以数据为中心的网络治理SHCERT年会精简.pptx

大数据 大价值八大热点问题1、数据科学与大数据的学科边界2、数据计算的基本模式与范式3、大数据的数据变换和价值提炼4、大数据特性与数据态5、大数据安全和隐私问题6、大数据对IT技术架构的挑战7、大数据的应用及产业链8、大数据的生态环境问题2013年十项发展趋势预测1.数据的资源化2.大数据的隐私问题突出3.大数据与云计算等深度融合4.基于海量数据的智能5.大数据分析的革命性方法6.大数据安全7.数据科学兴起8.数据共享联盟9.大数据新职业10.更大的数据中国计算机学会CCF大数据专家委员会2012年11月30日 发布专家调研结果第1页/共41页【3】大数据特性与数据态多来源多模态数据：图像、视频、音频、数据流、文本、网页关联关系异质、结构模式复杂互为因果，动态变化关系维簇关系维簇三元空间大数据的产生、状态感知与采集柔性粒度数据传输、移动、存储与计算数据空间范围和数据密度的非均衡态空间维簇空间维簇数据的生命周期数据的时间维状态与特征流化分析、增量学习、在线推荐离线与在线时效性要求时间维簇时间维簇635344第2页/共41页【2】数据计算的基本模式与范式数据密集型计算的基本范式？数据计算的效率评估与数据计算复杂性理论？从中心化的/top-down模式转为去中心化的/自组织的计算模式？基于数据的智能：会有越来越多靠“数据的体量+简单的逻辑”的方法去解决复杂问题61第3页/共41页第四范式的科学方式几千年来科学实验数百年来模型归纳数十年来模拟仿真今天数据密集型第4页/共41页检测引擎病毒特征漏洞特征攻击特征关联规则安全，从第一范式到第四范式几千年来科学实验数百年来模型归纳数十年来模拟仿真今天数据密集型沙箱蜜罐标识检测数据密度基于记忆数据浓缩预见未来预见未来源代码源代码渗透测试事件分析漏洞挖掘地址随机模拟攻击模拟被攻击第5页/共41页群目标研究鸟群人群细胞群鱼群摘自陈雁秋香山大数据论坛的PPT第6页/共41页群目标三维跟踪发现与归纳人群在各种场合下的运动规律，有助于场地道路的优化规划。发现果蝇群、斑马鱼群、细胞群等的生物群体运动规律，有助于揭示感知认知、社会行为背后的传感与神经信息处理机理。摘自陈雁秋香山大数据论坛的PPT第7页/共41页跟踪群目标的挑战在哪里？图片摘自陈雁秋香山大数据论坛的PPT如果加大数据密度，数据量的增加会替代复杂算法的作用。第8页/共41页检测引擎病毒特征漏洞特征攻击特征关联规则安全，从第一范式到第四范式几千年来科学实验数百年来模型归纳数十年来模拟仿真今天数据密集型沙箱蜜罐标识检测数据密度基于记忆数据浓缩预见未来预见未来源代码源代码渗透测试事件分析漏洞挖掘地址随机模拟攻击模拟被攻击第9页/共41页探寻检测的逻辑模式检测的一般抽象模型检测机制检测对象检测结论检测依据检测环境检测对象类型：A系统 B数据流 C数据体 S体系第10页/共41页当前典型的微观检测步骤模式采集模式分析综合关联SOC等安全管理平台设备类安全检测产品工具类安全检测产品第11页/共41页探寻检测的真谛第12页/共41页微观检测的新步骤模式扩大浓缩精确场景基于记忆的检测方法群记忆的关键是忘记什么X觉观念：比如视觉和关注，何谓视，何谓觉认知的全程动态反馈模式对象增加空间范围扩展空间密度加大时间区间扩展时间粒度增加速度增加知识类型增多第13页/共41页检测引擎病毒特征漏洞特征攻击特征关联规则安全，从第一范式到第四范式几千年来科学实验数百年来模型归纳数十年来模拟仿真今天数据密集型沙箱蜜罐标识检测数据密度基于记忆数据浓缩预见未来预见未来源代码源代码渗透测试事件分析漏洞挖掘地址随机模拟攻击模拟被攻击第14页/共41页高端信息安全检测都是大数据问题全局预警宏观态势感知难点是看不全动态预防APT防范难点是看不见大数据中发现宏观现象大数据中发现宏观现象APT宏观态势大数据中发现微观事件大数据中发现微观事件第15页/共41页第16页/共41页EDIF，过程认识第17页/共41页D.O.S.三个平面系统平面第18页/共41页D.O.S.三个平面操作平面系统平面第19页/共41页D.O.S.三个平面数据平面操作平面系统平面第20页/共41页EDIF，DOSH数据、操作、系统、人第21页/共41页D.O.S.