RSA2016:启明星辰为你解读大数据安全分析

来源:互联网
更新时间:2016/12/9 11:14:19
责任编辑:鲁晓倩
字体:

  【中国学网网络频道】大数据安全分析是信息安全领域近年来的研究热点,一直受到安全企业的高度关注。回顾近几届RSA大会,我们不难发现大数据安全分析从概念兴起到受到热捧,再到逐渐成熟的完整周期。在即将结束的RSA2016展会上,大数据安全分析在信息安全产业界有怎样的发展趋势,本文将为读者进行一一解读。

  趋势1:“User Behavior Analysis”技术受到关注,“用户画像”成为主流方案。

  在大数据安全分析中,建模是分析过程中不可或缺的关键环节。在建模过程中,可以选择资产视角、风险视角,或者是用户视角。如何选择建模的视角,才能更好地检测由攻击引发的异常?在今年的展会中我们发现,大量的企业选择了用户视角,即基于“用户行为分析”进行异常检测。

  选择用户行为分析技术,更能符合当前主流的“攻击存在假设”,即用户的网络环境必然会被入侵,且攻击者会以某个合法用户的身份做伪装,实施进一步的攻击行为。在这种情况下,被伪装合法用户的行为会与其历史行为有一定的差异性,那么选择用户视角进行异常检测,能够更好地突显攻击者的入侵行为。

  例如,在RSA2016大会上,我们发现应用审计领域的领跑者Imperva推出的用户行为审计产品中,实现了基于“用户画像”的异常检测功能。Imperva的用户画像模块,从用户登录的资产信息、连接的服务器统计、访问本地文件系统统计、访问云端系统统计等维度出发,建立其用户行为的完整轮廓。当用户的某些行为与模型差异较大时,系统可基于偏离程度进行不同等级的报警。

点击图片看大图中国学网 www.xue163.com

图1 RSA2016大会Imperva公司展台

  趋势2:为了提升异常检测结果的准确度,持续分析成为热点。

  对于异常检测技术而言,一个绕不开的话题就是检测的准确度。在异常检测中,漏报和误报作为矛盾总是交替出现,成为影响异常检测技术应用的主要障碍。如何提升检测结果的准确率,成为技术上首先要攻克的难关。在这届RSA大会上我们看到,多家公司在其大数据分析平台中采取了“持续分析”技术,即不仅仅凭借单一报警判断入侵行为,而是对触发报警的用户行为进行持续分析,通过更多的证据提升报警的准确度。

  例如,知名大数据分析平台splunk,在其安全分析应用中实现了基于“Kill Chain”的检测模块。对于每个用户的行为异常,splunk并非进行简单的报警,而是判断该异常在攻击链中的位置,并通过将多个相关的报警进行关联,进行攻击场景的还原,进一步揭露攻击意图,从而提升报警准确度。

点击图片看大图

图2 RSA2016大会splunk公司展台

  趋势3:在判断个体行为异常度时参考群体行为检测结果,降低偶发事件的影响。

  影响异常检测准确度的另一个因素是偶发事件对检测结果的影响。由于建模的时间窗口有限,模型不可能体现用户所有的正常行为。那么就可能存在一种低频的合法行为,在建模期间没有发生,在检测阶段出现时被视为异常,进而导致检测系统误报。在相当长的时间内,这也是异常检测技术被人们诟病最多的地方。

  在本届RSA大会上,我们看到很多厂商试图解决这一难题,并提出了很好的解决方案。例如用户行为分析厂商exabeam公司的大数据安全分析平台中,将“group analysis”与单个用户的行为进行关联分析。当某个用户出现某种异常行为时,系统会检测该类异常行为在与该用户相同角色的群组中出现的频率。如果对属于该群组的用户而言,该类异常行为并非是一个小概率事件,那么就有可能是模型不完善导致的误报,系统将会对检测结果进行修正,从而提升报警的可信度。

点击图片看大图

图3 RSA2016大会exabeam公司标语

  趋势:4:检测与取证并重,关注对历史流量数据的存储和快速检索,以支持分析过程。

  检测只是识别入侵行为的第一步,在大多数情况下,还需要分析人员对攻击过程进行细粒度(例如数据包级)的还原,从而一方面确认检测结果的可靠性,另一方面对攻击行为进行取证溯源。传统的入侵检测系统的存储能力有限,往往不能支撑对历史数据的存储和快速检索,在大数据时代这个问题在工程上已经完全可解了。

  在本届RSA大会上,我们看到了业界主流的安全分析平台,都支持了从检索到取证的完整入侵行为分析过程。例如信息安全产业领头羊RSA公司在其占地面积巨大的展台中,展示了其“security analysis”平台的强大分析取证能力。对于分析过程的每一个报警、第三方设备产生的安全事件,都可以在“security analysis”平台中进行逐级钻取,直至还原出攻击时刻的原始数据包,并支持对原始数据包进行应用层协议解析和内容还原,大大方便了安全分析人员的验证和取证过程。

点击图片看大图

图4 RSA2016大会RSA公司展台

  相比前几届RSA展会,本届展会的大数据安全分析产品,无论是从产品的成熟度,还是从功能的丰富度来看,都有显著的提升。大数据安全分析已经过了炒作期,进入了稳步发展的阶段。相信随着大数据安全分析平台的应用,必将会对当前的攻防博弈带来积极的影响。

(作者:李祥敬责任编辑:李祥敬)
www.xue163.com true /5/59688.html report 3847 RSA2016:启明星辰为你解读大数据安全分析,【中国学网网络频道】大数据安全分析是信息安全领域近年来的研究热点,一直受到安全企业的高度关注。回顾近几届RSA大会,我们不难发现大数据安全分析从概念兴起到受到热捧,再到逐渐成熟的完整周期。在即将结束的RSA2016展会上,大数据安全分析在信息安全产业...
最近关注
首页推荐
热门图片
相关文章:
最新添加资讯
24小时热门资讯
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技