1、面向信息安全的大數據分析概念、過程、應用、實現議題面向安全的大數據分析實現大數據分析的基本概念面向安全的大數據分析過程面向安全的大數據分析應用大數據分析的概念定義需要新處理模式才能具有更強的決策力、洞察力和流程優化能力的海量、高增長率 和多樣化的信息資產。(Gartner)所涉及的資料量規模巨大到透過目前主流軟件工具，在合理時間內無法達到采集、 管理、處理、并整理成為幫助企業經營決策更積極目的的資訊。由數量巨大、結構復雜、類型眾多數據構成的數據集合，是基于云計算的數據處理 與應用模式，通過數據的整合共享，交叉復用,形成的智力資源和知識服務能力。)通常用來形容個公司創造的大量非結構化和半結構化數

2、據，這些數據在下載到關 系型數據庫用于分析時會花費過多時間和金錢。(著云臺)特征nV 兌(Volume, Variety, Value, Velocity, Veracity)數量巨大、種類繁多(結構迥異)、跨度綿長、價值蘊藏、流轉迅速、真實可靠大數據分析的應用領域大數據分析的交付模式大數據分析的般過程大數據分析的誤區與黃金標準議題面向安全的大數據分析實現大數據分析的基本概念面向安全的大數據分析過程面向安全的大數據分析應用面向安全大數據分析的目標面向安全大數據分析的目標面向安全大數據分析的數據源面向安全大數據分析的數據源異常行為Web攻擊DDoS僵尸網絡網頁篡改惡意文件安全情報態勢感知安全設備

3、告警誘騙系統日志終端行為日志數據庫日志操作系統日志Web訪問日志網絡流量日志網絡行為日志DNS查詢請求認證授權日志非結構數據面向安全大數據分析的行為建模面向安全大數據分析的行為建模規則類身份時間地點方式操作資源規則類1規則類2規則類3規則類4規則類5規則類6規則類7規則類8規則類n規則1實例：除中間件和admin賬戶外，其它任何身份的對數據庫的訪問都是違規的規則3實例：admin賬戶只能在工作時間從維護終端IP2訪問數據庫，其他行為都是違規的規則7實例：除了通過堡壘主機以遠程桌面方式進行的更新操作，其它都是違規的面向安全大數據分析的方法事件驅動(基于線索)的分析方法面向安全大數據分析的方法事件

4、驅動(基于線索)的分析方法面向安全大數據分析的方法數據驅動(基于算法)的分析方法面向安全大數據分析的方法數據驅動(基于算法)的分析方法面向安全大數據分析的算法議題面向安全的大數據分析實現大數據分析的基本概念面向安全的大數據分析過程面向安全的大數據分析應用Webshell檢測Web訪問日志：User-Agents:內容簡短、版本陳舊Referrer:通常沒有URIs:以前沒有出現過客戶端行為特征:只訪問某一個URI主機行為日志：創建用戶、重啟進程、清除磁盤空間、讀取日志堡壘機日志: 審計root用戶的行為聚類算法：以文件為對象，以上述屬性為變量，進行聚類分析期望結果：1) 找出離群點，2) 高度懷疑該離群點代表的文件是Webshell。Web攻擊行為檢測僵尸主機檢測僵尸主機檢測DDoS攻擊檢測流量日志協議類型TCP flagToS(服務類型)檢測算法總流量突變，超出變化趨勢范圍（置信區間）:出入流量占比SYN流入/FIN流出比率ICMP 請求應答比源地址/目的端口分散度TCP/UDP平均報文長度議題面向安全的大數據分析實現大數據分析