大数据如何改变安全视角
2013-04-28 11:41
351 查看
在今天这场IT变革中,正如英特尔中国研究院首席工程师吴甘沙在2013年全球大数据技术峰会上所提出的那样,大数据是本,云计算是术,物联网和移动互联网是用。大数据让旧有IT和业务运营模式发生极大变化,它也同样影响着信息安全的未来走向。今年在美国RSA大会上,RSA执行主席亚瑟·科维洛在主题演讲中甚至将演讲题目定为:大数据重新定义信息安全。
提到大数据安全,其实需要从两个维度去理解,一个是大数据本身的安全,包括数据中心、存储等的安全,另一个是利用大数据来提升安全能力。如果说前者意味着更大挑战,那么后者则是更好的机会。
大数据是否会重构信息安全产业,对这个问题,安全界仍然存在争议。但可以肯定是,大数据正在为安全从业者提供一个更宽广的新视角,帮助他们更加前瞻性地发现安全威胁。
利用大数据分析提前发现威胁,这在APT(高级持续性攻击)日益猖獗的今天显得尤为可贵,但这究竟怎么实现?华为安全智能中心高级架构师李鑫在大数据技术峰会上介绍了他们的做法。他表示,把安全检测技术与大数据处理的过滤、筛选等技术相结合,就能够发现互联网中存在的威胁数据及所在区域,提升应对威胁的能力,揭示安全威胁的模式与发展趋势。
将安全检测与大数据技术相融合,第一步是收集数据,包括:可执行文件、压缩包、图片、页面、流量等,那些长尾数据往往有着重要的价值;第二步是提炼数据,对上一步收集上来的数据进行分类、关联分析和挖掘;第三步是检测,这个过程会用到安全分析技术和数据挖掘技术。通过这三步,最终发现威胁。
在数据提炼的环节,华为安全智能中心将千亿级的数据按照多个维度进行了分类处理,如:按照内容可分为黄赌毒、金融理财和体育竞技;按照功能可分为 bbs/论坛等交互性站点、门户和代理服务器;按照平台可分为操作系统和平台软件。这种分类,是基于威胁出现的频率来进行,比如:黄赌毒内容的网站,出现恶意软件的风险明显要高出其他。数据提炼还包括对亿级URL/IP数据进行生命周期评估,即:通过数据监测的历史结果来预判未来的威胁。
大数据环境下,安全分析模式正在发生改变,数据采集、数据提炼、安全分析、安全态势判断,这已经形成一个新的完整链条。李鑫坦言,安全分析模式的改变,也凸显出海量的待分析数据和目前相对有限的分析能力之间的矛盾。
如何提高对海量数据的分析能力?李鑫并未给出明确答复。不过,惠普在上个月推出的大数据安全解决方案也许能给我们一些启示。惠普将HP ArcSight的安全信息与事件管理(SIEM)功能与HP Autonomy IDOL内容分析引擎进行了整合,通过解读原始安全数据的含义,扩大了企业安全监视功能的覆盖范围;通过对与数据相关的人力情绪(如行为模式等)进行跟踪和分析,企业能够更迅速地识别之前被忽视的威胁。值得注意的是,ArcSight是全球领先的安全信息和日志管理产品,而Autonomy以IDOL(智能数据处理平台)见长,2年前,正是因为看好其对非结构数据的处理技术,惠普以高达110亿美元的价格收购了这家公司。
提到大数据安全,其实需要从两个维度去理解,一个是大数据本身的安全,包括数据中心、存储等的安全,另一个是利用大数据来提升安全能力。如果说前者意味着更大挑战,那么后者则是更好的机会。
大数据是否会重构信息安全产业,对这个问题,安全界仍然存在争议。但可以肯定是,大数据正在为安全从业者提供一个更宽广的新视角,帮助他们更加前瞻性地发现安全威胁。
利用大数据分析提前发现威胁,这在APT(高级持续性攻击)日益猖獗的今天显得尤为可贵,但这究竟怎么实现?华为安全智能中心高级架构师李鑫在大数据技术峰会上介绍了他们的做法。他表示,把安全检测技术与大数据处理的过滤、筛选等技术相结合,就能够发现互联网中存在的威胁数据及所在区域,提升应对威胁的能力,揭示安全威胁的模式与发展趋势。
将安全检测与大数据技术相融合,第一步是收集数据,包括:可执行文件、压缩包、图片、页面、流量等,那些长尾数据往往有着重要的价值;第二步是提炼数据,对上一步收集上来的数据进行分类、关联分析和挖掘;第三步是检测,这个过程会用到安全分析技术和数据挖掘技术。通过这三步,最终发现威胁。
在数据提炼的环节,华为安全智能中心将千亿级的数据按照多个维度进行了分类处理,如:按照内容可分为黄赌毒、金融理财和体育竞技;按照功能可分为 bbs/论坛等交互性站点、门户和代理服务器;按照平台可分为操作系统和平台软件。这种分类,是基于威胁出现的频率来进行,比如:黄赌毒内容的网站,出现恶意软件的风险明显要高出其他。数据提炼还包括对亿级URL/IP数据进行生命周期评估,即:通过数据监测的历史结果来预判未来的威胁。
大数据环境下,安全分析模式正在发生改变,数据采集、数据提炼、安全分析、安全态势判断,这已经形成一个新的完整链条。李鑫坦言,安全分析模式的改变,也凸显出海量的待分析数据和目前相对有限的分析能力之间的矛盾。
如何提高对海量数据的分析能力?李鑫并未给出明确答复。不过,惠普在上个月推出的大数据安全解决方案也许能给我们一些启示。惠普将HP ArcSight的安全信息与事件管理(SIEM)功能与HP Autonomy IDOL内容分析引擎进行了整合,通过解读原始安全数据的含义,扩大了企业安全监视功能的覆盖范围;通过对与数据相关的人力情绪(如行为模式等)进行跟踪和分析,企业能够更迅速地识别之前被忽视的威胁。值得注意的是,ArcSight是全球领先的安全信息和日志管理产品,而Autonomy以IDOL(智能数据处理平台)见长,2年前,正是因为看好其对非结构数据的处理技术,惠普以高达110亿美元的价格收购了这家公司。
相关文章推荐
- Android数据存储之SharedPreferences及如何安全存储
- 离线应用数据安全如何处理?
- 影响大数据未来的三个改变 数据安全、管理、及心态
- 数据盾吕途:要保证数据的安全,改变存储方式才是关键
- winform有一个combobox和一个textbox控件,如何进行动态绑定,使得combobox中的数据改变时,textbox中的数据也随之改变?
- 企业如何实现数据安全存储
- 如何部署安全可靠的传真数据交换平台
- C#和VB: GridView的列宽如何固定住,在数据很长的情况下也不改变宽度
- 如何根据判断数据的结果,改变DataGridView中对应记录的背景颜色?
- 大数据如何改变经济咨询服务行业?
- 日常工作中,如何保证数据安全?
- Java多线程环境下如何高效安全处理数据(输入输出流、文件、网络等)(一)
- 2017年安全数据科学领域的4个趋势: 机器人、威胁情报、对抗机器学习以及深度学习是如何影响安全领域的
- 问答:归档产品如何保障数据安全(上)
- IBM:大数据如何在5年内改变人类生活
- oracle数据库如何改变表空间数据文件的位置
- 从存储、实时、安全的角度谈如何建立完整可用的企业大数据平台
- PB中如何判断数据窗口发生的改变
- 如何进行财务数据的安全保护
- 在asp.net中如何用LinkBtutton按钮实现安全退出,并保存当前页面数据与数据库中