大数据如何解决传统安全分析面对新型威胁的缺陷

安全数据的大数据化、传统安全分析面对新型威胁的缺陷、情境感知和智能安全的发展大势,使得大数据安全分析迅速进入了网络安全领域。而一旦网络安全遇到大数据安全分析,就必然被深刻地影响并重塑。这种重塑体现在安全防护架构、安全分析体系和业务模式等诸多方面。

1      大数据安全分析重塑安全防护架构

1.1    大数据安全分析重塑SIEM和安管平台

在所有网络安全领域中,大数据安全分析对安全管理平台(SOC平台、安管平台)及安全信息与事件分析(SIEM)系统的影响最为深远。

传统的SIEM和安管平台由于其核心的安全事件采集、分析及存储引擎的架构是针对中小数据集合而设计的,在面对大数据的时候运行乏力,难以为继。SIEM和安管平台都具有安全事件(日志)的采集、存储、分析、展示等几个过程,正好与大数据分析的收集、存储、分析和可视化过程完全相同。因此,SIEM和安管平台天然具有应用大数据分析技术的特质。而将传统SIEM和安管平台的安全事件采集、分析及存储引擎更换为大数据分析引擎后,SIEM和安管平台被带入了一个全新的高度,进入大数据时代。

大数据安全分析技术的运用已经成为未来SIEM和安管平台的关键技术发展趋势之一。

1.2    大数据安全分析推动高级威胁检测

传统的安全分析是构建在基于特征的检测基础之上的,只能做到知所已知,难以应对高级威胁的挑战。而要更好地检测高级威胁,就需要知所未知,这也就催生了诸如行为异常分析技术的发展。行为异常分析的本质就是一种机器学习,自动建立起一个正常的基线,从而去帮助分析人员识别异常。面对天量的待分析数据,要想达成理想的异常分析结果,借助大数据分析技术成为明智之举。

同时,为了对抗高级威胁,还需要有长时间周期的数据分析能力,而这正是大数据分析的优势所在。

此外,安全分析人员在进行高级威胁检测的过程中需要不断地对感兴趣的安全数据进行数据勘探,而要针对天量数据实现即席的交互式分析,需要有强大的数据查询引擎,这同样也是大数据分析的优势所在。

1.3    大数据安全分析促进欺诈检测

客户业务的日益复杂和线上业务的不断丰富,使得欺诈检测遭遇了前所未有的挑战。现代的欺诈检测系统大都具备基于行为轮廓的异常检测能力,而对天量的用户、帐号、实体、业务的访问行为信息进行建模绝非易事,大数据技术的引入有助于提升建模过程的速度和准确度。大数据安全分析技术正在重塑欺诈检测系统。

1.4    大数据安全分析增强各类安全产品

除了前面提及的已经显著受到大数据技术影响的安全防护系统之外,很多传统的安全防护系统也同样正在引入大数据安全分析技术。

借助大数据安全分析技术,DLP系统将变得更加智能,不仅能够对已经标定的敏感信息进行检测,还能对用户使用数据的行为过程进行建模,从而针对更多地难以进行简单标定的敏感信息的访问进行异常检测。

借助大数据安全分析技术,通过对DAM系统收集到的海量数据库访问日志进行业务建模,从而识别用户的业务违规,使得DAM系统的价值得到进一步提升。

借助大数据安全分析技术,能够实现针对IAM和4A系统的用户违规智能审计。通过对IAM和4A系统的海量用户访问日志进行建模和机器学习,发现小概率的异常事件。

借助大数据安全分析技术,还能够提升静态应用安全测试(SAST)系统的检测速率,并能够通过高效地聚类/分类等算法更好地寻找应用系统的安全漏洞。

1.5    大数据安全分析激发网络威胁情报分析与协作

随着高级威胁的日益泛滥,尤其是网络空间安全对抗逐步上升到专门组织、国家层面,很多传统的犯罪分析和军事战争的理论及战略战术被不断引入网络空间安全之中。这其中,最显著的一个趋势就是网络威胁情报的兴起。

Gartner认为威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。

威胁情报最大的好处就是能够直接作用于企业和组织的安全防护设施,实现高效快速的威胁检测和阻断。

但是威胁情报信息的获得绝非易事。专业的威胁情报服务提供商能够采集互联网上的各种数据,既包括浅层WEB,也包括深层WEB,甚至是暗网(Dark Web)的数据,抑或是授权客户的数据,然后基本上都利用大数据分析技术产生有关攻击者的威胁情报信息。

