互联网的发展使得大数据引起人们广泛关注。现如今大数据技术早已渗透到金融、通讯等行业以及生物学、物理学等领域。大数据在容量、多样性和高增速方面的爆炸式增长全面考验着现代企业的数据处理和分析能力,与此同时也为各个行业带来了准确洞察市场行为的机会。迄今为止大数据技术与产品有哪些创新,工业大数据应用面临哪些挑战,金融行业大数据应用现状如何等。围绕这一系列问题,4月27日至28日,由工业和信息化部指导、中国信息通信研究院主办的"2016大数据产业峰会"在北京国际会议中心盛大召开。会上,奇虎360企业安全集团副总裁韩永刚以“数据驱动安全”为主题为我们带来了精彩的分享。
奇虎360企业安全集团副总裁韩永刚
以下是韩永刚演讲实录:
韩永刚:各位领导、各位嘉宾,今天非常荣幸有这个机会能够在这个场合大家分享一些我们从360企业安全集团利用数据的方法去做新的安全体系的思考和方法变革这方面的一些思路讨论。正好在19号的时候,习总书记召开了网络安全和信息化这样一个行业内的研讨会,里面出了非常多非常好的指导策略和思想,我记得习总也提到说安全是发展的前提,发展是安全的保障,两者要同步进行的这样一个观点。包括在2014年习总书记提到没有网络安全就没有国家安全的前提。
我们先看一个引子,我的题目是看见和安全的协同,数据驱动安全,我们为什么要以数据驱动作为现在360企业安全方面一个核心的努力,第一个努力,我们觉得看见是一个非常关键的努力,我作为一个引子,正好在3月份的时候,我刚从美国的RSA大会回来,它是全世界最着名的网络安全会议,从近两年的RSA大会上大家就可以看出来。2015年的主题是变革,当时已经看到在传统的防御方面,认为是一个失败的防御,因为在当年的时候,基本上全球的500强企业里面有一半在安全上都出了问题,造成非常大的损失。全球500强的企业都这样,普通的企业会怎么样呢?所以当初提出来变革。所以,那一年的热词不再是讨论纯技术或者产品方面的问题,而都转向了很重要的数据、威胁情报这方面,今年更进一步演化成以连接去进行防护的主题。连接什么?其实我们也在思考,这其中可能有技术,可能有系统,但非常重要的,数据、威胁情报,包括人的努力,所以安全变革目前正在变革期,数据的力量是其中最关键的力量。
这个是在去年发生的XCodeGhost的事件,在我们的苹果操作系统里面的软件编译程序被攻击者改动,这个事情在去年影响了大概接近一亿的用户,通过360整体掌握的数据分析,我们从非常细小的线索抽丝剥茧,这样的话,避免了大众在这方面的损失。
另外一个例子,就是在于我们对于一些国家层面的影响,一些有组织的APT高级威胁的攻击。而我们看到在去年的时候,360总共监测了在国内比较活跃的29个APT攻击组织,其中有14个是360首次发现的。可以看到他们所攻击对应的目标,比如右边这个图,前面几位都是我们的一些科研机构、高校、政府、军工行业,我们开始比较好奇为什么排第一位的是科研机构和高校?后来我们发现这些科研机构和高校承担着一是作为国家的智库,提供政策上的国家战略支撑和咨询任务,另外一方面,实际上有很多新的前沿技术的研究人物,所以也成了最受关注的目标。我们发布了这个年度报告之后,可以看到APT的攻击针对我们的一些机构而不是说由一些简单的黑客发起的攻击,实际上是在过去一年呈愈演愈烈的状况。
我们对类似这样攻击的发现用普通的做法是做不到的。这是我在2015年发布的报告,可以看到我们从一个点出发,层层抽丝剥茧,如果没有数据能力的支撑,我们是无法做到的。在国外对这个事件也有一定的反响,说是中国用自己的报告进行了一个回击,因为我们之前经常会被说中国是发起网络攻击一个很大的源头,但是我们往往是最大的受害者。这边是说我们利用互联网数据所分析出来的攻击情况。
所以说,我们认为在现在这样一个情况下,其实对于安全的变革,看见是最主要的领域,因为在这些新的攻击情况下,如果我们都不能看到它完整的情况,我们都是仅仅聚焦在我们所防御的点上,我们如果无法背后的源头看清楚,就无法看到更深层的攻击。
这两张图展示了我们基于中国移动钓鱼欺诈和仿冒的站点之间的关联,下面是我们看到黑客利用的新的手段,去隐藏他们对于僵尸网络的控制。另外一个图展示了我们对全球DDoS攻击的态势监测,我们利用互联网整体数据的收集,能看到像上面这张图,利用这种攻击方式,在一个三维可视化的过程中,把攻击的类型、攻击的时长和激烈程度,被攻击的目标、攻击来源信息都能够充分体现出来。同时在下面也可以看到,在全球活动中一些比较大的僵尸网络之间的关联关系,通过数据的方式都呈现在我们面前。
