銳捷大數(shù)據(jù)安全平臺：用“降維攻擊”解決安全管理效率問題

2018年05月29日14:44 來源： CCTIME飛象網(wǎng)作者：集美大學(xué)網(wǎng)絡(luò)中心 薛芳T|T

【移動通信網(wǎng)】當(dāng)前，信息化已經(jīng)成為教育行業(yè)不可或缺的臂助，作為一名本科院校負責(zé)網(wǎng)絡(luò)安全的技術(shù)老師，肩負的責(zé)任與使命可想而知。

過去：辨明網(wǎng)絡(luò)威脅只能“碰運氣”

當(dāng)我每天面對由安全運維誕生的海量數(shù)據(jù)，內(nèi)心的壓力是非常大的。理論上，這些數(shù)據(jù)中隱含著潛在的網(wǎng)絡(luò)威脅，我們需要對全網(wǎng)安全數(shù)據(jù)實時分析去規(guī)避和預(yù)警安全問題，但實際工作中，每每看到學(xué)校每天上億條網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)就很頭疼。想一一分析，時間、人力、技術(shù)等各方面條件都不允許，不去理會又擔(dān)心潛藏的問題。最終我只能像很多運維人員一樣，不定期地導(dǎo)出一些數(shù)據(jù)發(fā)給各自安全設(shè)備廠商，分析后再匯總起來。但單臺設(shè)備數(shù)據(jù)如果不跟資產(chǎn)、網(wǎng)絡(luò)環(huán)境互相驗證的話，往往也得不到什么特別有用的信息，而且時效性也很差，等分析出結(jié)果網(wǎng)絡(luò)攻擊和入侵或許已經(jīng)完成。因此這種方式的安全管理常常淪為“雞肋”，效率較低，察覺網(wǎng)絡(luò)攻擊也只能靠“碰運氣”。

實際上，在當(dāng)前網(wǎng)安全設(shè)備相對比較豐富的情況下，安全管理的核心問題已經(jīng)逐步從建設(shè)變?yōu)槭褂�。就像大家都認(rèn)為需要更快的一匹馬時，福特卻發(fā)明了汽車一樣，就在大家都沉浸在加人、堆設(shè)備等常規(guī)安全加固手段時，我校接觸到了一個全新的平臺：銳捷大數(shù)據(jù)安全管理平臺RG-BDS。和傳統(tǒng)的方式不同，該平臺借助最先進的大數(shù)據(jù)技術(shù)，用“降維攻擊”的方式進行安全管理，從根本上解決了“碰運氣”的問題。

現(xiàn)在：降維攻擊”使安全態(tài)勢盡現(xiàn)眼前

目前我校接入RG-BDS大數(shù)據(jù)安全分析平臺的數(shù)據(jù)包括了服務(wù)器、網(wǎng)路設(shè)備、安全設(shè)備等44臺，平均每天的日志量在1.8億左右，開啟的基于規(guī)則類和基于經(jīng)驗學(xué)習(xí)類分析模型有35個。

如何用大數(shù)據(jù)做到“降維攻擊“？舉一個例子，4月有一次平臺上報出了歸并次數(shù)200萬+的“網(wǎng)絡(luò)攻擊行為異常”嚴(yán)重級別告警，目標(biāo)為對外服務(wù)的網(wǎng)站群地址。

網(wǎng)絡(luò)攻擊行為異常的分析邏輯是基于經(jīng)驗學(xué)習(xí)，收集全網(wǎng)攻擊日志至少4個周，繪制經(jīng)驗曲線并與實時曲線匹配，當(dāng)超過300%閾值（可調(diào)）時觸發(fā)告警1次，并不斷追加統(tǒng)計。

經(jīng)過BDS平臺攻擊源的統(tǒng)計發(fā)現(xiàn)主要來源于一個公網(wǎng)IP，類型包括各種web和網(wǎng)絡(luò)攻擊，驗證攻擊已經(jīng)穿透WAF到達FW，但因沒有接入服務(wù)器中間件日志，BDS平臺無法感知服務(wù)器是否有異常。

經(jīng)過查驗確定服務(wù)器未有異常后，猜測要么是后門植入后未啟動破壞，要么是網(wǎng)監(jiān)部門善意檢測，經(jīng)驗證后確實為網(wǎng)監(jiān)IP，因數(shù)字峰會在福州所以需要統(tǒng)一檢測。

雖然最終發(fā)現(xiàn)只是虛驚一場，但換個角度來看，如果這是真正的攻擊且沒有BDS的話，如何能從每天1.8億的數(shù)據(jù)里檢測出這幾百萬個相較于往常的異常攻擊并定位攻擊源。這類攻擊模型確實比較適合教育網(wǎng)站等受到常態(tài)性攻擊的場景，通過相較以往的異常變量去觸發(fā)告警。

大數(shù)據(jù)讓“主動防御”在路上

大數(shù)據(jù)與安全的結(jié)合能夠大幅提升網(wǎng)絡(luò)安全管理效率，去做一些之前只能存在于理論的真正的主動防護。在主動防御方面我們也梳理了具體的使用場景，希望依靠BDS去解決更多實際的問題，這里也給大家做個參考。

大數(shù)據(jù)安全分析的優(yōu)化包括了數(shù)據(jù)的接入、標(biāo)準(zhǔn)化以及模型的優(yōu)化等，是個漫長和持續(xù)的過程，下一步會接入更多維度的數(shù)據(jù)去擴大分析方向，從而覆蓋更多的安全管理場景。同時，也要針對BDS內(nèi)置的模型進行學(xué)校環(huán)境匹配和精準(zhǔn)度提升，并有針對性地自建一些適合我校管理需求的分析模型，以進一步提高安全管理的效率。由于銳捷BDS平臺強大的功能可以比較好地支撐未來的規(guī)劃，利用大數(shù)據(jù)與安全的碰撞，借“降維攻擊”解決安全管理效率問題，我們已經(jīng)在路上。