科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全山石网科刘向明:以大数据的机器学习排除内网安全隐患

山石网科刘向明:以大数据的机器学习排除内网安全隐患

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

做高性能的“盒子”同时被认为是山石网科的长项,以致于在边界安全尤其是防火墙方面,山石网科独树一帜。不过在内网安全,它同样走出了自己鲜明的路。“山石网科正通过机器学习的大数据分析保护内网安全,从而深层次的进行安全防护。”山石网科CTO刘向明说。

来源:ZDNet安全频道【原创】 2015年6月23日

关键字: 山石网科 内网安全 智能 大数据安全 机器学习

  • 评论
  • 分享微博
  • 分享邮件

说起山石网科,很多人会为它加上“智能”的标签。因为智能,山石网科连续两次入围Gartner企业防火墙魔力象限,在今年的RSA信息安全大会上,智能的元素也为它吸引来不少焦点目光。在刚刚过去的第二届国家网络安全宣传周上,山石网科再一次强调其智能安全的“发现、可视、控制一体化“的安全思维模式,引领智能安全风潮。

做高性能的“盒子”同时被认为是山石网科的长项,以致于在边界安全尤其是防火墙方面,山石网科独树一帜。不过在内网安全,它同样走出了自己鲜明的路。“山石网科正通过机器学习的大数据分析保护内网安全,从而深层次的进行安全防护。”山石网科CTO刘向明近日接受ZD至顶网采访时说。

山石网科刘向明:以大数据的机器学习排除内网安全隐患

山石网科CTO刘向明

内网的智能安全

攻击行为分为几个阶段,从侦测、下马、到内网搜集数据并传出,各个阶段都有攻击行为的特征。刘向明指出,传统大部分的防护都是集中在下马部分,但是由于高级威胁的特性,很多时候并不能在这阶段进行有效防护。

当内网已经中马时怎么办?“山石网科做的是基于行为的大数据分析,当恶意软件在内网发作,对其他终端进行扫描和攻击的时候,这时对它进行‘捕获’。因为在这个过程中,不管是恶意内容的上传还是攻击行为,和正常行为并不一致,通过大数据从而可以定位内网威胁。”

山石网科对大数据的机器学习分为两部分,第一是对恶意软件的检测,通过云端的学习,包括和合作伙伴的合作,收集到很多恶意软件的网络行为。根据这些网络的行为形成云端的数据分析,并把结果下发到“盒子”上,通过盒子对流量的分析找到恶意软件的行为,主要是利用全局性的数据去实现的。

第二是异常流量的分析,通过本地流量的模型运算,识别不符合企业常规流量模型的行为。据了解,山石网科采用的异异常行为分析基于历史流量的多维度观测,采用基线和自适应机器学习等方法,通过流量在不同维度的变化发现异常,进而使用数据回溯的方式定位攻击来源或目的地。

未知威胁检测引擎和异常行为检测引擎构成了山石网科应对越来越严峻的内网安全风险的两大法宝。

“通过刚提到的两大引擎可以看出,我们把大数据分成了两类,一类是全球的数据,一类是企业的数据。全局的共享的数据包括病毒的样本、恶意软件特征等是识别共性的安全威胁的重要一环。企业的或称作局部的数据是判定个性的威胁的依据,每个公司的流量和应用情况不一样,也就意味着日常的主机的行为不一样,这时候安全的防护应该是情景感知的。所以将两方面结合才能实现更全面的安全。”刘向明说。

当然,对于智能和大数据,山石网科也只走在了路上,并不是终点。刘向明说,在未知威胁上,山石网科正和越来越多的合作伙伴进行合作,包括趋势科技、安天,网络的厂商和云的厂商等,通过整合产业链和上下游增强安全的防范能力。在机器学习上,山石网科也在赋予大数据更多的能力,通过学习的算法让机器识别更智能。据了解,在引擎上,山石网科在研发自己的沙箱技术。

主机的安全视角

应对了高级和未知威胁,保护边界和排除内网安全隐患,如何将这些风险量化并呈现出来也是山石网科重点在关注的问题。

刘向明表示,“山石网科的理念是站在边界上以主机的视角去看安全,无论是安全事件、流量还是应用情况都是根据主机进行记录的。攻击者入侵系统会基于主机产生一些行为,我们会把主机相关的流量等一系列情况呈现出来,这样对管理员更直观。”

通过对网络中终端主机的行为进行分析,由于感染了变种恶意代码的主机其应用层行为将变得异常,山石网科会根据这种异常发现变种恶意软件。

“在山石网科的规划中,正在做基于安全事件的取证,通过事件回溯当时及前后发生的事情,呈现事件前因后果,给用户提供安全决策。”刘向明说。

所以,山石网科除了在技术上加快创新护航安全以外,在可视化上也更加贴合用户,通过实时检测和分析,让管理人员可以随时感知系统内部风险,直接掌握具体的威胁节点和风险程度。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    往期文章
    最新文章