讓網(wǎng)絡(luò)監(jiān)控耍上小“聰明”

引言：為了有效降低網(wǎng)絡(luò)運(yùn)維成本，不少單位在局域網(wǎng)中都部署了專業(yè)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，這些監(jiān)控系統(tǒng)雖然可以在監(jiān)控的深度和范圍方面，能夠滿足單位全方面需求，但是它們的部署會(huì)帶來(lái)新的運(yùn)維成本，顯然這對(duì)組網(wǎng)規(guī)模不大的單位來(lái)說(shuō)，是不太適合的。網(wǎng)絡(luò)管理員完全可以自己動(dòng)手，也能讓網(wǎng)絡(luò)監(jiān)控“聰明”高效！

為了有效降低網(wǎng)絡(luò)運(yùn)維成本，不少單位在局域網(wǎng)中都部署了專業(yè)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，這些監(jiān)控系統(tǒng)雖然可以在監(jiān)控的深度和范圍方面，能夠滿足單位全方面需求，但是它們的部署會(huì)帶來(lái)新的運(yùn)維成本，況且這些監(jiān)控操作還需要一定的專業(yè)性，顯然這對(duì)組網(wǎng)規(guī)模不大的單位來(lái)說(shuō)，是不太適合的。其實(shí)，對(duì)于中小單位來(lái)說(shuō)，網(wǎng)絡(luò)管理員完全可以自己動(dòng)手，也能讓網(wǎng)絡(luò)監(jiān)控“聰明”高效！

聰明監(jiān)控DHCP服務(wù)

單位使用的是Windows Server 2003服務(wù)器系統(tǒng)內(nèi)置DHCP服務(wù)，要聰明高效地監(jiān)控該服務(wù)的運(yùn)行狀態(tài)，關(guān)鍵在于判斷它能否持續(xù)不斷地為終端系統(tǒng)提供地址分配功能。為了要達(dá)到這個(gè)監(jiān)控目的，我們可以巧妙地編寫腳本程序，強(qiáng)制系統(tǒng)每隔一段時(shí)間去執(zhí)行“ipconfig /release”、“ipconfig /renew”命令，來(lái)頻繁檢測(cè)DHCP服務(wù)器的地址回收和地址分配功能。要是局域網(wǎng)中的DHCP服務(wù)器運(yùn)行狀態(tài)不正常，那么終端計(jì)算機(jī)將不能通過(guò)先前編寫的腳本程序，獲得有效的上網(wǎng)地址，這樣就會(huì)引起其他相同子網(wǎng)的終端計(jì)算機(jī)不能Ping通本地系統(tǒng)的IP地址。

依照這種思路，我們可以在局域網(wǎng)中任意選擇一臺(tái)終端計(jì)算機(jī)，來(lái)作為運(yùn)行上述腳本程序的探測(cè)計(jì)算機(jī)，這個(gè)腳本程序通過(guò)BAT格式的批處理文件實(shí)現(xiàn)，起到模擬終端用戶不停向DHCP服務(wù)器申請(qǐng)IP地址的作用，該批處理文件中包含的命令代碼有以下一些內(nèi)容：

日后，一旦執(zhí)行這個(gè)腳本處理程序時(shí)，本地終端系統(tǒng)就每隔20秒鐘循環(huán)執(zhí)行一 次“ipconfig /release”、“ipconfig /renew”命令，來(lái)不斷地向DHCP服務(wù)器申請(qǐng)動(dòng)態(tài)IP地址。要是地址申請(qǐng)操作能夠順利，那就意味著局域網(wǎng)DHCP服務(wù)器的運(yùn)行狀態(tài)是正常的，否則，就表示DHCP服務(wù)器不能向終端計(jì)算機(jī)正常分配上網(wǎng)地址。這時(shí)，相同子網(wǎng)中的其他計(jì)算機(jī)只要使用Ping命令，測(cè)試該探測(cè)計(jì)算機(jī)的IP地址，就能判斷出局域網(wǎng)DHCP服務(wù)器是否能夠正常工作了。

聰明監(jiān)控FTP服務(wù)

局域網(wǎng)中的FTP服務(wù)器，常常會(huì)成為惡意用戶的攻擊對(duì)象，例如黑客為了竊取數(shù)據(jù)，可能會(huì)利用特定漏洞，悄悄向其植入木馬程序，來(lái)非法竊取FTP服務(wù)管理權(quán)限。這時(shí)，我們不妨利用“FTP Guard”外力工具，聰明監(jiān)控局域網(wǎng)中的FTP服務(wù)，及時(shí)捕獲入侵行為，保障FTP服務(wù)器遠(yuǎn)離非法攻擊。

