大数据安全分析需要关注哪些问题

  大数据所存储的数据非常巨大,往往采用分布式的方式进行存储,而正是由于这种存储方式,存储的路径视图相对清晰,而数据量过大,导致数据保护,相对简单,黑客较为轻易利用相关漏洞,实施不法操作,造成安全问题。今天我们就一起来了解一下大数据安全分析都需要关注哪些问题。

大数据安全分析需要关注哪些问题

 

  大数据安全分析需要关注哪些问题

 

  1、从线索出发,而不是指标或签名:安全分析,注重相关性,然后再考虑确定性,这背后有其深层的原因。误报和漏报是一对不可完全调和的矛盾,虽然在个别方面存在例外(基于漏洞的签名往往准确率较高,同时也可以对抗很多逃逸措施,是检测从IDS时代走向IPS的关键技术前提)。在发现未知的旅途中,如果直接考虑确定性证据,会错失很多机会。

 

  因此在狩猎的场景之下,安全分析员需要的是线索,线索只能代表相关性,而不是确定性,安全分析的过程需要将一连串的线索穿起来,由点及面进而逼近真相。举个例子:超长会话连接很难确定是攻击但和CnC往往有关联,一些分析人员就会选择它作为起点的线索。如果从这点出发、更多的线索出现了,连接的域名是近新注册的,并且访问量很少,还有就是流量在80端口却不是标准的HTTP协议等,随着不断的发现,确定性在增加,终通过进一步的方式我们可以确认攻击行为。

 

  2、换个角度看问题:找寻攻击相关的行为模式,可以变换多个角度,无需一直从直接的方面着手。例如在CnC检测上,我们可以采用威胁情报或者远控工具的流量特征这样直接的方法,但也可以考虑排查之前数据中没有出现过的新域名,或者某些域名对应IP快速变化的情况,甚至可以采用机器学习的方式来发现那些不一样的域名,这些都可能是有效的方法,可以在不同情况下分别或组合使用。

 

  3、白名单及行为基线:它们都是先定义什么是正常,由此来判断什么是不好的。业界某些厂商倡导的白环境或者软件白名单,都是这个思想的一种具体实践。在采用这个方法建立基线时,还是需要从威胁的角度出发,这样检测灵敏度较高并且发现异常后的指向性也较好。例如针对整体流量突变的监控,和专门对ARP流量(内部的ARP攻击有关)或DNS流量(防火墙一般不禁止,是数据外泄的通道之一)分别进行监控,有着完全不同的效果。

 

  4、统计概率:过去在讨论利用基线的方式发现异常时,经常被提出的问题是:“如果学习期间,恶意行为正在发生,学习的基线价值何在呢?”。这里面我们如果了解一些统计概率方面的知识,就知道可以利用均值和标准差这种方式来解决问题。统计概率知识在安全分析中的作用很大,尤其是在机器学习和安全分析结合时。这部分不是我擅长的专业领域,不再多说。还想一提的是,概率知识有时和人的直觉往往有冲突,所以为了正确的分析判断,需要了解基本的概率知识。有一个小题目,大家可以进行自测一下:某种流感测试方法,如果已患此流感,那么测试结果为阳性的概率为95%,问测试阳性者患病概率是多少。估计没有掌握贝叶斯方法的人,很难回答出正确的答案。也许通过这个问题,会让没有接触过此方面知识的人,感受到其必要性。

 

  水无常式,法无定则,在信息安全过程中狩猎也是如此,这里只是稍微做了一些介绍,也许已经给大家一种印象:狩猎是一项充满挑战、极具难度的活动。这种认识无疑是正确的,幸运的是有了安全分析产品的存在,使其难度有了大幅的降低,在本文后部分会介绍这方面的信息。

 

  大数据安全不仅仅需要防范来自外部的攻击,对内也需要加强管理,对数据的采集程度规划合理,降低各种安全风险才能真正做好大数据安全保护。

©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页