无中生有-基于骨干网全量应用识别威胁情报基础数据采集-孙朝晖.pdf

无中生有 基于骨干网全量应用识别的威胁情报基础数据采集 北京派网软件有限公司 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. RSA总裁Amit Yoran 人们身处黑暗之中都会产生恐惧，因 为当看不清周围的环境，却能听到声 响或人影晃动时，人们将无法判断其 中是否潜在着一些危险，这就像今天 信息安全产业所面临的一个状态。 我们需要一张新的“地图”。这张“地图”一方面不依赖于预先 保护机制；一方面强调普遍的可视性；一方面可以很好地进行身 份认证和识别，掌握来自外部的威胁情报；一方面又能基于业务 的重要级别，进行安全资源的优化部署。 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 2 威胁情报获取的难题？ Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 3 威胁情报关键能力建设  在互联网应用的推动下，从IP为实体的三层感知进化为应用为实体的七层感 知，威胁情报理念发展的必然趋势。稳定的存储检索、准确的清洗、标签和关 联知识库则是分析能力的基础，它们的表现直接决定了结果的有效性。 感知能力 分析能力 应用感知 关联知识库 攻击感知 标签知识库 Session感知 清洗知识库 IP感知 存储检索 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 4 感知有多难 Copyright © 2014 Panabit and/or its affiliates. All rights reserved. Page 5 技术链条  没有互联网的飞速发展，就没有威胁情报，数据量猛增是互联网发展所带来的必然 结果，准确及时的大数据分析是掌握网络运行状况和控制网络用户行为的有效手段。 分析 日志清洗 关联分析 客户响应 数据获取 完整 准确 及时 有效  速度：超高处理  内容无关：规整 态势分析 ：运行  身份定位：实体 性能适应互联网带 合并、垃圾过滤 状况、应用预警 客户与网络身份映射 宽发展趋势  内容相关：数据 经营分析：成本  到达手段：上门  广度：通达第七 标签化、摘要常态 利润、资源引入、 服务、电话、短信、 层，关键信息一个 化 聚类客户评价、 潜 Web信息、微信、 都不能少 在客户挖掘 QQ等  存储优化 Copyright © 2014 Panabit and/or