開啟“FTP Guard”工具運(yùn)行狀態(tài)，點(diǎn)擊主界面左側(cè)“Connections”處的“+”按鈕（如圖1所示），在新建對(duì)話框的“Connection Name”位置處輸入好監(jiān)控連接名稱，在“FTP Host”位置處設(shè)置好需要監(jiān)控的FTP服務(wù)器站點(diǎn)地址和網(wǎng)絡(luò)端口，要是匿名登錄FTP服務(wù)器時(shí)，不妨選中“Anonymous”選項(xiàng)。為了安全起見(jiàn)，建議使用身份驗(yàn)證登錄，在“FTP Username”、“FTP Password”等位置處輸入好登錄FTP服務(wù)器的賬號(hào)與密碼，同時(shí)定義好監(jiān)控路徑。要對(duì)FTP服務(wù)器下面的子目錄內(nèi)容監(jiān)控時(shí)，還要將“Recursive”選項(xiàng)同時(shí)選中，確認(rèn)后退出監(jiān)控連接對(duì)話框。

圖1 按鈕示意圖

選中剛才創(chuàng)建的監(jiān)控連接名稱，打開它的右鍵菜單，點(diǎn) 選“Check Connection”命令，“FTP Guard”工具開始自動(dòng)掃描特定FTP連接，同時(shí)將掃描檢測(cè)結(jié)果記錄存儲(chǔ)下來(lái)，以作為以后監(jiān)控分析的基礎(chǔ)。重新選中特定FTP 連接，在“Alert Event”設(shè)置項(xiàng)處，將“Addition”、“Deletion”、“Modification”等選項(xiàng)逐一選中，開啟文件添加監(jiān)控、文件刪除監(jiān)控、文件修改監(jiān)控等功能，這樣FTP服務(wù)器中的任何數(shù)據(jù)文件發(fā)生變化，“FTP Guard”工具都能及時(shí)發(fā)出報(bào)警提示。

在“Notification”設(shè)置項(xiàng)處，選中“Sh ow SystemTray Messa ge”選項(xiàng)，強(qiáng)制“FTP Guard”工具在監(jiān)控到異常狀態(tài)時(shí)，及時(shí)將相關(guān)提示信息顯示在系統(tǒng)屏幕右下方，看到這些提示管理員往往就可以直觀了解到究竟有哪些文件發(fā)生了狀態(tài)變化，這有利于管理員快速定位FTP服務(wù)器中的安全隱患。如果希望監(jiān)控報(bào)警效果更好一些，建議使用“Play Sound”選項(xiàng)，來(lái)播放特定音樂(lè)文件來(lái)達(dá)到報(bào)警目的。此外，在“File/Directory Extension Filter”設(shè)置項(xiàng)處，還要定義好待監(jiān)控的數(shù)據(jù)文件類型，每個(gè)文件類型獨(dú)立占用一行。在“Directory Ingore Filter”設(shè)置項(xiàng)處，定義好不需要監(jiān)控的特殊文件夾，每個(gè)文件夾名稱也是單獨(dú)占用一行。

“FTP Guard”工具默認(rèn)每隔10分鐘，掃描監(jiān)測(cè)一次FTP服務(wù)器，但監(jiān)控過(guò)于頻繁，會(huì)影響FTP服務(wù)器的反應(yīng)靈敏度，建議將該參數(shù)調(diào)整為半個(gè)小時(shí)左右。在進(jìn)行這種調(diào)整操作時(shí)，單擊主界面中的“Program Options”按鈕，展開如圖2所示的設(shè)置界面，在“Monitoring Interval”位置處輸入“30”秒鐘即可。值得注意的是，在這里也能按需選擇報(bào)警音樂(lè)文件，只要單 擊“Default Sound Notification File”設(shè)置項(xiàng)處的瀏覽按鈕，從彈出的文件瀏覽框中，選擇并添加自己喜歡的報(bào)警音樂(lè)文件即可。這里的其他參數(shù)，建議不要改變，最后進(jìn)行確認(rèn)保存設(shè)置操作。

