安全的最大問(wèn)題不是防御能力不足，遲鈍的感知能力才是關(guān)鍵。組織機(jī)構(gòu)僅依靠安全防御手段是遠(yuǎn)遠(yuǎn)不夠的。然而，再高級(jí)的攻擊，都會(huì)留下網(wǎng)絡(luò)痕跡，因此，科來(lái)提出了全流量安全分析：全流量檢測(cè)+全流量存儲(chǔ)。采用行為和流分析，檢測(cè)異常行為，歷史流量關(guān)聯(lián)，攻擊溯源取證。

圖1 科來(lái) 齊繼東

科來(lái)公司的齊繼東表示，全流量安全分析的核心功能為異常檢測(cè)、流量存儲(chǔ)和回溯分析。其中，異常檢測(cè)是當(dāng)發(fā)現(xiàn)可疑通訊時(shí)，系統(tǒng)提供實(shí)時(shí)警報(bào)，科來(lái)全流量安全分析系統(tǒng)內(nèi)置600多條網(wǎng)絡(luò)行為模型庫(kù)快速檢測(cè)可疑通訊行為，通過(guò)多種條件組合專門針對(duì)高級(jí)攻擊的持續(xù)性、隱蔽性。可疑通訊行為包括高級(jí)攻擊（APT）、異常流量和網(wǎng)絡(luò)入侵、WEB攻擊。該系統(tǒng)支持150種以上元數(shù)據(jù)（會(huì)話元數(shù)據(jù)以及協(xié)議元數(shù)據(jù)）提取，支持自定義提取，自定義建模。

圖2 科來(lái)大數(shù)據(jù)安全態(tài)勢(shì)感知體系架構(gòu)

而在流量存儲(chǔ)方面，能夠?qū)?dāng)前檢測(cè)到的攻擊行為與歷史流量進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)完整的攻擊溯源和取證分析。特點(diǎn)是2-7層流量透視，直至數(shù)據(jù)包級(jí)，基于IP、協(xié)議的自定義流量存儲(chǔ)，大于50% 數(shù)據(jù)壓縮能力。

Gartner的報(bào)告，表示信息安全問(wèn)題正在變成一個(gè)大數(shù)據(jù)分析問(wèn)題?？苼?lái)大數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)的功能包括全流量數(shù)據(jù)采集、數(shù)據(jù)關(guān)聯(lián)分析、業(yè)務(wù)運(yùn)行監(jiān)控、攻擊溯源取證、網(wǎng)絡(luò)流量可視化和安全事件響應(yīng)。

齊繼東表示，大數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)基于科來(lái)全流量分析引擎采集數(shù)據(jù)，采用大數(shù)據(jù)分布式存儲(chǔ)和計(jì)算架構(gòu)利用安全分析模型、機(jī)器學(xué)習(xí)、關(guān)聯(lián)分析的方法，發(fā)現(xiàn)未知威脅、提高檢測(cè)能力，快速分析研判、減少響應(yīng)時(shí)間，數(shù)據(jù)全量留存、滿足合規(guī)要求，安全態(tài)勢(shì)感知、幫助高效決策。