流量感知化
2017-11-23季莹,孙楠楠,赵志远等
网络安全和信息化 2017年5期
安全的最大问题不是防御能力不足,迟钝的感知能力才是关键。组织机构仅依靠安全防御手段是远远不够的。然而,再高级的攻击,都会留下网络痕迹,因此,科来提出了全流量安全分析:全流量检测+全流量存储。采用行为和流分析,检测异常行为,历史流量关联,攻击溯源取证。
图1 科来 齐继东
科来公司的齐继东表示,全流量安全分析的核心功能为异常检测、流量存储和回溯分析。其中,异常检测是当发现可疑通讯时,系统提供实时警报,科来全流量安全分析系统内置600多条网络行为模型库快速检测可疑通讯行为,通过多种条件组合专门针对高级攻击的持续性、隐蔽性。可疑通讯行为包括高级攻击(APT)、异常流量和网络入侵、WEB攻击。该系统支持150种以上元数据(会话元数据以及协议元数据)提取,支持自定义提取,自定义建模。
图2 科来大数据安全态势感知体系架构
而在流量存储方面,能够将当前检测到的攻击行为与历史流量进行关联,实现完整的攻击溯源和取证分析。特点是2-7层流量透视,直至数据包级,基于IP、协议的自定义流量存储,大于50% 数据压缩能力。
Gartner的报告,表示信息安全问题正在变成一个大数据分析问题。科来大数据安全态势感知平台的功能包括全流量数据采集、数据关联分析、业务运行监控、攻击溯源取证、网络流量可视化和安全事件响应。
齐继东表示,大数据安全态势感知平台基于科来全流量分析引擎采集数据,采用大数据分布式存储和计算架构利用安全分析模型、机器学习、关联分析的方法,发现未知威胁、提高检测能力,快速分析研判、减少响应时间,数据全量留存、满足合规要求,安全态势感知、帮助高效决策。