至此，“FTP Guard”工具就能對(duì)局域網(wǎng)中的FTP服務(wù)器進(jìn)行聰明監(jiān)控了。只是每次重新啟動(dòng)計(jì)算機(jī)時(shí)，還要手工開啟一下該工具的監(jiān)控功能，因?yàn)樗谀J(rèn)狀態(tài)下并沒(méi)有啟用監(jiān)控功能。將主界面“Monitoring”處的紅色“Off”選項(xiàng)，修改為綠色“On”選項(xiàng)，可以輕松開啟FTP服務(wù)監(jiān)控功能，將“Sound”處的“Off”選項(xiàng)，修改為綠色“On”選項(xiàng)，可以啟用聲音報(bào)警功能。所有監(jiān)控內(nèi)容都會(huì)被智能存儲(chǔ)下來(lái)，要查看分析這些監(jiān)控內(nèi)容時(shí)，只要單擊主界面中的“Monitoring Results”按鈕，切換到監(jiān)控報(bào)告列表窗口，從中可以發(fā)現(xiàn)FTP服務(wù)器的各種狀態(tài)變化，例如新增了哪些文件，刪除了哪些文件，內(nèi)容發(fā)生修改的有哪些文件等。依照這些監(jiān)控內(nèi)容，管理員就能發(fā)現(xiàn)攻擊FTP服務(wù)器的不法分子，同時(shí)采取有效安全措施，確保FTP服務(wù)器運(yùn)行始終安全。

圖2 所示的設(shè)置界面

聰明監(jiān)控系統(tǒng)服務(wù)

為了不讓自己暴露身份，不少網(wǎng)絡(luò)病毒或木馬在偷偷運(yùn)行時(shí)，常常會(huì)“裝扮”成系統(tǒng)后臺(tái)服務(wù)，這樣一來(lái)用戶不能立即發(fā)現(xiàn)病毒、木馬的“身影”。為了在第一時(shí)間發(fā)現(xiàn)終端系統(tǒng)的潛在安全隱患，我們不妨通過(guò)監(jiān)控系統(tǒng)服務(wù)的狀態(tài)變化，來(lái)快速尋找到陌生的后臺(tái)服務(wù)，以便進(jìn)一步判斷終端系統(tǒng)的安全狀態(tài)。

要聰明監(jiān)控系統(tǒng)服務(wù)的安全狀態(tài)，可以巧妙使用終端系統(tǒng)自帶的“net start”命令，導(dǎo)出系統(tǒng)出現(xiàn)異常狀態(tài)前后的服務(wù)列表信息，同時(shí)對(duì)這兩個(gè)導(dǎo)出文件中的內(nèi)容進(jìn)行比較，就能識(shí)別出哪些系統(tǒng)服務(wù)是新創(chuàng)建的，哪些系統(tǒng)服務(wù)已經(jīng)被悄悄關(guān)閉了。對(duì)于新生成的陌生系統(tǒng)服務(wù)，只要打開它的屬性對(duì)話框，找到同時(shí)刪除對(duì)應(yīng)服務(wù)的可執(zhí)行文件，就能實(shí)現(xiàn)清除病毒或木馬程序目的了。下面就是詳細(xì)的監(jiān)控步驟：

首先在終端計(jì)算機(jī)運(yùn)行狀態(tài)正常時(shí)，逐一單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令，展開MS_DOS工作窗口；在該窗口命令提示符下，輸入字符串命令“net start> E:111.txt”，單擊回車鍵后，Windows系統(tǒng)會(huì)自動(dòng)將當(dāng)前狀態(tài)下所有已經(jīng)啟用的系統(tǒng)服務(wù)全部列寫出來(lái)，同時(shí)集中導(dǎo)入到“E:111.txt”文本文件中，打開該文本文件時(shí)，我們就能看到究竟有哪些系統(tǒng)服務(wù)已被成功啟用了，如圖3所示，這些系統(tǒng)服務(wù)就是系統(tǒng)異常狀態(tài)下的參照標(biāo)準(zhǔn)。

其次當(dāng)哪一天發(fā)現(xiàn)終端計(jì)算機(jī)運(yùn)行突然緩慢或出現(xiàn)其他不正?，F(xiàn)象時(shí)，再在DOS命令行提示符下輸入“net start > E:222.txt”命令，將異常狀態(tài)下的系統(tǒng)服務(wù)啟用列表信息導(dǎo)出保存到“E:222.txt”文本文件中，這時(shí)“喬裝改扮”的系統(tǒng)后臺(tái)服務(wù)也會(huì)出現(xiàn)在該文件中。

