安恒信息安全专家刘志乐:复杂网络环境下的大数据安全态势感知

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心免费试用套餐资源包,价值199.45元额度,3个月
日志服务 SLS,月写入数据量 50GB 1个月
简介: 7月13日2016阿里安全峰会上,安恒信息安全专家刘志乐进行了《复杂网络环境下的大数据安全态势感知》的主题分享,他认为大数据的分析成功与否,主要有三个因素,数据、算法和有效的方法。

一年一度的阿里安全峰会创立于 2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新 兴技术与发展趋势等。2016 阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。

 

7月13日2016阿里安全峰会上,安恒信息安全专家刘志乐进行了《复杂网络环境下的大数据安全态势感知》的主题分享,他通过举例来说明我们面临的安全威胁形势越来越严峻,通过大数据的安全态势感知的平台,可以对威胁进行预测。大数据的分析成功与否,主要有三个因素,数据、算法和有效的方法。



 安恒信息安全专家刘志乐

 

以下为演讲实录:

 

各位领导,各位嘉宾,下午好。2016年ISA大会上大家认识到了我们的防护手段,在当前这么复杂的安全形势下已经越来越显得力不从心,在这么严峻的形势下,怎样利用一些新技术来实现对我们传统的安全防护能力的升级就显得分外重要。

 

现在我们所面临的威胁,从传统的小黑客到大的玩家,地下黑客产业链,现在甚至已经上升到了国与国的网络战的严峻形式,我们也有一个大数据的安全能力中心,2015年我们也做了一个自己的2015年互联网网站的安全报告,网站安全报告里面可以看到一些非常重要的数据,比如,去年我们给第二届世界互联网大会做网络安保工作的时候,对大会官网的群,整个的会议期间遭受了一亿两千多万次的攻击,像新浪网就遭受了33万次的攻击,而且攻击主要来源来自于国外的英美、法德这些国家,攻击的来源显示主要是境外的托管主机和远程的受控僵尸等等。我们参与了第二次世界互联网大会的安保,也参加了第一次互联网大会的安保,两天的安保工作做完后也做了一些对比,从攻击规模上来看,第一次世界互联网大会大概收到了27万次这样的攻击,第二次已经上升到了一千多万次,整个防护系统所有的加起来3.8亿次,而且整个防御手段和防御的对象也产生了很大的区别。第一次主要是会议系统,第二次已经涵盖了核心的会议系统,整个会议的所有的酒店、Wifi和直播系统,包括了路边的警亭、信息亭等等。


有了这些数据,我们也可以解读整个世界互联网大会期间,到底谁在攻击我们,从最后的统计可以看出来,以美国为首的,包括用了什么样的攻击手段,整个攻击的最高峰在什么地方,我们当时也都对互联网进行推送。

 

这些现象都是构筑在我们自己的大数据的安全态势感知的平台之上,我们主要针对比如互联网的对外的网站,可以把它整个网站上所有的一些系统的日志,访问的日志,所有的网络设备的日志,安全设备的日志,输送到我们的云端,再大数据的存储进行大数据的处理,然后最后进行整个安全的方法,进行算法,最后实现可视化来应对整个的一些威胁的预测。

 

这些大数据,我们拿它到底要做些什么?首先我们要通过它去进行在分析平台上进行核实的方法,用一些比较适用的算法,最后实现对客户的价值,整个的维度的分析服务,包括现在比较时髦的情报的共享。基于这些数据能力,我们就可以应对现在复杂的安全攻击,比如25万个中国政府的所有网站,受到什么样的攻击,攻击类型是什么,来自于哪里,我们都会第一时间捕获到,第一时间报送给国家的相关职能部门,包括网信办,公安部,工信部等等。我们的整个平台建筑在全国的32个省市的有节点,现在我们有一亿两千多万个设备的数据,有六千八百多万个设备的漏洞,我们存储了465TB的数据,而且整个数据是大数据的集群,比较快速的部署。这些分布式的结点,把各种流量的日志和各种主动发现的漏洞的信息,包括了各种数据的可用性的数据、防御的数据进行处理和归类分析,然后进行存储到各种基础库、IT库、指纹库和域名库,到上面进行可视化的展现漏洞和事件以及可用性。还有攻击行为、访问行为等等,最终我们可以通过我们的一些邮件,传统的手段,也有最新的,通过一些专用的APP,以加密的方式输送到我们的客户手上,包括有一些输送到监管部门的手上。那么,有了这些数据以后,我们可以形成安全的大数据中心,我们现在有完整的政府整体的IP库,这些数据对政府的职能部门的信息不断的更新,还有对域名的库,对网站的所有的相关的漏洞等等,现在我们有超过一亿六千万的域名,我们收录了25万个政府的域名,我们不停的在分布式的进行实时监测,累计发现了1203个政府网站部署在境外,可能被地下黑客产业链劫持到境外了,或者是相似的域名,然后去钓鱼,这些我们都有大量的样本。

 

基于这种分布式的扫描,或者是监测引擎,我们可以做很多的有意义的事情。比如,我们最早是公安部做全国政府网站大检查的单位。2009年我们做这件事,当时给我们六千多个站点,我们需要投入五六个人去工作一个月以后,单机版扫描器,人非常的辛苦。但是在我们有了这样一个大的分布式大数据平台以后,现在无论是九三阅兵,还是G20的安保,政府部门给我们的上万个站点,在我们的平台里边,会自动把这些数据拿出来,很快的完成监管部门的工作需要。