谁也不可能获得独立获得最全的威胁情报,就像我们的反恐或者犯罪调查一样,各个情报组织间的合作至关重要。网络威胁情报亦是如此。利用大数据分析技术,有的厂商建立起一个威胁情报的分享和协作平台,进行威胁情报的交换,更大限度地发挥情报的价值。

简言之,借助大数据安全分析技术,威胁情报分析与共享这个新兴的安全分析领域获得了突飞猛进的进步,当前正处于聚光灯下。

1.6    大数据安全分析造就大数据安全分析平台

大数据安全分析不仅重塑着传统的安全防护系统,催化着威胁情报,有时候也显性化地表现为一个专有的分析平台。

如前所述,大数据安全分析不是一个产品分类,而代表一种技术,各种安全产品都能够运用大数据安全分析技术。在一个较为完备的基于大数据安全分析的解决方案中,通常会有一个大数据安全分析平台作为整个方案的核心部件,承载大数据分析的核心功能,将分散的安全要素信息进行集中、存储、分析、可视化,对分析的结果进行分发,对分析的任务进行调度,将各个分散的安全分析技术整合到一起,实现各种技术间的互动。此时,一般而言的SIEM、安管平台、DLP、4A等等系统都在这个大数据安全分析平台之下。

2      大数据安全分析重塑安全分析体系

大数据安全分析技术和其它新兴分析技术的崛起,极大地丰富了传统的安全分析体系和方法论。借鉴已故著名数据库专家、图灵奖获得者詹姆士格雷的科学研究范式理论,我们提出了“全范式分析”的全新安全分析体系。

根据科学研究范式理论,詹姆士格雷将人类科研模式的发展历程划分为4个阶段(也叫“范式”,paradigm)。

第一范式:数千年前,科学研究最初只有实验科学,科学家通过经验来解释自然现象。

第二范式:数百年来,科学研究出现了理论科学,运用了各种定律和定理,如开普勒定律,牛顿运动定律,麦克斯韦方程等。

第三范式:近几十年来,对于许多问题,理论分析方法变得非常复杂以至于难以解决,人们开始寻求模拟的方法,这就产生了计算科学。

第四范式:当前,出现了将实验、理论和仿真统一的科研方法,称为数据密集型计算模式。在这种模式中,由软件处理由各种仪器或模拟实验产生的大量数据,并将得到信息或知识存储在计算机中,科研人员只需从这些计算机中分析感兴趣的数据。

我们把科研方法的发展历程,同安全分析方法的发展历程做个对比,就会发现二者存在惊人的相似性:

(1)             安全分析第一范式:尝试、实验。在网络应用尚未大规模普及、网络安全还未成为突出问题的时候,市场上还没有培育出成熟的安全工具和产品,安全分析主要依赖于安全管理人员的经验。目前仍然广泛采用的渗透测试、安全咨询服务等,仍然是以这种模式运行的。

(2)             安全分析第二范式:模型、特征。随着安全问题的日益普遍,单凭安全管理人员的经验已经无法应对,迫切需要自动化的分析工具,由此产生了入侵检测系统、防病毒系统和防火墙等安全产品。这些安全产品的共同点就是对网络攻击行为进行分析,提取不同层面的特征(如网络层连接特征用于防火墙制定ACL规则;应用层内容特征用于提取IDS的匹配规则;文件级特征用于病毒扫描),对网络流量进行实时自动化分析。这类安全产品的关键是对攻击特征的提取和描述,其本质是对攻击行为的建模。

(3)             安全分析第三范式:模拟、仿真。随着APT的出现,攻击变得越来越复杂、特征变化越来越快,以攻击行为建模为基础的分析方式渐渐难以应对,从而出现了以虚拟执行技术为代表的新型分析技术。这种技术的本质是模拟被攻击者在遭受攻击后的反应,这样无需对攻击行为建模也能检测未知的攻击。

(4)             安全分析第四范式:大数据安全分析。大数据技术的出现,将安全分析提升到了新的阶段。有了大数据平台的支撑,安全分析人员可以将各类不同类型的数据,如通过渗透测试得到的漏洞信息、通过传统检测设备产生的报警事件、通过虚拟执行得到的可疑攻击执行结果,进行大范围的汇总和关联。同时,通过长时间的关联,安全分析人员可挖掘某台主机、某个用户的行为异常,从而实现不基于签名的未知攻击检测。对于每一条可疑报警,分析人员可以查询与该报警相关的各类数据,从而确定报警真实性、攻击源,评估攻击造成的危害。

从上述分析中可以看到,安全分析方法的发展历程与詹姆士格雷概括的科学研究范式间存在着高度对应的关系,从而可以用科学研究范式来类比安全分析方法。而这其中,大数据安全分析技术正代表了最前沿的安全分析第四范式。大数据安全分析是全新的“全范式安全分析”体系的重要组成部分。所谓“全范式安全分析”体系,就是强调要综合利用四种安全分析范式来构建一个完备的安全分析体系。

3      大数据安全分析重塑网络安全业务模式

大数据安全分析的兴起不仅改变了传统的网络安全防护架构、安全分析体系,也在深刻变革现有的网络安全业务模式。最典型地,大数据安全分析直接促进了SECaaS(安全即服务)的发展。包括SIEM、日志分析、欺诈检测、威胁情报在内的多种服务都在积极拥抱大数据安全分析技术。大数据安全分析已成为安全业务模式变革的催化剂。

即便是针对企业和组织内部的大数据安全分析,由于安全与业务的不断融合,以及数据中心和云计算的普及,未来必然要求将大数据安全分析与大数据业务分析进行整合,安全数据不过是企业和组织业务数据的支撑数据之一。在这个发展趋势下,必然涉及到开发、运维、安全团队的交互与协作(DevOpsSec),业务部门与技术部门的融合。大数据安全分析将成为安全与业务融合的催化剂。

4      大数据安全分析重塑网络安全的技术本质

大数据安全分析何以如此深刻地重塑网络安全?从大数据分析(BDA)的技术视角来看,就在于大数据安全分析实现了两个质的飞跃。

(1)可控投入前提下的性能的飞跃:大数据技术的兴起,使得企业和组织能够在可以接受的投入的前提下,实现安全分析性能的飞跃。在大数据分析技术的支撑下,数据采集、数据分析、数据存储、数据勘探的性能有了质的提升。性能的提升,使得原来很多不可能进行的分析工作成为了可能,并且极大提升了分析工具的用户体验。用安全分析师的话来说,“有了大数据分析技术之后,数据分析变得可用了”。

(2)安全分析技术的飞跃:大数据技术的引入,使得安全分析技术从针对样本数据的分析拓展到针对全量数据的分析,从基于特征的匹配分析升级到基于行为的异常分析。受限于技术约束,传统的安全分析大都仅针对样本数据进行分析,并将分析结果推论到剩余的数据集合上。而随着高级威胁和欺诈行为的不断进化,以及安全数据在各个维度的不断增长,越来越需要对全量数据(涵盖并不限于包数据、流数据、事件数据)、甚至是相关的情境数据进行分析。大数据分析有很好的天量数据并行分析架构,能够满足这个需求。同时,大数据分析充分提升了机器学习、乃至深度学习算法运用的可行性,使得安全分析领域能够引入很多过去看来十分“奢侈”的机器学习算法。借助这些基于大数据技术的分析算法,使得我们能够进行行为轮廓建模,学习正常模式,识别异常模式,并在对抗中持续学习,不断进化。通过异常分析,能够更好地应对高级威胁和欺诈,帮助我们从知所已知提升到知所未知、乃至前所未知(Unknown unknowns)。

时间: 2024-10-19 01:53:04

大数据如何解决传统安全分析面对新型威胁的缺陷的相关文章

寻路大数据:海量数据与大规模分析

寻路大数据:海量数据与大规模分析(Google大数据专家力作超豪华译者|作序者真正梳理趋势与生态|方案与工具选型|应用场景与价值挖掘的独家内参) [美]Michael Manoochehri(迈克尔.马诺切里)著   戴志伟等 译 ISBN 978-7-121-24472-8 2014年11月出版 定价:59.00元 244页 16开 编辑推荐 微博副总|高德技术副总裁|百度主任架构师|百度技术委员会主席|UCloud创始人&CEO联合作序推荐 大数据包罗万象,谷歌大数据平台技术权威独具匠心,站

大数据时代的全能日志分析专家--Splunk安装与实践

大数据时代的全能日志分析专家 --Splunk安装与实践 (  此文已刊发在<网络运维与管理>杂志  ) 0.背  景 随着大家对网络安全意识的提高,企业网管理人员,必须对IT基础设置进行监控及安全事件的管理,管理数据的数量和种类非常巨大,那么就需要有一款能否分析各种日志数据的工具,经过长期实践,为大家推荐Splunk这么一款全能型分析工具. 1.Splunk简介 Splunk是一款功能强大的.记录详细的日志分析软件,Splunk是基于原始日志数据(Raw data)内容建立索引,保存索引的同

