RSA2016:启明星辰为你解读大数据安全分析

来源:互联网
更新时间:2018/2/13 21:02:46
责任编辑:王嘉善
字体:

【中国学网网络频道】大数据安全分析是信息安全领域近年来的研究热点,一直受到安全企业的高度关注。回顾近几届RSA大会,我们不难发现大数据安全分析从概念兴起到受到热捧,再到逐渐成熟的完整周期。在即将结束的RSA2016展会上,大数据安全分析在信息安全产业界有怎样的发展趋势,本文将为读者进行一一解读。

趋势1:“User Behavior Analysis”技术受到关注,“用户画像”成为主流方案。

在大数据安全分析中,建模是分析过程中不可或缺的关键环节。在建模过程中,可以选择资产视角、风险视角,或者是用户视角。如何选择建模的视角,才能更好地检测由攻击引发的异常?在今年的展会中我们发现,大量的企业选择了用户视角,即基于“用户行为分析”进行异常检测。

选择用户行为分析技术,更能符合当前主流的“攻击存在假设”,即用户的网络环境必然会被入侵,且攻击者会以某个合法用户的身份做伪装,实施进一步的攻击行为。在这种情况下,被伪装合法用户的行为会与其历史行为有一定的差异性,那么选择用户视角进行异常检测,能够更好地突显攻击者的入侵行为。

例如,在RSA2016大会上,我们发现应用审计领域的领跑者Imperva推出的用户行为审计产品中,实现了基于“用户画像”的异常检测功能。Imperva的用户画像模块,从用户登录的资产信息、连接的服务器统计、访问本地文件系统统计、访问云端系统统计等维度出发,建立其用户行为的完整轮廓。当用户的某些行为与模型差异较大时,系统可基于偏离程度进行不同等级的报警。

图1 RSA2016大会Imperva公司展台

趋势2:为了提升异常检测结果的准确度,持续分析成为热点。

对于异常检测技术而言,一个绕不开的话题就是检测的准确度。在异常检测中,漏报和误报作为矛盾总是交替出现,成为影响异常检测技术应用的主要障碍。如何提升检测结果的准确率,成为技术上首先要攻克的难关。在这届RSA大会上我们看到,多家公司在其大数据分析平台中采取了“持续分析”技术,即不仅仅凭借单一报警判断入侵行为,而是对触发报警的用户行为进行持续分析,通过更多的证据提升报警的准确度。

例如,知名大数据分析平台splunk,在其安全分析应用中实现了基于“Kill Chain”的检测模块。对于每个用户的行为异常,splunk并非进行简单的报警,而是判断该异常在攻击链中的位置,并通过将多个相关的报警进行关联,进行攻击场景的还原,进一步揭露攻击意图,从而提升报警准确度。

图2 RSA2016大会splunk公司展台

趋势3:在判断个体行为异常度时参考群体行为检测结果,降低偶发事件的影响。

影响异常检测准确度的另一个因素是偶发事件对检测结果的影响。由于建模的时间窗口有限,模型不可能体现用户所有的正常行为。那么就可能存在一种低频的合法行为,在建模期间没有发生,在检测阶段出现时被视为异常,进而导致检测系统误报。在相当长的时间内,这也是异常检测技术被人们诟病最多的地方。

在本届RSA大会上,我们看到很多厂商试图解决这一难题,并提出了很好的解决方案。例如用户行为分析厂商exabeam公司的大数据安全分析平台中,将“group analysis”与单个用户的行为进行关联分析。当某个用户出现某种异常行为时,系统会检测该类异常行为在与该用户相同角色的群组中出现的频率。如果对属于该群组的用户而言,该类异常行为并非是一个小概率事件,那么就有可能是模型不完善导致的误报,系统将会对检测结果进行修正,从而提升报警的可信度。

