基于大数据分析的网络攻击检测

npe7

贡献于2015-08-23

字数:0 关键词: 分布式/云计算/大数据

基于大数据分析的网络攻击检测 土人谭晓生 奇虎360 副总裁 企业内部面临的风险 数据驱动企业安全 大数据与智能化 我们是怎么做的 目录 曾经的攻防时代 • Before – 没有明确的目标 – 大规模杀伤 –“薄利多销” – 依赖各种0day和弱口令 新兴安全时代的攻防 • Now – 目标明确 – 精确制导,隐蔽性更好 – 3年不开张,开张吃3年 – 灵活多变,依赖人性 当前攻击热门目标排名 • 据《纽约时报》报道,日前爱德华·斯诺登 (Edward Snowden)曝光的一份文件显示,多年来 美国国家安全局(NSA)一直在对中国电信巨头华为 采取秘密行动,行动内容包括入侵华为总部的服 务器,监视华为高层的通信等等。据称NSA把这次 行动命名为“狙击巨人”(Shotgaint),早在2007 年就已经开始。 华为遭美国家安全局入侵 历时7年 四个重要假设 系统有 未发现的 漏洞 系统有 已发现的 漏洞 未修补 系统 已经 被渗透 员工 不可靠 如何发现有漏 洞被利用/攻 击行为检测? 找出哪些漏洞 还没有修补, 进行修补 如何发现系 统已经被渗 透了? 清理 如何重现攻 击过程? 如何溯源? 如何发现员 工的异常行 为? 如何检测/拦 截来自内网 的攻击? 攻击者在哪?攻击者 主要泄密内容: • 美军袭击伊平民视频(近期) • 数十万份与阿富汗战争、伊拉克战争有关的文件(2010年初) • 50万条9·11短信(2009年) • 气候学家擅自更改数据(2009) • 极右政党“英国国家党”的匿名成员名单(2009年下半年) • 佩林私人邮件账号(2008年) • 关塔那摩监狱手册(2007年) Employee 像黑客一样思考 成为一个黑客 搜集手段 – 外围扫描 – 外围嗅探 – 供应链攻击 – 社会工程学 – 黑链钓鱼 … 搜集什么信息? – 生产环境 – 网络拓扑 – 办公网环境 – 无线环境 – 供应链 – 员工信息 – 社工信息 „ 信息搜集 针对机器 – 口令破解 – 溢出尝试 – Web攻击 – 漏洞利用 针对人 – 钓鱼邮件 – 社会工程学 – 供应链攻击 攻击尝试 成功入侵后是结束? 是否达成目标? 自身隐藏与等待 紧紧跟着的是 – 欺诈攻击 – 跳板渗透 – 流量劫持 – 数据库泄漏 – 下一波来袭 攻击继续 扫尾与清理 未完待续 达成目标 数据如何驱动企业安全 你知道内部有多少server么? 你知道内部机密数据是否有传输么? 你确定内网没被入侵么? 企业的细节 数据来源 – 服务器运行记录 – 网络与拓扑记录 – 网络访问记录 – 常见的应用层访 问记录 – 文件传输记录 – 文件行为记录 … 数据化一切? 什么是关键数据? 安全关心什么? 数据能说明一切 数据掌握一切 周期性分析 拓扑分析 频度分析 网络里的攻击 内网中的蠕虫 面向数据库的攻击 大数据是工具 智能化是引擎 数据如何运用? 例如 Web的日常请求 内部服务的日常链接 SQL数据库的日常查询 主机的程序访问 … 建立智能的模型 针对http访问记录训练 • 假如攻击是一张人脸图像,那么一个个行为可以 认为是特征点,我们从一个个特征里或许能得到 攻击全貌 数据的关联 实时流量监测系统 100 50 10 4000 TB Gbps s 亿 一些数字 • 360大数据规模 – 存储&计算服务器规模超过15000台 – 总存储数据量200PB,每天新增1PB – 每天计算任务20000个,每天计算处理数据 3.5PB 360大数据处理平台 • 360大数据架构 产品 计算 存储 机器学习平台 (Euler) 实时计算平台 (Storm) M/R计算平台 ( M/R) 文件存储平台 (HDFS) 表格存储平台 (HBase) 对象存储平台 (Cassandra) 搜索 安全 广告 推荐 … 架构 • 数据收集处理基本流程 数据源 数据源 数据源 数据源 数据源 数据收集 HDFS存储 M/R平台 Euler平台 实时平台 数据计算平台 数据云端化 信息共享 数据保护与隐私 路在何方 Thank You!

下载文档,方便阅读与编辑

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 6 金币 [ 分享文档获得金币 ] 0 人已下载

下载文档

相关文档