 

网络除了外网之外,内网更复杂,但是内网我们更多的不是关心整个的知识产权的安全漏洞,我们更多的关心内部的人员,所以我们就要在内网里面通过一些数据的采集,包括一些密匙,把各种数据语言送到我们的中心里面,再去通过不同的数据的维度去定义什么样的是异常的行为。比如省份、时间、位置,包括对资源的操作模式等等。通过这些我们进入行为建模,通过建模以后,我们以人的行为为核心的异常来分析一些人的方面的关键问题。   

 

整体上来说,大数据的分析成功与否,实际上主要有三个因素。从我自己的经验来看,一是数据,以大数据,大数据的平台,如果没有数据,无从谈起。二是算法,有了数据,再有算法,那么就应该可以产生比较有意义有价值的能力。但是实际上从我们很多的工作的工程实践上来看,光有这两点还不行,还缺一个比较有效的方法,而且这个方法实际上要更多的和客户来商量,最终是跟客户的业务贴合上的方法。有了这三个因素就可以有有用的能力,最终交付给我们的客户,客户就会有一个更安全的应对复杂的攻击形式的能力。谢谢大家。

 

相关文章
|
3月前
|
机器学习/深度学习 存储 监控
内部文件审计:企业文件服务器审计对网络安全提升有哪些帮助?
企业文件服务器审计是保障信息安全、确保合规的关键措施。DataSecurity Plus 是由卓豪ManageEngine推出的审计工具,提供全面的文件访问监控、实时异常告警、用户行为分析及合规报告生成功能,助力企业防范数据泄露风险,满足GDPR、等保等多项合规要求,为企业的稳健发展保驾护航。
|
4月前
|
存储 运维 监控
云服务运行安全创新标杆:阿里云飞天洛神云网络子系统“齐天”再次斩获奖项
阿里云“超大规模云计算网络一体化运行管理平台——齐天系统”凭借卓越的技术创新与实践成果,荣获“云服务运行安全创新成果奖”,同时,齐天团队负责人吕彪获评“全栈型”专家认证。
|
29天前
|
分布式计算 安全 大数据
别等被黑客敲门才醒悟:大数据如何帮你防住网络攻击?
别等被黑客敲门才醒悟:大数据如何帮你防住网络攻击?
110 32
|
14天前
|
存储 算法 安全
即时通讯安全篇(三):一文读懂常用加解密算法与网络通讯安全
作为开发者,也会经常遇到用户对数据安全的需求,当我们碰到了这些需求后如何解决,如何何种方式保证数据安全,哪种方式最有效,这些问题经常困惑着我们。52im社区本次着重整理了常见的通讯安全问题和加解密算法知识与即时通讯/IM开发同行们一起分享和学习。
120 9
|
16天前
|
人工智能 安全 网络安全
从不确定性到确定性,“动态安全+AI”成网络安全破题密码
2025年国家网络安全宣传周以“网络安全为人民,靠人民”为主题,聚焦AI安全、个人信息保护等热点。随着AI技术滥用加剧,智能化攻击频发,瑞数信息推出“动态安全+AI”防护体系,构建“三层防护+两大闭环”,实现风险前置识别与全链路防控,助力企业应对新型网络威胁,筑牢数字时代安全防线。(238字)
|
22天前
|
机器学习/深度学习 传感器 监控
吃得安心靠数据?聊聊用大数据盯紧咱们的餐桌安全
吃得安心靠数据?聊聊用大数据盯紧咱们的餐桌安全
57 1
|
5月前
|
监控 数据可视化 大数据
Axure设计的“广东省网络信息化大数据平台”数据可视化大屏
本文介绍由Axure设计的“广东省网络信息化大数据平台”数据可视化大屏。大屏分为左中右三区域,共九个模块,涵盖设备占比、数据异常、地市排名、关键指标、地图分布、订单信息等。通过环形图、柱状图、饼图等多种图表形式,将复杂数据直观呈现,助力决策者全面掌握数据动态,推动广东省网络信息化建设发展。
471 135
|
3月前
|
监控 安全 网络安全
网络安全工具及其使用方法:保护数字安全的第一道防线
在信息时代,网络攻击变得日益复杂且频繁,保护个人和企业数据安全的重要性日益凸显。幸运的是,各种网络安全工具为用户提供了有效的防护手段。从防火墙到密码管理器,这些工具覆盖了威胁检测、攻击防御和数据保护的方方面面。本文将介绍几款常用的网络安全工具,并提供其使用方法,以帮助您构建强大的网络安全防线。
130 1
|
2月前
|
运维 监控 安全
计算机网络及其安全组件纲要
本文主要介绍了 “计算机网络及常见组件” 的基本概念,涵盖网卡、IP、MAC、OSI模型、路由器、交换机、防火墙、WAF、IDS、IPS、域名、HTTP、HTTPS、网络拓扑等内容。
200 0
|
3月前
|
云安全 弹性计算 安全
阿里云服务器安全功能解析:基础防护与云安全产品参考
在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题。阿里云服务器除了提供基础的防护之外,还提供了一系列安全防护类云产品,以确保用户云服务器的安全。本文将详细介绍阿里云服务器的基础安全防护有哪些,以及阿里云的一些安全防护类云产品,帮助用户更好地理解和使用阿里云服务器的安全功能。