作者： 集美大学网络中心   薛芳

  当前，信息化已经成为教育行业不成或缺的臂助，作为一名本科院校掌管网络安全的技术教员，肩负的责任与使命可想而知。

从前：辨明网络威胁只能“碰气”

  当我每天面对由安全运维诞生的海量数据，内心的压力是极度大的。理论上，这些数据中隐含着潜在的网络威胁，我们必要对全网安全数据实时辰析去躲避和预警安全问题，但现实工作中，每每看到学堂每天上亿条网络安全有关数据就很头疼。想逐一分析，功夫、人力、技术等各方面前提都不允许，不去理睬又不安潜藏的问题。我只能像好多运维人员一样，不定期地导出一些数据发给各自安全设备厂商，分析后再汇总起来。但单台设备数据若是不跟资产、网络环境相互验证的话，往往也得不到什么出格有效的信息，并且时效性也很差，等分析出了局网络攻击和入侵或许已经实现。因而这种方式的安全治理时时沦为“鸡肋”，效能较低，觉察网络攻击也只能靠“碰命运”。

  现实上，在当前网安全设备相对比力丰硕的情况下，安全治理的主题问题已经逐步从建设变为使用。就像各人都以为必要更快的一匹马时，福特却发了然汽车一样，就在各人都沉浸在加人、堆设备等通例安全加固伎俩时，我校接触到了一个全新的平台RG-BDS。和传统的方式分歧，该平台借助先进的大数据技术，用“降维攻击”的方式进行安全治理，从底子上解决了“碰命运”的问题。

此刻：降维攻击”使安全态势尽现面前

   目前我校接入RG-BDS大数据安全分析平台的数据蕴含了服务器、网路设备、安全设备等44台，均匀每天的日志量在1.8亿左右，开启的基于规定类和基于经验进建类分析模型有35个。

若何用大数据做到“降维攻击“？举一个例子，4月有一次平台上报出了归并次数200万+的“网络攻击行为异常”严沉级别告警，指标为对表服务的网站群地址。

网络攻击行为异常的分析逻辑是基于经验进建，网络全网攻击日志至少4个周，绘造经验曲线并与实时曲线匹配，当超过300%阈值（可调）时触发告警1次，并不休追加统计。

经过BDS平台攻击源的统计发现重要起源于一个公网IP，类型蕴含各类web和网络攻击，验证攻击已经穿透WAF达到FW，但因没有接入服务器中央件日志，BDS平台无法感知服务器是否有异常。

经过检验确定服务器未有异常后，猜测要么是后门植入后未启动粉碎，要么是网监部门善意检测，经验证后的确为网监IP，因数字峰会在内江所以必要统一检测。

固然发现只是虚惊一场，但换个角度来看，若是这是真正的攻击且没有BDS的话，若何能从每天1.8亿的数据里检测出这几百万个相较于平凡的异常攻击并定位攻击源。这类攻击模型的确比力适合教育网站等受到常态性攻击的场景，通过相较以往的异常变量去触发告警。

大数据让“自动防御”在路上

  大数据与安全的结合可能大幅提升网络安全治理效能，去做一些之前只能存在于理论的真正的自动防护。在自动防御方面我们也梳理了具体的使用场景，但愿依附BDS去解决更多现实的问题，这里也给各人做个参考。

大数据安全分析的优化蕴含了数据的接入、尺度化以及模型的优化等，是个漫长和持续的过程，下一步会接入更多维度的数据去扩大分析方向，从而覆盖更多的安全治理场景。同时，也要针对BDS内置的模型进行学；肪称ヅ浜途级忍嵘，并有针对性地自建一些适合我校治理需要的分析模型，以进一步提高安全治理的效能。由于BDS平台壮大的职能能够比力好地支持将来的规划，利用大数据与安全的碰撞，借“降维攻击”解决安全治理效能问题，我们已经在路上。