以数据为中心的对抗CNCERT年会.pptx

1以以数据为中心是一个视角的切换数据为中心是一个视角的切换2三类信息安全核心技术三类信息安全核心技术基于密码技术的基于密码技术的基于密码技术的基于密码技术的认证加密等技术措施认证加密等技术措施认证加密等技术措施认证加密等技术措施基于攻防技术的基于攻防技术的基于攻防技术的基于攻防技术的检测技术措施检测技术措施检测技术措施检测技术措施基于风险管理思想的基于风险管理思想的基于风险管理思想的基于风险管理思想的体系化方法和措施体系化方法和措施体系化方法和措施体系化方法和措施3本文讨论的对抗本文讨论的对抗本文所论对抗的范围本文所论对抗的范围以网络系统为主要目标以网络系统为主要目标一般一定要利用网络系统一般一定要利用网络系统作为渠道和手段作为渠道和手段检测侦查和处置反击检测侦查和处置反击泛对抗泛对抗加加解密对抗解密对抗舆论对抗舆论对抗经济对抗经济对抗人才竞争人才竞争盟友战略盟友战略上面这些类型的对抗暂不上面这些类型的对抗暂不讨论讨论4检测与响应类技术的检测与响应类技术的NGNG点点安全技术安全技术知识知识传承知识传承知识特征特征态势模式态势模式应用感知应用感知即时知识即时知识环境感知环境感知动机漂移动机漂移行为行为人人空间空间时间时间态势态势宏宏-微微宏观结构宏观结构动势关系动势关系数据数据数据数据实现技术实现技术系统能力强壮强壮性能性能应用技术应用技术新应用模式新应用模式弹性弹性aaS应用环境应用环境虚拟化虚拟化移动移动/无线无线工业控制工业控制物联网物联网5第四范式的科学方式第四范式的科学方式几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据数据密集密集型型6网络系统对抗的多视角网络系统对抗的多视角网络对抗是多个网络对抗是多个IT系统群落的对抗。而系统群落的对抗。而看一个看一个IT系统群落，可以有多种视角：系统群落，可以有多种视角：如系统、如系统、操作、操作、人、人、数据（数据体、数数据（数据体、数据语义、元数据）等等。据语义、元数据）等等。近年近年的大数据热潮，提示我们多从数据的大数据热潮，提示我们多从数据视角看视角看。7实体系统视角下，对抗的典型工作实体系统视角下，对抗的典型工作系统系统网络网络机构网络安全对抗系统漏洞和补丁系统配置网络结构梳理安全域边界整合广域大网安全对抗某类系统的漏洞和补丁僵尸网络网络互联结构新挑战移动设备BYODWiFiSDN8安全域是典型的局部网络视角安全域是典型的局部网络视角9行为视角下，对抗的典型思路行为视角下，对抗的典型思路10业务流业务流网络结构网络结构11当前当前行为视角对抗的误区和难点行为视角对抗的误区和难点行为的要素行为的要素行为行为人动机空间时间、时序知识行为组行为组典型误区和难度典型误区和难度不研究人的因素不研究人的因素未知动机未知动机孤立空间位置孤立空间位置短暂时间、孤立时间短暂时间、孤立时间单一知识单一知识未考虑行为组合未考虑行为组合12威胁场景威胁场景/威胁用例威胁用例/广义威胁广义威胁威胁的环境威胁的环境Environment：前提、假设、条件等：前提、假设、条件等威胁的来源威胁的来源Agent：包括攻击者、误用者、故障源、自然（灾害）等：包括攻击者、误用者、故障源、自然（灾害）等威胁的对象威胁的对象Object：攻击目标和破坏对象，也就是要被保护的对象：攻击目标和破坏对象，也就是要被保护的对象威胁的内因威胁的内因脆弱性脆弱性Vulnerability：自身保护不当的地方：自身保护不当的地方威胁的过程威胁的过程Process威胁的途径威胁的途径RouteRoute：指威胁必须通过才能实现的一些部分。比如，要通过网络、要在物理上接近设备、要欺骗人等等。威胁的时序威胁的时序SequenceSequence：威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上，一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。威胁的结果威胁的结果事件事件Event/Incident：威胁具体实现之后所造成的结果：威胁具体实现之后所造成的结果威胁的可能性：威胁产生结果变成事件的概率。威胁的影响范围：威胁产生结果后的影响大小。以及影响进一步扩散的特性。13行为组视角：以业务为标签的梳理行为组视角：以业务为标签的梳理梳理并形成业务分解梳理并形成业务分解结构结构(BBSBiz Breakdown