您现在的位置:首页 >> IT >> 正文
知道创宇安全专家陈庆:大数据技术驱动智慧安全感知
发表时间:2018年11月20日 14:29 来源:新科技 责任编 辑:麒麟

17日上午,由知道创宇与腾讯安全共同主办的“天府杯”网络空间威胁态势感知论坛召开,数位国内顶尖安全专家出席,分享态势感知建设的宝贵经验和技术研究成果,共同探讨利用态势感知系统促进网络安全行业发展的有利之道。

在论坛议题分享环节,知道创宇安全专家陈庆在《大数据技术驱动智慧安全感知》议题演讲中分享了知道创宇依托云防御平台、ZoomEye网络空间搜索引擎、Seebug漏洞社区等,为态势感知平台提供安全大数据支撑,以等保为起点,从数据基础赋能、监测管理赋能、案件打击赋能、综合平台赋能全面提升监管安全感知能力,基于大数据技术的态势感知体系建设经验。

知道创宇安全专家陈庆

以下为陈庆的议题演讲实录:

尊敬的各位领导各位专家,大家上午好。接下来我汇报的主要内容就是响应政策的号召,重点阐述一下如何用大数据和人工智能的技术,来为我们态势感知平台赋能,增强实战能力。

首先我们从国家监管要求出发,无论是《中华人民共和国网络安全法》 、《“十三五”国家信息化规划》 ,还是在公安部“等级保护2.0”和“关键信息基础设施监测防护体系” 等文件中,都强调了建设国家级的网络安全检测预警和信息通报体系,并且实现全天候全方位的感知网络安全态势能力的重要性。

近两年来在公安部的领导下,态势感知行业应用有了顶层设计和规划。目前来说,行业应用主要有两大类方向,第一类方向是监管类的行业态势感知应用,第二类是网络运营者类的行业态势感知。监管类的主要是由国家级的态势感知平台,以及省市级的监管类平台构成。纵向行业类的是包括一些政府部委,央企、金融、运营商等等,构筑的集团或者是总部级的部委级的应用,和下面的省厅局、二级单位和地市公司构成的应用。

在这些态势感知行业应用过程中,我们发现现有的态势感知平台存在着对于用户一些业务不支撑,或者是不好用的问题。总的问题来说,我认为是有三点。

第一点是看不清,包括有一些地方,我们作为监管者也好,作为运营者也好,看不清自己有哪些资产能力和数据能力,不了解自己要保护的重点目标的真实情况。

第二点是不知道,不知道攻击者对我要保护的目标有没有发动过攻击,是不是有一些目标是被控或外延的状态,或者有一些重点目标跟是否存在对外部进行泄密的事件,这些我们都很难发现。

第三点是总担心。为什么这么说呢?这个实际上有一部分不是技术上的问题,这是监管的责任和义务不对等。当有安全事件发生的时候,在缺乏证据链的情况下,我们监管单位往往会反而为安全事件要负担一定责任。

虽然这些问题归根到底在某种程度上需要要通过顶层设计管理和法规来解决,但是我们从技术上也能解决一定的问题,那就是就是运用我们大数据技术,为现在的态势感知平台进行进一步赋能。

我们赋能有四个主要方向,第一个方向是数据基础赋能。第二个和第三个分别是监测管理赋能和案件打击赋能,第四个方向是综合平台赋能。这四个方向对应了郭总号召的8+2的整体的态势感知模块和方向,覆盖整体的态势感知现在确定的业务场景。接下来就从这四个方向汇报一下我们大数据和AI技术,在这四个方向的应用方法和具体的应用。

第一个数据基础赋能。可以看到,数据基础的应用方法是从左到右是这样的一个顺序关系和流程。首先我们要确立哪些是需要保护的资产,金字塔的顶层就是国家最重要的关键信息基础设施。通过我们已有的等级保护这方面的系统和工作,然后再结合网络空间资产和漏洞的测绘能力、侦测能力和云监测、云防护的能力,进行情报关联和数据分析。通过本地数据和网络空间数据的融合,构建起我们保护资产的实体智慧档案库,就是资产画像。这个资产画像并不仅仅是网络空间的信息,或者是一些安全数据。而是涵盖了资产、漏洞以及管理信息,以及物理位置等等各方面的信息,然后共同构成现在我们一个资产为核心的综合数据画像。在这其中知道创宇和腾讯联合安全大数据也发挥我们数据能力,共同为资产画像提供更多的描绘和完整性。

