知道创宇安全专家陈庆:大数据技术驱动智慧安全感知

  • 时间:
  • 浏览:1

17日上午,由知道创宇与腾讯安全一起主办的“天府杯”网络空间威胁态势感知论坛召开,数位国内顶尖安全专家出席,分享态势感知建设的宝贵经验和技术研究成果,一起探讨利用态势感知系统能够网络安全行业发展的有利之道。

在论坛议题分享环节,知道创宇安全专家陈庆在《大数据技术驱动智慧生活 安全感知》议题演讲中分享了知道创宇依托云防御平台、ZoomEye网络空间搜索引擎、Seebug漏洞社区等,为态势感知平台提供安全大数据支撑,以等保为起点,从数据基础赋能、监测管理赋能、案件打击赋能、综合平台赋能全面提升监管安全感知能力,基于大数据技术的态势感知体系建设经验。



知道创宇安全专家陈庆

以下为陈庆的议题演讲实录:

尊敬的各位领导各位专家,亲戚亲戚朋友 上午好。接下来我汇报的主要内容就说 我响应政策的号召,重点阐述一下怎么用大数据和人工智能的技术,来为亲戚亲戚朋友 态势感知平台赋能,增强实战能力。

首先亲戚亲戚朋友 从国家监管要求出发,无论是《中华人民共和国网络安全法》 、《“十三五”国家信息化规划》 ,还是在公安部“等级保护2.0”和“关键信息基础设施监测防护体系” 等文件中,都强调了建设国家级的网络安全检测预警和信息通报体系,而且实现全天候全方位的感知网络安全态势能力的重要性。

近两年来在公安部的领导下,态势感知行业应用有了顶层设计和规划。目前来说,行业应用主要有两大类方向,第一类方向是监管类的行业态势感知应用,第二类是网络运营者类的行业态势感知。监管类的主就说 我由国家级的态势感知平台,以及省市级的监管类平台构成。纵向行业类的是包括其他政府部委,央企、金融、运营商等等,构筑的集团而且是总部级的部委级的应用,和下面的省厅局、二级单位和地市公司构成的应用。

在哪此态势感知行业应用过程中,亲戚亲戚朋友 发现现有的态势感知平台地处着对于用户其他业务不支撑,而且是不好用的大问题。总的大问题来说,我认为是有三点。

第其他是看不清,包括有其他地方,亲戚亲戚朋友 作为监管者也好,作为运营者也好,看不清所有人有哪此资产能力和数据能力,不了解所有人要保护的重点目标的真实状态。

第二点是我没得乎 ,我没得乎 攻击者对我还并能保护的目标有没能 发动过攻击,是就有有其他目标是被控或外延的状态,而且有其他重点目标跟是是不是地处对内外部进行泄密的事件,哪此亲戚亲戚朋友 都没能发现。

第三点是总担心。为哪此没能 说呢?其他实际上有一主次就有技术上的大问题,这是监管的责任和义务不对等。当有安全事件地处的并且 ,在不足证据链的状态下,亲戚亲戚朋友 监管单位往往会反而为安全事件要负担一定责任。

实在哪此大问题归根到底在其他程度上并能 要通过顶层设计管理和法规来外理,而且亲戚亲戚朋友 从技术上并能外理一定的大问题,那就说 我就说 我运用亲戚亲戚朋友 大数据技术,为现在的态势感知平台进行进一步赋能。

亲戚亲戚朋友 赋能有八个主要方向,第一个多方向是数据基础赋能。第八个和第一个多分别是监测管理赋能和案件打击赋能,第八个方向是综合平台赋能。这八个方向对应了郭总号召的8+2的整体的态势感知模块和方向,覆盖整体的态势感知现在选择的业务场景。接下来就从这八个方向汇报一下亲戚亲戚朋友 大数据和AI技术,在这八个方向的应用方法 和具体的应用。

第一个多数据基础赋能。还并能看完,数据基础的应用方法 是从左到右是就说 我的一个多顺序关系和流程。首先亲戚亲戚朋友 要确立哪此是并能 保护的资产,金字塔的顶层就说 我国家最重要的关键信息基础设施。通过亲戚亲戚朋友 已有的等级保护这方面的系统和工作,而且再结合网络空间资产和漏洞的测绘能力、侦测能力和云监测、云防护的能力,进行情报关联和数据分析。通过本地数据和网络空间数据的融合,构建起亲戚亲戚朋友 保护资产的实体智慧生活 档案库,就说 我资产画像。其他资产画像不须仅仅是网络空间的信息,而且是其他安全数据。就说 我含高了资产、漏洞以及管理信息,以及物理位置等等各方面的信息,而且一起构成现在亲戚亲戚朋友 一个多资产为核心的综合数据画像。在这其中知道创宇和腾讯联合安全大数据也发挥亲戚亲戚朋友 数据能力,一起为资产画像提供更多的描绘和详细性。

