美国的国防采购一直是先进实用技术和产品的风向标,对信息安全行业发展方向的指导和引领作用也是不言而喻。行业内一直有个传说,称美国2013年国防预算法案中抛弃了基于识别特征库的安全产品。可惜每次听到或看到都语焉不详。因此笔者找到了原文,翻译给大家,并一起分析探讨其真实含义。
1、
仔细想想,这要求再合理不过了。虽然美国国防部每年都有大笔预算砸向信息基础设施,但海量条数的威胁库,对计算能力、存储空间、和网络带宽,都是极大的压力,而且只要不能及时更新威胁库,很容易令敌对方有机可乘。
法案中只是泛泛地提到了威胁库,并没有专指基于识别特征(signature-based)的产品。但不幸的是,根据上面的描述,那些号称有几百亿条黑白名单信誉库的威胁情报厂商也躺枪了,显然不能满足上面的要求。同时,能够应对内部威胁也在法案其它处明确提出,而传统特征库的作用十分有限。虽然上面描述部分是在主机安全产品采购的章节,但相信在网络安全领域将会有同样的要求。
这三点要求可不是简单地只针对特征库!
有些含义深刻的推论很容易被忽视:“大数据安全”符合这个要求吗?数据采集分析和结果回传是不是同样会消耗大量带宽和存储?怎样才能用小规则库预测大量威胁?采用什么技术才能在单台设备上跑出预测威胁的效果?怎样同时应对内部威胁和外部威胁?
如果识别规则库的体积,与被识别数据以相同数量级增长,那么此识别框架体系必然会遇到巨大瓶颈。这条经验是笔者从事内容识别工作实践总结出来的,也同样应用于数据分类分级和防泄漏等领域。随着威胁数量猛增,特征库可预见地会变得愈加庞大,部署与使用的难度也会剧增。
有别于大数据安全,这也清晰地说明了“数据驱动的安全”的另一个重要发展方向:只利用少量数据和少量计算,就能预测发现未知威胁。不需要也不能够直接使用“大数据”的支持。显然地,某些机器学习和数据挖掘算法可以满足此类需求。
必须要重点澄清的是,这里并不是全盘否定特征库。实际上,基于识别特征的系统早已部署完毕,下一代系统的要求是在此之上的补充和发展。
附上原文供参考:
2、
美国众议院军事委员会(负责对国防部、武装力量、能源部大部分机构提供资金以及实施监督),对基于识别特征的安全产品的局限性也有清晰认识,下面是其对于国防预算使用的建议:
综合近两年安全行业基于机器学习、行为分析、和数据挖掘的全新威胁检测产品的风起云涌的形势,委员会认为有潜力的新技术也昭然若揭。采用机器学习和数据挖掘技术的引擎,只需要同步数据量很小的规则库,就能发现大量新出现的威胁。而行为分析产品,在军队这种行为高度规程化一板一眼的环境里,归纳正常行为基线相当容易,侦测异常行为准确率高,更是有奇效。当然,现在主流的行为分析方法也是使用数据挖掘里的算法。
此外,由于单台设备上可供分析的数据量小,来源也要全面立体化。像只分析鼠标键盘这种单一类型行为只会导致漏误报率高。正确的做法是,除了传统的日志,还应使用敏感数据保有量和使用、访问内部服务器并下载关键信息、恶意域名访问等数据进行分析,才能达到较好效果。
附上原文供参考:
