灰数据驱动安全

世界不只有对与错。数据也是一样,数据不只有黑白,还有灰数据。

目前大多数的安全检测和防御,大都基于黑名单和白名单,而黑白名单基本都是提前定义好的,即已知威胁检测。但未知威胁检测依靠的是关联分析、深度学习等,大量的分析模型需要不同数据,这就对数据的分类有着更高的要求,而这些数据大部分已不是黑数据和白数据。

发现未知威胁的能力,是当前网络安全发展急需突破的瓶颈。

笔者以为,难以发现未知威胁或难以提升分析效率,除了黑白策略的制定和分析模型的完善,还有很大程度上的原因就是对灰数据的精细化程度处理不足。

分析模型越来越多,关联分析的数据来源越来越丰富,所以从根本上把数据治理好,将会起到事半功倍的效果。

主观性数据区分

1、黑白数据

黑数据,不再赘述。

白数据,受信任的数据。其实更多的包含了人的主观臆断在里面,收信任的等级是不同的,有的可以完全信任,有的信任度适中但由于某些原因放在白名单中。

2、灰数据

灰数据指无法确认是黑数据和白数据,属于灰色地带,即经过黑白名单筛选后的数据,无法确认属于威胁还是正常。

但是从最初的划分到最终结果来看,黑白灰数据并非有明显的界限。

因为数据的划分,是以主观为导向,客观实际为最终确定的划分方法,白数据可能最终成为了黑数据,黑数据可能成为白数据,在不同的分析阶段,三者可相互转化。

小编言:

对于网络安全而言,发现未知威胁是重中之重的目标,但对数据而言其实就是要将灰数据两极化,明确数据的黑白属性。

全而细,精而准的灰数据剖分,将在很大程度上直接决定了后续的威胁分析。

灰数据驱动安全。

灰数据起到的两个关键作用是:

1、将已知威胁由点到面串联起来,可用于部分关联分析、威胁分析、用户画像、攻击链等等;

2、为未知威胁分析提供高价值数据来源,从根源上进行数据治理。

接下来的问题,就是如何将灰数据进行剖分,挖掘经过黑白名单过滤后的数据的最大价值,而不是过滤后就直接丢掉了。

如何精细化剖分灰数据,在下一篇文章会分享一下个人详细的想法吧。

本文可能有不正确的地方,请各位指正。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180712G1DGHY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券