具体来说在这个过程当中用到哪一些技术呢?首先知道创宇提供了全球第二的网络空间资产引擎,也就是钟馗之眼。这个资产引擎除了在做资产保护的时候之外,在做资产画像的时候也同样能起到巨大作用,并且,在后面来介绍对于攻击者画像和持续性进行威胁监测的时候,空间资产引擎也是起到决定性的作用。另外我们能够在七到十天之内遍布全球IPV4的地址空间精准探测,这样的技术能力可以有效的帮助我们某一个行政区域里面的监管单位,或者是大型的运营者,快速的明确自己的资产目标。探测范围还覆盖了工业控制和物联网的设备。

第二点是云防御平台,创宇盾云防御平台在互联网行业占有率是49.77%,在政府网站市场占有率是42.18%。自己市场占有率第一的云防御平台之前赵总也详细的介绍了,对态势感知赋能是从多个层面,数据、情报和辖区内资产保护,还有整体态势监测、防护来说都是起到全面性的作用。

第三个是知道创宇联合腾讯打造的国内最大的安全大数据,包括前面介绍的资产数据和云防御平台获得的各类情报和数据。在这个之外要强调的一点是安全行业在前几年往往对于大数据是强调量,但是忽略了两个重要的特点。第一安全数据要注重质量,而不仅仅是数量。第二安全数据要注重动态性,要注重是活的安全数据。如果是现在你拿着几年前的安全数据,那实际上对于我们态势感知的能力来说起到的作用是非常微小的。

然后在以上的这些能力之外,我们在大数据的分析和应用能力里面,特别是在做资产画像以及后续画像方面,应用了全方位的关联技术,包括有规则关联、场景关联、行为关联等。规则关联包括有逻辑关联,是基于逻辑表达式的一些规则和统计关联。场景关联就是基于资产关联、弱点关联和情报关联。行为关联包括周期性的行为同比分析,以及对于行为预测的环比分析,等等这些大数据的关联分析方法。

以此为基础构筑了完整的资产画像,现在的多维数据关联的完整资产画像包括有资产、状态、流量、攻击、漏洞、风险、告警和人员。以后还会陆续关注更多。这样就对我们的监管区域内所有的重点目标,所有的关键信息基础设施有了一个看得清的基础了解,以此构成数据基础,在这个基础上发挥态势感知其他方向的业务场景和能力。

第二点是监测管理赋能,我们也有一个应用方向。从安全兼管,也就是之前的资产发现出发,结合了漏洞监测和持续性的流量监测。请注意,这里的流量监测是持续性的。我们对于资产画像为核心的数据基础进行这样全方位的监测,这里面可以举出几个业务场景。比如说APK攻击,据腾讯上半年研究报告表明,APK攻击是来自于Nday漏洞,对于这种漏洞的预警是我们非常强大的能力。通过资产雷达和安全监测持续性监测,可以帮助监管单位和用户在最短时间内,就是攻击者之前能够了解到对于Nday漏洞的暴露面和普查,能够提供及时的预警和防护。

在资产画像的漏洞监测的技术上,我们进行了风险预警和威胁预警的工作。这个基础上可以向关联单位和管理者进行定向通报和处置,进行我们的监管职能和处罚职能。所有过程都是应用威胁情报,提供我们的监测了安全事件的关联能力和情报能力,这就是监测管理赋能的应用方向。在这个基础上要重点介绍的是在这个过程中间使用的一些技术,和我们所提供的效果。首先是我们的基础引擎,这里只是列举了部分,包括流计算引擎,主要是作为事件驱动的实时计算引擎。还有机器学习引擎和深度学习引擎。还有历史数据的计算引擎和关联分析引擎。 这个基础上通过对历史流量进行机器学习引擎,对于实时流量进行流计算引擎,对于威胁情报理性溯源分析引擎。还采用了滑动时间窗口技术,不断引入对实时流量模型自动校正和计算,使我们模型更加趋近于实际情况。

另外就是高级威胁检测,从五个纬度进行完整的检测。第一是从大数据从网络检测中发现高级威胁行为和荫蔽通道。第二是保留流量日志的情况下提供威胁情报。第三是使用沙箱和深度学习的基因图谱AI检测技术,然后对于内容进行分析。第四点就是利用腾讯的终端安全管理系统,提供终端的检测响应能力。第五点就是腾讯的终端系统整体获取行为信息,结合威胁情报进行回溯的分析。就涵盖了所有五个方向。

这之外还有基于基因图谱的深度学习检测,构思是深度学习比较领先是三个方向,分别是图像、自然语言处理以及语音。我们的想法是把安全数据转化为图像,寻找其中的特征基因,包括图像基因特征提取、家族变种识别、流量会话映射、布态指纹和暗网监测等等能力。效果是可以对威胁内容进行检测,另外可以对威胁变种进行家族性的检测。第三个我们可以对流量中的协议进行检测,对流行转化成基因图谱进行检测。第四可以对僵尸网络进行检测。第五是可以发现隐蔽信道。然后是加密的检测。

