作者： 集美大學網絡中心   薛芳

  當前，信息化已經成為教育行業不可或缺的臂助，作為一名本科院校負責網絡安全的技術老師，肩負的責任與使命可想而知。

過去：辨明網絡威脅只能“碰氣”

  當我每天面對由安全運維誕生的海量數據，內心的壓力是非常大的。理論上，這些數據中隱含著潛在的網絡威脅，我們需要對全網安全數據實時分析去規避和預警安全問題，但實際工作中，每每看到學校每天上億條網絡安全相關數據就很頭疼。想一一分析，時間、人力、技術等各方面條件都不允許，不去理會又擔心潛藏的問題。我只能像很多運維人員一樣，不定期地導出一些數據發給各自安全設備廠商，分析后再匯總起來。但單臺設備數據如果不跟資產、網絡環境互相驗證的話，往往也得不到什么特別有用的信息，而且時效性也很差，等分析出結果網絡攻擊和入侵或許已經完成。因此這種方式的安全管理常常淪為“雞肋”，效率較低，察覺網絡攻擊也只能靠“碰運氣”。

  實際上，在當前網安全設備相對比較豐富的情況下，安全管理的核心問題已經逐步從建設變為使用。就像大家都認為需要更快的一匹馬時，福特卻發明了汽車一樣，就在大家都沉浸在加人、堆設備等常規安全加固手段時，我校接觸到了一個全新的平臺RG-BDS。和傳統的方式不同，該平臺借助先進的大數據技術，用“降維攻擊”的方式進行安全管理，從根本上解決了“碰運氣”的問題。

現在：降維攻擊”使安全態勢盡現眼前

   目前我校接入RG-BDS大數據安全分析平臺的數據包括了服務器、網路設備、安全設備等44臺，平均每天的日志量在1.8億左右，開啟的基于規則類和基于經驗學習類分析模型有35個。

如何用大數據做到“降維攻擊“？舉一個例子，4月有一次平臺上報出了歸并次數200萬+的“網絡攻擊行為異常”嚴重級別告警，目標為對外服務的網站群地址。

網絡攻擊行為異常的分析邏輯是基于經驗學習，收集全網攻擊日志至少4個周，繪制經驗曲線并與實時曲線匹配，當超過300%閾值（可調）時觸發告警1次，并不斷追加統計。

經過BDS平臺攻擊源的統計發現主要來源于一個公網IP，類型包括各種web和網絡攻擊，驗證攻擊已經穿透WAF到達FW，但因沒有接入服務器中間件日志，BDS平臺無法感知服務器是否有異常。

經過查驗確定服務器未有異常后，猜測要么是后門植入后未啟動破壞，要么是網監部門善意檢測，經驗證后確實為網監IP，因數字峰會在福州所以需要統一檢測。

雖然發現只是虛驚一場，但換個角度來看，如果這是真正的攻擊且沒有BDS的話，如何能從每天1.8億的數據里檢測出這幾百萬個相較于往常的異常攻擊并定位攻擊源。這類攻擊模型確實比較適合教育網站等受到常態性攻擊的場景，通過相較以往的異常變量去觸發告警。

大數據讓“主動防御”在路上

  大數據與安全的結合能夠大幅提升網絡安全管理效率，去做一些之前只能存在于理論的真正的主動防護。在主動防御方面我們也梳理了具體的使用場景，希望依靠BDS去解決更多實際的問題，這里也給大家做個參考。

大數據安全分析的優化包括了數據的接入、標準化以及模型的優化等，是個漫長和持續的過程，下一步會接入更多維度的數據去擴大分析方向，從而覆蓋更多的安全管理場景。同時，也要針對BDS內置的模型進行學校環境匹配和精準度提升，并有針對性地自建一些適合我校管理需求的分析模型，以進一步提高安全管理的效率。由于BDS平臺強大的功能可以比較好地支撐未來的規劃，利用大數據與安全的碰撞，借“降維攻擊”解決安全管理效率問題，我們已經在路上。