什么是大數據安全分析
責編:admin |2015-01-27 13:18:39在《為什么需要大數據安全分析》一文中,我們已經闡述了一個重要觀點,即:安全要素信息呈現出大數據的特征,而傳統的安全分析方法面臨重大挑戰,信息與網絡安全需要基于大數據的安全分析。那么,到底什么是大數據安全分析,他與我們一般意義上的大數據分析有何異同之處?讓我們先從大數據自身的定義開始。
1 大數據的定義
如何定義大數據?《大數據的沖擊》一書將大數據通俗定義為"用現有的一般技術難以管理的大量數據的集合",并廣義地定義為"一個綜合性概念,它包括因具備3V(海量/高速/多樣,Volume / Variety/Velocity)特征而難以進行管理的數據,對這些數據進行存儲、處理、分析的技術,以及能夠通過分析這些數據獲得實用意義和觀點的人才和組織。"
Gartner將大數據定義為"海量、高速、多變的信息資產,需要對它進行經濟的、創新性的信息處理從而獲得超越以往的洞察力、決策支持能力和處理的自動化"(high volume, velocity and/or variety information assets that demand cost-effective, innovative forms of information processing that enable enhanced insight, decision making, and process automation)。
2 大數據的基本特征
大數據的三個公認的基本特點是3V,即海量、高速和多變。海量是指數據容量越來越大;高速表示需要處理的速度和響應的時間越來越快,對系統的延時要求相當高;多變就要處理各種各樣類型的數據,包括結構化的、半結構化的、甚至是非結構化的數據。
IBM在上述三個特點基礎之上增加了一個V(Veracity),即"真實性"、"準確性"。IBM認為只有真實而準確的數據才能讓對數據的管控和治理真正有意義。
此外,業界還有人總結出其它的大數據特點,例如低價值密度(Value)、存活性(Viability),等等。低價值密度是指大數據中真正有意義的信息含量比重低;存活性是指特定情況下的大數據具有很強的時效性。
3 大數據分析的定義
大數據技術的核心就是大數據分析(Big Data Analysis / Analytics)。一般地,人們將大數據分析定義為一組能夠高效存儲和處理海量數據、并有效達成多種分析目標的工具及技術的集合。
Gartner將大數據分析定義為追求顯露模式檢測和發散模式檢測,以及強化對過去未連接資產的使用的實踐和方法(the practices and technology used to pursue emerging and divergent pattern detection as well as enhance the use of previously disconnected information assets),意即一套針對大數據進行知識發現的方法。
通俗地講,大數據分析技術就是大數據的收集、存儲、分析和可視化的技術,是一套能夠解決大數據的4V(海量、高速、多變、低密度)問題,分析出高價值(Value)的信息的工具集合。
4 大數據安全分析
當前網絡與信息安全領域,正在面臨著多種挑戰。一方面,企業和組織安全體系架構的日趨復雜,各種類型的安全數據越來越多,傳統的分析能力明顯力不從心;另一方面,新型威脅的興起,內控與合規的深入,傳統的分析方法存在諸多缺陷,越來越需要分析更多的安全信息、并且要更加快速的做出判定和響應。信息安全也面臨大數據帶來的挑戰。
于是,業界出現了將大數據分析技術應用于信息安全的技術–大數據安全分析(Big Data Security Analysis / Analytics,簡稱BDSA),也有人稱做針對安全的大數據分析(Big Data Analysis for Security)。
必須特別指出的是,大數據安全分析是指利用大數據技術來進行安全分析,而非我們一般所言的大數據安全(Big Data Security)。大數據安全,通常是指研究如何保護大數據自身的安全,包括針對大數據計算和大數據存儲的安全性。
以上,也闡釋了大數據和安全的兩個連接關系,即基于大數據技術的安全和大數據自身的安全。這兩者是兩個不同的領域,本文探討的是前者,即基于大數據技術的安全,本質上就是大數據技術的一種在安全領域的應用。
借助大數據安全分析技術,能夠更好地解決天量安全要素信息的采集、存儲的問題,借助基于大數據分析技術的機器學習和數據挖據算法,能夠更加智能地洞悉信息與網絡安全的態勢,更加主動、彈性地去應對新型復雜的威脅和未知多變的風險。
必須強調的是,對于大數據安全分析而言,最關鍵的不在于大數據本身,而在于對這些數據的分析方法。大數據安全分析可以用到大數據分析的所有普適性的方法和技術,但當應用到網絡安全領域的時候,還必須考慮到安全數據自身的特點和安全分析的目標,這樣大數據安全分析的應用才更有價值。例如,在進行異常行為分析,或者惡意代碼分析和APT攻擊分析的時候,分析模型才是最重要的。其次,才是考慮如何利用大數據分析技術(例如并行計算、實時計算、分布式計算)來實現這個分析模型。
此外,大數據安全分析要產生實際價值還離不開安全分析師。
5 大數據安全分析平臺
大數據安全分析不是一個產品分類,而代表一種技術,一種安全分析的理念和方法。各種安全產品都能夠運用大數據安全分析技術去重塑自身。
在一個較為完備的基于大數據安全分析的解決方案中,往往會有一個大數據安全分析平臺作為整個方案的核心部件,承載大數據分析的核心功能,將分散的安全要素信息進行集中、存儲、分析、可視化,對分析的結果進行分發,對分析的任務進行調度,將各個分散的安全分析技術整合到一起,實現各種技術間的互動。
6 啟明星辰大數據安全分析平臺
作為國內信息安全領導廠商的啟明星辰依托十幾年在信息安全分析領域積累的豐富經驗和領先技術在國內率先推出了具有自主知識產權的啟明星辰泰合大數據安全分析平臺(TSOC Big Data Security Analysis Platform,簡稱TSOC-BDSAP)。該平臺幫助客戶實現在規模不斷擴大的異構海量數據如事件、流、網絡原始流量、文件等信息中,結合流行的關聯分析、機器學習、數理統計、實時分析、歷史分析和人機交互等多種分析方法和技術,發現傳統的安全產品無法檢測的安全攻擊和威脅。
啟明星辰專門成立了泰合產品本部負責大數據安全分析領域及泰合系列管控類和審計類系統的研發、咨詢、項目實施與運維。泰合產品本部分別在北京、上海、廣州設有研發中心。
作為中國最早研發和最領先的安全管理平臺之一,啟明星辰泰合(TSOC)系列安管平臺經過10多年的持續積累,獲得了十多項發明專利,得到了國家多項專項基金的支持,并擁有目前國內最多的客戶群,從2008年到2013年連續六年位居中國安全管理平臺市場占有率第一,已經成為了安全管理平臺領域的引領者,位居國內大數據安全分析領域的領導者陣營,也是國內流安全領域的積極倡導者和踐行者。