作者： 集美大学网络中心   薛芳

  当前，，，，，，信息化已经成为教育行业不成或缺的臂助，，，，，，作为一名本科院校掌管网络安全的技术教员，，，，，，肩负的责任与使命可想而知。。。。。。。

从前：辨明网络威胁只能“碰气”

  当我每天面对由安全运维诞生的海量数据，，，，，，内心的压力是极度大的。。。。。。。理论上，，，，，，这些数据中隐含着潜在的网络威胁，，，，，，我们必要对全网安全数据实时辰析去躲避和预警安全问题，，，，，，但现实工作中，，，，，，每每看到学堂每天上亿条网络安全有关数据就很头疼。。。。。。。想逐一分析，，，，，，功夫、人力、技术等各方面前提都不允许，，，，，，不去理睬又不安潜藏的问题。。。。。。。我只能像好多运维人员一样，，，，，，不定期地导出一些数据发给各自安全设备厂商，，，，，，分析后再汇总起来。。。。。。。但单台设备数据若是不跟资产、网络环境相互验证的话，，，，，，往往也得不到什么出格有效的信息，，，，，，并且时效性也很差，，，，，，等分析出了局网络攻击和入侵或许已经实现。。。。。。。因而这种方式的安全治理时时沦为“鸡肋”，，，，，，效能较低，，，，，，觉察网络攻击也只能靠“碰命运”。。。。。。。

  现实上，，，，，，在当前网安全设备相对比力丰硕的情况下，，，，，，安全治理的主题问题已经逐步从建设变为使用。。。。。。。就像各人都以为必要更快的一匹马时，，，，，，福特却发了然汽车一样，，，，，，就在各人都沉浸在加人、堆设备等通例安全加固伎俩时，，，，，，我校接触到了一个全新的平台RG-BDS。。。。。。。和传统的方式分歧，，，，，，该平台借助先进的大数据技术，，，，，，用“降维攻击”的方式进行安全治理，，，，，，从底子上解决了“碰命运”的问题。。。。。。。

此刻：降维攻击”使安全态势尽现面前

   目前我校接入RG-BDS大数据安全分析平台的数据蕴含了服务器、网路设备、安全设备等44台，，，，，，均匀每天的日志量在1.8亿左右，，，，，，开启的基于规定类和基于经验进建类分析模型有35个。。。。。。。

若何用大数据做到“降维攻击“？？？？？？举一个例子，，，，，，4月有一次平台上报出了归并次数200万+的“网络攻击行为异常”严沉级别告警，，，，，，指标为对表服务的网站群地址。。。。。。。

网络攻击行为异常的分析逻辑是基于经验进建，，，，，，网络全网攻击日志至少4个周，，，，，，绘造经验曲线并与实时曲线匹配，，，，，，当超过300%阈值（可调）时触发告警1次，，，，，，并不休追加统计。。。。。。。

经过BDS平台攻击源的统计发现重要起源于一个公网IP，，，，，，类型蕴含各类web和网络攻击，，，，，，验证攻击已经穿透WAF达到FW，，，，，，但因没有接入服务器中央件日志，，，，，，BDS平台无法感知服务器是否有异常。。。。。。。

经过检验确定服务器未有异常后，，，，，，猜测要么是后门植入后未启动粉碎，，，，，，要么是网监部门善意检测，，，，，，经验证后的确为网监IP，，，，，，因数字峰会在内江所以必要统一检测。。。。。。。

固然发现只是虚惊一。。。。。。。，，，，，但换个角度来看，，，，，，若是这是真正的攻击且没有BDS的话，，，，，，若何能从每天1.8亿的数据里检测出这几百万个相较于平凡的异常攻击并定位攻击源。。。。。。。这类攻击模型的确比力适合教育网站等受到常态性攻击的场景，，，，，，通过相较以往的异常变量去触发告警。。。。。。。

大数据让“自动防御”在路上

  大数据与安全的结合可能大幅提升网络安全治理效能，，，，，，去做一些之前只能存在于理论的真正的自动防护。。。。。。。在自动防御方面我们也梳理了具体的使用场景，，，，，，但愿依附BDS去解决更多现实的问题，，，，，，这里也给各人做个参考。。。。。。。

大数据安全分析的优化蕴含了数据的接入、尺度化以及模型的优化等，，，，，，是个漫长和持续的过程，，，，，，下一步会接入更多维度的数据去扩大分析方向，，，，，，从而覆盖更多的安全治理场景。。。。。。。同时，，，，，，也要针对BDS内置的模型进行学堂唬唬唬；；；肪称ヅ浜途级忍嵘，，，，，并有针对性地自建一些适合我校治理需要的分析模型，，，，，，以进一步提高安全治理的效能。。。。。。。由于BDS平台壮大的职能能够比力好地支持将来的规划，，，，，，利用大数据与安全的碰撞，，，，，，借“降维攻击”解决安全治理效能问题，，，，，，我们已经在路上。。。。。。。