闡釋基于大數(shù)據(jù)的異常行為分析
來(lái)自啟明星辰泰合安管產(chǎn)品本部的葉蓬做了《基于大數(shù)據(jù)的異常行為分析》的專(zhuān)題報(bào)告���。葉蓬表示��,在當(dāng)前網(wǎng)絡(luò)攻防對(duì)抗的形勢(shì)下��,電力企業(yè)傳統(tǒng)的安全防護(hù)體系和思路必須進(jìn)行改變�。我們必須認(rèn)定我們的網(wǎng)絡(luò)已經(jīng)遭受入侵�����,必須從消極防護(hù)轉(zhuǎn)變?yōu)橹鲃?dòng)防護(hù)�、甚至是可適應(yīng)性防護(hù);要從單純的防御轉(zhuǎn)向積極對(duì)抗�,要從獨(dú)立防御向協(xié)同防御體系邁進(jìn),安全需要知己�,還需要知彼。
當(dāng)前大數(shù)據(jù)安全分析已經(jīng)成為了安全領(lǐng)域的一大熱門(mén)�,隨著大數(shù)據(jù)分析平臺(tái)的搭建、安全要素?cái)?shù)據(jù)的采集和安全數(shù)據(jù)庫(kù)的構(gòu)建���,未來(lái)更多的注意力將轉(zhuǎn)向安全數(shù)據(jù)分析本身�����。面對(duì)天量的安全數(shù)據(jù)��,借助大數(shù)據(jù)安全分析技術(shù)到底能夠分析出什么以前未分析出的洞見(jiàn)將成為大數(shù)據(jù)分析成敗的關(guān)鍵���。
針對(duì)上述問(wèn)題���,葉蓬指出利用統(tǒng)計(jì)模型和機(jī)器學(xué)習(xí)來(lái)對(duì)用戶及實(shí)體進(jìn)行畫(huà)像、檢測(cè)異常行為將成為大數(shù)據(jù)安全分析的一個(gè)重要發(fā)展方向���。
異常行為分析是一種典型的非特征檢測(cè)技術(shù),能夠彌補(bǔ)傳統(tǒng)基于特征和規(guī)則的檢測(cè)技術(shù)的不足����,實(shí)現(xiàn)知所未知。
“Gartner將異常行為分析技術(shù)映射到用戶及實(shí)體行為分析(User and Entity Behavior Analysis)市場(chǎng)���,并表示該市場(chǎng)目前規(guī)模約為5000萬(wàn)美元��。Gartner表示該市場(chǎng)目前發(fā)展迅猛���,十分看好其前景��,預(yù)測(cè)2017年將有2億美元的市場(chǎng)規(guī)模�����。UEBA正逐步成為SIEM和安管平臺(tái)技術(shù)的重要組成部分���。
葉蓬在會(huì)上分享了兩類(lèi)異常行為分析的實(shí)踐方法:基于異常行為模型的數(shù)據(jù)分析方法和基于正常行為模型的數(shù)據(jù)分析方法。
其中�����,數(shù)據(jù)分析師通過(guò)建立正常行為模型來(lái)進(jìn)行異常數(shù)據(jù)分析的方法更受關(guān)注�����。在一個(gè)相對(duì)穩(wěn)態(tài)的網(wǎng)絡(luò)環(huán)境中���,描述什么是正常的行為比描述什么是異常的行為更加容易�����。只要能夠刻畫(huà)出正常行為��,就能夠反過(guò)來(lái)判定異常����。而建立正常行為模型的關(guān)鍵在于對(duì)用戶和實(shí)體的行為進(jìn)行“畫(huà)像”,即建立行為輪廓����。這個(gè)“畫(huà)像”的過(guò)程與互聯(lián)網(wǎng)業(yè)務(wù)下的用戶畫(huà)像有異曲同工之意。
接下來(lái)�,葉蓬進(jìn)一步闡釋了可以進(jìn)行“畫(huà)像”的網(wǎng)絡(luò)實(shí)體,以及如何選取實(shí)體的行為刻畫(huà)指標(biāo)����,并介紹了基于實(shí)體畫(huà)像的異常行為分析過(guò)程。同時(shí)分享了啟明星辰融合了大數(shù)據(jù)分析技術(shù)的異常行為分析引擎的技術(shù)架構(gòu)和應(yīng)用場(chǎng)景����。
最后,葉蓬指出異常行為分析不是安全分析的全部��,行為分析僅僅是交互式安全分析的一個(gè)環(huán)節(jié)����。在大數(shù)據(jù)安全分析下,行為分析更多是提供一些線索��,接下來(lái)還需要安全分析師據(jù)此進(jìn)行威脅狩獵(Threat Hunting)����、數(shù)據(jù)勘探(Data Exploring)。行為分析要與規(guī)則分析緊密結(jié)合���,行為分析要充分利用情境(Context)數(shù)據(jù)�����,包括情報(bào)����、地理位置信息�����、漏洞�����、身份信息和業(yè)務(wù)屬性等��。
隨著安全數(shù)據(jù)的大數(shù)據(jù)化,傳統(tǒng)安全分析面臨諸多挑戰(zhàn)�����。伴隨正在興起的智能安全與情境感知理念��,大數(shù)據(jù)分析已經(jīng)被視作安全領(lǐng)域關(guān)鍵的解決方案�。2014年底,啟明星辰發(fā)布了國(guó)內(nèi)面向企業(yè)級(jí)客戶的大數(shù)據(jù)安全分析平臺(tái)��。系統(tǒng)融合先進(jìn)的流式計(jì)算���、交互式計(jì)算和批式計(jì)算技術(shù)����,采用云計(jì)算和分布式文件系統(tǒng)及索引技術(shù)�����,對(duì)包括日志�、網(wǎng)絡(luò)流、數(shù)據(jù)包和威脅情報(bào)在內(nèi)的結(jié)構(gòu)化�����、半結(jié)構(gòu)化安全要素信息進(jìn)行采集�����、存儲(chǔ)����、分析和展示,使用智能關(guān)聯(lián)�、行為分析、情境分析����、機(jī)器學(xué)習(xí)等多種數(shù)據(jù)分析及挖掘技術(shù),構(gòu)建了全新一代安全分析平臺(tái)���,為客戶提供多種安全分析場(chǎng)景��,有效滿足數(shù)字時(shí)代安全管理人員對(duì)安全分析和管理的需求��。cda數(shù)據(jù)分析師培訓(xùn)
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情���;
? 想學(xué)習(xí)CDA考試教材��,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫(kù)�����,點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情��;
? 想了解CDA考試含金量����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情����;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330