下面要做的就是比較兩種正常狀態(tài)下服務(wù)列表信息的異同，在進(jìn)行比較操作時(shí)，直接輸入“fc E:111.txt E:222.txt”字符串命令，要是系統(tǒng)中沒(méi)有病毒或木馬運(yùn)行，那么結(jié)果會(huì)返回“找不到相異處”的提示信息。相反，要是系統(tǒng)已經(jīng)遭遇了病毒或木馬的攻擊，那么結(jié)果會(huì)返回那些被關(guān)閉或新創(chuàng)建的系統(tǒng)服務(wù)名稱。

圖3 系統(tǒng)異常相關(guān)

要是搜索到陌生系統(tǒng)服務(wù)名稱后，再打開終端系統(tǒng)運(yùn)行對(duì)話框，輸入“Services.msc”命令，在展開的系統(tǒng)服務(wù)列表界面中，找到陌生系統(tǒng)服務(wù)選項(xiàng)，用鼠標(biāo)雙擊該選項(xiàng)，切換到對(duì)應(yīng)服務(wù)選項(xiàng)設(shè)置對(duì)話框，從中找到調(diào)用該陌生服務(wù)的可執(zhí)行文件。之后進(jìn)入系統(tǒng)資源管理器窗口，切換到目標(biāo)可執(zhí)行文件所在文件夾窗口，選中并刪除該文件，這樣就能達(dá)到手工刪除病毒或木馬程序的目的了。當(dāng)然，在手工刪除病毒或木馬文件之前，必須先關(guān)閉陌生系統(tǒng)后臺(tái)服務(wù)；如果不能關(guān)閉病毒或木馬服務(wù)時(shí)，可以考慮先將終端系統(tǒng)啟動(dòng)運(yùn)行到安全模式狀態(tài)，或者借助光盤版的Windows PE系統(tǒng)啟動(dòng)到DOS狀態(tài)，再試著關(guān)閉病毒或木馬等陌生服務(wù)，最后刪除病毒或木馬對(duì)應(yīng)的可執(zhí)行文件。

聰明監(jiān)控DNS服務(wù)

終端計(jì)算機(jī)要想正常訪問(wèn)Internet上的信息，往往離不開本地DNS服務(wù)器的“鼎力”支持，因?yàn)檫@種支持是在后臺(tái)悄悄進(jìn)行，很多用戶感覺(jué)不到DNS服務(wù)的存在。其實(shí)，本地DNS服務(wù)器的運(yùn)行穩(wěn)定性，影響著整個(gè)網(wǎng)絡(luò)的上網(wǎng)穩(wěn)定性，監(jiān)控DNS服務(wù)器的安全運(yùn)行性能，有利于確保整個(gè)網(wǎng)絡(luò)的運(yùn)行安全，畢竟在第一時(shí)間找到DNS服務(wù)器的安全隱患，能讓其安全穩(wěn)定地運(yùn)行！

要聰明監(jiān)控DNS服務(wù)，只要啟用DNS服務(wù)器的日志監(jiān)控報(bào)警功能即可。在進(jìn)行該操作時(shí)，首先以超級(jí)用戶身份登錄DNS服務(wù)器所在主機(jī)系統(tǒng)，依次點(diǎn)擊“開始”、“程序”、“管理工具”命令，展開DNS服務(wù)器控制臺(tái)界面，在該界面的左側(cè)顯示窗格中，選中特定DNS服務(wù)器主機(jī)名稱，用鼠標(biāo)右鍵單擊該名稱，選擇快捷菜單中的“屬性”命令，切換到DNS服務(wù)器屬性設(shè)置框。

點(diǎn)擊“日志”標(biāo)簽，進(jìn)入如圖4所示的標(biāo)簽頁(yè)面，根據(jù)實(shí)際情況定義好需要監(jiān)控DNS服務(wù)器哪方面的狀態(tài)內(nèi)容，確認(rèn)后退出設(shè)置對(duì)話框。日后，要查看DNS服務(wù)器安全方面的狀態(tài)信息時(shí)，只需要進(jìn)入DNS服務(wù)器系統(tǒng)資源管理器窗口，打開其中的“%systemroot%system32dnsdns.log”日志文件，就能監(jiān)控到DNS服務(wù)器各方面的狀態(tài)信息了，比方說(shuō)，接收狀態(tài)內(nèi)容、應(yīng)答狀態(tài)內(nèi)容、發(fā)送狀態(tài)內(nèi)容等，根據(jù)這些信息網(wǎng)絡(luò)管理員就能有效識(shí)別出DNS服務(wù)器此時(shí)的運(yùn)行安全性了。了信息安全風(fēng)險(xiǎn)評(píng)估。

