大數據分析可以通過基于異常發現的檢測機制，相對于傳統基于靜態規則，能夠發現更多隱藏的持續的攻擊。因此，越來越多的企業在采用大數據安全分析技術應用于安全防護，百度亦不例外。【WOT2015"互聯網+"時代大數據技術峰會】51CTO特邀講師百度高級安全工程師吳登輝，帶大家感知未知Web攻擊，分享Web防火墻大數據安全分析實踐。

百度高級安全工程師 吳登輝

吳登輝：百度高級安全工程師。歷經安全運維，安全測試，安全開發。對企業安全體系建設，以及安全大數據分析具有較為深入的了解。曾就職于華為，負責二進制方面的漏洞挖掘工作。入職百度后，曾負責web安全測試、移動app安全評估以及一些安全規范安全體系的建立等，也參與了百度安全中心的建立。目前，主要負責web日志的安全分析。

隨著互聯網技術的迅猛發展，互聯網對政治、經濟、社會和文化的影響愈加深遠，圍繞著信息獲取、利用和控制的國際競爭日趨激烈，網絡與信息安全面臨的形勢日益嚴峻。而且，服務和業務逐漸擴展到Web平臺上，Web安全威脅接踵而至。攻擊者可以利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

作為具有豐富實戰經驗的Web安全專家，吳登輝表示：“對互聯網企業而言，目前針對Web安全最關注兩點：一是，Web系統的可用性;二是，用戶數據的保密性。這就涉及到目前影響最大的幾種攻擊方式，包括DDOS和數據庫注入以及撞庫。同時，新型漏洞從爆發到大規模利用的時間也越來越短。”

為了防范web安全威脅，很多企業選擇部署Web防火墻。有使用硬件盒子式的，也有使用基于云的Web防火墻。吳登輝建議，在部署時一定要注意防火墻規則的維護。針對硬件盒子形式的防火墻，企業需要專門有相應的運維人員。而當前基于云的Web防火墻例如百度云加速，安全寶等，云廠商則會幫企業進行統一的維護，并進行漏洞響應，從而大大降低企業的成本。

Web防火墻大數據安全分析實踐

作為一名Web安全防護人員，你是否想要知道攻擊是什么時候發生的?網站是怎么被攻擊的?攻擊者又是誰?網站是否安裝了木馬?你是否想要在攻擊者動手前摁住他?在網絡邊界早已模糊的今天，在大數據的時代，大數據安全分析可以幫助你從更廣闊的視野里尋找更深層次的原因，找出潛在的可循規律，感知Web攻擊。

吳登輝表示，大數據安全分析是為了彌補現有漏洞發現手段的不足，及時檢測攻擊并實施攻擊阻斷，所用的基于數據關聯與分析的方法。為了彌補傳統的安全防御體系的不足，包括主動掃描能力無法完整覆蓋業務，阻斷攻擊時WAF/IPS誤傷業務，新型攻擊出現，攻擊檢測的策略無法及時更新的問題……而不是為了炒作制作個公雞(攻擊)圖。在Web防火墻大數據安全分析的實踐中，需要從數據采集、數據分析、基礎架構，以及數據分析實踐四個方面出發。

數據采集：采集一切數據放到集群上，以及只采集系統已有的數據放到集群上，這兩種做法都有問題。那么究竟該如何采集安全數據?對于有針對性的數據采集，需要開發特定的采集探針，數據將更有效并會事半功倍。例如：可以按照攻擊樹和Cyber Kill Chain來采集數據，構建攻擊場景。

數據分析：在進行數據分析時，工作人員需要通過機器學習發現異常，通過進行人工標定和分析來產生規則情報，最終把規則情報反饋給分析系統，產出更多的信息。

系統架構：系統架構需要實現交互式搜索，情報易集成可動態配置，支持機器學習模型訓練以及支持實時模型調用。

數據分析實踐：為了發現繞過Web防火墻的攻擊行為，并提取攻擊情報，包括掃描器payload惡意攻擊IP等。需要從HTTP請求的各個角度，PATH, QUERY, UA, SESSION等多個維度進行分析。并采用基于統計、機器學習，對PATH，QUERY，SESSION等建立模型的分析方法。包括：參數分布，請求頻率，SESSION請求寬度，404比例等。

據吳登輝透露，目前百度針對安全寶和云加速的用戶，已經開發出這樣的一套大數據分析系統-- “諦聽”。它會根據網站的訪問訓練出網站的正常的訪問模型，從而發現未知的攻擊。目前該系統已經成功的幫安全管理人員發現了很多繞過防火墻的高級攻擊。同時，它也會從攻擊中提取出情報信息，包括惡意IP地址，新型的攻擊payload等。

如果想要更加深入的了解，那你只能來WOT了……

在11月28-29日由51CTO主辦位于深圳的【WOT2015“互聯網+”時代大數據技術峰會】中，吳登輝將通過對百度Web防火墻(云加速/安全寶)的海量日志包括訪問日志和攔截日志進行多角度分析，感知未知Web攻擊，并為其他安全產品提供情報支持。

• WOT講師單藝：用大數據開發產品、優化運營
• MOB蘭旭：縱向深入分析大數據 獲得“預見未來”的能力
• WOT講師董乃文：微軟提供的那些大數據服務與技術
• WOT講師劉帆：大數據+醫院信息化下的奇妙化學反應
• WOT講師覃超：前Facebook工程師問你,增長用戶非要燒錢?
• WOT講師管理心理學博士于際敬：大數據時代的“心”發現
• WOT講師劉黎春：互聯網征信是新藍海
• WOT講師馮揚：體系變化與用戶建模角度探索微博推薦
• WOT講師張溪夢:拿什么拯救你,疲于污水處理的數據分析師
• WOT講師手淘技術專家陳武：手淘億級UV背后的大數據采集體系
• WOT講師任化偉：大數據技術讓 O2O 基礎信息更“靠譜”
• 如何將 Google 神秘的數據中心管理系統搬回家
• WOT講師楊德升：程序員創業都需要什么
• WOT講師錢承君：大數據帶給百度測試團隊的發展新探索
• WOT講師劉鵬：大數據應該指導機器而不是人的決策