华为：大数据安全防护体系成“智能大脑”

近几年，各种数据泄密事件、网络安全事件频发，网络攻击的规模也在向网络战方向发展。与此同时，越来越多的IT设备接入互联网，所产生的大量数据的商业价值日益凸显出来。如何利用大数据，成为了网络防护战的新思路。  

在传统的攻防战中，防御会面临信息不对称、范围不对称、规则不对称的情况，使得我们通过简单部署防火墙来防御病毒入侵已经无济于事。防火墙只能应对已知的危险，对于针对性的攻击来说，防火墙起不到任何防御作用。这就需要我们除了部署安全防御基础设施之外，还需要有个“智能的大脑”为我们判断网络环境是否安全。而大数据安全防护体系就是我们所需要的智能大脑。  

华为通过构建立体协同的安全防护体系，来实现全天候全方位感知网络安全态势。这套防护体系收网络设备的流量、基础设备的可疑样本以及IT设备的日志，通过大数据分析系统进行样本分析和策略控制，实现对黑客供给链的精准呈现以及及时防御。同时建立信誉查询系统和知识库升级系统，进行信誉查询以及知识库同步。  

安全防护体系有两大特点，一是基于大数据分析。基于大数据分析的安全解决方案能够精准迅速地发现并清除威胁。通过对异常流量、木马病毒、0day漏洞、C&C以及钓鱼邮件进行大数据威胁分析，能够精准发现病毒。通过可视化呈现感知全网的安全态势，并通过阻断C&C、阻断威胁渗透、并将恶意文件进行清除，实现病毒的快速响应。

数据采集和处理部分，系统主要分为两个步骤。第一步，呈现攻击全路径。通过对节点威胁事件、节点异常事件、节点流量数据、节点日志数据的挖掘形成基于攻击链路径和不同节点不同攻击行为的攻击全路径的回溯展示。第二步，进行溯源调查。基于攻击路径的溯源调查进行数据钻取，基于网络攻击的溯源调查进行文件的回溯。  

比如，针对邮件安全的信息采集和分析，主要从历史数据中提取邮件流量元数据，通过分析SMTP/POP3/IMAP协议中的收件人、发件人、邮件服务器、邮件正文、邮件附件等信息，并结合沙箱文件检测结果，判断邮件是否存在恶意投递、发件服务器异常以及邮件正文URL异常等行为。  

第二个特点是全网防护。通过全网感知、全网响应、全网防御来实现全网安全协防。通过采集全网的安全事件，并做大数据关联分析，监测当前网络运行状况；全网内统一调度，将网络资源进行动态分配实现全网响应；安全能力动态性扩容，对未知威胁进行及时有效防护，从而实现全网防御。  

在全网安全防护的防护架构下，黑客入侵的整个过程都会被系统感知到。黑客在哪里，通过何种方式侵入系统，是普通渗透性攻击，还是病毒性攻击，还是采用其他的连接算法。入侵之后，病毒又是通过什么途径连接到哪一台电脑，又是通过哪一台电脑中的哪一个密码最终攻破哪一位管理员。最后，黑客通过哪一台主机向外链接，或者通过一些隐秘的通道，将IP命令、DNS命令发送出去。这整个过程都会被杀毒软件默认为正常行为，只有基于大数据的安全系统才能感知到。  

实践层面讲，这套安全防护体系可以做到事前防御、事中检测和事后响应。  

在事前防御上，通过打补丁、最小端口开放、FW访问控制；IPS/AV签名、FW/ASG/NIP信誉防御等措施减少攻击面。在事中监测上，1.利用沙箱、流量探针、日志探针，结合大数据机器学习，快速检测未知威胁；2.整合网络和终端的信息，确定攻击事件、并确定优先级；3.联动网络、终端，隔离、拦截威胁；在事后响应上，1.提供涵盖终端、网络的响应能力；2.自动生成情报，联动FW/IPS等安全策略执行点，实现防御闭环。 

这种闭环式防御策略可以实现客户价值的最大化。保护投资，兼容现有安全技术和资源，抵御高级威胁；高级安全，更快检测未知、定向、高级威胁；快速响应，更快响应安全事件；安全可控，全网安全态势感知，整体把握并改善安全状况。  

基于闭环式防御策略，华为多次应用到相关安全产品中，最典型就是DDoS防御。华为的DDoS防御在云端提供800G的清洗空间，基本做到在攻击路径源头将病毒清洗工作完成，跨地域式清洗，形成全球性的安全互动。除此之外，也会采取搭建防火墙的办法，或者根据卫星定位的沙箱实现联动，从而实现高级威胁文件的检测，发现新型的文件和病毒，进而做到有效的阻断。CIS也是华为的一个大数据安全平台，在CIS上可以做到安全的风险可视和可控。