大数据分析从新定义恶意软件策略

大数据分析从新定义恶意软件策略

在与恶意软件的战争中，良好的情报一直是决定性因素。但威胁乘以指数，"数据分析师"分析信息可能变得和收集它同样的重要。

 

 

将来的反恶意软件是一个悬而未决的问题。因为产生的恶意软件数量日益庞大，在过去应对感染最多见的处理方法——基于签名的文件扫描，正变得愈来愈无效。但尚无一个更好的策略，不少企业的防病毒产品仍然在很大程度上依赖于它。

可是事情正在发生变化。杀毒软件厂商都开始实现保持探索提早预知恶意软件的动向(或至少紧跟在它们不太远的后面)，更深刻地追踪恶意软件——它正在作什么，它从哪儿来，它但愿获得什么，预测将来它可能在哪里涌现，都是必要的。

多伦多的安全咨询和托管服务提供商 Sentry Metrics 公司首席执行官 Dave Millier 说，许多厂商都再也不注重将来“一次一个(one at a time)”的威胁，而是开始收集数据，并推测在未来的更普遍的趋势。他表示，是相对较新的技术，使这一切成为可能。

“你看到更多的数据收集发生在网络层面，在那里你正在从安全角度尝试使用大量的信息，咱们过去没有可以使用。”

与他一块儿工做的供应商之一是Sourcefire，该公司已经基本上开始将查看恶意软件当成是一个“大数据”的问题。Sourcefire公司最近推出了一款基于云的企业安全产品，名为FireAMP，以查看“模糊(fuzzier)”恶意软件签名扩大安全网，更普遍的全球模式监测可疑活动。FireAMP还使用Sourcefire称为“机器学习(machine learning)”的方式，为潜在威胁的可能属性创建模型。

值得注意的是，FireAMP可以回顾在网络上的爆发期间发生的事情，无论出于企业安全的目的，仍是出于法律缘由，这都是一项重要功能。

“咱们的重点已经作出重大的转变，经过咱们基于云的平台切入咱们称之为端点的斗争记录，”Sourcefire云技术集团高级副总裁 Oliver Friedrichs 说，“咱们基本上是跨端点记录文件的活动，可以在云中存储文件活动的防篡改记录。”

经过FireAMP，他说，链接器安装在终端，每当用户安装或执行应用程序，将数据发送到云中。

“在将来，若是有违反，咱们能够告诉你威胁实际上从哪里进来，它到哪里去，patient zero(第一传染源)是谁，例如，第一我的受到感染，这种威胁实际上如何传播和形成多大的伤害。”

另外一个反恶意软件厂商，趋势科技公司，也投资于新的情报能力，利用云基础设施和在线社区的力量。趋势科技公司在加拿大的产品和服务总监 Tom Moss ，介绍了一个“以火救火战略(fight fire with fire strategy)。”

“僵尸控制器是一种云的使用方式，或使用互联网控制大量的机器，”他说，“咱们利用的机器和网络，咱们的客户收集有关恶意软件如何行为，正在试图和谁沟通的情报。”

仍是在这里，"数据分析师"收集数据供往后分析。趋势科技运行一种感染源的背景检查，他说：“这个域名在哪里注册?这我的曾经注册过什么样的域名?与这些域名相关联的地址变化有多频繁?”

Millier 说，分析正在成为对恶意软件的斗争的一部分，IT安全行业一样面临着和其余人同样的大数据的挑战。把大量的数据带到一个地方监视，是一个健全的战略，他说，但很难进行有意义的分析，对大量的原始资料。

“为了可以有效触发，为了可以有效地经过搜索，它确实须要被索引，而且须要进行排序，”Millier说，“所以你失去以非结构化保持灵活性的办法。”

Millier说，整体而言，咱们正在使用的安全数据收集和分析的各类工具，已在近几年大大改善，情报的深度和广度是大得多。

“你获得在网络中实际上发生的事情，你在系统层面看到它，你在网络层面看到它，你在防火墙看它，甚至在应用程序层面看它，固然可以更快更好地识别威胁。”http://www.cda.cn/view/16488.html