大數據下的企業安全管理平台分析

一、介紹

#目前電腦網路與資訊安全領域，正面臨一場全新的挑戰。一方面，伴隨大數據和雲端運算時代的到來，安全問題正在變成一個大數據問題，企業和組織的網路及資訊系統每天都在產生大量的安全數據，並且產生的速度越來越快。另一方面，國家、企業和組織所面對的網路空間安全形勢嚴峻，需要應對的攻擊和威脅變得日益複雜，這些威脅具有隱蔽性強、潛伏期長、持續性強的特徵。

面對這些新挑戰，傳統的企業安全管理平台限制顯露無遺，主要體現在以下幾個面向：

1. 海量資料的處理

#企業安全管理平台管理涉及企業網路中的各種安全設備、網路設備、應用系統等，每天會產生大量的安全事件和運行日誌等安全數據，其數據量可能非常巨大。面對大量的安全數據，安全管理人員很難從中發現有價值的資訊;另一方面，面對大量數據時，傳統的企業安全管理平台技術架構在數據採集、儲存、分析處理和展現方面也遭遇不同瓶頸。

2. 多源異質資料收集

企業網路中的各種安全設備、網路設備、應用系統等均可能涉及不同種類不同廠家，由於各設備的產品差異性，企業安全管理平檯面對的安全資料在結構和格式上均不統一，給數據分析帶來困難。這問題造成企業安全管理平台資料採集效率降低，進而導致效能上遇到瓶頸。

3. 安全資料分散與孤立

企業網路中的各種安全設備、網路設備、應用系統等會分散在網路的不同位置，如果各個資料之間缺乏有效的關聯，則會導致安全資訊的孤立，形成資訊孤島，無法對大量數據進行整體性的分析。目前網路中的攻擊行為一般都是分段式的攻擊方式，每個步驟都可能由不同的安全設備監測發現並存在於不同日誌當中，如果僅對單獨設備安全日誌進行分析則難以發現完整攻擊行為。為了提高安全資料分析的準確性，就需要透過基於大數據的事件關聯分析，找出多條警報之間的相關性，從中發現潛在的威脅行為或攻擊行為。

4. 缺乏深度挖掘手段

#

當前網路環境中新型攻擊手法層出不窮，與傳統攻擊手段不同，新型攻擊手法更隱蔽，用傳統偵測方法更難以發現，例如APT攻擊。面對新型攻擊手段的長期性、隱蔽性和高級性，傳統的基於即時分析的監控技術已經不再適應，為了防止新型攻擊手段造成的危害，有必要對歷史安全數據進行深層的離線挖掘，從大量的歷史資料之中發現新型攻擊行為的端倪，因而防患於未然。

以上問題，可以用一句話來總結，即海量、多源異構、分散獨立的安全數據，為傳統的企業安全管理平台帶來了分析、存儲、檢索上的諸多難題。由此看來，新一代企業安全管理平台應以大數據平台架構為支撐，支援超大資料量的擷取、整合、儲存、檢索、分析、態勢感知與視覺化，將過去分散的安全資訊整合與關聯，獨立的分析方法和工具進行整合形成交互，從而實現智能化的安全分析與決策，將機器學習、資料挖據等技術應用於安全分析，並且要更快更好地的進行安全決策。大數據的發展為企業安全管理平台帶來了新的挑戰，但其催生出的大數據技術也為企業安全管理平台帶來機會和全新的活力。

二、何為大數據?

大數據的通俗定義為“用現有的一般技術難以管理的大量數據的集合”，廣義定義為“一個綜合性概念，它包括因具備4V(海量/多樣/快速/價值，Volume/ Variety/Velocity/Value)特徵且難以進行管理的數據，對這些數據進行儲存、處理、分析的技術，以及能夠透過分析這些數據獲得實用意義和觀點的人才和組織。」

大數據有四個重要特徵(即4V特點)：Volume(海量)、Variety(多樣)、Velocity(快速)、Value(價值)。

• Volume指的是資料量規模龐大到無法透過目前主流軟體工具進行有效處理和分析，所以有必要變更傳統的資料處理和分析方法。
• Variety指的是數據來源廣、形式多樣，包括結構化數據和非結構數據，非結構數據的成長速度比結構化數據的成長速度更快，並且具有十分可觀的利用價值，對其進行分析可以揭露出以前很難或無法確定的重要資訊。
• Velocity是指相對於傳統資料處理系統而言，大數據分析系統對即時性的要求更高，需要在很短的時間內完成計算，否則得出的結果將是過時的、無效的。
• Value是指大數據是有價值的，但在海量資料當中，真正有價值有意義的只是很少一部分。

