助OSSEC。笔者推荐使用OSquery开源开发，提供linux下反弹shell等多种检测的规则（唯一缺陷，osquery工作在应用层，无法对抗内核层Rootkit）。
Linux下进程监控：1，在应用层通过id.so.preload劫持glibc的execve函数来实现 2、在应用层通过linux提供的Process events Connector相关调用来实现，3、应用层通过Linux Audit提供的接口来实现。4、在内核层通过Tracepoint、eBPF或Kprobe来实现。5、内核层通过Hook Linux Syscall的execve函数指针或LSM架构提供的api来实现
linux下的audit可以在内核层监控所有的syscall系统调用
欺骗技术通常以高交互式蜜罐为主，产品有Honeytrap，Go语言开发的

纵深防御架构：HIPS、WAF、RASP、数据库防火墙等
SQL注入语义引擎Libinjection、libdetcetion
腾讯云WAF采用了HMM+SVM结合方法，HMM用作异常分析，SVM用来做为威胁识别。
要保护的网站可以通过域名A记录或者使用cname将ip指向各地云WAF集群IP，经过云WAF过滤后通过反向代理模式把Web流量转发给用户的Web服务器。
抗ddos应该采用三层防御，第一层前端借助anycast路由协议进行ip的跨地域调度，第二层通过硬件或软件的专用DDOS防护设备。第三层在WAF上应用层HTTP DDOS防护。
数据库防火墙是Web安全纵深防御的最后一环

todo：