目前，行业云的发展面临非常良好的机遇期，各行各业，尤其是一些金融行业、政府行业，以及大的国有企业都在纷纷构建自己的云平台，而云安全也一直是现今网络安全关心的焦点问题。国家和党中央高度重视网络安全，十八大以来，以习近平同志为核心的党中央，就我国的网络安全和信息化工作，成立了中央网络安全和信息化领导小组，习总书记亲自担任组长，发表一系列重要讲话，科学回答网络安全和信息化发展的一系列重大理论和实践问题，提出建设网络强国战略目标。在公安部，中央网信办，国家信息中心等部门的大力支持和建设下，新的国家等级保护标准规范2.0版本即将出台, 以往的信息安全等级保护也要过渡到网络安全等级保护，除了法规明确要求国家实施等保制度，未来等级保护制度将涵盖云平台、大数据、物联网、工控系统等多类信息系统。

中国行业（私有）云安全技术联盟，在迎接等级保护制度2.0时代的同时，希望能共同推动等级保护关键技术的研发和应用，为解决一系列新技术新应用安全问题，为深入推进落实国家信息安全等级保护制度，发挥重要技术支撑作用。科来作为国内信息安全厂商之一，一直深耕网络全流量分析与网络数据安全分析这部分的技术工作，曾多次参与国家级安全保障任务，如九三阅兵，贵阳数博会，杭州G20峰会等，也愿意借助联盟这个平台，介绍科来大数据云安全分析平台为适应云等保2.0时代的一些技术性探讨，分享云安全领域的经验，为国家等保标准的实施尽力。

云时代的信息系统，包括数据中心，即传统所说的机房，以及云平台，大数据平台，以及支撑云平台和大数据平台运行的相关的安全平台。相比以往的信息系统，云时代信息系统无论在自身技术层次，还是安全要求都有很大的不同。以往各行业各部门的信息系统从软件到硬件，从数据存储、业务信息处理和管理到系统安全，几乎都由自己负责，但以后的趋势是企业和部门只负责业务信息处理和管理，而其它都由相应的云平台服务商负责，多个行业和部门会共享云平台提供的服务。从云安全的角度出发，和1.0时代不同的是，要从以往的被动防御，单纯依赖防火墙、杀病毒、IDS，上升为主动防护，采用多种安全手段，具备威胁情报感知、数据分析、机器学习等能力，打造智能驱动下可持续发展的云安全分析平台。

在等保1.0时代，虽然用户部署了众多类型的安全检测防护软件和设备，拥有采集海量安全数据的能力，但它们大都是孤立的，当前没有平台能够真正做到实时理解这些安全数据间的融合和关联。安全分析人员发现可疑线索后，限于对线索研判的可信原始数据支持的条件制约，很难对潜在的安全事件定性及线索回查，往往处于被动防御的局面。如果说“基于特征匹配的检测防范已知威胁”、基于“沙箱的动态行为分析技术阻止未知恶意代码进入系统内部”，那么对于账号异常登录、敏感数据异常访问、木马C&C隐蔽通道、以及已经渗透进入系统内部的恶意代码而言，对这类异常行为的检测，传统的、孤立的安全设备已经不能有效检测和防范。科来认为安全分析的关键是数据，提出分析能力引擎化、异常行为模型化、威胁情报背景化、威胁事件关联化、动态展现可视化的大数据安全分析解决方案。

科来大数据安全态势感知平台基于全流量安全分析系统（TSA）网络取证和完整数据包捕获，集成标准采集器采集APT、IDS、IP、防火墙、业务服务器等的安全数据，回传到基于大数据的机器学习和数据挖掘的网络安全引擎平台，提供异常检测、态势感知、快速查处和高级异常行为建模分析的能力，创建一个能够实时分析和理解海量数据的平台。

一、精准完善的网络数据源

在网络威胁发生时，传统的安全防御体系失效的原因，除了攻击手段进化，具有针对性和隐蔽性外，还有一个是系统旧的单一威胁模式特征匹配跟不上新威胁变化。但是，无论再高级的攻击，都会留下网络痕迹，在这里全流量安全分析的重要性就体现出来。

全流量安全分析包括全流量检测和全流量存储。全流量检测以网络全流量数据为基础。

网络全流量数据不是简单依赖设备日志和某些固定规则，而是以一种高价值、高质量的网络数据表示——“网络元数据”存在，其数据来源包括全流量数据包，全会话日志，全元数据，报警数据，全附件，全邮件，全原始还原数据等，也就是网络全流量大数据。

全流量检测能够对网络中的所有网络行为，从多个维度特征进行建模，从而设定相应的安全基线，对于不符合安全基线要求的网络行为检测为未知攻击，弥补以往单纯依赖特征匹配的不足。全流量存储，则确保从时间轴上，空间轴上实现网络内设备和应用的历史流量关联，从而在网络攻击发生时做到实时检测，在发生后做到溯源取证。

虽然全流量安全分析有以上优点，但对技术本身也做出了高要求，要是全流量检测系统必需具备实时分析能力，对系统整体计算能力要求更高，而且存储数据量很大，除了占用更多存储空间，也要求合理选择不同数据分析粒度以确保提供合适的格式化记录数据，实时准确关联相应流量，供全流量检测使用。

正因为有了完善的数据源，大数据安全态势感知平台依据大数据分布式存储和计算架构，利用安全分析模型建模、机器学习、关联分析等方法，具有国际领先的鉴别能力，能够识别超过1500种网络协议，超过8500种以上网络应用，在国内属于佼佼者。

