大數據安全分析發(fā)展現狀及應用方法

　　導語人類的生產生活每天都在產生大量的數據，并且產生的速度越來越快。新的攻擊手段層出不窮，需要檢測的數據越來越多，現有的分析技術不堪重負。

安全數據的數量、速度、種類的迅速膨脹，導致的不僅僅是海量異構數據的融合、存儲和管理的問題，甚至動搖了傳統(tǒng)的安全分析體系和方法。你了解什么是大數據安全分析么?今天，小編帶你十問大數據安全分析。

　　1 大數據安全分析的核心目標是什么?

　　找到隱藏在數據背后的安全真相。

　　數據之間存在著關聯(lián)，傳統(tǒng)分析無法將海量數據匯總，但是大數據技術能夠應對海量數據的分析需求。通過大數據基礎能夠挖掘出APT攻擊、內網隱秘通道、異常用戶行為等安全事件。在此基礎上可建設為安全決策支持系統(tǒng)，為安全決策提供數據支撐。

　　2 國內外大數據安全分析發(fā)展現狀如何?

　　目前國外比較成熟的大數據安全分析主要通過采用大數據技術采集網絡流量、安全設備日志、業(yè)務系統(tǒng)日志、網絡設備日志，并對這些數據進行挖掘、關聯(lián)等運算，最后找出安全事件。

　　3 是否有成熟的大數據安全分析的方法論?

　　大數據是一個具體的技術實現。這個技術在其適用的場景下能夠解決傳統(tǒng)數據挖掘難以滿足的需求。而安全分析方法論是一直在不斷革新的。安全分析方法論中仍然有一些理念是無法落地的，無法落地的核心問題是缺少技術支撐。

　　當前采用的大數據技術不是對安全分析進行革新，而是將安全分析曾經無法實現的目標加以落地。就如同關系型數據的理念，其最早在1970年提出，而落地產品在1976年才有相應的雛形。大數據技術其實是安全分析方法論的落地實現。

　　4 大數據安全分析類項目過程中容易遇到的技術難點或需要大量投入的環(huán)節(jié)?

　　分析平臺目前基本是成熟的技術，難點主要是前期規(guī)劃與安全分析兩個環(huán)節(jié)。前期規(guī)劃要能夠準確的估算出硬件配置、存儲容量等基礎信息，后期的安全分析需要專業(yè)人員對數據進行深入挖掘。

　　5 從大數據安全分析的角度如何實現數據驅動業(yè)務安全?

　　通過大數據分析能夠量化的明確當前企業(yè)中存在的安全事件，通過安全事件驅動業(yè)務發(fā)展，從而實現數據驅動業(yè)務安全的目標。

　　6 作為非IT類型企業(yè)，要實現大數據安全分析所需的必要條件是什么?

　　專職的IT團隊，專職的安全團隊，必要的資源投入，必要的流程支持。

　　7 大數據安全分析可視化的技術現狀如何?展示的內容、方法、形式有哪些?

　　可視化技術一直都在不斷發(fā)展中，在沒有大數據之前可視化技術廣泛被使用在BI系統(tǒng)中。隨著大數據技術的成熟，可視化技術不僅能實現傳統(tǒng)的餅圖、折線圖、散點圖、柱狀圖、條形圖之外，還能夠以地圖、熱力圖、氣泡圖、力圖、平行坐標圖等多維展示。

　　8 如何從展現層面體現大數據安全分析的優(yōu)勢?

　　展現只是安全分析的最后結果呈現。大數據的安全分析的優(yōu)勢的核心是在于安全分析模型。在展示層面的優(yōu)勢完全來自于安全模型的定義，僅從展示層面不好說明其優(yōu)勢。這主要是因為，在沒有大數據技術之前可視化展示技術也在快速發(fā)展。

　　9 如果從專家系統(tǒng)、統(tǒng)計分析、機器學習三個維度實現大數據安全分析，是否已有相應的算法或數據模型?

　　這三個是不同的層面。在這三個層面都有成熟的算法以及應用，并且都通過的實際場景的檢驗。

　　專家系統(tǒng)通常是由在線與離線兩個組成部分。離線部分為客戶本地的知識庫，里面記錄大量經驗，通過歷史經驗對問題進行處理。在線部分為云端知識庫系統(tǒng)，客戶通過云端系統(tǒng)提出問題，解決問題，并且在線系統(tǒng)通常為7*24小時，由全球專家接力處理問題。

　　統(tǒng)計分析，通過簡單的統(tǒng)計進行數據的過濾與結果呈現。通常由非專業(yè)人員進行簡單的數據統(tǒng)計工作。能夠從宏觀的角度發(fā)現一些問題，但是無法實現深入的數據挖掘工作。為了應對這樣的實際情況，在業(yè)務系統(tǒng)中會建設數據倉庫，通過數據倉庫來實現數據挖掘工作。但是由于建立數據倉庫費時費力，只有在大型集團企業(yè)中才會將其使用在安全領域。

　　機器學習，實際上是程序自我矯正，實現結果的準確性。這是一個較為成熟的技術，在金融領域有很多成熟的案例。機器學習主要應用在難以人為劃定規(guī)則的領域，如異常流量監(jiān)測，異常行為檢測等。通常使用在難以通過規(guī)則進行判斷的業(yè)務場景中。

　　10 對于已知的威脅模式，已實現的基于大數據的安全分析算法或模型有哪些?

　　攻擊鏈關聯(lián)分析：同一資產，按照威脅檢測的時間進行分析，描述攻擊鏈條。

　　歸并統(tǒng)計相同類型的攻擊事件進行合并，多對一統(tǒng)計，一對多統(tǒng)計。

　　威脅情報關聯(lián)分析根據威脅情報，對當前的數據和歷史數據進行遞歸查詢，生成告警事件。

　　異常流量學習正常訪問流量，當流量異常時進行告警。

更多資訊敬請關注智造家行業(yè)資訊頻道

更多資訊敬請關注智造家行業(yè)資訊頻道