三、大數據在資訊安全上的應用

#大數據在資訊安全上的應用主要表現為，數據的爆炸性增長給目前的資訊安全技術帶來了挑戰，傳統的資訊安全技術在面對超大數據量時已經不再適宜，需要基於大資料環境的特性開發新一代安全技術。目前流行的安全實踐主要是依賴邊界防禦，依賴需要預定網路威脅知識的靜態安全控制措施。但是這種安全實踐在應對目前極度延伸的、基於雲端的、移動性極強的商業世界來說，已經不太適合了。基於這個背景，業界開始將資訊安全的研究重點轉向智慧驅動的資訊安全模型，這是一種能夠感知風險的、基於情境背景的、靈活的、能幫助企業抵禦未知高階網路威脅的模型。而這種由大數據分析工具支援的、智慧驅動的資訊安全方法可以融合動態的風險評估、巨量安全資料的分析、自適應的控制措施以及有關網路威脅和攻擊技術的資訊共享。其次，大數據理念可以被利用到資訊安全技術中來，例如透過大數據分析可以對大量的網路安全資料進行快速有效的關聯分析，從中找出與網路安全相關的資訊。可以預測，將大數據整合至安全實踐，將會大大增強對IT環境的可視性，提高鑑別正常活動和可疑活動的能力，從而幫助確保IT系統的可信性，並大大提高安全事件響應能力。

四、大數據安全分析

大數據安全分析，顧名思義，就是指利用大數據技術來進行安全分析。透過大數據安全分析技術，能夠更好地解決海量安全資料的採集、儲存的問題，借助基於大數據分析技術的機器學習和資料挖據演算法，能夠更加智慧地洞悉資訊與網路安全的態勢，更加主動、彈性地去應對新型複雜的威脅和未知多變的風險。

在網路安全領域，大數據安全分析是企業安全管理平台安全事件分析的核心技術，而大數據安全分析對安全資料處理效果主要依賴分析方法。但當應用在網路安全領域的時候，還必須考慮到安全資料本身的特點和安全分析的目標，這樣大數據安全分析的應用才更有價值。

五、大數據分析在企業安全管理平台上的應用

#目前應用於大數據分析的主流技術架構是Hadoop，業界在進行大數據分析時越來越重視它的角色。 Hadoop的HDFS技術和HBase技術與大數據的超大容量儲存需求正好匹配，Hadoop的MapReduce技術也能滿足大數據的快速即時分析需求。

基於前面介紹過的傳統企業安全管理平檯面對的挑戰與限制問題，可以把Hadoop技術應用在企業安全管理平台中，發展成為新一代的企業安全管理平台，實現支援超大資料量的採集、融合、儲存、檢索、分析、態勢感知和視覺化功能。

使用Hadoop架構的新一代企業安全管理平台具有以下特點：

• 可擴充性：支援動態增加和刪除系統節點，叢集搭建方式靈活可控。
• 高效能：以分散式檔案系統進行儲存數據，支援大量資料的快速讀取/寫入、查詢操作;採用分散式運算進行資料分析與業務操作，各業務節點獨立運算互不干，節點數量越多運算速度越快。
• 可靠性：系統自動容災(HA);採用主-從機制(Master-Slave)進行叢集搭建，系統內節點間資料互相即時備份，當節點宕機時直接切換至備份節點，運算單元宕機時直接切換至備援運算節點。
• 低成本：對系統中各節點設備硬體需求不高，而且Java技術開發可跨平台，相關技術是開源的。

總之，與傳統架構的企業安全管理平台相比，採用Hadoop的下一代企業安全管理平台能大幅提升資料分析的運算速度，降低運算代價，提高資料安全性，為使用者靈活提供各種分析引擎與分析手段。

六、總結

#綜上所述，可以看出借助大數據分析框架及大數據安全分析技術，能夠很好地解決傳統企業安全管理平台的安全資料收集、分析、儲存、檢索問題。從長遠來看，未來的企業安全管理平台也應透過以大數據分析技術為基礎的機器學習、資料挖據演算法、視覺化分析及智慧化分析等新技術的研究，完善企業安全管理平台功能，使其能夠更聰明地分析網路安全態勢，從而更主動、有彈性地應對新型複雜的威脅和未知多變的風險。但是，無論企業安全管理平台的技術如何發展，如何與大數據結合，企業安全管理平台所要解決的客戶根本性問題，以及與客戶業務融合的趨勢依然未變。對大數據的應用依然要服務於解決客戶的實際安全管理問題這個根本目標。

以上是大數據下的企業安全管理平台分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！