三个平面数据平面操作平面系统平面第22页/共41页人和角色视角数据平面操作平面系统平面围绕人的检测和秩序将所有的系统、操作、数据等等对象都与人、人群、角色等挂钩特别适合机构内部的应用和业务审计需要关键管理手段和技术ID、标签第23页/共41页D.O.S.三个平面系统平面第24页/共41页典型的系统视图第25页/共41页系统视角的典型安全工作系统网络机构网络安全保障系统漏洞和补丁系统配置网络结构梳理安全域边界整合广域大网安全治理某类系统的漏洞和补丁僵尸网络网络互联结构新挑战移动设备BYODWiFiSDN第26页/共41页D.O.S.三个平面操作平面系统平面第27页/共41页业务流第28页/共41页业务流网络结构第29页/共41页以业务为标签的梳理梳理并形成业务分解结构(BBSBiz Breakdown Structure)业务、服务、应用、功能、访问等等每个对象都依据用例思想来识别和定义为BBS中的每个对象编制ID标识和打分将所有的系统、操作、数据、人、人群、角色等等都标识上BBS标签可以对业务打分，上述对象可以进行相应的打分和计算，从而形成基于业务的量化分析和可视化展示第30页/共41页威胁场景/威胁用例/广义威胁威胁的环境Environment：前提、假设、条件等威胁的来源Agent：包括攻击者、误用者、故障源、自然（灾害）等威胁的对象Object：攻击目标和破坏对象，也就是要被保护的对象威胁的内因脆弱性Vulnerability：自身保护不当的地方威胁的过程Process威胁的途径威胁的途径RouteRoute：指威胁必须通过才能实现的一些部分。比如，要通过网络、要在物理上接近设备、要欺骗人等等。威胁的时序威胁的时序SequenceSequence：威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上，一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。威胁的结果事件Event/Incident：威胁具体实现之后所造成的结果威胁的可能性：威胁产生结果变成事件的概率。威胁的影响范围：威胁产生结果后的影响大小。以及影响进一步扩散的特性。第31页/共41页威胁流举例：APT攻击图攻击图（示意）检测攻击过程包含路径和时序攻击过程的大部分是貌似正常操作的不是所有的异常操作都能立即被检测不能保证被检测到的异常在APT过程的开始或早期第32页/共41页从事件入手到保障体系从事件入手到保障体系以事件分析和处置作为抓手落实过往3-5年至今后的持续事件分析措施高端分析团队事件报告制度事件报告、处置、应急体系技术保障日志审计类工作应用日志（邮件、访问、业务等）主机日志、终端日志、运维日志(4A堡垒机)网络审计、原始网络流留存分析、系统快照留存分析安全日志(SOC、IDS、FW日志、防病毒日志等)经过事件分析，提炼出：事件发生的因由了解哪些措施有效，哪些无效明确哪些措施是亟待落实的从而进一步在信息安全保障体系上做到精益性、有效性的提升第33页/共41页操作和过程是EDIFEDIF中最复杂的对象第34页/共41页检测引擎病毒特征漏洞特征攻击特征关联规则用结果看过程几千年来科学实验数百年来模型归纳数十年来模拟仿真今天数据密集型沙箱蜜罐标识检测数据密度基于记忆数据浓缩预见未来预见未来源代码源代码渗透测试事件分析漏洞挖掘地址随机模拟攻击模拟被攻击第35页/共41页研究宏观态势感知和预警系统几千年来科学实验数百年来模型归纳数十年来模拟仿真今天数据密集型沙箱蜜罐标识检测数据密度基于记忆数据浓缩预见未来预见未来源代码源代码宏观态势宏观事件是大集群个体事件的整体反应。面对宏观态势感知和预警问题，【第三范式+第四范式】也许是一个研究出路。第36页/共41页D.O.S.三个平面数据平面操作平面系统平面第37页/共41页数据视角数据观察数据的生命周期数化-处置-价值化-逆数化面向数据的XX就像面向对象带来的变化数据结构性所谓非结构也是某种结构显性结构和隐形结构区别于程序的结构数据质量问题数据奇思数据如何变成活体Agent化数据如何像生物一样寄生在系统之中数据的谱系(分类)第38页/共41页EDIF，DOSH数据、操作、系统、人第39页/共41页思索中微博 潘柱廷微刊 信息安全美学第40页/共41页感谢您的观看！第41页/共41页