世界不只有对与错。数据也是一样,数据不只有黑白,还有灰数据。
目前大多数的安全检测和防御,大都基于黑名单和白名单,而黑白名单基本都是提前定义好的,即已知威胁检测。但未知威胁检测依靠的是关联分析、深度学习等,大量的分析模型需要不同数据,这就对数据的分类有着更高的要求,而这些数据大部分已不是黑数据和白数据。
发现未知威胁的能力,是当前网络安全发展急需突破的瓶颈。
笔者以为,难以发现未知威胁或难以提升分析效率,除了黑白策略的制定和分析模型的完善,还有很大程度上的原因就是对灰数据的精细化程度处理不足。
分析模型越来越多,关联分析的数据来源越来越丰富,所以从根本上把数据治理好,将会起到事半功倍的效果。
主观性数据区分
1、黑白数据
黑数据,不再赘述。
白数据,受信任的数据。其实更多的包含了人的主观臆断在里面,收信任的等级是不同的,有的可以完全信任,有的信任度适中但由于某些原因放在白名单中。
2、灰数据
灰数据指无法确认是黑数据和白数据,属于灰色地带,即经过黑白名单筛选后的数据,无法确认属于威胁还是正常。
但是从最初的划分到最终结果来看,黑白灰数据并非有明显的界限。
因为数据的划分,是以主观为导向,客观实际为最终确定的划分方法,白数据可能最终成为了黑数据,黑数据可能成为白数据,在不同的分析阶段,三者可相互转化。
小编言:
对于网络安全而言,发现未知威胁是重中之重的目标,但对数据而言其实就是要将灰数据两极化,明确数据的黑白属性。
全而细,精而准的灰数据剖分,将在很大程度上直接决定了后续的威胁分析。
灰数据驱动安全。
灰数据起到的两个关键作用是:
1、将已知威胁由点到面串联起来,可用于部分关联分析、威胁分析、用户画像、攻击链等等;
2、为未知威胁分析提供高价值数据来源,从根源上进行数据治理。
接下来的问题,就是如何将灰数据进行剖分,挖掘经过黑白名单过滤后的数据的最大价值,而不是过滤后就直接丢掉了。
如何精细化剖分灰数据,在下一篇文章会分享一下个人详细的想法吧。
本文可能有不正确的地方,请各位指正。
领取专属 10元无门槛券
私享最新 技术干货