久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

大數(shù)據(jù)分析可以通過基于異常發(fā)現(xiàn)的檢測機制，相對于傳統(tǒng)基于靜態(tài)規(guī)則，能夠發(fā)現(xiàn)更多隱藏的持續(xù)的攻擊。因此，越來越多的企業(yè)在采用大數(shù)據(jù)安全分析技術(shù)應(yīng)用于安全防護(hù)，百度亦不例外。

吳登輝：百度高級安全工程師。歷經(jīng)安全運維，安全測試，安全開發(fā)。對企業(yè)安全體系建設(shè)，以及安全大數(shù)據(jù)分析具有較為深入的了解。曾就職于華為，負(fù)責(zé)二進(jìn)制方面的漏洞挖掘工作。入職百度后，曾負(fù)責(zé)web安全測試、移動app安全評估以及一些安全規(guī)范安全體系的建立等，也參與了百度安全中心的建立。目前，主要負(fù)責(zé)web日志的安全分析。

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)對政治、經(jīng)濟、社會和文化的影響愈加深遠(yuǎn)，圍繞著信息獲取、利用和控制的國際競爭日趨激烈，網(wǎng)絡(luò)與信息安全面臨的形勢日益嚴(yán)峻。而且，服務(wù)和業(yè)務(wù)逐漸擴展到Web平臺上，Web安全威脅接踵而至。攻擊者可以利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

作為具有豐富實戰(zhàn)經(jīng)驗的Web安全專家，吳登輝表示：“對互聯(lián)網(wǎng)企業(yè)而言，目前針對Web安全最關(guān)注兩點：一是，Web系統(tǒng)的可用性;二是，用戶數(shù)據(jù)的保密性。這就涉及到目前影響最大的幾種攻擊方式，包括DDOS和數(shù)據(jù)庫注入以及撞庫。同時，新型漏洞從爆發(fā)到大規(guī)模利用的時間也越來越短。”

為了防范web安全威脅，很多企業(yè)選擇部署Web防火墻。有使用硬件盒子式的，也有使用基于云的Web防火墻。吳登輝建議，在部署時一定要注意防火墻規(guī)則的維護(hù)。針對硬件盒子形式的防火墻，企業(yè)需要專門有相應(yīng)的運維人員。而當(dāng)前基于云的Web防火墻例如百度云加速，安全寶等，云廠商則會幫企業(yè)進(jìn)行統(tǒng)一的維護(hù)，并進(jìn)行漏洞響應(yīng)，從而大大降低企業(yè)的成本。

Web防火墻大數(shù)據(jù)安全分析實踐

作為一名Web安全防護(hù)人員，你是否想要知道攻擊是什么時候發(fā)生的?網(wǎng)站是怎么被攻擊的?攻擊者又是誰?網(wǎng)站是否安裝了木馬?你是否想要在攻擊者動手前摁住他?在網(wǎng)絡(luò)邊界早已模糊的今天，在大數(shù)據(jù)的時代，大數(shù)據(jù)安全分析可以幫助你從更廣闊的視野里尋找更深層次的原因，找出潛在的可循規(guī)律，感知Web攻擊。

吳登輝表示，大數(shù)據(jù)安全分析是為了彌補現(xiàn)有漏洞發(fā)現(xiàn)手段的不足，及時檢測攻擊并實施攻擊阻斷，所用的基于數(shù)據(jù)關(guān)聯(lián)與分析的方法。為了彌補傳統(tǒng)的安全防御體系的不足，包括主動掃描能力無法完整覆蓋業(yè)務(wù)，阻斷攻擊時WAF/IPS誤傷業(yè)務(wù)，新型攻擊出現(xiàn)，攻擊檢測的策略無法及時更新的問題……而不是為了炒作制作個公雞(攻擊)圖。在Web防火墻大數(shù)據(jù)安全分析的實踐中，需要從數(shù)據(jù)采集、數(shù)據(jù)分析、基礎(chǔ)架構(gòu)，以及數(shù)據(jù)分析實踐四個方面出發(fā)。

數(shù)據(jù)采集：采集一切數(shù)據(jù)放到集群上，以及只采集系統(tǒng)已有的數(shù)據(jù)放到集群上，這兩種做法都有問題。那么究竟該如何采集安全數(shù)據(jù)?對于有針對性的數(shù)據(jù)采集，需要開發(fā)特定的采集探針，數(shù)據(jù)將更有效并會事半功倍。例如：可以按照攻擊樹和Cyber Kill Chain來采集數(shù)據(jù)，構(gòu)建攻擊場景。

數(shù)據(jù)分析：在進(jìn)行數(shù)據(jù)分析時，工作人員需要通過機器學(xué)習(xí)發(fā)現(xiàn)異常，通過進(jìn)行人工標(biāo)定和分析來產(chǎn)生規(guī)則情報，最終把規(guī)則情報反饋給分析系統(tǒng)，產(chǎn)出更多的信息。

系統(tǒng)架構(gòu)：系統(tǒng)架構(gòu)需要實現(xiàn)交互式搜索，情報易集成可動態(tài)配置，支持機器學(xué)習(xí)模型訓(xùn)練以及支持實時模型調(diào)用。

數(shù)據(jù)分析實踐：為了發(fā)現(xiàn)繞過Web防火墻的攻擊行為，并提取攻擊情報，包括掃描器payload惡意攻擊IP等。需要從HTTP請求的各個角度，PATH, QUERY, UA, SESSION等多個維度進(jìn)行分析。并采用基于統(tǒng)計、機器學(xué)習(xí)，對PATH，QUERY，SESSION等建立模型的分析方法。包括：參數(shù)分布，請求頻率，SESSION請求寬度，404比例等。

據(jù)吳登輝透露，目前百度針對安全寶和云加速的用戶，已經(jīng)開發(fā)出這樣的一套大數(shù)據(jù)分析系統(tǒng)-- “諦聽”。它會根據(jù)網(wǎng)站的訪問訓(xùn)練出網(wǎng)站的正常的訪問模型，從而發(fā)現(xiàn)未知的攻擊。目前該系統(tǒng)已經(jīng)成功的幫安全管理人員發(fā)現(xiàn)了很多繞過防火墻的高級攻擊。同時，它也會從攻擊中提取出情報信息，包括惡意IP地址，新型的攻擊payload等。