華為大數(shù)據(jù)安全防護(hù)體系成“智能大腦”

近幾年，各種數(shù)據(jù)泄密事件、網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)攻擊的規(guī)模也在向網(wǎng)絡(luò)戰(zhàn)方向發(fā)展。與此同時(shí)，越來越多的IT設(shè)備接入互聯(lián)網(wǎng)，所產(chǎn)生的大量數(shù)據(jù)的商業(yè)價(jià)值日益凸顯出來。如何利用大數(shù)據(jù)，成為了網(wǎng)絡(luò)防護(hù)戰(zhàn)的新思路。

在傳統(tǒng)的攻防戰(zhàn)中，防御會(huì)面臨信息不對(duì)稱、范圍不對(duì)稱、規(guī)則不對(duì)稱的情況，使得我們通過簡(jiǎn)單部署防火墻來防御病毒入侵已經(jīng)無濟(jì)于事。防火墻只能應(yīng)對(duì)已知的危險(xiǎn)，對(duì)于針對(duì)性的攻擊來說，防火墻起不到任何防御作用。這就需要我們除了部署安全防御基礎(chǔ)設(shè)施之外，還需要有個(gè)“智能的大腦”為我們判斷網(wǎng)絡(luò)環(huán)境是否安全。而大數(shù)據(jù)安全防護(hù)體系就是我們所需要的智能大腦。

華為通過構(gòu)建立體協(xié)同的安全防護(hù)體系，來實(shí)現(xiàn)全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。這套防護(hù)體系收網(wǎng)絡(luò)設(shè)備的流量、基礎(chǔ)設(shè)備的可疑樣本以及 IT 設(shè)備的日志，通過大數(shù)據(jù)分析系統(tǒng)進(jìn)行樣本分析和策略控制，實(shí)現(xiàn)對(duì)黑客供給鏈的精準(zhǔn)呈現(xiàn)以及及時(shí)防御。同時(shí)建立信譽(yù)查詢系統(tǒng)和知識(shí)庫升級(jí)系統(tǒng)，進(jìn)行信譽(yù)查詢以及知識(shí)庫同步。

安全防護(hù)體系有兩大特點(diǎn)，一是基于大數(shù)據(jù)分析。基于大數(shù)據(jù)分析的安全解決方案能夠精準(zhǔn)迅速地發(fā)現(xiàn)并清除威脅。通過對(duì)異常流量、木馬病毒、0day 漏洞、C&C以及釣魚郵件進(jìn)行大數(shù)據(jù)威脅分析，能夠精準(zhǔn)發(fā)現(xiàn)病毒。通過可視化呈現(xiàn)感知全網(wǎng)的安全態(tài)勢(shì)，并通過阻斷 C&C、阻斷威脅滲透、并將惡意文件進(jìn)行清除，實(shí)現(xiàn)病毒的快速響應(yīng)。

數(shù)據(jù)采集和處理部分，系統(tǒng)主要分為兩個(gè)步驟。第一步，呈現(xiàn)攻擊全路徑。通過對(duì)節(jié)點(diǎn)威脅事件、節(jié)點(diǎn)異常事件、節(jié)點(diǎn)流量數(shù)據(jù)、節(jié)點(diǎn)日志數(shù)據(jù)的挖掘形成基于攻擊鏈路徑和不同節(jié)點(diǎn)不同攻擊行為的攻擊全路徑的回溯展示。第二步，進(jìn)行溯源調(diào)查?；诠袈窂降乃菰凑{(diào)查進(jìn)行數(shù)據(jù)鉆取，基于網(wǎng)絡(luò)攻擊的溯源調(diào)查進(jìn)行文件的回溯。

比如，針對(duì)郵件安全的信息采集和分析，主要從歷史數(shù)據(jù)中提取郵件流量元數(shù)據(jù)，通過分析 SMTP/POP3/IMAP 協(xié)議中的收件人、發(fā)件人、郵件服務(wù)器、郵件正文、郵件附件等信息，并結(jié)合沙箱文件檢測(cè)結(jié)果，判斷郵件是否存在惡意投遞、發(fā)件服務(wù)器異常以及郵件正文URL異常等行為。

