以数据为中心的网络治理SHCERT年会精简.pptx

1、1大数据热潮包装下的大数据热潮包装下的【数据数据】2大大数据数据 大价值大价值八大热点问题八大热点问题1、数据数据科学与大数据科学与大数据的学科边界的学科边界2、数据计算、数据计算的的基本模式与范式基本模式与范式3、大数据的数据变换和价值提炼、大数据的数据变换和价值提炼4、大数据、大数据特性与数据态特性与数据态5、大数据、大数据安全和隐私问题安全和隐私问题6、大数据对、大数据对IT技术架构的挑战技术架构的挑战7、大数据、大数据的应用及产业的应用及产业链链8、大、大数据的生态环境问题数据的生态环境问题2013年十项发展趋势预测年十项发展趋势预测1.数据的资源化数据的资源化2.大数据的隐私问题突出

2、大数据的隐私问题突出3.大数据与云计算等深度融合大数据与云计算等深度融合4.基于海量数据的智能基于海量数据的智能5.大数据分析的革命性方法大数据分析的革命性方法6.大数据安全大数据安全7.数据科学兴起数据科学兴起8.数据共享联盟数据共享联盟9.大数据新职业大数据新职业10.更大的数据更大的数据中国计算机学会中国计算机学会CCFCCF大数据专家委员会大数据专家委员会20122012年年1111月月3030日日 发布专家调研结果发布专家调研结果3【3 3】大数据特性与数据态大数据特性与数据态多来源多模态数多来源多模态数据：图像、视频、据：图像、视频、音频、数据流、音频、数据流、文本、网页文本、网页

3、关联关系异质、关联关系异质、结构模式复杂结构模式复杂互为因果，动态互为因果，动态变化变化关系维簇关系维簇关系维簇关系维簇三元空间大数据三元空间大数据的产生、状态感的产生、状态感知与采集知与采集柔性粒度数据传柔性粒度数据传输、移动、存储输、移动、存储与计算与计算数据空间范围和数据空间范围和数据密度的非均数据密度的非均衡态衡态空间维簇空间维簇空间维簇空间维簇数据的生命周期数据的生命周期数据的时间维状数据的时间维状态与特征态与特征流化分析、增量流化分析、增量学习、在线推荐学习、在线推荐离线与在线时效离线与在线时效性要求性要求时间维簇时间维簇时间维簇时间维簇6353444【2 2】数据计算的基本模式与

4、范式数据计算的基本模式与范式数据密集型计算的基本范式？数据密集型计算的基本范式？数据计算的效率评估与数据计算复杂性数据计算的效率评估与数据计算复杂性理论？理论？从中心化的从中心化的/top-down模式转为去中心化模式转为去中心化的的/自组织的计算模式？自组织的计算模式？基于数据的智能：会有越来越多靠基于数据的智能：会有越来越多靠“数数据的体量据的体量+简单的逻辑简单的逻辑”的方法去解决复的方法去解决复杂问题杂问题615第四范式的科学方式第四范式的科学方式几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据数据密集密集型型6检测引擎检测引

5、擎病毒特征病毒特征漏洞特征漏洞特征攻击特征攻击特征关联规则关联规则安全，从第一范式到第四范式安全，从第一范式到第四范式几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据密数据密集型集型沙箱沙箱蜜罐蜜罐标识检测标识检测数据密度数据密度基于记忆基于记忆数据浓缩数据浓缩预见未来预见未来预见未来预见未来源代码源代码源代码源代码渗透测试渗透测试事件分析事件分析漏洞挖掘漏洞挖掘地址随机地址随机模拟攻击模拟攻击模拟被攻击模拟被攻击7群目标研究群目标研究鸟群鸟群人群人群细胞群细胞群鱼群鱼群摘自陈雁秋香山大数据论坛的PPT8群目标三维跟踪群目标三维跟踪发

6、现与归纳人群在各种场发现与归纳人群在各种场合下的运动规律合下的运动规律，有助于，有助于场地道路的优化规划。场地道路的优化规划。发现果蝇群、斑马鱼群、发现果蝇群、斑马鱼群、细胞群等的生物群体运动细胞群等的生物群体运动规律规律，有助于揭示感知认，有助于揭示感知认知、社会行为背后的传感知、社会行为背后的传感与神经信息处理机理。与神经信息处理机理。摘自陈雁秋香山大数据论坛的PPT9跟踪群目标的挑战在哪里？跟踪群目标的挑战在哪里？图片摘自陈雁秋香山大数据论坛的PPT如果加大数据密度，数据量的如果加大数据密度，数据量的增加会替代复杂算法的作用。增加会替代复杂算法的作用。10检测引擎检测引擎病毒特征病毒特征

