华为:基于大数据分析的全网安全协防

2014年12月28日

基于大数据分析的全网安全协防

 

 

 

什么叫敏捷?敏捷意味着:快、灵活。

围绕着业界移动化、云计算、社交媒体、大数据、物联网等新兴业务的发展,未来的网络对于实时性、移动化、可扩展性和体验保障都有了更高的要求。如何快速应对新业务给网络带来的挑战,如何解决现有网络遗留的问题,都是华为敏捷网络解决方案关注的重点。

本期将探讨如何用大数据分析的方式来做全网安全协防。

1. 大数据分析

大数据是近年来非常热门的一个领域,已经超过了SDN(Software Define Networking,软件定义网络)。它实际上是指大数据分析。

在传统领域中,我们做分析的时候,一般是用因果理论去推导。例如:某人饿了,我们推理他可能没吃饭。但大数据分析的推理是没有因果关系的。它就是基于一堆数据预测和分析结果,可能从理论层面无法解释,但是确实可以预测未来。

《大数据》里讲了一个例子。GOOGLE曾经准确的预测了流感的发生。当时,美国发生了一种特殊的流感,医疗部门试图去收集患者信息,并进行预测和防治。但是,流感还是蔓延开了。而GOOGLE在医疗部门之前就已经预知了流感的蔓延趋势,因为当时疑似的患者往往会去网上搜索与类似症状相关的词和对症的药品,因此,GOOGLE得以收集大量的信息和数据,然后进行了全数据的分析,在第一时间感知并提前预测了流感的发生和蔓延。两三周以后,卫生部的统计出来了,人们惊讶的发现,在卫生部的报告中,疾病蔓延的顺序,及其它各方面的描述都和GOOGLE的预测完全一致。

《大数据》里还讲了另一个例子。有位做数据挖掘的科学家,当他弟弟在美国结婚时,他要买机票从旧金山到美国东部去。他希望买到更便宜的机票,所以提前了好几个月就买了机票。上了飞机以后,在和邻座聊天时他惊奇的发现,邻座仅仅提前了几天订的机票居然比自己的还要便宜。按一般的逻辑,应该是订票时间越早越便宜。为什么会这样呢?后来这位科学家研发了一套分析软件,用来分析什么时间购买机票是最合适的。他通过大量的数据分析证实,70%的几率下在某个时间点去购买机票将会是最便宜的。这个软件迅速的声名鹊起,并被某大公司收购了。这个软件的预测准确率非常高,但却没有任何道理,就只是把所有航空公司的数据放进来,然后选定某个航空公司,就可以得出恰到好处可以购买最便宜机票的时间点。

这就是大数据分析的魅力,没有业务关系,没有因果关系,但得出的结果往往是正确的。

为什么在过去的几十年里没有办法实现大数据分析呢?因为数据量过于庞大,信息存储、数据计算这些都需要计算和存储资源的支持。这在过去是没有办法支撑的。大数据给整个行业带来的变化是什么呢?首先是改变最大的是数据库,传统的关系型数据库已经不适用了,需要新的数据库类型。由于数据中间推论的因果关系,传统的数据库取数据是需要同步的,而现在大数据没有因果关系,因此也不需要取数据的同步,这对数据库领域带来了不一样的诉求。但大数据对网络、存储、计算等基本IT架构的改变还没有那么多。大数据对网络领域的意义在于借鉴大数据分析的思想,应用这种技术到网络里面去帮助IT管理人员预测未来。比如说,可以预测出网络里面什么时候可能发生故障,可以预测网络的流量在什么时候可能发生陡增。

2. 物联网

除了大数据之外,物联网也是一个非常热门的词,以前叫M2M(machine to machine),后来改成internet of things(IOT),最后又改成internet of everything(IOE)。未来物联网会把一切都连接起来,进而将来可能很多大数据就会被统一收集,并进行分析,因而物联网、大数据这些领域都是具备关联性的。物联网对网络的挑战主要是带宽、可靠性和安全性,随着接入节点的膨胀,网络中的带宽肯定会增大。而更重要的可靠和安全性主要是指数据传输管道的安全。

美国市场曾经做过一个报告。在美国现有的物联网中遭受攻击最多的设施是自来水厂,并曾经因攻击引起过事故。因为物联网和工业控制相关性很大,而且多数是和民生相关的,所以它的安全问题尤其重要。假如自来水厂的计算系统被入侵和攻击,入侵者可能会把脏水和生活用水甚至饮用水混到一起,这是非常可怕的事情!

