安恒資訊安全專家劉志樂：複雜網絡環境下的大資料安全态勢感覺

一年一度的阿裡安全峰會創立于 2014 年，今年已是第三屆，于7月13-14日在北京國家會議中心舉辦。峰會旨在促進亞太區資訊安全行業發展，為本地區資訊安全組織、資訊安全專業人士和決策者搭建一個資訊交流展示平台，探讨目前安全行業的最佳實踐、熱點議題、資訊安全人才培養、新

興技術與發展趨勢等。2016 阿裡安全峰會設立12個分論壇，數十家領軍企業參與、國内外頂級安全專家演講，在電商金融安全，移動安全，威脅情報，人才培養，電子驗證等熱門安全行業問題進行深入探讨與交流，除此之外大會前一天還進行了頂級電商安全移動安全等方向的專業安全技術教育訓練。

7月13日2016阿裡安全峰會上，安恒資訊安全專家劉志樂進行了《複雜網絡環境下的大資料安全态勢感覺》的主題分享，他通過舉例來說明我們面臨的安全威脅形勢越來越嚴峻，通過大資料的安全态勢感覺的平台，可以對威脅進行預測。大資料的分析成功與否，主要有三個因素，資料、算法和有效的方法。

 <b>安恒資訊安全專家劉志樂</b>

<b>以下為演講實錄：</b>

各位上司，各位嘉賓，下午好。2016年isa大會上大家認識到了我們的防護手段，在目前這麼複雜的安全形勢下已經越來越顯得力不從心，在這麼嚴峻的形勢下，怎樣利用一些新技術來實作對我們傳統的安全防護能力的更新就顯得分外重要。

現在我們所面臨的威脅，從傳統的小黑客到大的玩家，地下黑客産業鍊，現在甚至已經上升到了國與國的網絡戰的嚴峻形式，我們也有一個大資料的安全能力中心，2015年我們也做了一個自己的2015年網際網路網站的安全報告，網站安全報告裡面可以看到一些非常重要的資料，比如，去年我們給第二屆世界網際網路大會做網絡安保工作的時候，對大會官網的群，整個的會議期間遭受了一億兩千多萬次的攻擊，像新浪網就遭受了33萬次的攻擊，而且攻擊主要來源來自于國外的英美、法德這些國家，攻擊的來源顯示主要是境外的托管主機和遠端的受控僵屍等等。我們參與了第二次世界網際網路大會的安保，也參加了第一次網際網路大會的安保，兩天的安保工作做完後也做了一些對比，從攻擊規模上來看，第一次世界網際網路大會大概收到了27萬次這樣的攻擊，第二次已經上升到了一千多萬次，整個防護系統所有的加起來3.8億次，而且整個防禦手段和防禦的對象也産生了很大的差別。第一次主要是會議系統，第二次已經涵蓋了核心的會議系統，整個會議的所有的酒店、wifi和直播系統，包括了路邊的警亭、資訊亭等等。

有了這些資料，我們也可以解讀整個世界網際網路大會期間，到底誰在攻擊我們，從最後的統計可以看出來，以美國為首的，包括用了什麼樣的攻擊手段，整個攻擊的最高峰在什麼地方，我們當時也都對網際網路進行推送。

這些現象都是構築在我們自己的大資料的安全态勢感覺的平台之上，我們主要針對比如網際網路的對外的網站，可以把它整個網站上所有的一些系統的日志，通路的日志，所有的網絡裝置的日志，安全裝置的日志，輸送到我們的雲端，再大資料的存儲進行大資料的處理，然後最後進行整個安全的方法，進行算法，最後實作可視化來應對整個的一些威脅的預測。

這些大資料，我們拿它到底要做些什麼？首先我們要通過它去進行在分析平台上進行核實的方法，用一些比較适用的算法，最後實作對客戶的價值，整個的次元的分析服務，包括現在比較時髦的情報的共享。基于這些資料能力，我們就可以應對現在複雜的安全攻擊，比如25萬個中國政府的所有網站，受到什麼樣的攻擊，攻擊類型是什麼，來自于哪裡，我們都會第一時間捕獲到，第一時間報送給國家的相關職能部門，包括網信辦，公安部，工信部等等。我們的整個平台建築在全國的32個省市的有節點，現在我們有一億兩千多萬個裝置的資料，有六千八百多萬個裝置的漏洞，我們存儲了465tb的資料，而且整個資料是大資料的叢集，比較快速的部署。這些分布式的結點，把各種流量的日志和各種主動發現的漏洞的資訊，包括了各種資料的可用性的資料、防禦的資料進行處理和歸類分析，然後進行存儲到各種基礎庫、it庫、指紋庫和域名庫，到上面進行可視化的展現漏洞和事件以及可用性。還有攻擊行為、通路行為等等，最終我們可以通過我們的一些郵件，傳統的手段，也有最新的，通過一些專用的app，以加密的方式輸送到我們的客戶手上，包括有一些輸送到監管部門的手上。那麼，有了這些資料以後，我們可以形成安全的大資料中心，我們現在有完整的政府整體的ip庫，這些資料對政府的職能部門的資訊不斷的更新，還有對域名的庫，對網站的所有的相關的漏洞等等，現在我們有超過一億六千萬的域名，我們收錄了25萬個政府的域名，我們不停的在分布式的進行實時監測，累計發現了1203個政府網站部署在境外，可能被地下黑客産業鍊劫持到境外了，或者是相似的域名，然後去釣魚，這些我們都有大量的樣本。

基于這種分布式的掃描，或者是監測引擎，我們可以做很多的有意義的事情。比如，我們最早是公安部做全國政府網站大檢查的機關。2009年我們做這件事，當時給我們六千多個站點，我們需要投入五六個人去工作一個月以後，單機版掃描器，人非常的辛苦。但是在我們有了這樣一個大的分布式大資料平台以後，現在無論是九三閱兵，還是g20的安保，政府部門給我們的上萬個站點，在我們的平台裡邊，會自動把這些資料拿出來，很快的完成監管部門的工作需要。

網絡除了外網之外，内網更複雜，但是内網我們更多的不是關心整個的知識産權的安全漏洞，我們更多的關心内部的人員，是以我們就要在内網裡面通過一些資料的采集，包括一些密匙，把各種資料語言送到我們的中心裡面，再去通過不同的資料的次元去定義什麼樣的是異常的行為。比如省份、時間、位置，包括對資源的操作模式等等。通過這些我們進入行為模組化，通過模組化以後，我們以人的行為為核心的異常來分析一些人的方面的關鍵問題。   

整體上來說<b>，大資料的分析成功與否，實際上主要有三個因素</b>。從我自己的經驗來看，一是<b>資料</b>，以大資料，大資料的平台，如果沒有資料，無從談起。二是<b>算法</b>，有了資料，再有算法，那麼就應該可以産生比較有意義有價值的能力。但是實際上從我們很多的工作的工程實踐上來看，光有這兩點還不行，還缺一個比較<b>有效的方法</b>，而且這個方法實際上要更多的和客戶來商量，最終是跟客戶的業務貼合上的方法。有了這三個因素就可以有有用的能力，最終傳遞給我們的客戶，客戶就會有一個更安全的應對複雜的攻擊形式的能力。謝謝大家。