“之前的可视,更多的是基于80、443等端口号和诸如DPI、post等特征码,但如果是加密流量,如果没有特征码呢?所以我们更多的是基于用户的行为,比如时间分布、报文长度、到达次序等,再通过贝叶斯、决策树等分类算法进行分类,从而实现对用户行为的分析以及学习。”苏长君说。
可视化就像在网络上安了摄像头
“可视化技术的核心理念是通过提高网络自身免疫力,让业务系统兼具自适应的防御和修复风险的能力,从而让业务安全可视、可管、可控。”苏长君说,就像人体免疫系统中涉及不计其数的细胞、特殊物质及器官之间的高度纷繁复杂的相互作用,是人体随时处于战备状态,一旦有病菌侵入身体,就会迅速发现并将其驱逐出去。
此前,苏长君曾私下和一些从事网络黑色产业的团队做过交流。他们认为这个可视化体系就像在网络各个位置安全装了摄像头,让黑客的潜伏路径更容易被发现,其网络内部的安全弱点也更容易暴露,而且入侵事后也更容易被追溯和取证。
中国工程院院士倪光南表示,信息安全必须自主可控,自主可控时,信息安全容易治理,产品和服务一般不存在恶意后门,并能不断改进或修补漏洞。因此,我国必须推进国产化战略,在对网络安全起重大作用的信息基础设施和信息关键核心技术等方面,实行国产化替代。无疑,可视化安全领域是其中一个重要方面。
———— 延伸阅读 ————
网络安全亟须发现攻击看见威胁
网络上制造威胁,进行攻击的人总希望自己永远不会被发现,安全防御的一方总是希望能够透视整个网络,明察秋毫,及时发现与抵御乃至消灭威胁的发生。
“因此,我们所面临的所有网络攻击都是隐藏的,未知的,不想让人发现的。而发现攻击,看见威胁,正是有效防护网络安全的基础,隐匿与发现是网络攻击与安全防御之间永恒的较量。”公安部信息安全等级保护评估中心主任张宇翔说。
张宇翔认为,如何见,见什么?是网络安全所要解决的问题。没有核心技术的网络安全其实好比在别人的墙基上砌房子,而实际情况更糟糕,好像是在别人的院子里盖房子,你的一举一动一言一行,昭昭然尽收他人眼底。
“随着新的攻击方式和手段出现,攻击常常混杂在常规的流量中,从外及内,防不胜防。发现与看见的安全能力需求迫在眉睫。”张宇翔说。
在苏长君看来,可视化网络安全技术根本在于客户的需求。“有贼我知道,但抓出来一个看看”,这是客户经常抱怨的,往往是买了一堆安全设备,可是安全事件经常发生,出了安全事件什么也找不到,其原因就是客户没有一个基于安全视角的可视化网络平台。
“再就是对国际网络安全趋势的把握。”苏长君说,在2016年网络安全RSA大会上,业界一致认为单一的静态的安全加固技术不能解决问题,需要构建一套安全自适应防御体系,而可视化技术正是这个体系中的关键点之一。(付丽丽)
(责编:王艺锭、熊旭)