信息安全風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估，是組織確定信息安全需求及解決方案的一個(gè)重要途徑。但信息安全風(fēng)險(xiǎn)評(píng)估不能完全滿足黑客、信息戰(zhàn)、自然災(zāi)難、電力中斷等新形勢(shì)下的安全需求?？梢?jiàn)，理想的威脅情報(bào)不但需要及時(shí)知道本單位信息系統(tǒng)存在何種容易被攻擊的弱點(diǎn)，還要知道攻擊者的動(dòng)機(jī)和手段，知道如何部署防御措施，知道如何檢測(cè)攻擊，攻擊會(huì)造成何種影響，該如何響應(yīng)攻擊事件等。威脅情報(bào)的獲取及響應(yīng)都能體現(xiàn)防御能力的建設(shè)程度，因此，建立有長(zhǎng)效機(jī)制的威脅情報(bào)服務(wù)體系尤為重要。威脅情報(bào)服務(wù)體系至少包含了威脅監(jiān)測(cè)及響應(yīng)、數(shù)據(jù)分析及整理、業(yè)務(wù)情報(bào)及交付、風(fēng)險(xiǎn)評(píng)估及咨詢、安全托管及應(yīng)用等各個(gè)方面，涉及研究、產(chǎn)品、服務(wù)、運(yùn)營(yíng)及營(yíng)銷的各個(gè)環(huán)節(jié)。

圖4 標(biāo)簽頁(yè)面

在 2013年，Gartner給“威脅情報(bào)”作出了明確定義：“威脅情報(bào)是基于證據(jù)的知識(shí)，包括場(chǎng)景、機(jī)制、指標(biāo)、含義和可操作的建議，針對(duì)一個(gè)現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識(shí)。”

起什么作用呢？我們都知道，企業(yè)所面臨的威脅不僅來(lái)自外部，而實(shí)際上大多是出自內(nèi)部，很多外界發(fā)起的APT攻擊環(huán)節(jié)都需通過(guò)“內(nèi)部跳板”才能訪問(wèn)敏感數(shù)據(jù)。雖然企業(yè)已部署了必要的防護(hù)線，但是基于發(fā)現(xiàn)、預(yù)警和響應(yīng)的時(shí)間差卻更為關(guān)鍵。簡(jiǎn)而言之，企業(yè)能不能從海量的網(wǎng)絡(luò)信息庫(kù)中及時(shí)甄別、捕捉到有價(jià)值的安全威脅信息（也即“情報(bào)”），并通過(guò)完善、高效的溝通渠道來(lái)共享或發(fā)布這些信息，這就是威脅情報(bào)所要解決的問(wèn)題。

具體來(lái)講，威脅情報(bào)主要包括兩大方面的應(yīng)用，即戰(zhàn)術(shù)威脅情報(bào)和戰(zhàn)略威脅情報(bào)。前者通常是在網(wǎng)絡(luò)安全監(jiān)控過(guò)程中分析所收集的數(shù)據(jù)，識(shí)別安全威脅并采取相應(yīng)的措施。戰(zhàn)術(shù)威脅情報(bào)側(cè)重于對(duì)威脅的技術(shù)分析與響應(yīng)控制能力，它依靠感染指標(biāo)來(lái)捕捉威脅入侵的跡象。感染指標(biāo)一般包含以下幾種參數(shù)：

1.原子指標(biāo)信息，如IP地址，域名、郵件地址、網(wǎng)絡(luò)或主機(jī)信息等。

2.可計(jì)算的指標(biāo)信息，如惡意程序的數(shù)字哈希值（包括SHA1和MD5）。

3.行為指標(biāo)信息，如攻擊者的行為特征（包括惡意表征、爬蟲行為）、攻擊工具、TTP（戰(zhàn)術(shù)、技術(shù)和行為模式）類型等。

依據(jù)戰(zhàn)術(shù)威脅情報(bào)，企業(yè)可構(gòu)建更高層面的威脅模型與威脅圖示，這便形成戰(zhàn)略威脅情報(bào)，用于發(fā)現(xiàn)威脅趨勢(shì)，并以此來(lái)研判怎樣降低威脅面，決定如何配置安全預(yù)算、部署何種安全產(chǎn)品和技術(shù)、人員應(yīng)聚焦哪些環(huán)節(jié)等戰(zhàn)略性問(wèn)題。

