当前位置: 首页 > 数据分析师 > 数据分析师实战技能 > 数据分析师数据分析 > 大数据之安全漫谈

大数据之安全漫谈

发布时间:2020年09月30日 20:37:16 来源: 点击量:480

【摘要】大数据之安全漫谈大数据(big data)、数据科学(data science)、数据挖掘(data mining)、机器学习(machine learning)、深度学习(deep le

大数据之安全漫谈

大数据(big data)、数据科学(data science)、数据挖掘(data mining)、机器学习(machine learning)、深度学习(deep learning)、模式识别(pattern recognition)、可视化(visualization)、自然语言处理(natural language processing)、推荐系统(recommendation system)、数据分析(data analysis 相较而言,这个是最不潮最实在的词了)、人工智能(Artificial Intelligence)、NoSQL 是2014年的IT潮词,他们从传统的金融、科研行业席卷到IT的各个角落,甚至是比较边缘的安全行业了,催生了一些诸如安全数据分析师(专家)的岗位,为了在和同事们聊天的过程不显得那么白痴,于是查阅了一些资料,来写写"大数据"在安全行业的应用。

大数据的发展,让我们看到了更好的数据收集、数据处理、数据存储、数据计算、数据检索与数据可视化方案,我们有了hadoop、spark、storm等优秀的计算框架,我们有了thrift、avro、Protocol Buffer数据序列化方案,我们有了flume、scribe、chukwa来完成分布式日志收集,我们有了kafka来完成消息队列调度,我们有了mongoDB、redis、cassandra、neo4j来完成数据的存储,我们有了elasticsearch、sphinx来完成数据检索,我们有了Gephi、D3、Graphviz来完成漂亮的图表。我们甚至有了日志分析领域的三剑客kibana-logstash-elasticsearch套装,然而我们在如此优秀的支撑环境下我们常看到的输出结果是什么呢?TopN攻击报表、攻击可视化地图(单指国内产品)。
我想或许是因为最关键的阶段-数据分析阶段缺失了。缺失或许是因为门槛较高吧,它综合了高等数学、线性代数、概率统计、机器学习等知识,而且必须与计算机基础知识(编程、数据存储)、行业领域知识(例如安全领域知识)与反复的模型修正才能发挥作用,而作用是否显著则取决于所解决问题的重要程度。大家在平衡了付出与收益后,就倾向于选择用代价更小的方法来解决问题(例如基本使用静态攻击签名特征,而很少使用动态行为分析未知攻击),但互联网支付行业的发展,云平台的发展,让我们看到市场还是巨大的,特别是在金融行业(电商、支付、理财)、云服务方面。
应用场景

场景1、仿冒站点的检测

计算网页相似度,包括内容(文本)相似性、结构(DOM)相似性与视觉相似性。 其中文本挖掘(Text Mining)/自然语言处理(Nature Language Process)已经单独成为一个分支了。

场景2、垃圾邮件检测

基于朴素贝叶斯分类算法

场景3、订单欺诈检测

基于神经网络算法来实现交易数据欺诈检测

场景4、攻击源识别

基于CART来区分访问源,然后细化机器行为,扫描器?爬虫?搜索引擎?采集器?CC攻击,产出攻击源信誉库(匿名代理,Tor,扫描器,恶意爬虫,僵尸网络,URL黑库)

区分对待大规模自动化攻击,精细定位人工攻击才能有效的减少冗余数据

场景5、web攻击中的异常请求检测

基于HMM来识别异常请求;基于随机森林来分类区分异常请求

场景6、webshell检测

包括通过计算信息熵来检测文件内容异常、图论来检测访问异常

场景7、恶意网站识别

场景8、广告欺诈检测

场景9、恶意软件(家族)识别

场景10、色情图片/验证码识别

场景11、反网站抓取(盗取网站原创内容)

场景12、流量型攻击检测

CC、精准洪泛攻击(我自己编的术语,意思是对API接口的海量调用、例如短信接口、验证码接口)、垃圾信息注入

产品化道路

1、集成到IDS/IPS/Firewall/WAF/SIEM/审计/风控/取证/AV等单独或综合性的安全产品中

几乎每个安全产商都会用“大数据"、“机器学习”、“安全智能”、“基于业务的动态行为建模”当成卖点,来标明自己是“下一代”安全产品

已有成功案例:Imperva

2、综合到日志分析产品中来支撑安全功能的实现

将web服务器日志、数据库日志、操作系统日志、邮件日志等进行关联分析,实现风险控制、审计管理、监控、SIEM(攻击事件响应与取证)。

已有的成功案例:sumologic、splunk

对安全产品而言,宣传标语和奥运会类似

更快——不要滞后,发现与响应都要快,滞后的安全不是健康预防,甚至不是医生急救,而是法医验尸

更全——不要遗漏, 0day、未公开的漏洞,捕获他们,识别他们,评估他们

更准——不要误伤,预警狼来了运维人员很伤,访问阻塞用户很伤

瓶颈

“因为数据量巨大,会造成性能瓶颈,因此以处理的数据量为指标或宣传点”这是个误区,我们最最缺少的是有效的数据分析模型来发现“未知”。

分享到: 编辑:wangmin

就业培训申请领取
您的姓名
您的电话
意向课程
点击领取

环球青藤

官方QQ

扫描上方二维码或点击一键加群,免费领取大礼包,加群暗号:青藤。 一键加群

绑定手机号

应《中华人民共和国网络安全法》加强实名认证机制要求,同时为更加全面的体验产品服务,烦请您绑定手机号.

预约成功

本直播为付费学员的直播课节

请您购买课程后再预约

环球青藤移动课堂APP 直播、听课。职达未来!

安卓版

下载

iPhone版

下载
环球青藤官方微信服务平台

刷题看课 APP下载

免费直播 一键购课

代报名等人工服务

课程咨询 学员服务 公众号

扫描关注微信公众号

APP

扫描下载APP

返回顶部