深入大数据分析构建智能安全体系

2023-11-16 理论教育版权反馈

【摘要】：因大数据分析技术产生的数据分析能力和决策产出的价值，在数据安全几乎全部领域里引起了革命性的变化。作为威胁监视和安全事故调查的新方式，从大数据安全日志分析出发，数据安全领域的变化已经开始了。以信息安全为目标分析对象的信息量和速度增加时，组织的结构、流程、相关平台也发生了变化，为构成应用大数据分析技术的智能型安全体系需要满足如下要求。

因大数据分析技术产生的数据分析能力和决策产出的价值，在数据安全几乎全部领域里引起了革命性的变化。作为威胁监视和安全事故调查的新方式，从大数据安全日志分析出发，数据安全领域的变化已经开始了。这种安全分析流程更完整，为取得更佳的安全条件，对新输入的数据和现有存储的数据全部分析等，需要引入多种来源的信息。

像金融机构或政府安全管制中心，拥有这类顶级安全管制中心的企业，已经从大量安全数据集合的分析中发现了价值。他们正在分析能够理解攻击者的技术，发现有助于快速识别隐蔽威胁的新模式，追踪电子攻击者，甚至预测未来攻击的安全数据的巨大数据库。为减少由此引起的用户账户及企业敏感数据的无差别访问，应用了四期分析方法。

大数据安全分析工具依存于现有数据分析工具或日志分析器的组合，但最近安全龙头企业装备了大数据分析平台，开始提供商业化的解决方案。在不久之后，可以预见到大数据分析能力将给如SIEM（security information and event monitoring）、网络监视、用户认证及权限赋予、ID管理、四期探知，以及支配结构、危险及规则遵守系统等多种数据安全领域带来变化。进一步说，可以预测到大数据分析将切实改变反恶意（antimalware， antivirus）、数据损失预防及防火墙（firewall， IDS， IPS）等现有安全技术。

迂回于传统安全技术的APT智能型攻击发展的同时，分析内部访问用户的异常行动，下达与此相关的安全违反事项防御决策，应切实要求如下大数据分析。

1）非正常模块分析前扩大防御性监控

对传统安全解决方案无法探知的访问行为和模式，为评定危险等级并决定数据所有权，需依据用户、场所、数据种类区分行动模式，要分析非正常模式，应将现有被忽视的Admin账户行为和监视对象中遗漏的系统基础设施也作为分析对象包括在内。

2）为探知迂回及变相攻击扩大安全对象

企业或机构为找到迂回攻击或变相攻击等，在企业内增加基础设施或数据中心通信流量相关监视的同时，相关的安全数据规模也在急剧增加，防火墙、入侵探知、入侵切断、DLP、系统资源变化及访问监控全部的安全数据分析对象都包括在内，这就成为大量的分析对象。

3）威胁检出和视觉化

在强化全部IT基础设施相关的详细监控的同时，掌握数据访问用户，通过区分正常行为和威胁行为积极防御，通过将决策必要的视觉化（visualization），使其变成绝对的构成要素。(www.chuimin.cn)

以信息安全为目标分析对象的信息量和速度增加时，组织的结构、流程、相关平台也发生了变化，为构成应用大数据分析技术的智能型安全体系需要满足如下要求。

（1）新安全数据来源（企业内部和外部全体）增加及连接功能。

（2）收集并定型化多种安全数据类型的自动化工具分析功能。

（3）能够实时处理大量安全数据的分析功能。

（4）持续评价系统资源，以行动及危险模型为基础评价的先进监控功能。

（5）感知到判断为危险的活动时，自动终止（包括履历监视）数据传送或使安全相关人员能够做出决策的建议（终止、警告、无视）的功能。

（6）能够存储管理大容量安全数据或类似大数据平台的安全数据存储位置与BI（business intelligence）的连接功能。

（7）像数据库这样的定型存储所和NoSQL这样的通过与非定型数据的管理功能复合连接得以扩大，能够处理庞大复杂的检索及查询功能。

（8）通过在安全数据处理流程和决策中起决定性作用的视觉化功能，可对潜在安全问题点进行详细调查，终止网络通信或在系统检疫站保管，并且使追加认证数据访问用户的身份等自动化防御措施成为可能，与这些安全及名单管理工具进行高标准整合的功能。

深入大数据分析构建智能安全体系

相关推荐