3. 敏捷网络创新之二:全网安全协防——用大数据分析的方法来保护你的大数据和大数据网络

首先我们来看一个故事:某人在家里呆着,突然有人敲门,开门之后,敲门者说是送快递的,走错门了。如果户主不认识敲门者,可能觉得他是真的走错门了,关门了事。但这个敲门者又挨家挨户的去敲其他人家的门。当他遇到没有主人在家的时候,就撬门行窃。

在这个例子中,每个户主坐在自己家里的时候,都会认为敲门者的行为是正常的。但是如果站在整个小区的高度来看,作为安防人员,看小区所有的监控画面,就会及时发现这是异常行为,有着潜在的安全威胁。

这个例子充分说明了从全网的视角出发和从单点出发,它们所能发现的安全风险是不一样的。从全网的视角出发更能够发现一些潜在的威胁。

在《业务随行》那篇文章里面我们探讨了把SDN的架构引入园区,在园区中增加了Controller做集中管理和控制优化。既然有了Controller,这意味着实际上我们已经可以从全网角度出发来看整个企业园区网络。为什么不更近一步的用大数据分析的方法来发现一些潜在的威胁呢?于是华为就创新性的在Controller上集成了一个安全行为分析软件。其实,安全行为分析这类软件在业界已有成熟的产品。例如,在国内的医院行业就有成熟的应用。在医院应用的初衷,是分析审计医院工作人员是否有窃取病患私人信息用于盈利的行为。信息盗窃者出于牟利的目的,窃取患者的身份证、电话号码、住址、职业、收入情况等信息作为资源按条计价出售,而医院使用这类软件的目的就是要分析哪些行为是正常的工作浏览行为,哪些行为可能是偷窃病患信息的行为,进而根据分析结果展开进一步调查。

从上述例子中我们可以看出这类软件最重要的是如何识别异常行为的规则,而软件本身只是一个平台,必须要先定义合理的规则才能正常工作。这种规则肯定不能由不熟悉业务的IT厂商定义,而是要由熟知业务的客户或合作伙伴完成。

华为将安全行为分析软件集成到Controller中,通过搜集全网各类设备的日志信息,记录全网的各类安全事件,进而分析并发现一些以前从单点出发的视角不能发现的潜在威胁或攻击。再通过交互界面呈现给管理员,并产生告警。管理员再对安全风险进行防御。管理员也可以在Controller预定义一些策略或者动作。例如,将可疑流量引流到安全中心去进行清洗。这样可以降低管理人员的维护工作量,整个系统也可以更加安全的运行。

大数据分析还有一点非常重要的,就是实时性。

去年年底有个“爆头哥”事件被各大媒体所关注。犯罪分子在中国的大城市,对受害人枪击致死并进行抢劫。案发之后,警方为了找到他的逃跑路线,为了找到他最清晰的照片来发通缉令,调取了案发区域和周边所有摄像头拍摄的监控录像,并调动了大量的警力来分析。整整用了两周时间才找到一张清晰的照片,发布通缉令,而此时犯罪分子早已逃跑了。

还有一个例子是某企业的网络出现了安全事故。事后进行回顾总结时发现,如果当时根据当事人的证言和被攻击设备及其周边设备的日志进行分析,是能够发现一些蛛丝马迹的。但这些线索为什么不能当场发现呢?最重要的原因是数据量太大了,管理员难以在短期内审视网络中所有的日志,并分析其中的关联。

但是,如果使用了大数据的方法,公安部门就可以立即把罪犯“爆头哥”的信息第一时间分析出来。可以在罪犯逃跑之前第一时间发现,在各个路口部署警力控制住罪犯。同样地,大数据的方法也可以立即把网络安全攻击事件分析出来,第一时间发现网络安全问题,甚至提前发现隐患,从而及时的阻止安全事故的发生。这就是大数据分析的魅力!

