数据管理与分析技术在安全场景中的应用

近日，Gartner发布了数据与分析领域的十大技术趋势，为数据和分析领导者的新冠疫情（COVID-19）响应和恢复工作提供指导。其中，数据管理与分析的碰撞赫然在列。数据管理能力和分析能力在传统上被视为不同的领域，需要分别进行管理。利用增强分析提供端到端工作流的供应商使这两个市场之间的界线变得模糊，数据管理和分析的碰撞将增加这两个传统上相对独立的领域之间的交互和协作。

不同的数据源，其处理和访问速度不同，管理和分析能力也不一样。相对于未经处理的系统原始数据，高价值的数据源支持多平台的对接方式，应用在多种安全管理场景下，在数据分析与管理环节扮演着重要角色。

互联数据就是被处理过的高价值的业务可用数据源。它是基于原始网络流量数据，经天旦流处理引擎处理后获得的价值更大、可直接使用的结构化数据。通常用以表达人与系统之间、系统与系统之间、组织与组织之间的行为。

通过网络旁路技术获取整个业务链的端到端交易过程数据，由解码引擎进行实时解析，采集和处理后的结构化数据既可实现与多平台的数据对接，又可实时输送给SIEM/业务安全/业务风控平台等第三方安全管理系统。

当互联数据与其他平台对接时，我们可以把互联数据分作以下四个类型：

告警数据

基线数据

统计数据

明细数据

不同数据由于特点与使用场景不同，使用方式上也存在差异。介于使用平台的多样性，互联数据引擎同时支持多种对接方式。

（点击视频观看互联数据与其他平台对接方式）

经互联数据引擎解码处理后的数据，兼具数据管理和分析能力，可被用于多种安全管理场景中。

互联数据包含网络通讯的全量信息，是实时、直观了解业务系统运行状况最全面客观的参考数据资源。例如：

POST Payload信息，结合安全关联分析模型及机器学习机制，可以从中梳理与学习Payload特征内容，发现安全异常；

从某些通信流量环节(trust---->trust)可以实时准备捕获各种通信细节，发现恶意会话攻击等安全隐患。

将天旦互联数据引擎与第三方业务安全风控平台结合，可针对各类业务风险建立全面的、数据驱动的「监控－分析－识别－审理－处置」的风控技术体系。

风控平台综合包括互联数据在内的各类数据源，提取原始用户请求，主动适应快速变化的业务。从单次图片访问到一次完整的登陆、注册流程的请求数据皆可包含在内，在这些数据的基础上充分理解访问者的完整行为轨迹，借助策略模型达到识别攻击者的目的。

将精确的场景分析，多纬度、全局化的防控数据运用于系统决策中，通过访问数据溯源业务行为，以恶意行为、用户画像和情报来甄别风险。这套体系能够从每天的海量交易中实时识别和处置盗号、欺诈、恶意行为、禁限售等十几种业务风险，让数据为客户带来直接的数字收益。

互联数据可在以下业务安全场景中发挥价值：

以互联数据为代表的数据源，支持多平台对接与多种安全场景的应用，同时具备以下安全性能优势：

通过使用互联数据，以旁路的方式实时获得交易日志及业务站点访问流量，避免其它传统数据抓取方式带来的安全隐患。

互联数据蕴含更多业务信息，比如TCP响应时间、payload等，可以全面、客观的了解业务系统情况。

互联数据真实反映通信会话特征及内容，追溯还原网络流量，减少联网工作量。

天旦互联数据引擎具备强大的解码能力，支持500+企业超过2000种不同的业务报文，实现高效分析非结构化交易日志。