360做媒,大数据和安全走在了一起

[摘要]在美丽的感恩节的晚上,中国软件网联合海比研究举办了一场别开生面的数据趴。伴随着阵阵咖啡的香气,国内知名大数据企业围绕洞察趋势,搭建

在美丽的感恩节的晚上,中国软件网联合海比研究举办了一场别开生面的“数据趴”。伴随着阵阵咖啡的香气,国内知名大数据企业围绕“洞察趋势,搭建生态”展开了探讨。作为大数据的重要应用方向之一,数据驱动安全一直备受业界瞩目。360企业安全集团战略研究主任鲍旭华博士与大家分享了360如何用数据驱动网络安全。

360企业安全集团战略研究主任鲍旭华

信息安全的将来属于解读数据的能力

先来举一个例子。大家或多或少都知道APT(高级可持续性威胁)的危害性,360天眼实验室成为了中国首个发现APT攻击的组织, 2012年4月起,某境外组织对中国政府、科研院所、海事机构、海运建设、航运企业等相关重要领域展开了有计划、有针对性的长期渗透和攻击,其代号为海莲花。该攻击采用入侵目标内网然后植入木马程序(水坑攻击,即在内网中设置“水坑”)和发送特定的钓鱼邮件(鱼叉攻击)的方式,窃取目标的内部数据。那么在攻击手法、伪装形式不断变化的条件下(伪装成qq程序、伪装成flash升级程序等),360是如何发现这一系列的攻击的呢?

我们不妨假设这样一个前提,360的云端大数据平台通过其海量终端应用发现了某个恶意样本,那么360就可以通过这个恶意样本的MD5或者恶意域名亦或是疑似攻击的IP做同源性分析,从而分析得出大量的同源性样本,再对这些同源性样本做样本逆向分析,得出大量的同源性域名。于是乎,360便可以针对这些同源性样本和域名做URL日志分析、主防日志分析、DNS解析分析得出水坑和邮件攻击的服务器,从而找出受感染主机,分析出整个攻击的全貌。

360发现攻击全过程示意图

从此次360发现APT攻击的过程中我们不难看出,360通过大量的终端应用去接触数据并获取数据,并利用自身强大的云端大数据平台分析、处理这些数据,最终得出攻击全貌。这样一个从线索到事件再到攻击全貌的过程,刚好反映了信息安全的演变——从接触数据、到获取数据再到分析数据。

顺便说一句,“红衣教主(周鸿祎)在大家都还没意识到数据的重要性的时候,多年前就力排众议,广泛收集产品和网络中的安全数据。”现如今大数据的发展形势完全印证了他当年的远见卓识,这也是我在众多非议声中,非常佩服周教主的主要原因。

大数据安全能力

现在,我们从360对代号为“海莲花”的APT攻击的分析中跳出来,看一看360的大数据安全能力。鲍旭华为大家分享了四个要点——海量情报数据、存储计算能力、数据挖掘技术和可视化分析技术。

海量的情报数据非常容易理解。360积累了95亿样本,包括了几乎所有的可执行文件;3接近6亿的PC装机量,积累了大量用户的联网数据;约15%的DNS解析流量,形成了50亿次左右DNS解析库;每天查询量高达300亿条的的存活网址库。大量的数据来源是数据驱动安全的基本保障。

在存储方面,360总共有20万台服务器,分布在178个机房里面。其中,4万台属于大数据集群负责数据的存储和分析,其存储数据总量超过1EB,并且保持着每天PB级的数据增长。在计算能力方面,还有几组数据很有意思:360可以在一分钟内调用数十万颗CPU参与计算的能力,可以在一秒钟之内处理超过1TB的数据。这样的存储计算能力也就保证了360足够从大量的数据中获取有价值的情报。

在数据挖掘方面,360的亮点便是引入了机器学习和人工智能技术。对于360这样的企业来说,检测出单次未知威胁并不是一件很复杂的事情。可是如何从若干单次攻击中分析得出一些结论,就不是那么容易了。在引入人工智能和机器学习技术以后,360可以从互联网海量多维数据中寻找规律、算法或模型,挖掘出有价值的线索,再反过来运用于那些被监控的流量。

为了全方位了解网络运行态势,把握安全数据背后的规律,挖掘出数据蕴含的知识信息,从而快速发现潜在的网络威胁,就需要通过详尽的指标体系,建立专门的数据分析主题仪表盘,多维度分析数据联系,反映网络运行及安全状态,支持多维联动交互,将数据形象、直观的呈现给决策者。360可以基于多维数据的关联,用图像化形式描述攻击的细节,包括协议流量、攻击病毒、资源能耗、漏洞违规、服务器主机及应用等组成部分。这就可以有效帮助安全专家针对未知威胁进行分析、跟踪、溯源等。

看完了这四块能力,回过头来反思鲍旭华博士分享的PPT里面的这样一句话,确实是意味深长:大数据时代,一片“叶子”上的威胁感知,必须借助针对整个“森林”的威胁研究。

数据驱动的联动防御

那么具体到360的安全防御模型,鲍旭华用八个字做了概括:云端见广,本地见微。也就是说,360在云端利用大数据分析平台分析大量的信息从而挖掘出有价值的线索,反馈到本地描绘出网络攻击或者未知威胁的每一个细节,并形成威胁情报。

360的网络安全架构

这张图很清楚的描绘出了360的网络安全架构,从获取数据到数据分析再到面向机读的威胁情报,从而提升本地防御设备的防御能力。在这个架构图中,三道防线很有意思。简单解释一下,第一道防线是边境线,就是以WAF、NGFW等为代表的,部署在网关位置的边界防护设备;第二道防线就是内网防御,以代码审计、终端防护为代表的内网安全设备;第三道防线就是利用检测技术来侦测可能潜伏起来的未知威胁。三道防线组成的立体防御模型谱写出了联动防御的主基调。

鲍旭华举了一个例子来描绘联动防御的优势:在本地防护设备运算能力和检测能力都相同的情况下,有了云端支持,用已知攻击者的域名就可以判断出攻击者的攻击路径,而不需要对攻击流量进行解码运算,从而大大提升了安全防御的效率。

最后,我想用鲍旭华博士的观点来结尾:信息安全的过去,属于接触数据的能力;信息安全的现在属于获取数据的能力;信息安全的将来,属于解读数据的能力。




免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。