7、漏洞特征漏洞特征攻击特征攻击特征关联规则关联规则安全，从第一范式到第四范式安全，从第一范式到第四范式几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据密数据密集型集型沙箱沙箱蜜罐蜜罐标识检测标识检测数据密度数据密度基于记忆基于记忆数据浓缩数据浓缩预见未来预见未来预见未来预见未来源代码源代码源代码源代码渗透测试渗透测试事件分析事件分析漏洞挖掘漏洞挖掘地址随机地址随机模拟攻击模拟攻击模拟被攻击模拟被攻击11探寻检测的逻辑模式探寻检测的逻辑模式检测的一般抽象模型检测的一般抽象模型检测机制检测机制检测对象检测对象检测结论检测结论检测依据检测依据

8、检测环境检测环境检测对象类型：检测对象类型：A系统系统 B数据流数据流 C数据体数据体 S体系体系12当前典型的微观检测步骤模式当前典型的微观检测步骤模式采集采集模式分析模式分析综合关联综合关联SOC等安全管理平台等安全管理平台设备类安全检测产品设备类安全检测产品工具类安全检测产品工具类安全检测产品13探寻检测的真谛探寻检测的真谛14微观检测的新步骤模式微观检测的新步骤模式扩大扩大浓缩浓缩精确精确场景场景基于记忆的检测方法群基于记忆的检测方法群记忆的关键记忆的关键是忘记什么是忘记什么X X觉观念：比如视觉和关注，何谓视，何谓觉觉观念：比如视觉和关注，何谓视，何谓觉认知认知的的全程动态反馈模式全

9、程动态反馈模式对象增加对象增加空间范围扩展空间范围扩展空间密度加大空间密度加大时间区间扩展时间区间扩展时间粒度时间粒度增加增加速度速度增加增加知识类型增多知识类型增多15检测引擎检测引擎病毒特征病毒特征漏洞特征漏洞特征攻击特征攻击特征关联规则关联规则安全，从第一范式到第四范式安全，从第一范式到第四范式几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据密数据密集型集型沙箱沙箱蜜罐蜜罐标识检测标识检测数据密度数据密度基于记忆基于记忆数据浓缩数据浓缩预见未来预见未来预见未来预见未来源代码源代码源代码源代码渗透测试渗透测试事件分析事件分析漏洞挖

10、掘漏洞挖掘地址随机地址随机模拟攻击模拟攻击模拟被攻击模拟被攻击16高端信息安全检测都是大数据问题高端信息安全检测都是大数据问题全局预警全局预警宏观态势感知宏观态势感知难点是看不全难点是看不全动态预防动态预防APT防范防范难点是看不见难点是看不见大数据中发现宏观现象大数据中发现宏观现象APT宏宏观观态态势势大数据中发现微观事件大数据中发现微观事件1718EDIF，过程认识，过程认识19D.O.S.D.O.S.三个平面三个平面系统平面系统平面20D.O.S.D.O.S.三个平面三个平面操作平操作平面面系统平面系统平面21D.O.S.D.O.S.三个平面三个平面数据平面数据平面操作平操作平面面系统平

11、面系统平面22EDIF，DOSH数据、操作、系统、人数据、操作、系统、人23D.O.S.D.O.S.三个平面三个平面数据平面数据平面操作平操作平面面系统平面系统平面24人和角色视角人和角色视角数据平面数据平面操作平操作平面面系统平面系统平面围绕人的检测和秩序围绕人的检测和秩序将所有的系统、操作、将所有的系统、操作、数据等等对象都与人、数据等等对象都与人、人群、角色等挂钩人群、角色等挂钩特别适合机构内部的应特别适合机构内部的应用和业务审计需要用和业务审计需要关键管理手段和技术关键管理手段和技术ID、标签、标签25D.O.S.D.O.S.三个平面三个平面系统平面系统平面26典型的系统视图典型的系统

12、视图27系统视角的典型安全工作系统视角的典型安全工作系统系统网络网络机构网络安全保障系统漏洞和补丁系统配置网络结构梳理安全域边界整合广域大网安全治理某类系统的漏洞和补丁僵尸网络网络互联结构新挑战移动设备BYODWiFiSDN28D.O.S.D.O.S.三个平面三个平面操作平操作平面面系统平面系统平面29业务流业务流30业务流业务流网络结构网络结构31以业务为标签的梳理以业务为标签的梳理梳理并形成业务分解梳理并形成业务分解结构结构(BBSBiz Breakdown Structure)业务、服务、应用、功能、访问等等每个对象都依据用例思想来识别和定义为为BBS中的每个对象中的每个对象编制编制ID

