說起山石網科,很多人會為它加上“智能”的標簽。因為智能,山石網科連續兩次入圍Gartner企業防火墻魔力象限,在今年的RSA信息安全大會上,智能的元素也為它吸引來不少焦點目光。在剛剛過去的第二屆國家網絡安全宣傳周上,山石網科再一次強調其智能安全的“發現、可視、控制一體化“的安全思維模式,引領智能安全風潮。
做高性能的“盒子”同時被認為是山石網科的長項,以致于在邊界安全尤其是防火墻方面,山石網科獨樹一幟。不過在內網安全,它同樣走出了自己鮮明的路。“山石網科正通過機器學習的大數據分析保護內網安全,從而深層次的進行安全防護。”山石網科CTO劉向明近日接受ZD至頂網采訪時說。
內網的智能安全
攻擊行為分為幾個階段,從偵測、下馬、到內網搜集數據并傳出,各個階段都有攻擊行為的特征。劉向明指出,傳統大部分的防護都是集中在下馬部分,但是由于高級威脅的特性,很多時候并不能在這階段進行有效防護。
當內網已經中馬時怎么辦?“山石網科做的是基于行為的大數據分析,當惡意軟件在內網發作,對其他終端進行掃描和攻擊的時候,這時對它進行‘捕獲’。因為在這個過程中,不管是惡意內容的上傳還是攻擊行為,和正常行為并不一致,通過大數據從而可以定位內網威脅。”
山石網科對大數據的機器學習分為兩部分,第一是對惡意軟件的檢測,通過云端的學習,包括和合作伙伴的合作,收集到很多惡意軟件的網絡行為。根據這些網絡的行為形成云端的數據分析,并把結果下發到“盒子”上,通過盒子對流量的分析找到惡意軟件的行為,主要是利用全局性的數據去實現的。
第二是異常流量的分析,通過本地流量的模型運算,識別不符合企業常規流量模型的行為。據了解,山石網科采用的異異常行為分析基于歷史流量的多維度觀測,采用基線和自適應機器學習等方法,通過流量在不同維度的變化發現異常,進而使用數據回溯的方式定位攻擊來源或目的地。
未知威脅檢測引擎和異常行為檢測引擎構成了山石網科應對越來越嚴峻的內網安全風險的兩大法寶。
“通過剛提到的兩大引擎可以看出,我們把大數據分成了兩類,一類是全球的數據,一類是企業的數據。全局的共享的數據包括病毒的樣本、惡意軟件特征等是識別共性的安全威脅的重要一環。企業的或稱作局部的數據是判定個性的威脅的依據,每個公司的流量和應用情況不一樣,也就意味著日常的主機的行為不一樣,這時候安全的防護應該是情景感知的。所以將兩方面結合才能實現更全面的安全。”劉向明說。
當然,對于智能和大數據,山石網科也只走在了路上,并不是終點。劉向明說,在未知威脅上,山石網科正和越來越多的合作伙伴進行合作,包括趨勢科技、安天,網絡的廠商和云的廠商等,通過整合產業鏈和上下游增強安全的防范能力。在機器學習上,山石網科也在賦予大數據更多的能力,通過學習的算法讓機器識別更智能。據了解,在引擎上,山石網科在研發自己的沙箱技術。
主機的安全視角
應對了高級和未知威脅,保護邊界和排除內網安全隱患,如何將這些風險量化并呈現出來也是山石網科重點在關注的問題。
劉向明表示,“山石網科的理念是站在邊界上以主機的視角去看安全,無論是安全事件、流量還是應用情況都是根據主機進行記錄的。攻擊者入侵系統會基于主機產生一些行為,我們會把主機相關的流量等一系列情況呈現出來,這樣對管理員更直觀。”
通過對網絡中終端主機的行為進行分析,由于感染了變種惡意代碼的主機其應用層行為將變得異常,山石網科會根據這種異常發現變種惡意軟件。
“在山石網科的規劃中,正在做基于安全事件的取證,通過事件回溯當時及前后發生的事情,呈現事件前因后果,給用戶提供安全決策。”劉向明說。
所以,山石網科除了在技術上加快創新護航安全以外,在可視化上也更加貼合用戶,通過實時檢測和分析,讓管理人員可以隨時感知系統內部風險,直接掌握具體的威脅節點和風險程度。
京公網安備 11010502049343號