面对多样化的业务服务和日益严重的安全威胁,为了构建全面的安全管控平台,需要集成更多的安全防控系统,这也会产生大量的数据。 如何更好地利用平台数据,提高整体安全管控能力,对数据进行智能分析尤为重要。
智能数据分析是应用大数据技术、机器学习、模式识别等智能算法,根据不同业务场景分析数据,提供更高效的智能管理。
基于大数据、机器学习等技术,实现了资产信息、用户行为、监控数据、设备日志、网络流量等数据的智能分析,实现了异常风险分析、根本原因分析、智能审计、智能运维、智能分析等。
1)异常风险分析,包括:
日志异常检测:基于日志聚类、模式识别、机器学习等技术和算法,检测异常日志和潜在风险。
异常行为分析:建立行为基线,关联用户和资产行为,利用机器学习等算法,发现严重偏离基线的可疑异常行为。
威胁攻击监控:基于网络流量,应用机器学习等人工智能技术和算法,回顾性分析异常网络行为,并将其与威胁情报和行为模型进行匹配,以发现潜在的安全威胁和未知网络攻击。
2)根本原因分析:对于告警或异常事件,结合资产与业务的关系,应用决策树、关联分析等智能算法,定位问题根源,有效缩短故障解决时间。
3)智能审计:针对运维会话和历史审计记录,应用大数据和机器学习算法,通过分析字符命令和用户行为,形成规则库,通过匹配规则库,判断运维操作命令和操作行为是否正常,从而根据最终审计结果对运维会话进行智能审计和更新规则库。
4)智能运维:对于监控系统触发的告警或事件信息,通过压缩策略、智能算法、知识图谱等手段对告警或事件信息进行处理,确定故障根源。与运维知识库相比,一方面可以提供运维建议,缩短问题解决时间。 另一方面,它可以在特定场景触发运维方案,自动恢复故障,将恢复结果反馈给运维人员,事后对故障进行审查和存储知识,形成智能运维闭环。
5)智能化:依托大数据分析和机器学习能力,建立业务场景故障模型,基于历史告警的关联性进行关联分析和深度学习。同时,结合监控系统获取的实时数据,对IT故障进行趋势分析,对未来可能发生的告警进行预警,实现故障智能化。
未来,SICAP将基于大数据,以算法为支撑,以场景为导向,进行深入研究,从而实现智能数据分析在风险评估、智能响应等更多场景中的应用,构建更加智能的开放式安全管理平台。