13、标识和打分标识和打分将所有的系统、操作、数据、人、人群、角色等等都标识上BBS标签可以对业务打分，上述对象可以进行相应的打分和计算，从而形成基于业务的量化分析和可视化展示32威胁场景威胁场景/威胁用例威胁用例/广义威胁广义威胁威胁的环境威胁的环境Environment：前提、假设、条件等：前提、假设、条件等威胁的来源威胁的来源Agent：包括攻击者、误用者、故障源、自然（灾害）等：包括攻击者、误用者、故障源、自然（灾害）等威胁的对象威胁的对象Object：攻击目标和破坏对象，也就是要被保护的对象：攻击目标和破坏对象，也就是要被保护的对象威胁的内因威胁的内因脆弱性脆弱性Vulnerability

14、自身保护不当的地方：自身保护不当的地方威胁的过程威胁的过程Process威胁的途径威胁的途径RouteRoute：指威胁必须通过才能实现的一些部分。比如，要通过网络、要在物理上接近设备、要欺骗人等等。威胁的时序威胁的时序SequenceSequence：威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上，一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。威胁的结果威胁的结果事件事件Event/Incident：威胁具体实现之后所造成的结果：威胁具体实现之后所造成的结果威胁的可能性：威胁产生结果变成事件的概率。威胁的影响范围：威胁产生结果后的影响大小。以及影响进一步扩散的特性。

15、33威胁流举例：威胁流举例：APTAPT攻击攻击图图攻击图（示意）攻击图（示意）检测检测攻击过程包含路径和时序攻击过程包含路径和时序攻击过程的大部分是貌似攻击过程的大部分是貌似正常操作的正常操作的不是所有的异常操作都能不是所有的异常操作都能立即被检测立即被检测不能保证被检测到的异常不能保证被检测到的异常在在APT过程的开始或早期过程的开始或早期34从事件入手到保障体系从事件入手到保障体系以事件分析和处置作为抓手以事件分析和处置作为抓手落实落实过往过往3-5年至今后年至今后的持续事件分析的持续事件分析措施措施高端分析团队事件报告制度事件报告、处置、应急体系技术保障日志审计类工作应用日志（邮件、访

16、问、业务等）主机日志、终端日志、运维日志(4A堡垒机)网络审计、原始网络流留存分析、系统快照留存分析安全日志(SOC、IDS、FW日志、防病毒日志等)经过事件分析，提炼出：经过事件分析，提炼出：事件发生的因由了解哪些措施有效，哪些无效明确哪些措施是亟待落实的从而进一步在信息安全保障体系上做到精益性、有效性的从而进一步在信息安全保障体系上做到精益性、有效性的提升提升35操作和过程是操作和过程是EDIF中最复杂的对象中最复杂的对象36检测引擎检测引擎病毒特征病毒特征漏洞特征漏洞特征攻击特征攻击特征关联规则关联规则用结果看过程用结果看过程几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归

17、纳数十年来数十年来模拟模拟仿真仿真今天今天数据密数据密集型集型沙箱沙箱蜜罐蜜罐标识检测标识检测数据密度数据密度基于记忆基于记忆数据浓缩数据浓缩预见未来预见未来预见未来预见未来源代码源代码源代码源代码渗透测试渗透测试事件分析事件分析漏洞挖掘漏洞挖掘地址随机地址随机模拟攻击模拟攻击模拟被攻击模拟被攻击37研究宏观态势感知和预警系统研究宏观态势感知和预警系统几千年来几千年来科学科学实验实验数百年来数百年来模型模型归纳归纳数十年来数十年来模拟模拟仿真仿真今天今天数据密数据密集型集型沙箱沙箱蜜罐蜜罐标识检测标识检测数据密度数据密度基于记忆基于记忆数据浓缩数据浓缩预见未来预见未来预见未来预见未来源代码源代

18、码源代码源代码宏宏观观态态势势宏观事件是大集群个体事件的整体反应。宏观事件是大集群个体事件的整体反应。面对宏观态势感知和预警问题，面对宏观态势感知和预警问题，【第三范式第三范式+第四范式第四范式】也许是一个研究出路。也许是一个研究出路。38D.O.S.D.O.S.三个平面三个平面数据平面数据平面操作平操作平面面系统平面系统平面39数据视角数据视角数据观察数据观察数据的生命周期数据的生命周期数化-处置-价值化-逆数化面向数据的面向数据的XX就像面向对象带来的变化数据结构性数据结构性所谓非结构也是某种结构显性结构和隐形结构区别于程序的结构数据质量问题数据质量问题数据奇思数据奇思数据如何变成活体数据如何变成活体Agent化数据如何像生物一样寄生在系统之中数据的谱系数据的谱系(分类分类)40EDIF，DOSH数据、操作、系统、人数据、操作、系统、人41思索中思索中微博微博 潘柱廷潘柱廷微刊微刊 信息安全美学信息安全美学