大數(shù)據(jù)與大規(guī)模網(wǎng)絡(luò)安全感知技術(shù)初探
快速發(fā)展的互聯(lián)網(wǎng)技術(shù)不斷地改變?nèi)藗兊纳罘绞?�,然而�����,多層面的安全威脅和安全風(fēng)險也不斷出現(xiàn)��。對于一個大型網(wǎng)絡(luò)�,在網(wǎng)絡(luò)安全層面�����,除了訪問控制���、入侵檢測����、身份識別等基礎(chǔ)技術(shù)手段���,需要安全運維和管理人員能夠及時感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢����。對于安全運維人員來說,如何從成千上萬的安全事件和日志中找到最有價值����、最需要處理和解決的安全問題,從而保障網(wǎng)絡(luò)的安全狀態(tài)���,是他們最關(guān)心也是最需要解決的問題�。與此同時�,對于安全管理者和高層管理者而言�����,如何描述當(dāng)前網(wǎng)絡(luò)安全的整體狀況�����,如何預(yù)測和判斷風(fēng)險發(fā)展的趨勢����,如何指導(dǎo)下一步安全建設(shè)與規(guī)劃,則是一道持久的難題��。
隨著大數(shù)據(jù)技術(shù)的成熟���、應(yīng)用與推廣����,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)有了新的發(fā)展方向,大數(shù)據(jù)技術(shù)特有的海量存儲����、并行計算、高效查詢等特點��,為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)創(chuàng)造了突破的機遇���。本文將對大規(guī)模網(wǎng)絡(luò)環(huán)境下的安全態(tài)勢感知�、大數(shù)據(jù)技術(shù)在安全感知方面的促進做一些探討����。
對于一個大規(guī)模的網(wǎng)絡(luò)而言,面臨的風(fēng)險也是巨大的���,可分為廣度風(fēng)險和深度風(fēng)險�。從廣度上講�,以中國移動的CMNET網(wǎng)絡(luò)為例,所轄IP地址超過3000萬個����,提供對外服務(wù)的網(wǎng)站數(shù)千個�����,規(guī)模大���、節(jié)點類型豐富多樣,伴隨其中的安全問題隨網(wǎng)絡(luò)節(jié)點數(shù)量的增加呈指數(shù)級上升��。從深度上講����,下一代移動互聯(lián)網(wǎng)安全威脅主要表現(xiàn)在傳統(tǒng)攻擊依然存在且手段多樣、APT(高級持續(xù)性威脅)攻擊逐漸增多且造成的損失不斷增大����。而攻擊者的工具和手段呈現(xiàn)平臺化��、集成化和自動化的特點��,具有更強的隱蔽性�����、更長的攻擊與潛伏時間、更加明確和特定的攻擊目標����。以上造成了下一代安全威脅具有更強的殺傷能力與逃避能力。結(jié)合廣度風(fēng)險與深度風(fēng)險來看�,大規(guī)模網(wǎng)絡(luò)所引發(fā)的安全保障的復(fù)雜度激增,主要面臨的問題包括:安全數(shù)據(jù)量巨大����;安全事件被割裂,從而難以感知��;安全的整體狀況無法描述����。
網(wǎng)絡(luò)安全感知能力具體可分為資產(chǎn)感知、脆弱性感知�、安全事件感知和異常行為感知4個方面。資產(chǎn)感知是指自動化快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況����、更新情況、屬性等信息�;脆弱性感知則包括3個層面的脆弱性感知能力:不可見、可見、可利用�����;安全事件感知是指能夠確定安全事件發(fā)生的時間�、地點、人物����、起因、經(jīng)過和結(jié)果�����;異常行為感知是指通過異常行為判定風(fēng)險��,以彌補對不可見脆弱性����、未知安全事件發(fā)現(xiàn)的不足,主要面向的是感知未知的攻擊��。
一個相對完整的網(wǎng)絡(luò)安全感知的能力模型與架構(gòu)設(shè)計如下圖所示:
隨著Hadoop�����、NoSQL等技術(shù)的興起����,BigData大數(shù)據(jù)的應(yīng)用逐漸增多和成熟,而大數(shù)據(jù)自身擁有Velocity快速處理��、Volume大數(shù)據(jù)量存儲��、Variety支持多類數(shù)據(jù)格式三大特性�。大數(shù)據(jù)的這些天生特性,恰巧可以用于大規(guī)模網(wǎng)絡(luò)的安全感知��。首先��,多類數(shù)據(jù)格式可以使網(wǎng)絡(luò)安全感知獲取更多類型的日志數(shù)據(jù)����,包括網(wǎng)絡(luò)與安全設(shè)備的日志、網(wǎng)絡(luò)運行情況信息���、業(yè)務(wù)與應(yīng)用的日志記錄等�����;其次�����,大數(shù)據(jù)量存儲與快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持�����,可以為高智能模型算法提供計算資源���;最后�,在異常行為的識別過程中����,核心是對正常業(yè)務(wù)行為與異常攻擊行為之間的未識別行為進行離群度分析,大數(shù)據(jù)使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能�。
中國移動自2010年起在云計算和大數(shù)據(jù)方面就開始了積極探索。中國移動的“大云”系統(tǒng)目前已實現(xiàn)了分布式海量數(shù)據(jù)倉庫��、分布式計算框架�����、云存儲系統(tǒng)��、彈性計算系統(tǒng)��、并行數(shù)據(jù)挖掘工具等關(guān)鍵功能���。在“大云”系統(tǒng)的基礎(chǔ)上��,中國移動的網(wǎng)絡(luò)安全感知也具備了一定的技術(shù)積累��,進行了大規(guī)模網(wǎng)絡(luò)安全感知和防御體系的技術(shù)研究���,在利用云平臺進行脆弱性發(fā)現(xiàn)方面的智能型任務(wù)調(diào)度算法、主機和網(wǎng)絡(luò)異常行為發(fā)現(xiàn)模式等關(guān)鍵技術(shù)上均有突破����,在安全運維中取得了一些顯著的效果。
大數(shù)據(jù)的出現(xiàn)�,擴展了計算和存儲資源,提供了基礎(chǔ)平臺和大數(shù)據(jù)量處理的技術(shù)支撐�����,為安全態(tài)勢的分析��、預(yù)測創(chuàng)造了無限可能����。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試����,點擊>>>
“CDA報名”
了解CDA考試詳情����;
? 想學(xué)習(xí)CDA考試教材,點擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫����,點擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量�,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330