知道创宇安全专家陈庆:大数据技术驱动智慧安(2)
时间:2018-11-21 01:19 来源:网络整理 作者:墨客科技 点击:次
具体来说在这个过程当中用到哪一些技术呢?首先知道创宇提供了全球第二的网络空间资产引擎,也就是钟馗之眼。这个资产引擎除了在做资产保护的时候之外,在做资产画像的时候也同样能起到巨大作用,并且,在后面来介绍对于攻击者画像和持续性进行威胁监测的时候,空间资产引擎也是起到决定性的作用。另外我们能够在七到十天之内遍布全球IPV4的地址空间精准探测,这样的技术能力可以有效的帮助我们某一个行政区域里面的监管单位,或者是大型的运营者,快速的明确自己的资产目标。探测范围还覆盖了工业控制和物联网的设备。 第二点是云防御平台,创宇盾云防御平台在互联网行业占有率是49.77%,在政府网站市场占有率是42.18%。自己市场占有率第一的云防御平台之前赵总也详细的介绍了,对态势感知赋能是从多个层面,数据、情报和辖区内资产保护,还有整体态势监测、防护来说都是起到全面性的作用。 第三个是知道创宇联合腾讯打造的国内最大的安全大数据,包括前面介绍的资产数据和云防御平台获得的各类情报和数据。在这个之外要强调的一点是安全行业在前几年往往对于大数据是强调量,但是忽略了两个重要的特点。第一安全数据要注重质量,而不仅仅是数量。第二安全数据要注重动态性,要注重是活的安全数据。如果是现在你拿着几年前的安全数据,那实际上对于我们态势感知的能力来说起到的作用是非常微小的。 然后在以上的这些能力之外,我们在大数据的分析和应用能力里面,特别是在做资产画像以及后续画像方面,应用了全方位的关联技术,包括有规则关联、场景关联、行为关联等。规则关联包括有逻辑关联,是基于逻辑表达式的一些规则和统计关联。场景关联就是基于资产关联、弱点关联和情报关联。行为关联包括周期性的行为同比分析,以及对于行为预测的环比分析,等等这些大数据的关联分析方法。 以此为基础构筑了完整的资产画像,现在的多维数据关联的完整资产画像包括有资产、状态、流量、攻击、漏洞、风险、告警和人员。以后还会陆续关注更多。这样就对我们的监管区域内所有的重点目标,所有的关键信息基础设施有了一个看得清的基础了解,以此构成数据基础,在这个基础上发挥态势感知其他方向的业务场景和能力。 第二点是监测管理赋能,我们也有一个应用方向。从安全兼管,也就是之前的资产发现出发,结合了漏洞监测和持续性的流量监测。请注意,这里的流量监测是持续性的。我们对于资产画像为核心的数据基础进行这样全方位的监测,这里面可以举出几个业务场景。比如说APK攻击,据腾讯上半年研究报告表明,APK攻击是来自于Nday漏洞,对于这种漏洞的预警是我们非常强大的能力。通过资产雷达和安全监测持续性监测,可以帮助监管单位和用户在最短时间内,就是攻击者之前能够了解到对于Nday漏洞的暴露面和普查,能够提供及时的预警和防护。 在资产画像的漏洞监测的技术上,我们进行了风险预警和威胁预警的工作。这个基础上可以向关联单位和管理者进行定向通报和处置,进行我们的监管职能和处罚职能。所有过程都是应用威胁情报,提供我们的监测了安全事件的关联能力和情报能力,这就是监测管理赋能的应用方向。在这个基础上要重点介绍的是在这个过程中间使用的一些技术,和我们所提供的效果。首先是我们的基础引擎,这里只是列举了部分,包括流计算引擎,主要是作为事件驱动的实时计算引擎。还有机器学习引擎和深度学习引擎。还有历史数据的计算引擎和关联分析引擎。 这个基础上通过对历史流量进行机器学习引擎,对于实时流量进行流计算引擎,对于威胁情报理性溯源分析引擎。还采用了滑动时间窗口技术,不断引入对实时流量模型自动校正和计算,使我们模型更加趋近于实际情况。 (责任编辑:admin) |