安全的最大問題不是防御能力不足,遲鈍的感知能力才是關(guān)鍵。組織機構(gòu)僅依靠安全防御手段是遠遠不夠的。然而,再高級的攻擊,都會留下網(wǎng)絡(luò)痕跡,因此,科來提出了全流量安全分析:全流量檢測+全流量存儲。采用行為和流分析,檢測異常行為,歷史流量關(guān)聯(lián),攻擊溯源取證。
圖1 科來 齊繼東
科來公司的齊繼東表示,全流量安全分析的核心功能為異常檢測、流量存儲和回溯分析。其中,異常檢測是當發(fā)現(xiàn)可疑通訊時,系統(tǒng)提供實時警報,科來全流量安全分析系統(tǒng)內(nèi)置600多條網(wǎng)絡(luò)行為模型庫快速檢測可疑通訊行為,通過多種條件組合專門針對高級攻擊的持續(xù)性、隱蔽性。可疑通訊行為包括高級攻擊(APT)、異常流量和網(wǎng)絡(luò)入侵、WEB攻擊。該系統(tǒng)支持150種以上元數(shù)據(jù)(會話元數(shù)據(jù)以及協(xié)議元數(shù)據(jù))提取,支持自定義提取,自定義建模。
圖2 科來大數(shù)據(jù)安全態(tài)勢感知體系架構(gòu)
而在流量存儲方面,能夠?qū)斍皺z測到的攻擊行為與歷史流量進行關(guān)聯(lián),實現(xiàn)完整的攻擊溯源和取證分析。特點是2-7層流量透視,直至數(shù)據(jù)包級,基于IP、協(xié)議的自定義流量存儲,大于50% 數(shù)據(jù)壓縮能力。
Gartner的報告,表示信息安全問題正在變成一個大數(shù)據(jù)分析問題。科來大數(shù)據(jù)安全態(tài)勢感知平臺的功能包括全流量數(shù)據(jù)采集、數(shù)據(jù)關(guān)聯(lián)分析、業(yè)務(wù)運行監(jiān)控、攻擊溯源取證、網(wǎng)絡(luò)流量可視化和安全事件響應(yīng)。
齊繼東表示,大數(shù)據(jù)安全態(tài)勢感知平臺基于科來全流量分析引擎采集數(shù)據(jù),采用大數(shù)據(jù)分布式存儲和計算架構(gòu)利用安全分析模型、機器學(xué)習(xí)、關(guān)聯(lián)分析的方法,發(fā)現(xiàn)未知威脅、提高檢測能力,快速分析研判、減少響應(yīng)時間,數(shù)據(jù)全量留存、滿足合規(guī)要求,安全態(tài)勢感知、幫助高效決策。