大數(shù)據(jù)分析可以通過基于異常發(fā)現(xiàn)的檢測機制，相對于傳統(tǒng)基于靜態(tài)規(guī)則，能夠發(fā)現(xiàn)更多隱藏的持續(xù)的攻擊。因此，越來越多的企業(yè)在采用大數(shù)據(jù)安全分析技術(shù)應(yīng)用于安全防護，百度亦不例外。【WOT2015"互聯(lián)網(wǎng)+"時代大數(shù)據(jù)技術(shù)峰會】51CTO特邀講師百度高級安全工程師吳登輝，帶大家感知未知Web攻擊，分享Web防火墻大數(shù)據(jù)安全分析實踐。

百度高級安全工程師 吳登輝

吳登輝：百度高級安全工程師。歷經(jīng)安全運維，安全測試，安全開發(fā)。對企業(yè)安全體系建設(shè)，以及安全大數(shù)據(jù)分析具有較為深入的了解。曾就職于華為，負責二進制方面的漏洞挖掘工作。入職百度后，曾負責web安全測試、移動app安全評估以及一些安全規(guī)范安全體系的建立等，也參與了百度安全中心的建立。目前，主要負責web日志的安全分析。

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)對政治、經(jīng)濟、社會和文化的影響愈加深遠，圍繞著信息獲取、利用和控制的國際競爭日趨激烈，網(wǎng)絡(luò)與信息安全面臨的形勢日益嚴峻。而且，服務(wù)和業(yè)務(wù)逐漸擴展到Web平臺上，Web安全威脅接踵而至。攻擊者可以利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

作為具有豐富實戰(zhàn)經(jīng)驗的Web安全專家，吳登輝表示：“對互聯(lián)網(wǎng)企業(yè)而言，目前針對Web安全最關(guān)注兩點：一是，Web系統(tǒng)的可用性;二是，用戶數(shù)據(jù)的保密性。這就涉及到目前影響最大的幾種攻擊方式，包括DDOS和數(shù)據(jù)庫注入以及撞庫。同時，新型漏洞從爆發(fā)到大規(guī)模利用的時間也越來越短。”

為了防范web安全威脅，很多企業(yè)選擇部署Web防火墻。有使用硬件盒子式的，也有使用基于云的Web防火墻。吳登輝建議，在部署時一定要注意防火墻規(guī)則的維護。針對硬件盒子形式的防火墻，企業(yè)需要專門有相應(yīng)的運維人員。而當前基于云的Web防火墻例如百度云加速，安全寶等，云廠商則會幫企業(yè)進行統(tǒng)一的維護，并進行漏洞響應(yīng)，從而大大降低企業(yè)的成本。

Web防火墻大數(shù)據(jù)安全分析實踐

作為一名Web安全防護人員，你是否想要知道攻擊是什么時候發(fā)生的?網(wǎng)站是怎么被攻擊的?攻擊者又是誰?網(wǎng)站是否安裝了木馬?你是否想要在攻擊者動手前摁住他?在網(wǎng)絡(luò)邊界早已模糊的今天，在大數(shù)據(jù)的時代，大數(shù)據(jù)安全分析可以幫助你從更廣闊的視野里尋找更深層次的原因，找出潛在的可循規(guī)律，感知Web攻擊。

吳登輝表示，大數(shù)據(jù)安全分析是為了彌補現(xiàn)有漏洞發(fā)現(xiàn)手段的不足，及時檢測攻擊并實施攻擊阻斷，所用的基于數(shù)據(jù)關(guān)聯(lián)與分析的方法。為了彌補傳統(tǒng)的安全防御體系的不足，包括主動掃描能力無法完整覆蓋業(yè)務(wù)，阻斷攻擊時WAF/IPS誤傷業(yè)務(wù)，新型攻擊出現(xiàn)，攻擊檢測的策略無法及時更新的問題……而不是為了炒作制作個公雞(攻擊)圖。在Web防火墻大數(shù)據(jù)安全分析的實踐中，需要從數(shù)據(jù)采集、數(shù)據(jù)分析、基礎(chǔ)架構(gòu)，以及數(shù)據(jù)分析實踐四個方面出發(fā)。