全网安全协防--用大数据分析的方法来保护大数据和大数据网络。

华为的敏捷交换机支持下一代防火墙业务板,而下一代防火墙业务板具备了IPS/IDS/ Anti-DDoS等多种安全功能。这意味着在汇聚层的敏捷交换机上就能分析出各种安全事件。

我们先看一个例子。在网络运行过程中发现汇聚层敏捷交换机的某些端口,由于受到DDoS攻击的原因,流量突然增大。当流量增大到一个阈值,交换机就会把告警信息传送到Controller。而Controller的安全行为分析模块预设了对可疑流量进行引流的规则,在得到告警后,Controller将引流的策略路由下发到对应的汇聚交换机,然后把可疑流量引流到安全中心,完成DDoS流量清洗,清洗之后再送回原来的汇聚交换机。这样,攻击就无法像传染病一样蔓延到网络的其它地方。当然,除了引流也可以配置其他策略,例如直接丢弃。

上述例子中,我们也可以第一步将告警呈现给管理员,第二步是由管理员配置一些处理的策略。这是考虑到预先设定策略并自动执行会比较危险。因为如果策略定错了就会导致网络异常,而这种人为造成的异常往往难以定位。所以让管理员定义一些简单的策略来做处理。在未来实现了网络自动化的前提下,对一些常见攻击,如DDoS攻击,可以采取很成熟的系统自动生成的策略。系统自动发现可疑流量,自动下发策略把流量引到安全中心,或者是直接把攻击流量丢弃。这样,我们就可以通过网络管理自动化,提升效率,降低IT成本。我们相信,网络管理最终会逐步走向自动化的,就象目前计算机、工业控制领域正在走向自动化一样。

再看一个例子,华为还有一项用于安全检测的沙箱技术。它就像一个病毒培养皿,可以模拟LINUX、Windows、Android、IOS等环境。当IT管理人员发现可疑应用和潜在威胁的时候,可以将它放到模拟环境里面(沙箱)运行,并观测它的各种行为。如果它去攻击了某项应用,模拟环境就会产生告警。由此,管理者可以判断可疑应用是否存在潜在的攻击性或者危险性,并可以提前做预防工作。在网络中,我们可以配置防火墙单板在发现潜在威胁时,复制一份到沙箱进行自动观测、自动分析,然后自动告警。这样就可以把初级阶段的安全威胁找出来,从而更好地保护我们的网络。

在上面的所有例子中都可以看到,Controller是非常重要的。一般常见的防火墙可以做基本的威胁防护,但这还不够,对于有着合法登录权限的管理员也需要做相应的防护。我们知道,管理员掌握了整个网络的最高权限,无论是误操作或配置,还是蓄意破坏,其负面影响都是非常巨大的。因此,针对管理员要有相应的审计手段。华为能够提供这样的管理员行为审计软件。它不仅记录管理员操作的命令,而且会像录像机一样记录管理员的所有动作。所有记录都无法删除,用于事后审计。例如,管理员输入一条Display Interface1/0/0命令。传统日志里只会记录这一条命令,但是行为审计软件不但会记录命令,还会记录使用这条命令看到的所有信息。

4. 总结

华为全网安全协防是华为敏捷网络的第二个创新。它用大数据分析的方法来保护大数据和大数据网络。这意味着IT管理员可以从整网的高度来观测网络中潜在的安全风险和威胁,通过引流、丢弃等策略和手段将威胁排除,从而更好的保护用户数据和网络。

来源:烟台三和网络系统有限公司
烟台三和网络系统有限公司
王钢
经营模式 :
经销批发
所在地区 :
山东省 烟台市 芝罘区 芝罘屯路12号科技市场115室

地址:山东烟台科技市场115室

Tel:(86) 0535-6655824

Fax:(86)0535-6666862

https://www.rj45.com.cn