華為:基于大數據分析的全網安全協防

2014年12月28日

基于大數據分析的全網安全協防

 

 

 

什么叫敏捷?敏捷意味著:快、靈活。

圍繞著業界移動化、云計算、社交媒體、大數據、物聯網等新興業務的發展,未來的網絡對于實時性、移動化、可擴展性和體驗保障都有了更高的要求。如何快速應對新業務給網絡帶來的挑戰,如何解決現有網絡遺留的問題,都是華為敏捷網絡解決方案關注的重點。

本期將探討如何用大數據分析的方式來做全網安全協防。

1. 大數據分析

大數據是近年來非常熱門的一個領域,已經超過了SDN(Software Define Networking,軟件定義網絡)。它實際上是指大數據分析。

在傳統領域中,我們做分析的時候,一般是用因果理論去推導。例如:某人餓了,我們推理他可能沒吃飯。但大數據分析的推理是沒有因果關系的。它就是基于一堆數據預測和分析結果,可能從理論層面無法解釋,但是確實可以預測未來。

《大數據》里講了一個例子。GOOGLE曾經準確的預測了流感的發生。當時,美國發生了一種特殊的流感,醫療部門試圖去收集患者信息,并進行預測和防治。但是,流感還是蔓延開了。而GOOGLE在醫療部門之前就已經預知了流感的蔓延趨勢,因為當時疑似的患者往往會去網上搜索與類似癥狀相關的詞和對癥的藥品,因此,GOOGLE得以收集大量的信息和數據,然后進行了全數據的分析,在第一時間感知并提前預測了流感的發生和蔓延。兩三周以后,衛生部的統計出來了,人們驚訝的發現,在衛生部的報告中,疾病蔓延的順序,及其它各方面的描述都和GOOGLE的預測完全一致。

《大數據》里還講了另一個例子。有位做數據挖掘的科學家,當他弟弟在美國結婚時,他要買機票從舊金山到美國東部去。他希望買到更便宜的機票,所以提前了好幾個月就買了機票。上了飛機以后,在和鄰座聊天時他驚奇的發現,鄰座僅僅提前了幾天訂的機票居然比自己的還要便宜。按一般的邏輯,應該是訂票時間越早越便宜。為什么會這樣呢?后來這位科學家研發了一套分析軟件,用來分析什么時間購買機票是最合適的。他通過大量的數據分析證實,70%的幾率下在某個時間點去購買機票將會是最便宜的。這個軟件迅速的聲名鵲起,并被某大公司收購了。這個軟件的預測準確率非常高,但卻沒有任何道理,就只是把所有航空公司的數據放進來,然后選定某個航空公司,就可以得出恰到好處可以購買最便宜機票的時間點。

這就是大數據分析的魅力,沒有業務關系,沒有因果關系,但得出的結果往往是正確的。

為什么在過去的幾十年里沒有辦法實現大數據分析呢?因為數據量過于龐大,信息存儲、數據計算這些都需要計算和存儲資源的支持。這在過去是沒有辦法支撐的。大數據給整個行業帶來的變化是什么呢?首先是改變最大的是數據庫,傳統的關系型數據庫已經不適用了,需要新的數據庫類型。由于數據中間推論的因果關系,傳統的數據庫取數據是需要同步的,而現在大數據沒有因果關系,因此也不需要取數據的同步,這對數據庫領域帶來了不一樣的訴求。但大數據對網絡、存儲、計算等基本IT架構的改變還沒有那么多。大數據對網絡領域的意義在于借鑒大數據分析的思想,應用這種技術到網絡里面去幫助IT管理人員預測未來。比如說,可以預測出網絡里面什么時候可能發生故障,可以預測網絡的流量在什么時候可能發生陡增。

2. 物聯網

除了大數據之外,物聯網也是一個非常熱門的詞,以前叫M2M(machine to machine),后來改成internet of things(IOT),最后又改成internet of everything(IOE)。未來物聯網會把一切都連接起來,進而將來可能很多大數據就會被統一收集,并進行分析,因而物聯網、大數據這些領域都是具備關聯性的。物聯網對網絡的挑戰主要是帶寬、可靠性和安全性,隨著接入節點的膨脹,網絡中的帶寬肯定會增大。而更重要的可靠和安全性主要是指數據傳輸管道的安全。

美國市場曾經做過一個報告。在美國現有的物聯網中遭受攻擊最多的設施是自來水廠,并曾經因攻擊引起過事故。因為物聯網和工業控制相關性很大,而且多數是和民生相關的,所以它的安全問題尤其重要。假如自來水廠的計算系統被入侵和攻擊,入侵者可能會把臟水和生活用水甚至飲用水混到一起,這是非?膳碌氖虑!