數(shù)據(jù)采集：采集一切數(shù)據(jù)放到集群上，以及只采集系統(tǒng)已有的數(shù)據(jù)放到集群上，這兩種做法都有問題。那么究竟該如何采集安全數(shù)據(jù)?對于有針對性的數(shù)據(jù)采集，需要開發(fā)特定的采集探針，數(shù)據(jù)將更有效并會事半功倍。例如：可以按照攻擊樹和Cyber Kill Chain來采集數(shù)據(jù)，構(gòu)建攻擊場景。

數(shù)據(jù)分析：在進行數(shù)據(jù)分析時，工作人員需要通過機器學習發(fā)現(xiàn)異常，通過進行人工標定和分析來產(chǎn)生規(guī)則情報，最終把規(guī)則情報反饋給分析系統(tǒng)，產(chǎn)出更多的信息。

系統(tǒng)架構(gòu)：系統(tǒng)架構(gòu)需要實現(xiàn)交互式搜索，情報易集成可動態(tài)配置，支持機器學習模型訓練以及支持實時模型調(diào)用。

數(shù)據(jù)分析實踐：為了發(fā)現(xiàn)繞過Web防火墻的攻擊行為，并提取攻擊情報，包括掃描器payload惡意攻擊IP等。需要從HTTP請求的各個角度，PATH, QUERY, UA, SESSION等多個維度進行分析。并采用基于統(tǒng)計、機器學習，對PATH，QUERY，SESSION等建立模型的分析方法。包括：參數(shù)分布，請求頻率，SESSION請求寬度，404比例等。

據(jù)吳登輝透露，目前百度針對安全寶和云加速的用戶，已經(jīng)開發(fā)出這樣的一套大數(shù)據(jù)分析系統(tǒng)-- “諦聽”。它會根據(jù)網(wǎng)站的訪問訓練出網(wǎng)站的正常的訪問模型，從而發(fā)現(xiàn)未知的攻擊。目前該系統(tǒng)已經(jīng)成功的幫安全管理人員發(fā)現(xiàn)了很多繞過防火墻的高級攻擊。同時，它也會從攻擊中提取出情報信息，包括惡意IP地址，新型的攻擊payload等。

如果想要更加深入的了解，那你只能來WOT了……

在11月28-29日由51CTO主辦位于深圳的【W(wǎng)OT2015“互聯(lián)網(wǎng)+”時代大數(shù)據(jù)技術(shù)峰會】中，吳登輝將通過對百度Web防火墻(云加速/安全寶)的海量日志包括訪問日志和攔截日志進行多角度分析，感知未知Web攻擊，并為其他安全產(chǎn)品提供情報支持。

• WOT講師單藝：用大數(shù)據(jù)開發(fā)產(chǎn)品、優(yōu)化運營
• MOB蘭旭：縱向深入分析大數(shù)據(jù) 獲得“預(yù)見未來”的能力
• WOT講師董乃文：微軟提供的那些大數(shù)據(jù)服務(wù)與技術(shù)
• WOT講師劉帆：大數(shù)據(jù)+醫(yī)院信息化下的奇妙化學反應(yīng)
• WOT講師覃超：前Facebook工程師問你,增長用戶非要燒錢?
• WOT講師管理心理學博士于際敬：大數(shù)據(jù)時代的“心”發(fā)現(xiàn)
• WOT講師劉黎春：互聯(lián)網(wǎng)征信是新藍海
• WOT講師馮揚：體系變化與用戶建模角度探索微博推薦
• WOT講師張溪夢:拿什么拯救你,疲于污水處理的數(shù)據(jù)分析師
• WOT講師手淘技術(shù)專家陳武：手淘億級UV背后的大數(shù)據(jù)采集體系
• WOT講師任化偉：大數(shù)據(jù)技術(shù)讓 O2O 基礎(chǔ)信息更“靠譜”
• 如何將 Google 神秘的數(shù)據(jù)中心管理系統(tǒng)搬回家
• WOT講師楊德升：程序員創(chuàng)業(yè)都需要什么
• WOT講師錢承君：大數(shù)據(jù)帶給百度測試團隊的發(fā)展新探索
• WOT講師劉鵬：大數(shù)據(jù)應(yīng)該指導(dǎo)機器而不是人的決策