我們怎么從這個海量數(shù)據(jù)里邊得到這個，其實(shí)用戶在這個海量數(shù)據(jù)里面，他是很難有作為的，也很難去搭建這種大數(shù)據(jù)平臺。其實(shí)我們給用戶呈現(xiàn)的，就是我們最后通過各種各樣的技術(shù)，或大數(shù)據(jù)的分析技術(shù)，還有一些我們綠盟后臺的專家的分析能力，獲取的就是最下面的這些東西。威脅情報(bào)里邊有好多種，就是有這種UIL的信譽(yù)庫、文件信譽(yù)庫、IP的信譽(yù)庫這幾大庫組成，其實(shí)對用戶最有價值，或者最接地氣的，最能直接使用的就是這些威脅情報(bào)。然后我們這些威脅情報(bào)因?yàn)槊磕昊蛘呙刻爝@種數(shù)據(jù)在不斷的變化，很大的量級在發(fā)生變化，然后我就講一下，有兩張片子非常簡單，我們歸納了兩個場景，因?yàn)樵谲姽ば袠I(yè)主要有兩個場景。一個就是剛才說的，就是互聯(lián)網(wǎng)和商秘網(wǎng)環(huán)境，因?yàn)檫@兩個網(wǎng)和互聯(lián)網(wǎng)的關(guān)聯(lián)度可能更大一些，這是我們關(guān)注的一個場景。
在這里邊我們就要考慮，我們享受這個在線式的威脅情報(bào)，我們在這個圖里邊可以看到，我們有兩個剛才說的關(guān)鍵點(diǎn)。就是邊界上一個是新一代的入侵防御系統(tǒng)，還有一個就是我們的郵件網(wǎng)關(guān)系統(tǒng)。我們從這兩個維度上去進(jìn)行第一道的過濾，當(dāng)然這兩個第一道過濾可能還有一定問題會有漏網(wǎng)之魚。比如說這是互聯(lián)網(wǎng)，這些所有的數(shù)據(jù)來了之后，進(jìn)入這兩個邊界的東西去過濾，然后到了里邊之后有漏網(wǎng)之魚怎么辦，我們有我們本地的一個，剛才說的威脅分析的系統(tǒng)或者叫平臺，我們做這些數(shù)據(jù)還原根據(jù)他的行為去判斷他是否有害是否有惡意行為，我們生成一個本地化的威脅情報(bào)，然后另一個就是我們在線的威脅情報(bào)，我們搭建的這種云，通過云上可以在線的更新。一個是我們云端的威脅情報(bào)，還有一個是本地化生成的這些情報(bào)，因?yàn)槲覀冞@些設(shè)備進(jìn)行這種共享，這樣最主要的一個目的就是使我們這些系統(tǒng)，本地化的系統(tǒng)變的非常聰明，他能更精準(zhǔn)的識別這些威脅。從這里邊我們也可以看到，我們現(xiàn)在做的跟別人有一點(diǎn)點(diǎn)不同。

現(xiàn)在有些廠家他只是注重在檢測，其實(shí)檢測確實(shí)是一個非常重要的話題，但是根據(jù)咱們現(xiàn)實(shí)的情況，我們在防御這一塊其實(shí)也不能放松，檢測出來其實(shí)還是我們要把他非?？焖俚娜r截去消滅，把這些惡意的行為消滅的扼殺在搖籃之中。我們要把這些情報(bào)回投給我們的設(shè)備，然后進(jìn)行下一步的攔截，你再來之后我就做相關(guān)的過濾，其實(shí)這個是我們的一個思路。然后還說了，我們軍工行業(yè)全是設(shè)密碼，那這個怎么辦，我們跟互聯(lián)網(wǎng)根本就沒有連接，那我們的情報(bào)怎么共享呢，那我們就分析第二個場景，第二個場景就是我們分析我們軍工單位隔離網(wǎng)的環(huán)境，剛才說過我們有幾種模式，一個是通過這種下一代的入侵防御系統(tǒng)本身的攔截，另一個就是本地化的情報(bào)，我們這個平臺其實(shí)是可以離線的，他本身有一些特征的行為分析能力，分析完了本地的情況涂給我這些防御設(shè)備，另一個就是我們可以通過這種安全的，離線的下載方式把這些情報(bào)以我們可接受的平度，導(dǎo)到我們的防御系統(tǒng)上面去。因?yàn)槭歉綦x網(wǎng)，可能我們通過一些光盤的方式，把這些情報(bào)比如說每天，每個工作日的方式或者是每周的方式去導(dǎo)入，然后我們?nèi)ハ硎苓@個情況的一些能力。這是我們的兩個場景。以目前咱們軍工行業(yè)的使用場景基本上不脫離這兩個應(yīng)用環(huán)境。

我這個比較簡單，我就最后再說一點(diǎn)點(diǎn)希望，其實(shí)今天大家在講的時候其實(shí)也多多少少點(diǎn)到了這一點(diǎn)。第一個就是，為什么講這個希望呢，我感覺我們現(xiàn)在在大數(shù)據(jù)這塊做的還遠(yuǎn)遠(yuǎn)不夠。剛才哪位同仁也說到，兩頭熱中間冷的情況，這里面我感覺有幾點(diǎn)，主要是我們的報(bào)網(wǎng)還只是所有威脅的冰山一角，其實(shí)我們自己針對我們信息安全廠商來說，我們認(rèn)為我們發(fā)現(xiàn)的情報(bào)只是冰山一角，因?yàn)槲覀兊哪芰μ邢?，因?yàn)樵瓉碛行?shù)據(jù)也統(tǒng)計(jì)過，就是我們把威脅情報(bào)跟其他廠家的威脅情報(bào)做比對的時候，我們的交集非常小，或者就沒有交集。就證明我們有很大的盲區(qū)，所以希望大家合作。為什么這些威脅情報(bào)廠商的合作力度不夠，這里面有各種各樣的原因，有利益原因，還有就是我的知識是不是被人無償?shù)墓蚕?，還有就是大家如果能放開這個威脅情報(bào)我們?nèi)绾问召M(fèi)，這個是很難衡量的。市場也沒有個指導(dǎo)價，這賣多少錢，到底怎么賣，賣便宜了是不是以后可能會出現(xiàn)虧損，賣貴了是不是沒人要。還有就是我個人這個想法不知道成熟不成熟，現(xiàn)在我們這些行業(yè)的一些威脅情報(bào)還是比較缺少，就是我們軍工行業(yè)有什么樣的威脅情報(bào)，他跟我們的外網(wǎng)，或互聯(lián)網(wǎng)跟網(wǎng)站有什么樣的關(guān)聯(lián)的情報(bào)非常少。這是我對大數(shù)據(jù)和威脅情報(bào)的一點(diǎn)點(diǎn)不足看法。還有就是我們希望以后能做成什么樣子，我是希望第一個做成這種大情報(bào)系統(tǒng)，類似于公關(guān)的那個大情報(bào)系統(tǒng)。就希望大家人人參與全面共享。這個事最好是由國家決策層做總體協(xié)調(diào)，由習(xí)大大層面的人協(xié)調(diào)最好。

 3/4   首頁 上一頁 1 2 3 4 下一頁 尾頁