3. 敏捷網絡創新之二:全網安全協防——用大數據分析的方法來保護你的大數據和大數據網絡

首先我們來看一個故事:某人在家里呆著,突然有人敲門,開門之后,敲門者說是送快遞的,走錯門了。如果戶主不認識敲門者,可能覺得他是真的走錯門了,關門了事。但這個敲門者又挨家挨戶的去敲其他人家的門。當他遇到沒有主人在家的時候,就撬門行竊。

在這個例子中,每個戶主坐在自己家里的時候,都會認為敲門者的行為是正常的。但是如果站在整個小區的高度來看,作為安防人員,看小區所有的監控畫面,就會及時發現這是異常行為,有著潛在的安全威脅。

這個例子充分說明了從全網的視角出發和從單點出發,它們所能發現的安全風險是不一樣的。從全網的視角出發更能夠發現一些潛在的威脅。

在《業務隨行》那篇文章里面我們探討了把SDN的架構引入園區,在園區中增加了Controller做集中管理和控制優化。既然有了Controller,這意味著實際上我們已經可以從全網角度出發來看整個企業園區網絡。為什么不更近一步的用大數據分析的方法來發現一些潛在的威脅呢?于是華為就創新性的在Controller上集成了一個安全行為分析軟件。其實,安全行為分析這類軟件在業界已有成熟的產品。例如,在國內的醫院行業就有成熟的應用。在醫院應用的初衷,是分析審計醫院工作人員是否有竊取病患私人信息用于盈利的行為。信息盜竊者出于牟利的目的,竊取患者的身份證、電話號碼、住址、職業、收入情況等信息作為資源按條計價出售,而醫院使用這類軟件的目的就是要分析哪些行為是正常的工作瀏覽行為,哪些行為可能是偷竊病患信息的行為,進而根據分析結果展開進一步調查。

從上述例子中我們可以看出這類軟件最重要的是如何識別異常行為的規則,而軟件本身只是一個平臺,必須要先定義合理的規則才能正常工作。這種規則肯定不能由不熟悉業務的IT廠商定義,而是要由熟知業務的客戶或合作伙伴完成。

華為將安全行為分析軟件集成到Controller中,通過搜集全網各類設備的日志信息,記錄全網的各類安全事件,進而分析并發現一些以前從單點出發的視角不能發現的潛在威脅或攻擊。再通過交互界面呈現給管理員,并產生告警。管理員再對安全風險進行防御。管理員也可以在Controller預定義一些策略或者動作。例如,將可疑流量引流到安全中心去進行清洗。這樣可以降低管理人員的維護工作量,整個系統也可以更加安全的運行。

大數據分析還有一點非常重要的,就是實時性。

去年年底有個“爆頭哥”事件被各大媒體所關注。犯罪分子在中國的大城市,對受害人槍擊致死并進行搶劫。案發之后,警方為了找到他的逃跑路線,為了找到他最清晰的照片來發通緝令,調取了案發區域和周邊所有攝像頭拍攝的監控錄像,并調動了大量的警力來分析。整整用了兩周時間才找到一張清晰的照片,發布通緝令,而此時犯罪分子早已逃跑了。

還有一個例子是某企業的網絡出現了安全事故。事后進行回顧總結時發現,如果當時根據當事人的證言和被攻擊設備及其周邊設備的日志進行分析,是能夠發現一些蛛絲馬跡的。但這些線索為什么不能當場發現呢?最重要的原因是數據量太大了,管理員難以在短期內審視網絡中所有的日志,并分析其中的關聯。

但是,如果使用了大數據的方法,公安部門就可以立即把罪犯“爆頭哥”的信息第一時間分析出來?梢栽谧锓柑优苤暗谝粫r間發現,在各個路口部署警力控制住罪犯。同樣地,大數據的方法也可以立即把網絡安全攻擊事件分析出來,第一時間發現網絡安全問題,甚至提前發現隱患,從而及時的阻止安全事故的發生。這就是大數據分析的魅力!

