本文探讨了大数据技术在安全分析领域的应用,强调了数据能力、高效处理、数据挖掘和可视化分析四大核心能力的重要性。文章指出,拥有并处理多维度、持续性的大数据,采用先进的挖掘技术和可视化工具,是提升安全分析效能的关键。
大数据技术在安全分析方面的能力这么强,那如果要应用这项技术,我们究竟需要什么样的能力呢?
第一,数据能力,拥有大数据是有效利用大数据技术的一个基础,而拥有大数据绝不是海量这么简单,重要的在于多维度以及持续性。刚才案例中有三类持续性的多维度数据非常重要。在安全行业,文件样本网络行为、系统漏洞、应用行为等数据都是非常关键的基础数据,如果要解决业务层面的安全同题,则需要更多的数据类型。拥有大数据才能是整个大数据技术的基础,之后提到的存储计算、数据挖掘甚至可视化等都依于数据资源。如何采用多种方式去采集数据,这是安全厂商或是用户必须重新思考的问题,在以前的安全体系中,采集的数据更多是告警,而在大数据技术线路下,对于原始的网络或终端数据,甚至业务数据的完整还原和长期保存就会显得非常重要
第二,不仅需要拥有数据,如何有效处理大数据也是非常重要的。以前的数据处理技术在大数据背景下无能为力,充分利用互联网大数据技术路线,不仅能够带来极强的处理能力,更重要的是有效降低了成本。其中在技术方案论证阶段,考察这项技术方案的成熟性以及供应商的实践经验是非常重要的。
第三,挖掘数据。挖掘数据有很多种方法,有关联分析或是机器学习。在上面的例子中,通过一个失效的样本寻找关联分析进而获得更多的线索,就是一个很好的例子。不仅如此,机器学习在安全分析中的应用越来越成熟,从最初的样本识别,到现在的流量识别,或是同源性分析等,都可以借助机器学习来完成。
第四,可视化分析。刚才的例子其实采用了可视化分析的方式,以前提到可视化时,大家看重的是展示能力,而可视化分析却常常被遗忘,这类技术其实对于安全分析有着非常重要的价值。在很多业务场景中,住往需要通过可视化方法或工具给安全分析人员足够多的空间和便利性,
针对复杂的数据进行分析,并进而了解本质和发现异常。这方面我们应该着力的去做尝试。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
