|
实际上,这个“云-管-端”的模式,就是利用了云的存储计算能力,再应用一些人工智能的算法来处理。最近很热的一个信息安全技术叫做 UEBA,就是用户与实体的行为分析( User and Entity Behavior Analytics )。这其中涉及到用户行为数据的收集、存储和分析,这里就会用到人工智能的相关技术。 另一个新的防御思想叫做 EDR( End-point Detection Response)和 NDR(Network Detection Response)。 过去呢,我们一般就在网络边界上放个防火墙,希望把攻击拦在防火墙外面。现在呢,网络的防线越来越长,漏洞越来越多,要想继续把攻击阻挡在防火墙之外几乎是不可能的。那怎么办呢?我们现在的思路是,在攻击发生时能不能及早地发现、检测以及进行对应处理,因为在攻击发生的一开始,并不一定会造成非常严重的破坏,如果我们可以及时地阻断攻击,我们也能进行有效的管控。所以 DR( Detection Response )的思想从去年到今年有开始流行起来的,主要分为 EDR 和 NDR。EDR 是在终端进行检测与响应,比如像杀毒软件,过去只是简单地杀病毒,现在实际上把功能扩大了,他能收集应用程序在用户电脑中运行时的一些行为,在响应的过程中能对不合理的行为进行阻断。NDR 是在网络边界上进行检测与响应,比如现在常说的下一代防火墙在功能上已经不仅仅是包过滤,还要求可以检测用户通过网络访问到底干了什么,在网络上进行检测和响应。 那么 EDR 和 NDR 也是结合云的一种防御机制,用来应对目前防御战线越来越长的现状,由此可见,人们的防御思想也在不断革新。 包括可信计算现在也是大量的应用,主要是目前的应用成本降下来了,我看到已经有把可信计算做到芯片里的产品。原来没有普遍使用的元婴主要是成本太高,现在这个问题已经解决了,相信相关的问题也会逐步得到解决。 拓展知识(资料搜集自网络): 1、QVM 人工智能引擎 这是 Qihoo Support Vector Machine(奇虎支持向量机)的缩写。是 360 完全自主研发的第三代引擎(具有中国的自主知识产权的引擎)。它采用人工智能算法——支持向量机,具备“自学习、自进化”能力,无需频繁升级特征库,就能免疫 90% 以上的加壳和变种病毒,不但查杀能力遥遥领先,而且从根本上攻克了前两代杀毒引擎“不升级病毒库就杀不了新病毒”的技术难题,在全球范围内属于首创。 简单的说 360 的人工智能引擎就是在海量病毒样本数据中归纳出一套智能算法,自己来发现和学习病毒变化规律。它无需频繁更新特征库、无需分析病毒静态特征、无需分析病毒行为,但是病毒检出率却远远超过了第一、二代引擎的总和,而且查杀速度比传统引擎至少快一倍。 “四核”360 杀毒的优势在于组合了多种安全技术,包括客户端和云安全的结合、自主创新和国外杀毒技术的‘中西医’结合、特征码识别和人工智能算法的结合、hips(主动防御技术)和四引擎查杀的防杀结合,等等。 2、“云-管-端” 云,指业务的IT化,造成的主要矛盾是海量信息的处理问题。由此,新一代数据中心和新一代业务平台成为关键。管,指网络IP化,造成的主要矛盾是海量信息的传送问题,需要运营商以ALLIP技术为基础,以HSPA/LTE、FTTx、IP+光、NG-CDN构建新一代的网络基础架构。端,指终端的智能化,关键是信息的多媒体呈现。只有多样化的终端才能支撑海量的多媒体应用和行业应用。而只有实现“云-管-端”的信息服务的新架构,才能实现运营转型。 简单的说,云是云服务,端是智能终端,而管则是链接“云”和“端”之间的各种设备,“云-管-端”就是确定新一代业务平台和应用、大容量智能化的信息管道和丰富多彩的智能终端齐头并进的发展方针。 3、用户与实体的行为分析( User and Entity Behavior Analytics ,UEBA) 用户和实体行为分析(UEBA)能够实现广泛的安全分析,就像是安全信息和事件管理(SIEM)能够实现广泛的安全监控一样。UEBA 提供了围绕用户行为的、以用户为中心的分析,但是也围绕其他例如端点、网络和应用。跨不同实体分析的相关性似的分析结果更加准确,让威胁检测更加有效。 一旦攻击者在企业系统中有了立足之地,他们通常会横向(“东/西”)畅通无阻地移动到其他系统。为了解决这个问题,有一种新的需求,对企业网络传中东/西传输的“微细分”(更高颗粒度的细分)。此外,有很多解决方案提供了对通信流量的可见性和监控。可视化工具可以让操作和安全管理员了解流量模式,设置细分策略,监控偏差。最后,有很多厂商提供了工作负载之间网络传输(通常是端到端的 IPsec 通道)的可选加密,用于保护动态数据,提供工作负载之间的加密隔离。 4、EDR( End-point Detection Response) (责任编辑:本港台直播) |