|
|
接着5.2开的头继续:
1.要监控的关键威胁是什么?
两篇文章说得很清楚, 不仅对数据来源的可靠性和数据质量必须要监控,还要监控大数据平台的性能。
来源不可靠,质量差的数据是首要的关键威胁,大数据平台性能支撑不了数据处理和分析的要求,是另外一个关键威胁。。
2.涉及的分析方法有哪些、3这些分析方法又需要哪些数据?
首先是黑名单比对法,比如有些元数据项的对应内容表明,这些数据来自某些恶意站点,这些经过确认的恶意站点已被监控平台列入黑名单中,监控平台就要把来自这些恶意站点的关联数据分析出来,并在利用时加经排除,否则会干扰分析目标。这些起数据往往是收集和侦查获得敌情的“情报”,来自安全行业联盟、合作伙伴、政府的网络安全监控中心及其他非盈利性的安全组织。
第二是关联分析,比如将漏洞及与漏洞有关的应用同已经发生的安全事件、潜在的安全威胁进行安全分析,可以获得一定的风险概率等分析结果;
第三还可以进行特征分析,比如网络流量、应用流量等特征分析,应用所谓人工智能算法也好,机器学习工具也好,来做一些专门的安全分析。
第四还可以事件分析,将已发生的安全事件和同期的大数据特点; 再把当前的大数据特点与发生安全事件期间的大数据特点进行分析,得出当前会发生类似事件的概率。
4.需要什么样的平台系统来支持分析工作,平台选择的关键能力指标有哪些?
首先要支持各处分析模型和算法,其次要有数据质量评估功能,三是平台最好有人工智能,能够主动做一些常规分析; 四是尽可能支持用户自主地来订制一些个性分析,否则对用户要求高的话使用门槛就高了,又要懂业务,又懂大数据分析的人毕竟少。
平台的关键能力指标可能是最大数据规模指标,最快响应时间指标,异常自动检测指标,自动响应给出行动建议和方案的时间指标等,这些指标肯定和P2DR等攻防事务的要求有关。
5.现有技术能力下建立起的平台,适合怎样的人来使用,是否已经具备这样的人员,是否能够·购买相应的安全服务?
目前各类安全分析系统,还是要给专业技术人员使用,暂时做不到面向业务管理人员来使用,建立公共的安全分析平台,以安全服务的方式供不同用户来共同使用,最符合客户的商业利益,也有利于平台不断改进和优化,平台的综合成本最低。
6.采集数据和人员水平受限情况下,如何选择切实的目标保障有实际的效果?
受制于数据采集质量和客户方的人员水平,选择目标可以采取分步走的方式,近期的、临时的、紧急目标与远期的、长期性的、综合性的指标相结合。
先取得一些看得见,摸得着的现实效果,再扩大应用范围,比较稳妥。
|
|
楼主: 王楠w_n
IP卡
狗仔卡
发表于 2017-5-18 10:50
显身卡
发表于 2017-5-20 16:56
