核心提示： 大數(shù)據(jù)是時下最火熱的IT行業(yè)的詞匯，隨之數(shù)據(jù)倉庫、數(shù)據(jù)安全、數(shù)據(jù)分析、數(shù)據(jù)挖掘等等圍繞大數(shù)量的商業(yè)價值的利用逐漸成為行業(yè)人士爭相追捧的利潤焦點。


    大數(shù)據(jù)是時下最火熱的IT行業(yè)的詞匯，隨之數(shù)據(jù)倉庫、數(shù)據(jù)安全、數(shù)據(jù)分析、數(shù)據(jù)挖掘等等圍繞大數(shù)量的商業(yè)價值的利用逐漸成為行業(yè)人士爭相追捧的利潤焦點。

    本人在與用戶溝通大數(shù)據(jù)問題時經常會遇到一些問題，現(xiàn)將這些常見問題匯總，拋磚引玉，希望可以幫助到大家。

1. 大數(shù)據(jù)安全分析的核心目標是什么?

   應答：為了能夠找到隱藏在數(shù)據(jù)背后的安全真相。數(shù)據(jù)之間存在著關聯(lián)，傳統(tǒng)分析無法將海量數(shù)據(jù)匯總，但是大數(shù)據(jù)技術能夠應對海量數(shù)據(jù)的分析需求。通過大數(shù)據(jù)基礎能夠挖掘出APT攻擊、內網隱秘通道、異常用戶行為等安全事件。在此基礎上可建設為安全決策支持系統(tǒng)，為安全決策提供數(shù)據(jù)支撐。

2. 大數(shù)據(jù)安全分析企業(yè)級部署方案與成功案例介紹。

   應答：在國家電網、運營商中已經有成功的案例。通過該分析平臺能夠進行整體的安全態(tài)勢感知，以全局的角度對整體安全情況進行宏觀掌控。 以運營商為例，將全網的數(shù)據(jù)匯總并進行數(shù)據(jù)挖掘工作，可視化的將結果進行呈現(xiàn)。

3. 國內外大數(shù)據(jù)安全分析的發(fā)展現(xiàn)狀介紹。

   應答：目前國外比較成熟的大數(shù)據(jù)安全分析主要以Cisco的Open SOC為代表。其通過采用大數(shù)據(jù)技術采集網絡流量、安全設備日志、業(yè)務系統(tǒng)日志、網絡設備日志，并對這些數(shù)據(jù)進行挖掘、關聯(lián)等運算，最后找出安全事件。

4. 是否有成熟的大數(shù)據(jù)安全分析的方法論?

   應答：我們要從兩個角度來看這個問題。

  首先，大數(shù)據(jù)是一個具體的技術實現(xiàn)。這個技術在其適用的場景下能夠解決傳統(tǒng)數(shù)據(jù)挖掘難以滿足的需求。

   而安全分析方法論是一直在不斷革新的。安全分析方法論中仍然有一些理念是無法落地的，無法落地的核心問題是缺少技術支撐。

   當前我們采用大數(shù)據(jù)技術不是對安全分析進行革新，而是將安全分析曾經無法實現(xiàn)的目標加以落地。就如同關系型數(shù)據(jù)的理念，其最早在1970年提出，而落地產品在1976年才有相應的雛形。大數(shù)據(jù)技術其實是安全分析方法論的落地實現(xiàn)。

5. 大數(shù)據(jù)安全分析支撐平臺是否存在技術標準或規(guī)范?

   應答：目前沒有技術標準或規(guī)范，但是國家正在制定相應的標準。綠盟科技2016年會參與標準的制定工作。

6. 大數(shù)據(jù)安全分析類項目過程中容易遇到的技術難點或需要大量投入的環(huán)節(jié)?

   應答：分析平臺目前基本是成熟的技術，難點主要在與前期規(guī)劃與安全分析兩個環(huán)節(jié)。前期規(guī)劃要能夠準確的估算出硬件配置、存儲容量等基礎信息，后期的安全分析需要專業(yè)人員對數(shù)據(jù)進行深入挖掘。

7. 從大數(shù)據(jù)安全分析的角度如何實現(xiàn)數(shù)據(jù)驅動業(yè)務安全?

   應答：通過大數(shù)據(jù)分析能夠量化的明確當前企業(yè)中存在的安全事件，通過安全事件驅動業(yè)務發(fā)展，從而實現(xiàn)數(shù)據(jù)驅動業(yè)務安全的目標。

8. 作為非IT類型企業(yè)，要實現(xiàn)大數(shù)據(jù)安全分析所需的必要條件是什么?

   應答：有專職的IT團隊，有專職的安全團隊，有必要的資源投入，有必要的流程支持。

9. 大數(shù)據(jù)安全分析可視化的技術現(xiàn)狀如何?展示的內容、方法、形式有哪些?

   應答：可視化技術一直都在不斷發(fā)展中，在沒有大數(shù)據(jù)之前可視化技術廣泛被使用在BI系統(tǒng)中。隨著大數(shù)據(jù)技術的成熟，可視化技術不僅能實現(xiàn)傳統(tǒng)的餅圖、折線圖、散點圖、柱狀圖、條形圖之外，還能夠以地圖、熱力圖、氣泡圖、力圖、平行坐標圖等多維展示。

10. 如何從展現(xiàn)層面體現(xiàn)大數(shù)據(jù)安全分析的優(yōu)勢?

   應答：展現(xiàn)只是安全分析的最后結果呈現(xiàn)。大數(shù)據(jù)的安全分析的優(yōu)勢的核心是在于安全分析模型。在展示層面的優(yōu)勢完全來自于安全模型的定義，僅從展示層面不好說明其優(yōu)勢。這主要是因為，在沒有大數(shù)據(jù)技術之前可視化展示技術也在快速發(fā)展。

11. 當前作為大數(shù)據(jù)安全分析最常用的數(shù)據(jù)類型有哪些?

    應答：DDoS態(tài)勢感知、溯源模型，APT攻擊模型，資產脆弱性態(tài)勢感知，網站脆弱性態(tài)勢感知等等。

12. 如果從專家系統(tǒng)、統(tǒng)計分析、機器學習三個維度實現(xiàn)大數(shù)據(jù)安全分析，是否已有相應的算法或數(shù)據(jù)模型?

    應答：這三個是不同的層面。

    專家系統(tǒng)通常是由在線與離線兩個組成部分。離線部分為客戶本地的知識庫，里面記錄大量經驗，通過歷史經驗對問題進行處理。在線部分為云端知識庫系統(tǒng)，客戶通過云端系統(tǒng)提出問題，解決問題，并且在線系統(tǒng)通常為7*24小時，由全球專家接力處理問題。

    統(tǒng)計分析，通過簡單的統(tǒng)計進行數(shù)據(jù)的過濾與結果呈現(xiàn)。通常由非專業(yè)人員進行簡單的數(shù)據(jù)統(tǒng)計工作。能夠從宏觀的角度發(fā)現(xiàn)一些問題，但是無法實現(xiàn)深入的數(shù)據(jù)挖掘工作。為了應對這樣的實際情況，在業(yè)務系統(tǒng)中會建設數(shù)據(jù)倉庫，通過數(shù)據(jù)倉庫來實現(xiàn)數(shù)據(jù)挖掘工作。但是由于建立數(shù)據(jù)倉庫費時費力，只有在大型集團企業(yè)中才會將其使用在安全領域。

    機器學習，實際上是程序自我矯正，實現(xiàn)結果的準確性。這是一個較為成熟的技術，在金融領域有很多成熟的案例。機器學習主要應用在難以人為劃定規(guī)則的領域，如異常流量監(jiān)測，異常行為檢測等。通常使用在難以通過規(guī)則進行判斷的業(yè)務場景中。

    在這三個層面都有成熟的算法以及應用，并且都通過的實際場景的檢驗。

13. 關于APT攻擊、0day攻擊是否具備成熟的基于大數(shù)據(jù)的解決方案?

    應答：APT攻擊一般按照攻擊鏈的方式進行攻擊。

    攻擊鏈條分為三個階段：

1.威脅進入階段

2.威脅擴散階段

3.數(shù)據(jù)竊取階段。

   APT攻擊檢測和防御，重點在于前兩個階段，威脅嘗試進入和擴散，大數(shù)據(jù)分析利用威脅情報系統(tǒng)，對網絡，郵件，安全，操作系統(tǒng)等層面的數(shù)據(jù)進行索引匯總，統(tǒng)計，關聯(lián)分析，來檢測進入企業(yè)的威脅。這是大數(shù)據(jù)分析在APT威脅檢測領域的應用。

   對于0Day漏洞，綠盟更多的利用部署在網絡邊界的威脅分析系統(tǒng)進行實時監(jiān)控，通過對樣本的靜態(tài)分析和動態(tài)分析，判斷是否存在威脅。經過樣本分析引擎進行分析后，可以獲得樣本是否利用了0Day漏洞，根據(jù)樣本自身的信譽信息，比如文件簽名，樣本用到的回連CnC地址，可以借助大數(shù)據(jù)引擎，對當前的數(shù)據(jù)以及歸檔的歷史數(shù)據(jù)進行分析，定位和回溯受到影響的主機、用戶等信息。

14. 對于已知的威脅模式，已實現(xiàn)的基于大數(shù)據(jù)的安全分析算法或模型有哪些?(列舉UseCasae)

  應答：

1)攻擊鏈關聯(lián)分析

   同一資產，按照威脅檢測的時間進行分析，描述攻擊鏈條

2)歸并統(tǒng)計相同類型的攻擊事件進行合并，多對一統(tǒng)計，一對多統(tǒng)計

3)威脅情報關聯(lián)分析根據(jù)威脅情報，對當前的數(shù)據(jù)和歷史數(shù)據(jù)進行遞歸查詢，生成告警事件

4)異常流量學習正常訪問流量，當流量異常時進行告警。

全網數(shù)據(jù)（www.jlszkj.com)注冊資金1000萬隸屬于深圳市全網數(shù)據(jù)科技有限公司旗下品牌，是國內最專業(yè)的IDC服務應用提供商之一，是工信部認定的綜合電信業(yè)務服務商，依托中國電信,中國聯(lián)通,中國移動三大運營商形成三網合一，主營運營的數(shù)據(jù)中心包含：深圳,廣州,北京,上海,東莞,中山,佛山,香港,美國 等地專業(yè)級數(shù)據(jù)中心。

服務范圍：云主機／服務器托管／服務器租用／機柜租用／帶寬批發(fā)／CDN加速／專線上網／VPN等服務。

全網互聯(lián)擁有專業(yè)的技術團隊為您提供完美解決方案和數(shù)據(jù)中心服務,用心服務,放心托付。

提供全年無休365*7*24小時售后在線技術服務,用戶至上，用心服務每一位用戶，您可以把您的應用放心的交給我們。

聯(lián)系電話：0755-88820932