面对多样化的业务服务以及日益严重的安全威胁,为了构建全方位的安全管控平台,需要集成更多的安全防控系统,由此也产生了大量的数据。如何更好的利用平台数据提高整体的安全管控能力,对数据进行智能分析就尤为重要。
数据智能分析,是应用大数据技术以及机器学习、模式识别等智能算法,基于不同的业务场景,对数据进行分析,提供更加高效的智能化管理。
SiCAP开放式安全管理平台,对多个安全防控系统的数据进行汇聚与标准化,实现了数据共享机制下的统一数据管理,基于大数据、机器学习等技术,对资产信息、用户行为、监控数据、设备日志、网络流量等数据进行智能化分析,实现了异常风险分析、根因分析、智能审计、智能运维、智能预测。
(1)异常风险分析,包括:
① 日志异常检测:基于日志聚类、模式识别与机器学习等技术与算法,发现异常日志与潜在风险。
② 异常行为分析:建立行为基线,关联用户与资产行为,使用机器学习等算法找出严重偏离基线的可疑异常行为。
③ 威胁攻击监测:基于网络流量,应用机器学习等人工智能技术与算法,回溯分析异常网络行为,通过与威胁情报、行为模型匹配,发现潜在安全威胁和未知网络攻击。
(2)根因分析:对告警或异常事件,结合资产及业务关联关系,应用决策树、关联分析等智能算法,定位问题根源,有效缩短故障解决时间。
(3)智能审计:对运维会话与历史审计记录,应用大数据与机器学习算法,通过分析字符命令和用户行为形成规则库,通过匹配规则库审计运维操作命令和操作行为是否正常,对运维会话进行智能审计,并可根据最终审计结果对规则库进行更新。
(4)智能运维:对监控系统触发的告警或事件信息,利用压缩策略、智能算法、知识图谱等手段对告警或事件进行处理,确定引发故障的根因问题。对比运维知识库,一方面可提供运维建议,缩短问题解决时间;另一方面可触发特定场景下的运维方案,自动将故障进行恢复,反馈恢复结果至运维人员,事后对故障进行复盘及知识入库,形成智能运维的闭环。
(5)智能预测:依托大数据分析和机器学习能力,建立起面向业务场景的故障预测模型,基于历史告警的相关性进行关联分析和深度学习。同时与监控系统实时获取的数据结合,进行IT故障的趋势分析和预测,对未来可能发生的告警进行预警,实现故障的智能预测。
未来,SiCAP将以大数据为基础、算法为支撑、场景为导向,进行深入研究,实现数据智能分析在风险评估、智能响应等更多场景下的应用,构建更加智能化的开放式安全管理平台。