大数据影响安防 存储分析问题迎刃而解

大数据无疑是今年的热门关键词之一,网络飞速发展,信息时代扑面而来,大量数据涌现.这些数据的价值,若能应用便是一笔财富,若不能挖掘其价值 进行应用,则只是数据,甚至可能是一种负担.安防数据也正在以几何级的速度快速增长,越来越多的安防用户对大数据提出了更高的要求,希望能够通过海量数据 的分析,达到预测预警的作用. 大数据对安防的真正意味是什么?对安防监控有何帮助? 美国利用大数据的做了什么? 在谈大数据对安防监控的影响之前,我们先来看下在大数据应用方面较为成熟的美国利用大数据做了些什么? 1.美国国

洞悉大数据:Hadoop和云分析七大误解

七大误解:大数据与hadoop 对于Hadoop技术而言,可以说是开源领域的传奇,然而如今业界还伴随着一些流言,这些流言可能会导致IT高管们带着“有色”的观点去制定策略. 从IDC分析师报告中2013年数据存储上的增长速度将达到53.4%,AT&T更是声称无线数据的流量在过去的5年内增长200倍,从互联网内容.电子邮件.应用通知.社交消息以及每天接收的消息都在显着的增长,这也是众多大企业都聚焦大数据的原因所在. 毫无疑问,Hadoop成为解决大数据需求的主要投资领域之一,而类似Facebook等

Splunk—云计算&amp;大数据时代的超级日志分析和监控利器

信息科技的不断进步,一方面使得银行业信息和数据逻辑集中程度不断得到提高,另一方面又成为银行业稳健运行的一大安全隐患.Splunk作为智能的IT管理运维平台,能够帮助银行业积极迎接.应对和解决不断出现的各种风险,为其完善IT体系,建立良好的风险管理,提高风险控制能力,实现网络经济时代银行业的新发展. 什么是Splunk? Splunk是一个功能强大的日志管理工具,它不仅可以用多种方式来添加日志,生产图形化报表,最厉害的是它的搜索功能 - 被称为"Google for IT".Splunk

大数据下的用户行为分析

Consumer behaviour is the study of when,why,how and where people do or don't buy a product. 用户行为一般指用户通过中间资源,购买.使用和评价某种产品的记录.同时辅以用户.资源.产品自身及环境的信息. 用户行为记录一般可以表示一组属性的集合:{属性1,属性2,-,属性N} 用户行为分析主要是研究对象用户的行为.数据来源包括用户的日志信息.用户主体信息和外界环境信息.通过特定的工具对用户在互联网/移动互联网上

大数据运营之孕育:分析处理系统容量设计方法

[本文摘自:李福东<大数据运营>3.5.1.2,了解更多,请关注微信公号:李福东频道] 编者按 大数据服务通常要经过数据ETL.数据存储.数据分析.数据展示.数据开放的过程,因此在计算能力.存储能力以及网络能力的估算上也有自身的特点. 正文 与事务处理应用相比,大数据服务属于分析处理应用,由于两者的数据处理特点不同,因此容量估算方法也有一定的区别. 大数据服务通常要经过数据ETL.数据存储.数据分析.数据展示.数据开放的过程,因此在计算能力.存储能力以及网络能力的估算上也有自身的特点. 大数据

大数据实战:用户流量分析系统

本文是结合hadoop中的mapreduce来对用户数据进行分析,统计用户的手机号码.上行流量.下行流量.总流量的信息,同时可以按照总流量大小对用户进行分组排序等.是一个非常简洁易用的hadoop项目,主要用户进一步加强对MapReduce的理解及实际应用.文末提供源数据采集文件和系统源码. 本案例非常适合hadoop初级人员学习以及想入门大数据.云计算.数据分析等领域的朋友进行学习. 一.待分析的数据源 以下是一个待分析的文本文件,里面有非常多的用户浏览信息,保扩用户手机号码,上网时间,机器序

2018年海外大数据和人工智能产业全景分析与趋势预测

1.全景概况 Without big data analytics, companies are blind and deaf, wandering out onto the Web like deer on a freeway. 高科技营销魔法之父Geoffrey Moore曾经这样肯定大数据的存在意义:不进行大数据分析的公司,是"聋瞎"公司,就像高速公路上徘徊的野鹿一样. 因此,从互联网巨头到创业新贵,从中国到全世界,已经有无数技术公司投身到大数据和人工智能的洪流之中. 风险资本家