安全的最大問題不是防御能力不足，遲鈍的感知能力才是關(guān)鍵。組織機構(gòu)僅依靠安全防御手段是遠遠不夠的。然而，再高級的攻擊，都會留下網(wǎng)絡(luò)痕跡，因此，科來提出了全流量安全分析：全流量檢測+全流量存儲。采用行為和流分析，檢測異常行為，歷史流量關(guān)聯(lián)，攻擊溯源取證。

圖1 科來 齊繼東

科來公司的齊繼東表示，全流量安全分析的核心功能為異常檢測、流量存儲和回溯分析。其中，異常檢測是當發(fā)現(xiàn)可疑通訊時，系統(tǒng)提供實時警報，科來全流量安全分析系統(tǒng)內(nèi)置600多條網(wǎng)絡(luò)行為模型庫快速檢測可疑通訊行為，通過多種條件組合專門針對高級攻擊的持續(xù)性、隱蔽性。可疑通訊行為包括高級攻擊（APT）、異常流量和網(wǎng)絡(luò)入侵、WEB攻擊。該系統(tǒng)支持150種以上元數(shù)據(jù)（會話元數(shù)據(jù)以及協(xié)議元數(shù)據(jù)）提取，支持自定義提取，自定義建模。

圖2 科來大數(shù)據(jù)安全態(tài)勢感知體系架構(gòu)

而在流量存儲方面，能夠?qū)斍皺z測到的攻擊行為與歷史流量進行關(guān)聯(lián)，實現(xiàn)完整的攻擊溯源和取證分析。特點是2-7層流量透視，直至數(shù)據(jù)包級，基于IP、協(xié)議的自定義流量存儲，大于50% 數(shù)據(jù)壓縮能力。

Gartner的報告，表示信息安全問題正在變成一個大數(shù)據(jù)分析問題。科來大數(shù)據(jù)安全態(tài)勢感知平臺的功能包括全流量數(shù)據(jù)采集、數(shù)據(jù)關(guān)聯(lián)分析、業(yè)務(wù)運行監(jiān)控、攻擊溯源取證、網(wǎng)絡(luò)流量可視化和安全事件響應(yīng)。

齊繼東表示，大數(shù)據(jù)安全態(tài)勢感知平臺基于科來全流量分析引擎采集數(shù)據(jù)，采用大數(shù)據(jù)分布式存儲和計算架構(gòu)利用安全分析模型、機器學(xué)習(xí)、關(guān)聯(lián)分析的方法，發(fā)現(xiàn)未知威脅、提高檢測能力，快速分析研判、減少響應(yīng)時間，數(shù)據(jù)全量留存、滿足合規(guī)要求，安全態(tài)勢感知、幫助高效決策。