Structure)业务、服务、应用、功能、访问等等每个对象都依据用例思想来识别和定义为为BBS中的每个对象中的每个对象编制编制ID标识和打分标识和打分将所有的系统、操作、数据、人、人群、角色等等都标识上BBS标签可以对业务打分，上述对象可以进行相应的打分和计算，从而形成基于业务的量化分析和可视化展示14检测引擎检测引擎病毒特征病毒特征漏洞特征漏洞特征攻击特征攻击特征关联规则关联规则安全，从第一范式到第四范式安全，从第一范式到第四范式几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据密数据密集型集型沙箱沙箱蜜罐蜜罐标识检测标识检测数据密度数据密度基于记忆基于记忆数据浓缩数据浓缩预见未来预见未来预见未来预见未来源代码源代码源代码源代码渗透测试渗透测试事件分析事件分析漏洞挖掘漏洞挖掘地址随机地址随机模拟攻击模拟攻击模拟被攻击模拟被攻击15EDIF，DOSH数据、操作、系统、人数据、操作、系统、人16人和角色视角人和角色视角围绕人的检测和秩序围绕人的检测和秩序将所有的系统、操作、数将所有的系统、操作、数据等等对象都与人、人群、据等等对象都与人、人群、角色等挂钩角色等挂钩特别适合机构内部的应用特别适合机构内部的应用和业务审计需要和业务审计需要关键管理手段和技术关键管理手段和技术ID、标签、标签17EDIF，DOSH数据、操作、系统、人数据、操作、系统、人18以实体数据和内容语义为中心的以实体数据和内容语义为中心的对抗对抗数据的两个层次数据的两个层次上层数码实体中内涵的语上层数码实体中内涵的语义内容和价值义内容和价值底层以实体存在的数据底层以实体存在的数据数据的两个方面数据的两个方面内容类内容类知识知识类：这部分数据主要类：这部分数据主要会影响和控制会影响和控制IT体系体系19EDIF，DOSH数据、操作、系统、人数据、操作、系统、人20元数据视角的影子对抗元数据视角的影子对抗一切的一切都会留下元数据一切的一切都会留下元数据对抗中首先要检测和发现对抗中首先要检测和发现对方。对方。元数据检测是重要机会。元数据检测是重要机会。面向元数据的响应和反制面向元数据的响应和反制以改变元数据为目的和手以改变元数据为目的和手段段21元数据算法：地址熵元数据算法：地址熵22数据视角看检测数据视角看检测几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据密数据密集型集型数据密度数据密度基于记忆基于记忆数据浓缩数据浓缩源代码源代码源代码源代码23当前典型的微观检测步骤模式当前典型的微观检测步骤模式采集采集模式分析模式分析综合关联综合关联SOC等安全管理平台等安全管理平台设备类安全检测产品设备类安全检测产品工具类安全检测产品工具类安全检测产品24探寻检测的真谛探寻检测的真谛25微观检测的新步骤模式微观检测的新步骤模式扩大扩大浓缩浓缩精确精确场景场景基于记忆的检测方法群基于记忆的检测方法群记忆的关键记忆的关键是忘记什么是忘记什么X X觉观念：比如视觉和关注，何谓视，何谓觉觉观念：比如视觉和关注，何谓视，何谓觉认知认知的的全程动态反馈模式全程动态反馈模式对象增加对象增加空间范围扩展空间范围扩展空间密度加大空间密度加大时间区间扩展时间区间扩展时间粒度时间粒度增加增加速度速度增加增加知识类型增多知识类型增多26群目标研究群目标研究鸟群鸟群人群人群细胞群细胞群鱼群鱼群摘自陈雁秋香山大数据论坛的PPT27群目标三维跟踪群目标三维跟踪发现与归纳人群在各种场发现与归纳人群在各种场合下的运动规律合下的运动规律，有助于，有助于场地道路的优化规划。场地道路的优化规划。发现果蝇群、斑马鱼群、发现果蝇群、斑马鱼群、细胞群等的生物群体运动细胞群等的生物群体运动规律规律，有助于揭示感知认，有助于揭示感知认知、社会行为背后的传感知、社会行为背后的传感与神经信息处理机理。与神经信息处理机理。摘自陈雁秋香山大数据论坛的PPT28跟踪群目标的挑战在哪里？跟踪群目标的挑战在哪里？图片摘自陈雁秋香山大数据论坛的PPT如果加大数据密度，数据量的如果加大数据密度，数据量的增加会替代复杂算法的作用。增加会替代复杂算法的作用。29以数据为中心的对抗以数据为中心的对抗数据及其算法数据及其算法熵熵地址熵（面向DDoS发现）周期性周期性网络连接包的周期性统计统计性规律性规律？IT系统和安全语义系统和安全语义离散度离散度(负集中度负集中度)网络访问地址的大规模选择的集中度周期性周期性某种弱智计算体的心跳连接行为常态模式行为常态模式行为异常行为异常风暴前夜风暴前夜以数据为中心的以数据为中心的对抗对抗，就是就是一切都围绕数据及其特性进行的一切都围绕数据及其特性进行的对抗分析、策划和实施。对抗分析、策划和实施。30大大数据数据 大价值大价值八大热点问题八大热点问题1、数据数据科学与大数据科学与大数据的学科边界的学科边界2、数据计算、数据计算的的基本模式与范式基本模式与范式3、大数据的数据变换和价值提炼、大数据的数据变换和价值提炼4、大数据、大数据特性与数据态特性与数据态5、大数据、大数据安全和隐私问题安全和隐私问题6、大数据对、大数据对IT技术架构的挑战技术架构的挑战7、大数据、大数据的应用及产业的应用及产业链链8、大、大数据的生态环境问题数据的生态环境问题2013年十项发展趋势预测年十项发展趋势预测1.数据的资源化数据的资源化2.大数据的隐私问题突出大数据的隐私问题突出3.大数据与云计算等深度融合大数据与云计算等深度融合4.基于海量数据的智能基于海量数据的智能5.大数据分析的革命性方法大数据分析的革命性方法6.大数据安全大数据安全7.数据科学兴起数据科学兴起8.数据共享联盟数据共享联盟9.大数据新职业大数据新职业10.更大的数据更大的数据中国计算机学会中国计算机学会CCFCCF大数据专家委员会大数据专家委员会20122012年年1111月月3030日日 发布专家调研结果发布专家调研结果31思索中思索中微博微博 潘柱廷潘柱廷微刊微刊 信息安全美学信息安全美学