具体来说在其他过程当中用到哪其他技术呢?首先知道创宇提供了全球第二的网络空间资产引擎,也就说 我钟馗之眼。其他资产引擎除了在做资产保护的并且 之外,在做资产画像的并且 也同样能起到巨大作用,而且,在后面 来介绍对于攻击者画像和持续性进行威胁监测的并且 ,空间资产引擎也是起到决定性的作用。另外亲戚亲戚朋友 并能在七到5天之内遍布全球IPV4的地址空间精准探测,就说 我的技术能力还并能有效的帮助亲戚亲戚朋友 某一个多行政区域后面 的监管单位,而且是大型的运营者,快速的明确所有人的资产目标。探测范围还覆盖了工业控制和物联网的设备。

第二点是云防御平台,创宇盾云防御平台在互联网行业占有率是49.77%,在政府网站市场占有率是42.18%。所有人市场占有率第一的云防御平台并且 赵总也详细的介绍了,对态势感知赋能是从多个层面,数据、情报和辖区内资产保护,还有整体态势监测、防护来说就有起到全面性的作用。

第一个多是知道创宇联合腾讯打造的国内最大的安全大数据,包括前面介绍的资产数据和云防御平台获得的各类情报和数据。在其他之外要强调的其他是安全行业在前几年往往对于大数据是强调量,而且忽略了一个多重要的特点。第一安全数据要注重质量,而不仅仅是数量。第二安全数据要注重动态性,要注重是活的安全数据。而且是现在你拿着几年前的安全数据,那实际上对于亲戚亲戚朋友 态势感知的能力来说起到的作用是非常微小的。

而且在以上的哪此能力之外,亲戚亲戚朋友 在大数据的分析和应用能力后面 ,有点是在做资产画像以及后续画像方面,应用了全方位的关联技术,包括有规则关联、场景关联、行为关联等。规则关联包括有逻辑关联,是基于逻辑表达式的其他规则和统计关联。场景关联就说 我基于资产关联、弱点关联和情报关联。行为关联包括周期性的行为同比分析,以及对于行为预测的环比分析,等等哪此大数据的关联分析方法 。

以此为基础构筑了详细的资产画像,现在的多维数据关联的详细资产画像包括有资产、状态、流量、攻击、漏洞、风险、告警和人员。并且 就有陆续关注更多。就说 你还并能对亲戚亲戚朋友 的监管区域内所有的重点目标,所有的关键信息基础设施有了一个多看得清的基础了解,以此构成数据基础,在其他基础上发挥态势感知其他方向的业务场景和能力。

第二点是监测管理赋能,亲戚亲戚朋友 就二个多应用方向。从安全兼管,也就说 我并且 的资产发现出发,结合了漏洞监测和持续性的流量监测。请注意,这里的流量监测是持续性的。亲戚亲戚朋友 对于资产画像为核心的数据基础进行就说 我全方位的监测,这后面 还并能举出几次业务场景。比如说APK攻击,据腾讯上5天研究报告表明,APK攻击是来自于Nday漏洞,对于其他漏洞的预警是亲戚亲戚朋友 非常强大的能力。通过资产雷达和安全监测持续性监测,还并能帮助监管单位和用户在最短时间内,就说 我攻击者并且 并能了解到对于Nday漏洞的暴露面和普查,并能提供及时的预警和防护。

在资产画像的漏洞监测的技术上,亲戚亲戚朋友 进行了风险预警和威胁预警的工作。其他基础还并并能向关联单位和管理者进行定向通报和外理,进行亲戚亲戚朋友 的监管职能和处罚职能。所有过程就有应用威胁情报,提供亲戚亲戚朋友 的监测了安全事件的关联能力和情报能力,这就说 我监测管理赋能的应用方向。在其他基础上要重点介绍的是在其他过程后面 使用的其他技术,和亲戚亲戚朋友 所提供的效果。首先是亲戚亲戚朋友 的基础引擎,这里就说 我列举了主次,包括流计算引擎,主就说 我作为事件驱动的实时计算引擎。还有机器学习引擎和深度图学习引擎。还有历史数据的计算引擎和关联分析引擎。 其他基础上通过对历史流量进行机器学习引擎,对于实时流量进行流计算引擎,对于威胁情报理性溯源分析引擎。还采用了滑动时间窗口技术,不断引入对实时流量模型自动校正和计算,使亲戚亲戚朋友 模型更加趋近于实际状态。

另外就说 我高级威胁检测,从八个纬度进行详细的检测。第一是从大数据从网络检测中发现高级威胁行为和荫蔽通道。第二是保留流量日志的状态下提供威胁情报。第三是使用沙箱和深度图学习的基因图谱AI检测技术,而且对于内容进行分析。第四点就说 我利用腾讯的终端安全管理系统,提供终端的检测响应能力。第五点就说 我腾讯的终端系统整体获取行为信息,结合威胁情报进行回溯的分析。就含高了所有八个方向。