二、基于元数据建模的威胁分析

元数据是描述数据特征或属性的数据，不同的特征或者属性可以看作是原始网络数据在不同维度的数据表示。以金庸先生《天龙八部》里萧峰出场的描述为例：

如果把原文的描述比作网络原始数据源，那么身高，年龄，衣着等等萧峰本人的特征则可以比作网络元数据可以提取的不同特征维度。可见，元数据的基础，必须是完整的原始数据，以往的安全设备可能只是关注某些个别的特征，难免出现“管中窥豹”“盲人摸象”的情况，而精准完善的网络数据源，结合网络元数据，就能为云安全分析提供更多维度的特征，从而实现后面所述的智能感知和学习的过程。

科来大数据安全分析平台不仅支持不同厂商和型号的网络安全设备的日志、分析结果、文件等数据源标准化采集；还兼容其它厂商的SOC、SEIM、APT、IDS等威胁事件与统计分析的结果上报。解决跨区域、跨单位组织、跨行业、链接安全孤岛数据的数据汇总分析，以多维度去挖掘威胁事件间的关联性，最终溯源出攻击的完整过程。

大数据安全平台的基本功能包含基础的数据收集、流量监测、恶意主机漏扫、恶意web漏扫、钓鱼邮件攻击、钓鱼网站攻击、操作系统漏洞攻击监测、应用服务器程序漏洞攻击、浏览器漏洞攻击、文件格式漏洞攻击、web漏洞攻击、恶意软件传播、恶意软件行为、异常电子邮件行为监测、异常web访问行为监测、异常远程控制行为监测、漏洞攻击逃避监测防护、恶意软件逃避监测防护、隐蔽信道逃避监测防护、未知威胁分析等等。平台提供这些丰富的威胁事件类型，有利于对整个攻击过程的还原和溯源。

大数据安全平台的安全分析工作，还包含基于威胁情报提供的攻击模型匹配，漏洞库、黑IP、黑域名、黑URL在全流量的会话日志中的关联，恶意文件MD5值在文件库里的甄选对应等等。由于科来全流量安全分析系统的全数据包捕获网络取证，保证了所有攻击数据未被丢失而攻击记录保存下来，便于安全平台建立时间纵向和数据横向的纵横联动的预测性分析任务和行为模型，提高检出精准度与效率，从噪音检测与误检中解放出安全分析师，使其投入更尖端的分析工作中。

三、全局安全态势智能感知

科来大数据全局感知平台根据威胁情报甄别、威胁事件关联和高级分析的结果，在自定义时间、空间范围内进行全局、行业及组织单位的安全态势呈现和预测。安全态势感知结合国际标准STIX进行分析统计，从攻击源、攻击动机、攻击方法、攻击时间、恶意攻击行为、攻击工具、利用目标弱点、造成影响及后果、杀伤链、可见行为等进行在自定义时间范围内进行安全态势感知展现。

近来发生的网络安全事件当中有共同的特点，就是很大一部分由内部人员行为造成的。得益于全流量分析系统的完整数据包捕获和全会话日志和元数据提取，以及全局威胁事件关联的结果，科来大数据全局感知平台通过对海量数据进行机器学习，对内网主机IP身份及重点业务服务器资产、外网攻击者进行指纹识别与行为画像，包括用户行为的分析，用户行为安全基线的建立，用户行为的分类分级管理等。而通过各类机器学习在线或离线智能学习算法，系统能持续对画像进行智能修正，从而适应网络威胁的变化。

针对私有云业务系统的资源配置，包括虚拟机的迁移变化，整个安全分析系统会动态跟踪相应的真实硬件设备和虚拟机设备的变化过程，做到无论新旧设备或虚拟机的加入、删除及迁移，都能实时监控，并实现对应设备或虚拟机安全策略的跟随迁移，确保迁移中安全策略变化的一致性，并形成前后可追溯的迁移事件记录过程，从技术上保证虚拟机仅能迁移至相同安全保护等级的资源池，虚拟机迁移过程中的完整性保护和信息防泄露等业务迁徙中常面对的问题。

科来大数据安全态势感知平台内嵌支持安全业务系统的面向动态和随需变化，提供重点资产智能感知与识别，提供被监测单位组织内部的横向比较，如业务服务器和重点资产与IP的安全态势、各类安全设备威胁事件触发面积图等，通过前端对私有云环境的流量抓取，并从其中提取和生成它们的云设备信息“指纹”，全面掌握资产状态与安全指数。分析平台以图形化、图表化的可视化方式，为安全管理和分析人员直观呈现安全设备和业务系统各个环节的工作状况，性能异常短信告警等，实现高效的虚拟节点业务运维性能动态可视化监控。

科来大数据安全态势感知平台的绝大部分功能都可以做到云端部署，如可信软件查询云（恶意代码查杀云），安全基线云，网络数据追溯分析云，安全管理云，安全审计云等等。企业搭建私有云的使用周期是长期的，需求也会有变化，科来产品的配置方式也是灵活多样的，以适应企业业务和生产的需要。以私有云为例，企业私有云实用中，企业在部署安全平台后，其安全业务核心知识库在长期运营中通过自身安全分析，会到许多新的分析知识和业务规则，如病毒特征码、网络威胁特征模型等，这些信息对企业自身的安全工作是至关重要的。在产品更新和升级上，科来既支持多种部署方式，既可以选择企业客户端一侧内部部署和升级，也可以由科来在云端控制和部署，定期提供平台的相关功能和知识库的备份和升级，对于企业内部安全人员发现可疑行为，科来安全分析人员也可以根据需要赴实地或在云端提供技术支持，为企业遇到的安全问题及时排忧解难。

新的2.0云等级保护制度要求云安全系统做到“整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重”。面对新的技术挑战，科来希望在继续提高自身研发和服务质量的同时，积极参与云安全技术联盟的建设，和友商们发挥集体智慧优势，顺利实现国家２.０等保要求的实施，为国家网络空间安全治理打下基础，提供技术支撑能力!

作者：科来