图3 RSA2016大会exabeam公司标语

趋势:4:检测与取证并重,关注对历史流量数据的存储和快速检索,以支持分析过程。

检测只是识别入侵行为的第一步,在大多数情况下,还需要分析人员对攻击过程进行细粒度(例如数据包级)的还原,从而一方面确认检测结果的可靠性,另一方面对攻击行为进行取证溯源。传统的入侵检测系统的存储能力有限,往往不能支撑对历史数据的存储和快速检索,在大数据时代这个问题在工程上已经完全可解了。

在本届RSA大会上,我们看到了业界主流的安全分析平台,都支持了从检索到取证的完整入侵行为分析过程。例如信息安全产业领头羊RSA公司在其占地面积巨大的展台中,展示了其“security analysis”平台的强大分析取证能力。对于分析过程的每一个报警、第三方设备产生的安全事件,都可以在“security analysis”平台中进行逐级钻取,直至还原出攻击时刻的原始数据包,并支持对原始数据包进行应用层协议解析和内容还原,大大方便了安全分析人员的验证和取证过程。

图4 RSA2016大会RSA公司展台

相比前几届RSA展会,本届展会的大数据安全分析产品,无论是从产品的成熟度,还是从功能的丰富度来看,都有显著的提升。大数据安全分析已经过了炒作期,进入了稳步发展的阶段。相信随着大数据安全分析平台的应用,必将会对当前的攻防博弈带来积极的影响。

(作者:李祥敬责任编辑:李祥敬)

根据您访问的内容,您可能还对以下内容感兴趣,希望对您有帮助:

windows server 2016, 求学习的书推荐,需要中文的

答:我是拿2012R2版本练习的,以下这3本我都有,属于手把手教类型的,适合新手。 Windows Server 2012系统配置指南 Windows Server 2012网络管理与架站 Windows Server 2012 R2 Active Directory配置指南 2016目前我找完整个淘宝就只有台湾出的一本...

windows server 2016 需要vmware vsphere 什么版本...

答:一、安装SQL Server 2008 R2数据库 数据库安装镜像文件:cn_sql_server_2008_r2_enterprise_x86_x64_ia64_dvd_522233.iso 最新补丁:SQLServer2008R2SP2-KB2630458-x64-CHS 安装过程请参考相关文档,这里不再详述。 二、创建安装VMware vCenter ...

如何设计API接口,请求接口时需要进行身份验证,防...

答:lushwong | 2016-04-14 26 6 其他回答 可以考虑rsa加密方式,公钥加密、私钥解密。 诅咒哥598 | 2016-04-13 0 0 用知道APP,免登陆提问点击下载 向...

openssl与openssl-fips有什么区别吗?

答:推荐于2016-11-02 06:18:29 最佳答案 openssl-fips是符合FIPS标准的Openssl...2010-06-09 【openssl编程】rsa加解密问题 2009-06-28 谁能给个使用openssl...


www.xue163.net true http://www.xue163.net/Network/5/59688.html report 25809 RSA2016:启明星辰为你解读大数据安全分析,【中国学网网络频道】大数据安全分析是信息安全领域近年来的研究热点,一直受到安全企业的高度关注。回顾近几届RSA大会,我们不难发现大数据安全分析从概念兴起到受到热捧,再到逐渐成熟的完整周期。在即将结束的RSA2016展会上,大数据安全分析在信息安全产业...
网友评论
最新添加资讯
24小时热门资讯
娱乐时尚
科技资讯
历史文化
真视界
旅游美食
精彩图文
我爱我车
母婴健康
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2018 xue163.net All Rights Reserved. 学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
教育考试: 学历财经建筑 医药公考资格外语电脑作文招聘中小学留学 文档 移民 文库专栏23问答中心问答图书馆知识IT编程数码信息解决方案信息中心IT科技topzttophottopsctopnew问答新闻中心软件教室设计大全网络相关英语学习开发编程考试中心参考范文管理文库营销中心站长之家IT信息中心商学院数码大全硬件DIY企业服务网吧在线百科硬件知识手机平板汽车游戏家电精彩摄影现代家居IT女人经验健康养生猎奇创业攻略教育学习历史时尚潮流最近更新涨知识