流量感知化

安全的最大問題不是防御能力不足，遲鈍的感知能力才是關鍵。組織機構僅依靠安全防御手段是遠遠不夠的。然而，再高級的攻擊，都會留下網絡痕跡，因此，科來提出了全流量安全分析：全流量檢測+全流量存儲。采用行為和流分析，檢測異常行為，歷史流量關聯，攻擊溯源取證。

圖1 科來 齊繼東

科來公司的齊繼東表示，全流量安全分析的核心功能為異常檢測、流量存儲和回溯分析。其中，異常檢測是當發現可疑通訊時，系統提供實時警報，科來全流量安全分析系統內置600多條網絡行為模型庫快速檢測可疑通訊行為，通過多種條件組合專門針對高級攻擊的持續性、隱蔽性。可疑通訊行為包括高級攻擊（APT）、異常流量和網絡入侵、WEB攻擊。該系統支持150種以上元數據（會話元數據以及協議元數據）提取，支持自定義提取，自定義建模。

圖2 科來大數據安全態勢感知體系架構

而在流量存儲方面，能夠將當前檢測到的攻擊行為與歷史流量進行關聯，實現完整的攻擊溯源和取證分析。特點是2-7層流量透視，直至數據包級，基于IP、協議的自定義流量存儲，大于50% 數據壓縮能力。

Gartner的報告，表示信息安全問題正在變成一個大數據分析問題。科來大數據安全態勢感知平臺的功能包括全流量數據采集、數據關聯分析、業務運行監控、攻擊溯源取證、網絡流量可視化和安全事件響應。

齊繼東表示，大數據安全態勢感知平臺基于科來全流量分析引擎采集數據，采用大數據分布式存儲和計算架構利用安全分析模型、機器學習、關聯分析的方法，發現未知威脅、提高檢測能力，快速分析研判、減少響應時間，數據全量留存、滿足合規要求，安全態勢感知、幫助高效決策。