在互联网中,高级威胁检测系统可以获取实时网络的会话基因特征,使检测模型对网络流行进行恶意代码未知协议进行通讯检测。对于暗网检测基于布态指纹和深度学习算法,可以区分洋葱和非洋葱,以及区分应用。

第三个方向就是现在的态势感知比较急缺的方向,就是案件打击的赋能。我们从攻击检测出发,就是流量检测。这里面我个人的体会是不用日志,只用流量检测。因为日志首先量实在太大,另外日志的效果并不是很好。流量为基础,进行持续性的流量检测,结合我们追踪溯源的综合关联分析,包括威胁情报的导入,对某事件或者某类事件进行海量关联。这个关联有两个角度,一个从白的角度,就是受害者画像。另外一个是从黑的角度,也就是攻击者画像。当然前期有资产补偿能力,在这个能力的基础上结合持续性流量分析,我们以点带面,然后导出批量的受害者,或者是批量攻击者,也是某一攻击者对应的大量威胁检测。以这样海量的受害者和攻击者的目标作为核心,我们通过持续性的流量分析,把其中的重点的事件和目标,把它梳理出来,形成证据链,提供侦查打击的线索。同时可以从其他平台获取到从虚拟空间到物理空间的数据对应。就可以形成从虚拟空间查到人的物理身份,形成执法打击条件。

这里面最主要的大数据的应用方向就是以人为核心,传统的态势感知是安全事件为核心。但是面对于受害者和攻击者来说,我们的建议,新时代的态势感知要以人为核心,建立受害者和攻击者画像。通过海量人员和案件关联,主动案件线索发现识别,网络空间的溯源能力,智能化案件情报和战法中心,实现由人到案的分析等等,来构成我们作为案件打击赋能的基础。

在这个基础上对于威胁的评估也有三条思路,首先可以对攻击者意图进行分析,第二对攻击者行为进行分析,第三是对安全事件进行检测,结合了一些算法和数据。对于攻击者画像,在流量检测的基础上还有一些数据基础,包括监控全球知名黑客安全站点,通过攻击数据中识别黑客的行为习惯这样的不变因素,作为画像框架的基础,就是威胁金字塔的顶层,逐渐从数据层面关联起黑客的攻击历史。

黑客攻击历史和信息包括哪一些?包括列举了这些,时间关系就不一一赘述了。最终目的就是要看清现有网络空间,建立起一个精确地图,标识出出现的各类威胁实体和标签,这就是案件打击赋能的主要思路。

最后简单介绍一下综合平台赋能。在资产画像、攻击者画像和受害者画像基础上,结合安全监测和威胁情报,有五个方向。首先就是态势感知,展示整体情况。第二是指挥调度,第三是等级保护,第四是攻防演练,提供人才培养和训练的基础,第五是向分监管部门,就是网络运营者这种行业态势感知平台和防护体系提供赋能。在已有实现过程当中,可视化能力包括综合态势、资产态势、漏洞态势、威胁态势、通报处置态势以及等保态势等等。

我们也可以展现全球的态势,这个是我们的钟馗之眼最新的态势和大数据可视化能力。也可以看到钟馗之眼的资产的资源,包括有十一亿级的站点设备。

面向于非监管行业的态势感知平台和防护体系,我们倡导以态势感知平台作为网络安全的核心,以它为基础共同构建各类安全措施的循环。左侧是安全数据采集循环,右侧就是态势感知响应和防护循环。共同构建起整体化的柔性化的整体防御体系。

最后我想说的是,在十一局,也就是公安的指导下,我们会继续和腾讯以及业界各厂商通力合作,会不断的加强我们在持续性威胁监测方向的能力,以及丰富我们各类行业的业务场景,共同打造态势感知这个好国之重器。

高层访谈
凌动智行史文勇:品智出行, 重新定义车辆对生活的价值和意义
众所周知,手机是基础的通讯工具,车是基础的交通或者出行工具,而发动机是传统车里面非常高的..
专访张启亮:勇担工业互联推手,服务百万设备上云
近日,在第二十二届中国国际软件博览会上,徐工信息总经理张启亮向《人民邮电》报记者讲述了工..
观点态度
云计算的第二个十年:三大运营商如何迎接?
2018年,我国云计算进入第二个十年。站在国家方队里三大运营商的云计算也进入了新的发展阶段。<..
国内手机市场半年报:头部格局定型 中小品牌陷入集体焦虑
2018年已过半,回看这半年, 头部品牌的吸附效应越来越明显,中小品牌正陷入到集体焦虑中。

..
移动互联
手机
智能设备
汽车科技
通信
IT
家电
办公打印
企业
滚动
相关新闻
关于我们 | 联系我们 | 友情链接 | 版权声明
新科技网络【京ICP备18031908号-1】
Copyright © 2018 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。