基于大数据技术的网络攻击监测实践.pptx

演讲者：刘志乐 基于大数据技术的网络攻击监测实践 OWASP中国区委员 OWASP中国杭州分会区域负责人 2011年中国计算机网络安全年会演讲嘉宾 2011年OWASP亚洲峰会演讲嘉宾 2011年ISF上海演讲嘉宾 2012年第四届中国云计算大会演讲嘉宾 2012年计算机网络安全年会演讲嘉宾 2012年OWASP AppSec Asia悉尼峰会演讲 嘉宾 2013年第二届等级保护技术大会演讲嘉宾 2013年中国互联网安全大会演讲嘉宾 2014通信行业网络安全年会演讲嘉宾 内 容 提 要 传统安全分析的困境 基于大数据构架及分析方法 大数据技术与等级保护实践 传统安全分析的困境 YOURSELF UP 6 整理ppt 近年攻击事件频发 网站安全问题多元化 6 某知明网站被植入木马 迫于法规和经济利益，网站入侵从篡改转变为植入木马、植入黑链等形式 漏洞 篡改 挂马 黑链 引发 网站域名黑链比率 7 人工式网站漏洞扫描？ 人工式海量数据统计？ 人工式漫长处理周期？ 如何跟踪安全状态？ 如何及时发现安全问题？ 如何大范围网站安全检查？ 如何完成区域安全通报？ 传统安全手段难以满足业务需要 攻击 察觉 应急响应 传统的应急响应 已损失 无察觉 时间性长 被动 亡羊补牢 e-Question구현 단계_Fulfill Demand 11 基于大数据构架及分析方法 YOURSELF UP 6 整理ppt 基于云计算的大数据安全分析 大数据分析中心 网站安全监测平台 WEB应用防火墙 网站卫士软件 APT预警检测 漏洞检测 篡改监测 暗链监测 网马监测 可用监测 应用攻击防护 CC攻击防护 攻击告警 网页防篡改 网页防攻击 日志回送 Web攻击预警 网页防攻击 日志回送 云计算架构 分布式扫描引擎 基于 Hadoop 的分布式扫描引擎 通过 Mapreduce 分解任务 每天产生超过20G的有效数据 HDFS HBASE Hive Mapreduce 存储 分析 WEB漏洞获取 云端分析 网站漏洞扫描报告 16 网站安全定级 网站安全评分 漏洞整改跟踪 漏洞分类与统计 漏洞隐患点提示 漏洞加固建议 漏洞验证样本参考 网站管理员 报告 安恒信息技术 有限公司 网站开发者 报告 安恒信息技术 有限公司 网站管理者报告 17 网站群安全分析报表 以部门或单位做为考评依据 网站安全问题定责到部门或单位 以安全级别度量部门安全水平 以安全指数度量部门管理水平 以整改效率度量部门管理水平 提示高发漏洞促进集中整治 提供网站漏洞整改清单 提供网站通告素材 提供网站安全排名素材 整体风险走势分析 18 综合安全分析 报告 安恒信息技术 有限公司 安全整改通告 安恒信息技术 有限公司 安全通告报告 19 严重漏洞分布情况 20 漏洞指数 21 漏洞整改率 22 攻击日志收集 攻击日志收集 经过压缩的 日志数据 SSL 标准化 带宽管理 日志数据 *符合NIST 800-92 日志归并要求 SmartSensor 云端集群 云端分析 客户端防护日志收集 风暴中心WAF数据 WEB攻击 检测 邮件攻击检测 文件攻击检测 流量分析 静态检测 动态检测 综合分析 APT攻击 APT攻击收集 大数据分析平台 对搜集海量数据进行综合分析 使用 Hadoop 集群 原始数据 MapReduce 任务分析 Hbase数据使用hive + Mapreduce进行分析 大数据分析平台 分析的方式 简单的统计类 使用 hive 进行统计分析 综合关联类 Mapreduce 任务处理 多任务分步处理 大数据安全分析 分析异构环境风险 多点多源业务安全关联分析 海量历史安全信息数据挖掘 综合海量数据分析 综合关联分析 发现威胁 已知漏洞 关键业务IT资产 基于风险的排序 几十上百个： 最高优先级事件 数以千万计：原始事件 数以百万计：安全相关事件 数以千计：关联事件 警报 : 用户BadUser123在尝试对WeakServer的密码进行暴力破解 安全态势评分 大数据时序趋势预测－算法 可利用算法 大数据挖掘－样例1 数据挖掘-事务分布模式 FlashGet 文件下载 UDP-Flood 拒绝服务攻击 数据挖掘 - 行为模式 攻击分析地图展示 实时攻击监控 整体安全态势知 41 实时篡改告警 42 图片墙实时监测 43 服务质量实时监测 44 此课件下载可自行编辑修改，供参考！ 感谢您的支持，我们努力做得更好！