面向信息安全的大数据分析

1、面向信息安全的大数据分析概念、过程、应用、实现议题面向安全的大数据分析实现大数据分析的基本概念面向安全的大数据分析过程面向安全的大数据分析应用大数据分析的概念定义需要新处理模式才能具有更强的决策力、洞察力和流程优化能力的海量、高增长率 和多样化的信息资产。(Gartner)所涉及的资料量规模巨大到透过目前主流软件工具，在合理时间内无法达到采集、 管理、处理、并整理成为帮助企业经营决策更积极目的的资讯。由数量巨大、结构复杂、类型众多数据构成的数据集合，是基于云计算的数据处理 与应用模式，通过数据的整合共享，交叉复用,形成的智力资源和知识服务能力。)通常用来形容个公司创造的大量非结构化和半结构化数

2、据，这些数据在下载到关 系型数据库用于分析时会花费过多时间和金钱。(著云台)特征nV 兑(Volume, Variety, Value, Velocity, Veracity)数量巨大、种类繁多(结构迥异)、跨度绵长、价值蕴藏、流转迅速、真实可靠大数据分析的应用领域大数据分析的交付模式大数据分析的般过程大数据分析的误区与黄金标准议题面向安全的大数据分析实现大数据分析的基本概念面向安全的大数据分析过程面向安全的大数据分析应用面向安全大数据分析的目标面向安全大数据分析的目标面向安全大数据分析的数据源面向安全大数据分析的数据源异常行为Web攻击DDoS僵尸网络网页篡改恶意文件安全情报态势感知安全设备

3、告警诱骗系统日志终端行为日志数据库日志操作系统日志Web访问日志网络流量日志网络行为日志DNS查询请求认证授权日志非结构数据面向安全大数据分析的行为建模面向安全大数据分析的行为建模规则类身份时间地点方式操作资源规则类1规则类2规则类3规则类4规则类5规则类6规则类7规则类8规则类n规则1实例：除中间件和admin账户外，其它任何身份的对数据库的访问都是违规的规则3实例：admin账户只能在工作时间从维护终端IP2访问数据库，其他行为都是违规的规则7实例：除了通过堡垒主机以远程桌面方式进行的更新操作，其它都是违规的面向安全大数据分析的方法事件驱动(基于线索)的分析方法面向安全大数据分析的方法事件

4、驱动(基于线索)的分析方法面向安全大数据分析的方法数据驱动(基于算法)的分析方法面向安全大数据分析的方法数据驱动(基于算法)的分析方法面向安全大数据分析的算法议题面向安全的大数据分析实现大数据分析的基本概念面向安全的大数据分析过程面向安全的大数据分析应用Webshell检测Web访问日志：User-Agents:内容简短、版本陈旧Referrer:通常没有URIs:以前没有出现过客户端行为特征:只访问某一个URI主机行为日志：创建用户、重启进程、清除磁盘空间、读取日志堡垒机日志: 审计root用户的行为聚类算法：以文件为对象，以上述属性为变量，进行聚类分析期望结果：1) 找出离群点，2) 高度怀疑该离群点代表的文件是Webshell。Web攻击行为检测僵尸主机检测僵尸主机检测DDoS攻击检测流量日志协议类型TCP flagToS(服务类型)检测算法总流量突变，超出变化趋势范围（置信区间）:出入流量占比SYN流入/FIN流出比率ICMP 请求应答比源地址/目的端口分散度TCP/UDP平均报文长度议题面向安全的大数据分析实现大数据分析