第二個(gè)特點(diǎn)是全網(wǎng)防護(hù)。通過全網(wǎng)感知、全網(wǎng)響應(yīng)、全網(wǎng)防御來實(shí)現(xiàn)全網(wǎng)安全協(xié)防。通過采集全網(wǎng)的安全事件，并做大數(shù)據(jù)關(guān)聯(lián)分析，監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況；全網(wǎng)內(nèi)統(tǒng)一調(diào)度，將網(wǎng)絡(luò)資源進(jìn)行動(dòng)態(tài)分配實(shí)現(xiàn)全網(wǎng)響應(yīng)；安全能力動(dòng)態(tài)性擴(kuò)容，對(duì)未知威脅進(jìn)行及時(shí)有效防護(hù)，從而實(shí)現(xiàn)全網(wǎng)防御。

在全網(wǎng)安全防護(hù)的防護(hù)架構(gòu)下，黑客入侵的整個(gè)過程都會(huì)被系統(tǒng)感知到。黑客在哪里，通過何種方式侵入系統(tǒng)，是普通滲透性攻擊，還是病毒性攻擊，還是采用其他的連接算法。入侵之后，病毒又是通過什么途徑連接到哪一臺(tái)電腦，又是通過哪一臺(tái)電腦中的哪一個(gè)密碼最終攻破哪一位管理員。最后，黑客通過哪一臺(tái)主機(jī)向外鏈接，或者通過一些隱秘的通道，將 IP 命令、DNS 命令發(fā)送出去。這整個(gè)過程都會(huì)被殺毒軟件默認(rèn)為正常行為，只有基于大數(shù)據(jù)的安全系統(tǒng)才能感知到。

實(shí)踐層面講，這套安全防護(hù)體系可以做到事前防御、事中檢測(cè)和事后響應(yīng)。

在事前防御上，通過打補(bǔ)丁、最小端口開放、FW 訪問控制；IPS/AV 簽名、FW/ASG/NIP 信譽(yù)防御等措施減少攻擊面。在事中監(jiān)測(cè)上，1.利用沙箱、流量探針、日志探針，結(jié)合大數(shù)據(jù)機(jī)器學(xué)習(xí)，快速檢測(cè)未知威脅；2.整合網(wǎng)絡(luò)和終端的信息，確定攻擊事件、并確定優(yōu)先級(jí)；3.聯(lián)動(dòng)網(wǎng)絡(luò)、終端，隔離、攔截威脅；在事后響應(yīng)上，1.提供涵蓋終端、網(wǎng)絡(luò)的響應(yīng)能力；2.自動(dòng)生成情報(bào)，聯(lián)動(dòng) FW/IPS 等安全策略執(zhí)行點(diǎn)，實(shí)現(xiàn)防御閉環(huán)。

這種閉環(huán)式防御策略可以實(shí)現(xiàn)客戶價(jià)值的最大化。保護(hù)投資，兼容現(xiàn)有安全技術(shù)和資源，抵御高級(jí)威脅；高級(jí)安全，更快檢測(cè)未知、定向、高級(jí)威脅；快速響應(yīng)，更快響應(yīng)安全事件；安全可控，全網(wǎng)安全態(tài)勢(shì)感知，整體把握并改善安全狀況。

基于閉環(huán)式防御策略，華為多次應(yīng)用到相關(guān)安全產(chǎn)品中，最典型就是 DDoS防御。華為的 DDoS防御在云端提供800G 的清洗空間，基本做到在攻擊路徑源頭將病毒清洗工作完成，跨地域式清洗，形成全球性的安全互動(dòng)。除此之外，也會(huì)采取搭建防火墻的辦法，或者根據(jù)衛(wèi)星定位的沙箱實(shí)現(xiàn)聯(lián)動(dòng)，從而實(shí)現(xiàn)高級(jí)威脅文件的檢測(cè)，發(fā)現(xiàn)新型的文件和病毒，進(jìn)而做到有效的阻斷。CIS 也是華為的一個(gè)大數(shù)據(jù)安全平臺(tái)，在 CIS 上可以做到安全的風(fēng)險(xiǎn)可視和可控。

（責(zé)編：王左利）