360谭晓生:如何利用大数据进行网络攻击检测
2014-05-23 ZDNet 编辑:佚名
第六届中国云计算大会进入最后一天,云计算安全论坛座无虚席,会上,360技术副总裁谭晓生向与会者分享了如何使用大数据进行网络攻击的检测和防范。
谭晓生表示,以前针对政府企业行业的攻击主要依赖0day、弱口令,没有明确的目标攻击,影响范围也比较小;而现在,黑客攻击目标明确,不但具有很强针对性和制导性,而且隐蔽性也更强,一旦成功入侵成功,就会取得巨大经济收益,给政府和企业带来巨大的经济损失。
如何找出内网系统存在的漏洞?如何发现漏洞被恶意利用?如何判定系统遭到入侵?如何发现网内的攻击?这是摆在企业安全人员面前的一系列难题。
谭晓生表示,通过内网的WEB的日常请求,内部服务器的日常链接、SQL数据库的日常查询、主机的程序访问等一些列大数据信息,从而能够勾勒出针对企业的攻击特征全貌,并为IT管理人员提供针对性解决方案。此外,通过大数据分析,企业管理者还可以分析出网络内已经发生、即将发生的恶意攻击,并可追溯到攻击源头,帮助管理者及时修复安全短板,进一步做好安全防护。
据了解,360已经推出第一款基于大数据分析的网络攻击检测设备——360天眼。
谭晓生表示,以前针对政府企业行业的攻击主要依赖0day、弱口令,没有明确的目标攻击,影响范围也比较小;而现在,黑客攻击目标明确,不但具有很强针对性和制导性,而且隐蔽性也更强,一旦成功入侵成功,就会取得巨大经济收益,给政府和企业带来巨大的经济损失。
图:360谭晓生在云计算大会上分享使用大数据网络攻击进行检测
如何找出内网系统存在的漏洞?如何发现漏洞被恶意利用?如何判定系统遭到入侵?如何发现网内的攻击?这是摆在企业安全人员面前的一系列难题。
谭晓生表示,通过内网的WEB的日常请求,内部服务器的日常链接、SQL数据库的日常查询、主机的程序访问等一些列大数据信息,从而能够勾勒出针对企业的攻击特征全貌,并为IT管理人员提供针对性解决方案。此外,通过大数据分析,企业管理者还可以分析出网络内已经发生、即将发生的恶意攻击,并可追溯到攻击源头,帮助管理者及时修复安全短板,进一步做好安全防护。
据了解,360已经推出第一款基于大数据分析的网络攻击检测设备——360天眼。
现今的防御已经不是针对过去的钓鱼、挂马,防御重点已经演变为精确的APT攻击,防御应该基于四个假设:系统有未发现的漏洞,系统有已发现的漏洞未修补,系统已经被渗透,员工不可靠。引入一些可视化的方法也会对基于大数据的安全分析产生很大帮助。谭晓生表示介绍,360的大数据分析平台采用了Hadoop和Storm,存储&计算服务器规模超过15000台,总存储数据量200PB,每天新增1PB,每天计算任务20000个,每天计算处理数据3.5PB。
360天将终端、WEB、网络信息等系统中的通信进行整合分析,并接入360大数据安全引擎,从而形成本地系统和云端网络多重认证体系。它能及时发现未知病毒代码、未知威胁、0day漏洞等恶意攻击,快速甄别内部不安全因素,让各种隐蔽威胁无所遁形。