更广泛的应用不光是网络安全方面,我们把它扩展到业务的安全,或者和大众相关的安全应用,其实我们最近也发挥了这样一个系统,我们对全国伪基站的状态进行监控,这是态势和追踪的情况,这张图是北京的地图,这是一天当中一个时点伪基站在北京城里面的活动状态,可以看到一个非常有意思的现象,可能从八达岭高速、包括北苑路,就像我们上班一样,从这几条路进城,开始进入到发达地区,发送一些欺诈短信、垃圾短信等等,我们还通过这样的系统和数据分析,可以把其中的一些欺诈信息网站定位下来,甚至绘出它一天移动的过程。通过这些分析成果,我们也相当于把这些成果报给网络监管机构,包括网安部门,他们也针对性地对这些犯罪活动进行了打击。
从上述的表述可以看到,其实我们在做数据驱动安全的过程中我们在做一些事情,通过我们找到的线索去做一个拼图,把这个线索拼成一个事件的全貌,最终我们看到整体和背后是一个什么样的情况。这在原来是无法想象的。
有一个比喻,我们原来做网络安全防护的时候只盯住一个点,在现在的环境下,往往是达不到很好的效果的,比如说我们希望研究一片叶子上的威胁预警,我们必须研究整体的森林,这样就引出我们对于数据能力的关键。最为关键的能力是我们要拥有数据,从360来讲,在网络安全方面,我们可能拥有现在中国最大的数据量,包括我们90亿的样本库,包括防护的经验,包括我们对DNS解析的数据,以及对漏洞数据的收集。正是这些海量数据汇集在一起,才能有效地从数据挖掘中得出安全的结论和关联分析。
除了拥有数据之外,还要具备非常强的处理能力,我们用四万台服务器进行安全数据的处理,在这个过程中我们用于安全上的数据量已经超过了一个TB。除了数据计算以外,我们还有很多方面进行数据的挖掘,数据的大并不是关键点,而在于我们能不能从海量数据中通过数据挖掘和分析的方法,得到我们想要的这些内容。这个过程中,其实我们在这些包括机器学习、和挖掘方面积累了很多的经验,才能看到这些案例和结果。
另外一个就是协同的问题,我们有了这些数据,我们有了这样一个能力,我们对于传统的已经失效的方法怎么样发挥效果,所以协同是一个非常关键的步骤。其中一个点,见微见广,在云端和本地的大数据平台结合起来,把我们在云端的大数据平台和本地轻量级平台结合,做一个攻击的发现,其实我们在本地平台上也已经在实际的服务器上做到了几千亿的样本处理和分析,同时能够联动我们响应的过程。
另外一个方面,改变传统。刚才把我们说到的云端数据的平台和大数据平台终端结合起来,包括传统的一些防护点,比如像我们的终端网关,不仅仅进行防御,而且让它变成传感器,数据采集器,把我们在各地的数据汇总起来,形成整体的数据采集、大数据的分析,以及之后的响应,形成这样一个闭环,我们真正能够做到和终端产品、传统的网关产品之间的连,让它们再把自身的能力发挥出来。
另外,追本溯源,网络攻击和黑客攻击我们都能从大数据平台上从一点线索出发,把关联线索都关联出来,我们手里有样本,我们能找到远端控制端的服务器IP,能够找到用于挂马和控制的域名,以及域名背后的注册关联信息,就是在这样一个可视化的关联分析系统中,我们不再能够看到一片叶子,而是能看到在森林里到底发生了什么。
更多的我们把这些数据和情报应用推到更广,做威胁态势感知系统,对于不管是行业性的还是监管机构能够对本地区的安全态势有一个更完整的调整,从而能够变到更多安全事件的应对,起到预警和报警作用。
另外一个点,我们360在去年的时候发布了国内第一个威胁情报中心,也是希望用我们360的力量能够把我们所掌握的部分数据向我们的业内、向我们的企业、向我们的政府去开放,做一些数据的共享和连接的努力,从而能够让业内的水平推到更高的位置上。所以大家可以看到这样一个网址,可以看到在安全方面更有效的数据内容提供,来推进整个业内的发展。
后面想提一下,在两年,国内很多的不管是政府方面,还是企业方面,都在提互联网+,互联网+不管是加我们的交通也好,加税务也好,加金融也好,这方面都有非常快的发展,而互联网+的推动其实对我们原有的安全体系提出了更高的挑战,主要内容在于防线的流动,因为在关键系统里面都提倡是一种隔离和边界。这种情况下,我们其实也根据数据驱动的概念,提出了两个方面,一个是在业务方面的纵深防御,一个是互联网方面的行动防御,安全的大数据平台,威胁情报和安全态势的感知都会成为非常关键的点,再加上新兴的对于云防御的应用,和我们要考虑的移动安全、云和虚拟化的安全、业务安全的结合,这样能够在互联网+下去改变和打造新安全防御体系。
最后一个部分,我们利用这样一个数据平台,不管是云端情报中心的大数据平台,还是本地的分析平台,能够把云端和底部的数据汇总起来,达到协同,提供新的防御体系和防御方法,来对我们整体的网络空间安全做出一个推进。谢谢大家!
联系我们请点击:
数邦客
