可视化网络安全技术看透黑客应用

成都弱电公司讯：

传统的网络平安一般是基于策略或者是特征，然而特征并不等于行为，用户可以使用合法的账户通过合法的行为而做一些非法的事情，例如已辞职员工使用其原来的账户通过VPN远程登录进公司内部的系统并盗取企业的业务敏感数据。

“下一代防火墙并不一定能防住下一代的威胁，只有通过对用户行为的学习，并利用动态的策略来匹配用户的行为，进行细粒度的响应，才能保证用户业务的连续性。所以现在安博通要做的，正是通过策略、行为和流量的可视，利用动态的策略配置、用户行为的分析和深度辨认，以及敏捷响应来做到真正的‘看’透平安。”苏长君说。

让不懂平安的人看懂平安

“平安的本质就是风险控制体系，让各个层面的人都可以理解、执行平安，让每个使用网络的人有‘平安感’，我们的目标就是让不懂平安的人看懂平安。”苏长君说。

苏长君表示，需要明确的是，可视化网络平安技术并非是把界面做好，也不是就搞个大屏幕做一些飞来飞去的炫图，其最主要的是要整合各个层面的需求，实现动态的平安经管，在一个基于平安视角的平台上根据需要叠加各种各样的平安防御技术。

以乘客进站为例，一般普通乘客关心的过程是买票、取票、进站、上车，但对于车站的平安管控就不是这么简朴了。需要按照经管和业务需求，划分分歧的区域，在进站区域安装检测仪器，在站内区域和周边各个分歧位置安装摄像头，重点区域还要有民警手动核查身份证，更核心区域还要安放武警等等。

“网络平安也是这样，而且网络访问更为复杂。”苏长君说，平安可视化的就是综合平安域、平安策略、合规基线等一系列与平安相关的因素，整合各个分歧视角的平安可视化平台，在这个平台上能够根据平安的视角叠加网络探针、网络回溯、业务质量分析等功能，以满足分歧角度人对于平安的分歧理解，从而对平安状况有感知，动态做出快速响应，防止危害进一步扩大，并迅速弥补漏洞。当前，传统的网络平安还大部分停留在网络边界防护、漏洞检测和特征补丁上，这些手段都相对孤立，相对静态，而且只有专业人员看得懂，客户对此很茫然。

前几年，可视化技术也广泛应用在网络设备的经管上，俗称网管或运维平台，但网管的主要目标是对网络拓扑经管和网络节点的运转，目的是网络和资产的经管与维护，不是平安的视角。“所以，在传统的技术之上谈平安动态自适应、高级威胁防御、策略合规都是在浮沙筑高台，根本站不住脚。”苏长君说。

palign=”left”>[#page_不光“看外表”还要“看内在”#0#0#0#0#]

可视化不光“看外表”还要“看内在”

让不懂平安的人看懂平安，这是苏长君心中的一个梦。但如何看？却并非一句话能够说清楚。将网络平安可视化，背后必须要有相应的技术支撑，专业的网络分析、高性能的探针、海量存储、大数据分析等，已经对客户业务的深度理解和经验的积累才能够构建这样的平安可视化系统。

苏长君认为，网络平安是一套内外循环的“平衡”系统，需要我们将“内观”和“外察”有机地结合。他将“平安策略基线”的可视，分解为“网络、流量、业务域和身份”这四方面，并主张通过“行为可视、异常可视以及路径可视”，实现对网络平安状况的“侧写”。

“可视化作为一种更加友好直观的呈现手法与真正的可视或说可见性有着本质上的区别。”苏长君说，所谓外行看热闹，内行看门道，“可视”的价值不在于华丽的“可视化”的外表，而在于其真正对整体网络平安态势的认知和理解能力，能直观的让技术人员获得怎样的信息，只是单纯的数据流向以及攻击IP等数据的可视，不能就将其完全等价为“平安的可视”。

苏长君介绍，安博通打造的可视化网络平安技术架构，通过公网和内网部署的具有应用辨认能力的探针，实现对数据中内容的提取；然后将端的数据通过平安通道传到“云”之后，在云端从用户的维度对诸如“行为、虚拟身份和访问网站”等有价值信息进行整合，并面对用户的业务进行可视化的呈现；最终通过策略、流量、用户和业务四个方面的可视，实现“可视”的平安。

“之前的可视，更多的是基于80、443等端口号和诸如DPI、post等特征码，但假如是加密流量，假如没有特征码呢？所以我们更多的是基于用户的行为，好比时间分布、报文长度、到达次序等，再通过贝叶斯、决策树等分类算法进行分类，从而实现对用户行为的分析以及学习。”苏长君说。

可视化就像在网络上安了摄像头

“可视化技术的核心理念是通过提高网络自身免疫力，让业务系统兼具自适应的防御和修复风险的能力，从而让业务平安可视、可管、可控。”苏长君说，就像人体免疫系统中涉及不计其数的细胞、特殊物质及器官之间的高度纷繁复杂的相互作用，是人体随时处于战备状态，一旦有病菌侵入身体，就会迅速发现并将其驱逐出去。

此前，苏长君曾私下和一些从事网络黑色产业的团队做过交流。他们认为这个可视化体系就像在网络各个位置平安装了摄像头，让黑客的潜伏路径更容易被发现，其网络内部的平安弱点也更容易暴露，而且入侵事后也更容易被追溯和取证。

工程院院士倪光南表示，信息平安必须自主可控，自主可控时，信息平安容易治理，产品和服务一般不存在恶意后门，并能不断改进或修补漏洞。因此，我国必须推进国产化战略，在对网络平安起重大作用的信息基础设施和信息关键核心技术等方面，实行国产化替代。无疑，可视化平安领域是其中一个重要方面。