流量感知化

安全的最大问题不是防御能力不足，迟钝的感知能力才是关键。组织机构仅依靠安全防御手段是远远不够的。然而，再高级的攻击，都会留下网络痕迹，因此，科来提出了全流量安全分析：全流量检测+全流量存储。采用行为和流分析，检测异常行为，历史流量关联，攻击溯源取证。

图1 科来 齐继东

科来公司的齐继东表示，全流量安全分析的核心功能为异常检测、流量存储和回溯分析。其中，异常检测是当发现可疑通讯时，系统提供实时警报，科来全流量安全分析系统内置600多条网络行为模型库快速检测可疑通讯行为，通过多种条件组合专门针对高级攻击的持续性、隐蔽性。可疑通讯行为包括高级攻击（APT）、异常流量和网络入侵、WEB攻击。该系统支持150种以上元数据（会话元数据以及协议元数据）提取，支持自定义提取，自定义建模。

图2 科来大数据安全态势感知体系架构

而在流量存储方面，能够将当前检测到的攻击行为与历史流量进行关联，实现完整的攻击溯源和取证分析。特点是2-7层流量透视，直至数据包级，基于IP、协议的自定义流量存储，大于50% 数据压缩能力。

Gartner的报告，表示信息安全问题正在变成一个大数据分析问题。科来大数据安全态势感知平台的功能包括全流量数据采集、数据关联分析、业务运行监控、攻击溯源取证、网络流量可视化和安全事件响应。

齐继东表示，大数据安全态势感知平台基于科来全流量分析引擎采集数据，采用大数据分布式存储和计算架构利用安全分析模型、机器学习、关联分析的方法，发现未知威胁、提高检测能力，快速分析研判、减少响应时间，数据全量留存、满足合规要求，安全态势感知、帮助高效决策。