這些情報(bào)對(duì)于部署高效型防御非常有幫助，但卻不是僅由組織自身就能獲取和維護(hù)的，需依靠專門的威脅情報(bào)分析系統(tǒng)才能實(shí)現(xiàn)目標(biāo)。近兩年，安全威脅情報(bào)行業(yè)在蓬勃發(fā)展，已形成一個(gè)潛力巨大的新興安全細(xì)分市場(chǎng)，也活躍著一批專業(yè)的威脅情報(bào)服務(wù)商。國(guó)外比較知名的安全威脅情報(bào)來(lái)源有IBM X-Force Exchange、Symantec Deepsight、RSA NetWitness Live、Verisign iDefense、OSINT、SANS、Dell SecureWorks、McAfee Threat Intelligence、ThreatStream、OpenDNS、MAPP等。在我國(guó)，360公司建立了國(guó)內(nèi)首個(gè)安全威脅情報(bào)中心，通過(guò)開放聯(lián)動(dòng)推進(jìn)威脅情報(bào)生態(tài)環(huán)境的建設(shè)。

筆者認(rèn)為，威脅情報(bào)不妨通過(guò)這些手段來(lái)實(shí)現(xiàn)。

持續(xù)性培訓(xùn)

敏感數(shù)據(jù)的接觸來(lái)自企業(yè)關(guān)鍵部門人員，一旦關(guān)鍵人員受到外部原因誘惑，通過(guò)非法復(fù)制，讓信息和數(shù)據(jù)長(zhǎng)期而慢速的信息，或者讓企業(yè)信息和業(yè)務(wù)大規(guī)模中斷，這對(duì)于企業(yè)有著莫大的威脅。

因此，需要持續(xù)性的培訓(xùn)，包括制度、法規(guī)上的培訓(xùn)行為，在行政手段上降低部分威脅。

建立“觸碰”機(jī)制

數(shù)據(jù)在有限范圍內(nèi)訪問(wèn)是允許的，但是非法復(fù)制和傳播是絕對(duì)不允許的，如何預(yù)防需要建立核心數(shù)據(jù)的“觸碰”機(jī)制是關(guān)鍵。

關(guān)鍵數(shù)據(jù)限制訪問(wèn)次數(shù)，一旦超過(guò)正常訪問(wèn)次數(shù)，立刻觸發(fā)報(bào)警，有安全人員采取下一步措施。對(duì)于業(yè)務(wù)系統(tǒng)和服務(wù)器的敏感數(shù)據(jù)，不僅需要記錄訪問(wèn)次數(shù)，還要記錄用戶訪問(wèn)時(shí)間、頻率、訪問(wèn)地點(diǎn)等信息，同樣是需要預(yù)警機(jī)制，關(guān)鍵指標(biāo)一旦有任何觸碰的行為，即反饋給安全中心。

利用大數(shù)據(jù)的精準(zhǔn)分析和定位

企業(yè)/組織獲得信息太多，包括那些不用的信息，如何清除這些噪音而獲取真正的價(jià)值呢？

大數(shù)據(jù)給出答案，通過(guò)汲取、分析和自動(dòng)化的挖掘數(shù)據(jù)，并和云端關(guān)聯(lián)分析，可以對(duì)受害目標(biāo)和攻擊源頭進(jìn)行精準(zhǔn)定位，率先洞悉風(fēng)險(xiǎn)和威脅，并將威脅情報(bào)快速遞交給用戶，對(duì)攻擊行為進(jìn)行前期預(yù)報(bào)和溯源。

360公司主防庫(kù)覆蓋中國(guó)5億PC客戶端，總?cè)罩緮?shù)達(dá)到50000億，互聯(lián)網(wǎng)存活網(wǎng)址庫(kù)每天有300億條查詢量，每天處理一百多億條……，通過(guò)海量數(shù)據(jù)挖掘，360天眼發(fā)現(xiàn)了多起APT事件，將大量的威脅行為止于萌芽。

善用機(jī)器學(xué)習(xí)

所有的攻擊行為都存在變數(shù)，預(yù)防是必要的，但是絕對(duì)難以解決所有威脅，因此對(duì)于威脅情報(bào)需要機(jī)器學(xué)習(xí)來(lái)完善防御體系。

對(duì)原始數(shù)據(jù)，需要聚類，然后開始訓(xùn)練數(shù)據(jù)，進(jìn)行有監(jiān)督學(xué)習(xí)，并適時(shí)進(jìn)行干預(yù)，最終形成機(jī)器領(lǐng)域的規(guī)則和分類器，在威脅發(fā)生時(shí)進(jìn)行比對(duì)、預(yù)防、告警。