基于大數(shù)據(jù)和PKI技術(shù)的違規(guī)行為預(yù)警及追查平臺

文/長春吉大正元信息技術(shù)股份有限公司 王加鵬

基于大數(shù)據(jù)和PKI技術(shù)的違規(guī)行為預(yù)警及追查平臺

文/長春吉大正元信息技術(shù)股份有限公司 王加鵬

背景

“大數(shù)據(jù)時代”在全球快速到來，是人們對今天商業(yè)和社會的基本共識。隨著近年來大數(shù)據(jù)技術(shù)的進步、應(yīng)用的擴展、商業(yè)模式和治理模式的創(chuàng)新，“人類社會正在從IT時代進入到DT時代”這一主張已經(jīng)得到了IT界的普遍共鳴，也正在逐漸被社會各界所接受和認可。

大數(shù)據(jù)的蓬勃發(fā)展為IT行業(yè)帶來了翻天覆地的變化，這種變化不僅僅是單一的技術(shù)創(chuàng)新，而是思維模式的徹底轉(zhuǎn)變：在”軟件+硬件”的IT時代強調(diào)的是流程與效率，而在“數(shù)據(jù)驅(qū)動”的DT時代強調(diào)的是智能化。 這種轉(zhuǎn)變是思維模式創(chuàng)新，是范式轉(zhuǎn)移，更是時代變遷。

大數(shù)據(jù)與網(wǎng)絡(luò)安全

大數(shù)據(jù)技術(shù)特有的海量存儲、并行計算、高效查詢等特點，為大規(guī)模網(wǎng)絡(luò)安全風險的分析預(yù)警和態(tài)勢感知的關(guān)鍵技術(shù)創(chuàng)造了突破的機遇。大數(shù)據(jù)自身擁有的Velocity快速處理、Volume大數(shù)據(jù)量存儲、Variety支持多類數(shù)據(jù)格式三大特性，可以用于大規(guī)模網(wǎng)絡(luò)的安全分析預(yù)警和態(tài)勢感知。

首先，多類數(shù)據(jù)格式可以使網(wǎng)絡(luò)安全感知獲取更多類型的日志數(shù)據(jù)，包括網(wǎng)絡(luò)與安全設(shè)備的日志、網(wǎng)絡(luò)運行情況信息、業(yè)務(wù)與應(yīng)用的日志記錄等；其次，大數(shù)據(jù)量存儲與快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持，可以為高智能模型算法提供計算資源；最后，在異常行為的識別過程中，核心是對正常業(yè)務(wù)行為與異常攻擊行為之間的未識別行為進行離群度分析，大數(shù)據(jù)使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能。

傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的分析方法大都采用基于規(guī)則和特征的分析引擎，必須要有規(guī)則庫和特征庫才能工作，而規(guī)則和特征只能對已知的攻擊和威脅進行描述，無法識別未知的攻擊，或者是尚未被描述成規(guī)則的攻擊和威脅。利用大數(shù)據(jù)分析，通過搜集來自多種數(shù)據(jù)源的信息安全數(shù)據(jù)，能夠深入分析挖掘有價值的信息，對未知安全威脅做到提前響應(yīng)，降低風險。

安全大數(shù)據(jù)應(yīng)用

吉大正元憑借積累多年的信息安全產(chǎn)品及解決方案經(jīng)驗，推出新一代違規(guī)行為預(yù)警及追查平臺，該平臺基于大數(shù)據(jù)技術(shù)、機器學(xué)習(xí)，結(jié)合PKI強身份認證技術(shù)，利用可視化手段，實現(xiàn)主動的安全分析和實時態(tài)勢感知，同時兼顧傳統(tǒng)的模式識別技術(shù)，可滿足企業(yè)對違規(guī)行為威脅檢測、預(yù)警和事后追溯等方面的實際需求。

通過借助大數(shù)據(jù)安全分析技術(shù)，可以很好地解決海量安全信息的采集、存儲的問題，借助基于大數(shù)據(jù)分析技術(shù)的機器學(xué)習(xí)和數(shù)據(jù)挖據(jù)算法，能夠更加智能地洞悉信息與網(wǎng)絡(luò)安全的態(tài)勢，從而加主動、彈性地去應(yīng)對新型復(fù)雜的威脅和未知多變的風險。同時結(jié)合PKI身份認證技術(shù)，可以對用戶的真實身份進行精確標識與定位，為用戶行為分析提供真實有效的身份依據(jù)，也為安全事件的事后追溯提供法律效力。

違規(guī)行為預(yù)警及追查平臺具有異常行為預(yù)警、違規(guī)行為檢索與溯源、原始記錄取證、安全態(tài)勢展現(xiàn)等功能，從事前、事中、事后等各個角度為安全管理者提供安全事件監(jiān)控、追查手段和決策依據(jù)。

異常行為預(yù)警：對大量的歷史日志與安全信息進行機器學(xué)習(xí)與算法分析來偵測出異常行為模式和隱藏的威脅，無論是外部攻擊，還是內(nèi)部人員泄密。提供電話、短信、郵件等多種預(yù)警手段。

違規(guī)行為檢索與溯源：對所有存儲的海量信息進行索引，提供類似互聯(lián)網(wǎng)搜索引擎的根據(jù)任意關(guān)鍵字定位到所有相關(guān)信息的能力，可以還原用戶的所有應(yīng)用訪問行為，為安全事件追查提供依據(jù)。

原始記錄取證：利用分布式文件系統(tǒng)實現(xiàn)對海量安全基礎(chǔ)信息的長期存儲，可隨時調(diào)取。同時結(jié)合PKI技術(shù)，可以對用戶的真實身份進行精確標識與定位，為安全事件的事后追溯提供法律效力。

安全態(tài)勢展現(xiàn)：結(jié)合大數(shù)據(jù)分析技術(shù)和數(shù)據(jù)可視化技術(shù)，可以通過不同維度展現(xiàn)整體安全態(tài)勢，為安全管理者提供安全體系優(yōu)化及改進的決策依據(jù)。

違規(guī)行為預(yù)警及追查平臺是新一代具有創(chuàng)新思維的安全產(chǎn)品，結(jié)合大數(shù)據(jù)和PKI技術(shù)，采取主動的安全分析和實時態(tài)勢感知，以大數(shù)據(jù)存儲與分析的方法，實現(xiàn)真正針對安全大數(shù)據(jù)的長期有效存儲與實時分析決策的結(jié)合。