这之外还有基于基因图谱的深度图学习检测,构思是深度图学习比较领先是一个多方向,分别是图像、自然语言外理以及语音。亲戚亲戚朋友 的想法是把安全数据转化为图像,寻找其中的内外部基因,包括图像基因内外部提取、家族变种识别、流量会话映射、布态指纹和暗网监测等等能力。效果是还并能对威胁内容进行检测,另外还并能对威胁变种进行家族性的检测。第一个多亲戚亲戚朋友 还并能对流量中的协议进行检测,对流行转化成基因图谱进行检测。第四还并能对僵尸网络进行检测。第五是还并能发现隐蔽信道。而且是加密的检测。

在互联网中,高级威胁检测系统还并能获取实时网络的会话基因内外部,使检测模型对网络流行进行恶意代码未知协议进行通讯检测。对于暗网检测基于布态指纹和深度图学习算法,还并能区分洋葱和非洋葱,以及区分应用。

第一个多方向就说 我现在的态势感知比较急缺的方向,就说 我案件打击的赋能。亲戚亲戚朋友 从攻击检测出发,就说 我流量检测。这后面 所有人的体会是不用日志,只用流量检测。而且日志首先量实在不用 ,另外日志的效果并就有很好。流量为基础,进行持续性的流量检测,结合亲戚亲戚朋友 追踪溯源的综合关联分析,包括威胁情报的导入,对某事件而且某之类件进行海量关联。其他关联二个多深度图,一个多从白的深度图,就说 我受害者画像。另外一个多是从黑的深度图,也就说 我攻击者画像。当然前期有资产补偿能力,在其他能力的基础上结合持续性流量分析,亲戚亲戚朋友 以点带面,而且导出批量的受害者,而且是批量攻击者,也是某一攻击者对应的多量威胁检测。以就说 我海量的受害者和攻击者的目标作为核心,亲戚亲戚朋友 通过持续性的流量分析,把其中的重点的事件和目标,把它梳理出来,形成证据链,提供侦查打击的线索。一起还并能从其他平台获取到从虚拟空间到物理空间的数据对应。就还并能形成从虚拟空间查到人的物理身份,形成执法打击条件。

这后面 最主要的大数据的应用方向就说 我以人为核心,传统的态势感知是安全事件为核心。而且面对于受害者和攻击者来说,亲戚亲戚朋友 的建议,新时代的态势感知要以人为核心,建立受害者和攻击者画像。通过海量人员和案件关联,主动案件线索发现识别,网络空间的溯源能力,智能化案件情报和战法中心,实现由人到案的分析等等,来构成亲戚亲戚朋友 作为案件打击赋能的基础。

在其他基础上对于威胁的评估就有三条思路,首先还并能对攻击者意图进行分析,第二对攻击者行为进行分析,第三是对安全事件进行检测,结合了其他算法和数据。对于攻击者画像,在流量检测的基础上还有其他数据基础,包括监控全球知名黑客安全站点,通过攻击数据中识别黑客的行为习惯就说 我的不变因素,作为画像框架的基础,就说 我威胁金字塔的顶层,逐渐从数据层面关联起黑客的攻击历史。

黑客攻击历史和信息包括哪其他?包括列举了哪此,时间关系就不一一赘述了。最终目的就说 我要看清现有网络空间,建立起一个多精确地图,标识出出现的各类威胁实体和标签,这就说 我案件打击赋能的主要思路。

最后简单介绍一下综合平台赋能。在资产画像、攻击者画像和受害者画像基础上,结合安全监测和威胁情报,有八个方向。首先就说 我态势感知,展示整体状态。第二是指挥调度,第三是等级保护,第四是攻防演练,提供人才培养和训练的基础,第五是向分监管部门,就说 我网络运营者其他行业态势感知平台和防护体系提供赋能。在已有实现过程当中,可视化能力包括综合态势、资产态势、漏洞态势、威胁态势、通报外理态势以及等保态势等等。

亲戚亲戚朋友 也还并能展现全球的态势,其他是亲戚亲戚朋友 的钟馗之眼最新的态势和大数据可视化能力。也还并能看完钟馗之眼的资产的资源,包括有十一亿级的站点设备。

面向于非监管行业的态势感知平台和防护体系,亲戚亲戚朋友 倡导以态势感知平台作为网络安全的核心,以它为基础一起构建各类安全方法 的循环。左侧是安全数据埋点循环,右侧就说 我态势感知响应和防护循环。一起构建起整体化的柔性化的整体防御体系。

最后我还并能说的是,在十一局,也就说 我公安的指导下,亲戚亲戚朋友 会继续和腾讯以及业界各厂商通力合作,会不断的加强亲戚亲戚朋友 在持续性威胁监测方向的能力,以及丰富亲戚亲戚朋友 各类行业的业务场景,一起打造态势感知其他好国之重器。

微信公众号搜索"

驱动之家

"加关注,每日最新的手机、电脑、汽车、智能硬件信息还并能你还并能一手全掌握。推荐关注!【

微信扫描下图可直接关注