全網安全協防--用大數據分析的方法來保護大數據和大數據網絡。

華為的敏捷交換機支持下一代防火墻業務板,而下一代防火墻業務板具備了IPS/IDS/ Anti-DDoS等多種安全功能。這意味著在匯聚層的敏捷交換機上就能分析出各種安全事件。

我們先看一個例子。在網絡運行過程中發現匯聚層敏捷交換機的某些端口,由于受到DDoS攻擊的原因,流量突然增大。當流量增大到一個閾值,交換機就會把告警信息傳送到Controller。而Controller的安全行為分析模塊預設了對可疑流量進行引流的規則,在得到告警后,Controller將引流的策略路由下發到對應的匯聚交換機,然后把可疑流量引流到安全中心,完成DDoS流量清洗,清洗之后再送回原來的匯聚交換機。這樣,攻擊就無法像傳染病一樣蔓延到網絡的其它地方。當然,除了引流也可以配置其他策略,例如直接丟棄。

上述例子中,我們也可以第一步將告警呈現給管理員,第二步是由管理員配置一些處理的策略。這是考慮到預先設定策略并自動執行會比較危險。因為如果策略定錯了就會導致網絡異常,而這種人為造成的異常往往難以定位。所以讓管理員定義一些簡單的策略來做處理。在未來實現了網絡自動化的前提下,對一些常見攻擊,如DDoS攻擊,可以采取很成熟的系統自動生成的策略。系統自動發現可疑流量,自動下發策略把流量引到安全中心,或者是直接把攻擊流量丟棄。這樣,我們就可以通過網絡管理自動化,提升效率,降低IT成本。我們相信,網絡管理最終會逐步走向自動化的,就象目前計算機、工業控制領域正在走向自動化一樣。

再看一個例子,華為還有一項用于安全檢測的沙箱技術。它就像一個病毒培養皿,可以模擬LINUX、Windows、Android、IOS等環境。當IT管理人員發現可疑應用和潛在威脅的時候,可以將它放到模擬環境里面(沙箱)運行,并觀測它的各種行為。如果它去攻擊了某項應用,模擬環境就會產生告警。由此,管理者可以判斷可疑應用是否存在潛在的攻擊性或者危險性,并可以提前做預防工作。在網絡中,我們可以配置防火墻單板在發現潛在威脅時,復制一份到沙箱進行自動觀測、自動分析,然后自動告警。這樣就可以把初級階段的安全威脅找出來,從而更好地保護我們的網絡。

在上面的所有例子中都可以看到,Controller是非常重要的。一般常見的防火墻可以做基本的威脅防護,但這還不夠,對于有著合法登錄權限的管理員也需要做相應的防護。我們知道,管理員掌握了整個網絡的最高權限,無論是誤操作或配置,還是蓄意破壞,其負面影響都是非常巨大的。因此,針對管理員要有相應的審計手段。華為能夠提供這樣的管理員行為審計軟件。它不僅記錄管理員操作的命令,而且會像錄像機一樣記錄管理員的所有動作。所有記錄都無法刪除,用于事后審計。例如,管理員輸入一條Display Interface1/0/0命令。傳統日志里只會記錄這一條命令,但是行為審計軟件不但會記錄命令,還會記錄使用這條命令看到的所有信息。

4. 總結

華為全網安全協防是華為敏捷網絡的第二個創新。它用大數據分析的方法來保護大數據和大數據網絡。這意味著IT管理員可以從整網的高度來觀測網絡中潛在的安全風險和威脅,通過引流、丟棄等策略和手段將威脅排除,從而更好的保護用戶數據和網絡。

來源:煙臺三和網絡系統有限公司
煙臺三和網絡系統有限公司
王鋼
經營模式 :
經銷批發
所在地區 :
山東省 煙臺市 芝罘區 芝罘屯路12號科技市場115室

地址:山東煙臺科技市場115室

Tel:(86) 0535-6655824

Fax:(86)0535-6666862

http://www.bnbqz.com