APT 攻击现在可不是随便搞搞就能应付的,尤其对企业安全要求高的场景,光靠传统杀毒早就不顶用了。基于大数据的 APT 检测方法,就是挺实用的一套玩法。数据采得广,得快,还能实时报警,关键是响应也快。
APT 攻击说白了就是“蹲草丛”的那种,悄悄摸进系统长时间搞破坏。像社会工程、钓鱼邮件这些手段一环扣一环,挺烦人的。你要是光看表面,容易被绕过去。所以要靠大数据技术把各种安全日志、流量数据都拉进来,统一。
数据采集这一步建议尽量全一点,比如抓系统日志、防火墙日志、网络流量这些。采集完就丢给Hadoop或Spark,批量+流式都搞上,实时性才有保障。
那块就比较讲究了,机器学习算法关键。像聚类、分类这些模型拿来训练后,能帮你识别可疑行为。举个例子,有台服务器突然流量暴增?模型一检测,立马报警,不然就晚了。
不过啊,用大数据也不是没门槛。数据质量不行,算法怎么学?隐私合规也要上心,是用户数据那一块。还有一点,成本确实不低,服务器、存储、开发都得烧钱,但比起被 APT 入侵,孰轻孰重你自己掂量。
LC 公司那例子还挺典型的,用大数据不光做 APT 防御,还把下载速度和稳定性都提上去了。你要是也想搭个智能化的安全平台,建议可以结合下机器学习和人工智能,自动化程度高多了。
顺带推荐一些不错的资源,想深入玩的大数据+安全,不妨看看:
如果你刚好在做企业安全系统,或者对 APT 检测感兴趣,强烈建议你研究下这套思路,效果还挺不错的。