8 views

来自小数据的大事

By | 2019年1月28日

大数据很大,全球的安全供应商通过收集,切片和切割客户网络上的代表性流量(良好和其他方式)来参与这一现象,以更好地识别,预测和减轻对前线的攻击。尽管如此,对于每天用于基线,推断和诊断的所有数据,有时令人惊讶的是屏幕上正确的“小数据”可以告诉我们什么。

我们经常看到的一个例子是,在我们的解决方案部署中不断收集数据时 – 通常在最终客户意识到他们受到攻击之前。Corero SecureWatch™仪表板和应用程序通过流量采样和特定安全事件提供。这些数据通常相当于每个站点每天几千兆字节的数据,很快就可以作为大数据。

在收集这些数据时,Corero采用专有技术以及标准Sflow流量采样,为客户网络中的代表性流量(包括好坏)提供统计上的高置信度。例如,在每个方向上平均运行640字节的单个10G链路将看到每秒约300万个分组。每3000个数据包采样将导致每10G链路每秒采样1000个数据包。通过标准统计理论,这足以提供每秒流量分布的高置信度视图。

这是非常大的数据,我们充分利用它。但是,除了容易出现在数据统计视图中的容量攻击外,攻击者还会继续发展试图隐藏在较大攻击范围内的攻击,或者只是基于大量数据包的生成。有时甚至看到,更不用说诊断,这些攻击是困难的,除了大数据的处理之外的其他措施是必要的。

在这些情况下,它有时会导致单一目击,与大数据完全相反,这有助于我们识别试图进入或离开客户网络的攻击媒介。诀窍是拥有一个适用于小数据和大数据的数据收集机制。Corero DDoS攻击和网络威胁防御产品通过扫描每个数据包来表明成为更大攻击的一部分,即使较大的攻击比蛮力重复或放大攻击更复杂。如果数据包看起来可疑,则将其注册为安全事件,并将其与统计采样数据一起发送到我们的数据收集器进行挖掘。

想象一下,在发往(SIP)端口5060的数据流中看到一个安全事件,表明源端口为0.如果攻击在所有源端口上循环,那么该数据包可能只有65000个,但它会足以提醒支持团队潜在的攻击。此时,可以使用对大数据的分析来确定实际的攻击概况并开始缓解过程。

这只是我们在客户网络中看到的许多例子。令人兴奋的是,我们可以充分利用大数据和不那么大的数据来快速找到在试图通过网络的第一道防线®时不断发展的攻击的根源。

发表评论

电子邮件地址不会被公开。 必填项已用*标注