360云计算安全与大数据应用

数据驱动安全云计算安全与大数据应用360副总裁谭晓生改变RSA2015:Change云计算系统本身的安全性虚拟化系统、云计算管理平台的脆弱性，Vupen团队在2012年9月提供了intel框架下的Xen虚拟化环境穿透实现……云计算组成的复杂性带来安全性验证的挑战云计算组成与P/NP问题类似，在所有的安全问题没有暴露出来前，只是一种猜测性的防御手段黑色利益滋生威胁黑色数据源的触角延伸得更深，云计算让单点突破的规模效益得到体现，内部人作恶危害加大云计算的安全挑战传统安全问题依然存在，云计算带来了新的攻击面云计算安全总体思路纵深防御提高攻击成本多点防御、联合防御传统安全手段＋新型防御手段产业界合作联合防御主动挖掘漏洞与自我保护投入资源主动挖掘云计算系统漏洞与白帽子及漏洞举报平台合作系统自带漏洞利用保护数据安全云计算安全的核心是数据安全假设被攻破做最坏打算，被攻击者成功突破后，如何发现已被突破，如何将攻击者清除出去云计算的纵深防御宿主机OS安全加固凝思等LinuxOS的加固系统IaaS管理系统的安全OpenStack/CloudStack安全VMM系统的安全防护KVM/Xen/VMWare等的安全防护/加固多租户安全基于SDN的多租户网络流量监测，入侵检测虚拟机OS的安全无代理或轻代理的虚拟机主机安全防护安全审计通过基于大数据分析的行为审计发现安全威胁与内部人作恶云计算的纵深防御主动安全扫描主动进行系统与应用的漏洞扫描专业团队7X24安全运�团队专业化，重安全运营威胁情报采用第三方威胁情报服务蜜罐给攻击者设陷阱，检测攻击，甚至……安全服务外包／众包与第三方漏洞报告平台、众测平台合作，“安全即服务”也是云计算服务之一大数据威胁分析采集尽可能多的网络数据、行为数据进行大数据分析，找出异常让企业安全用云云计算安全基�研究漏洞挖掘系统加固方案私有云系统安全加固而面向未来，随着包括云计算、大数据、物联网等在内的造新商业环境中的企业竞争力云计算安全审计推动安全审计标准提供安全审计系统提供安全审计服务安全即服务云安全防护抗DDos攻击云防火墙云WAF云监控威胁情报云服务安全应急响应合作共赢云服务不是零和博弈云计算的复杂性超出了一家企业的掌控能力安全威胁是云计算产业链中所有人的敌人要从本地网络流量中发现未知威胁，相对于互联网世界而言，仿佛研究森林中的一片叶子，效率很低。威胁发现与其研究一片叶子，不如研究整片森林用空间换时间只有通过对互联网海量多维数据的分析、挖掘和关联，才能真正解决从被监控流量中快速发现未知威胁的难题威胁情报能力360云端全球独有的样本库总样本80亿•每天新增500万+•服务器4万+台•互联网域名信息库40亿递归解析•每天新增2000万•13年+whois信息•全球唯一的主防库覆盖7亿客户端•总日志数6000亿•每天新增10亿•最大的中文漏洞库总漏洞数超过4万•每天新增达500个•最大的存活网址库每天处理350亿条•覆盖国内96%客户端•存储计算能力互联网大数据技术路线•利用最廉价PC服务器+开源/自主开发软件构建而成–数据的可靠性，扩展性全部自主可控，成本不到IOE方案的1/100–存储计算能力的关键在于规模•大数据服务器规模超过40000台–总存储数据量接近1EB，每天新增超过1PB–每天各种数据计算任务10万个，每天处理数据量10PB–具备一分钟内调动几十万颗CPU核参与计算能力–具备一秒钟处理1TB数据的能力–数据挖掘能力以未知恶意软件发现引擎为例•基于海量数据挖掘、引入机器智能学习算法，能够有效准确识别未–知恶意软件，是人工智能技术在恶意程序自动分析领域中的首次商业应用深度学习的应用•搭建了高性能GPU并行计算平台，专门用于深度学习，如未知协议–识别、同源性域名发现等可视化能力基于多维数据•的关联，通过多种图形展现方式，构造能够帮助安全专家，对未知威胁进行分析、发现、回溯、跟踪及预警的能力大数据拼图游戏云端威胁情报流量记录文件传输行为恶意行为告警邮件记录本地设备（硬件）非关系型数据库•搜索引擎技术•快速索引，高效查询•本地设备（硬件）本地设备（硬件）……大数据引擎威胁感知系统天眼分析平台（硬件）192.168.1.2于2015年3月5日从已经受控，此攻击为XXXX团体发起，主要针对科研机构进行攻击，造成了AAAA等危害，该威胁在其他XXX用户也曾经发生过。360企业安全体系已覆盖政府、能源、运营商、金融、教育多个行业，本地部署了3000万+终端防护软件以及近10万台安全防护设备，与云端大数据结合之后，可以有效的针对未知威胁进行发现与回溯。改变技术支撑基于大数据的威胁发现传统手段的威胁发现数据数据采集源自互联网源自被监控网络数据维度终端、网络、域名、云等多维数据网络流量等单一数据数据分析高度自动化人工分析为主技术安全攻防与大数据分析安全攻防人员安全专家与数据专家安全专家我们已经进入了大数据时代，未知威胁的发现也将从研究“一片叶子”，过渡到观察“整片森林”。依靠安全专家的个人经验已经无法满足快速发现的需求，只有从数据、技术、人员等多个方面拥抱大数据技术，才能真正的有效、快速的发现未知威胁。