在現在今的資訊環境中,有著極其大量的設備在企業中運行著,然而所有的設備都有其訊息資料曾經出現或保存在本機上,然而這之中有許多訊息其實可以提供做為參考,但目前在大多數的環境都被忽略。如今我們將用維運與安全的角度切入,能提供有效的大數據分析來呈現設備訊息所能帶來的巨大效益。所有網路或系統都有著叫做日誌或事件的訊息,當設備遇到符合觸發條件的情況之下,便會產生所謂的日誌或事件,用以記錄當下所發生的事項,但大部份的設備並不會長期的保留這些訊息,而且一般常態的情況下,維運人員也未必會去閱讀、瞭解跟分析這此訊息背後所帶來的意義,但在大數據分析的角度跟概念,這些資訊都是需要保留的,而且為了提供未來更有效的決策及發展,我們應該把它納入大數據引擎 (Big Data Engine ; BDE) 加以整理、整合,並以最容易讀取的方式呈現。F5 不論在傳統應用還是 API 應用交付過程中都扮演著不可或缺的網路中介軟體角色,成為不折不扣的戰略控制點,除了其出眾的應用流量分發能力之外,F5 產品也不斷在應用視覺化方面提供卓越的產品特性。近兩年 F5 推出了 BIG DATA Engine 解決方案,旨在處理應用交付的同時,借助高速日誌輸出功能以提供資料可視化,配合企業各類資訊視覺化平臺,利用全量的應用流量,精準地向企業展現出來,協助企業業務建立各種「畫像」,同時為企業快速發現流量異常、業務異常、安全威脅以及風險控制貢獻了可靠的資料依據。 在分析能力方面,F5 BIG IP 與 NGINX 可透過實現日誌的統一輸出,實現集中資料分析與展現,並可將 API 的訪問統計資料與安全日誌統一輸出到企業 API 業務與安全分析平臺進行整合分析,此日誌為全量收集,能進一步自行訂製機器學習智以進行相關商業與安全的進階分析。API 已成為數位經濟的中心 在大數據分析的準則上,有相當大部份會落在所謂的行為分析,那何謂行為分析呢?簡單的說就是,使用者對所存取的服務進行了什麼要的要求,而服務又進行了什麼樣的回應,這就是所謂行為分析的具體概念。所以我們要做的事其實很簡單,就是在發送要求及回應的路徑上,去擷取我們想要看的訊息。
然而並不是擷取完就結束了,而是要將擷取後的訊息轉發到大數據引擎上進行整合跟分析。針對擷取方面,我們會利用使用者或用戶的動作進行「行為化」的欄位拆解,換言之就是將其所有對網頁或應用程式所做過的行為都放置到對應的資料欄位,再透過擷取器將資料傳送到大數據引擎 (BDE)。
藉此,我們將可以從大數據引擎 (BDE)上,透過具體的欄位訊息呈現該用戶或使用者,正在對網頁或應用程式進行什麼樣的動作以達到真正的行為分析,在經過長時間的資料收集後,我們更能利用歷史軌跡及關鍵字特徵等方式,進而分析其行為的正確及正當性,當然此等應用不只能用在人員管控、系統維運、資訊安全等面向,更可以彈性化的應用到商務分析及商務智慧應用。大數據引擎應用效益為因應現在各種環境對大數據分析的不同需求,我們將各種不同的應用模式分成五大面向,並在瞭解了大數據引擎 (BDE) 的功能操作及優勢特性後,我們將利用這些效益在以下的環境進行應用的說明:1、系統及環境維運分析
在資訊環境中,最容易發生的工作事項就是故障排除,而且通常終端用戶所提出來的問題都不具體或是方向性極為廣闊,如此一來都會造成維運人員的極大負擔,亦造成時間成本的大量流逝。然而,透過大數據引擎 (BDE),管理者或維運人員可以快的從各項設備中取得所需要的資訊,再利用關聯式的資訊對應方式,找到問題源進行處理。所以當環境中的設備,已然將大量的日誌 (Syslog) 及事件 (Event) 發送給大數據引擎 (BDE) 時,管理者可以即時知到設備上的政策觸發以及系統的服務運作情況。再者,我們可以透過流量(flow)接收所得的資訊,搭配日誌 (Syslog) 及事件 (Event) 的訊息,充份的提供相對應關聯的可能性,如此便能清楚的分析流量及事件或日誌間的對應關係,亦能從時間軌跡的應用方式,來瞭解此狀態是否為常態或是非常態,管理者或維運人員將可利用此訊息判斷環境異常的來源點跟可能性原因,更將大幅縮短問查找問題的時間消耗,以達到企業或環境維運的最佳效益。
(透過伺服器回應時間及服務器回應狀態,可以快速分析服務運作是否正常)2、資訊安全管理
當企業運作時,很重要的一環便是服務提供,如今的服務系統極大量的轉移到電子化平臺,使用者可以直接透過網路應用程式存取的方式取得所需要的服務內容及項目,但相對衍生的問題就是安全控管的部份。在傳統的資訊狀態下,威脅通常來自明確的攻擊手法及動作,例如大家相當熟悉的存取攻擊 (Access Attack)、漏洞攻擊 (exploit)、洪水攻擊 (DoS),病毒攻擊 (Virus) 等等,而隨時代進步,亦有許多的新穎的攻擊手法出現,例如進階持續性滲透攻擊 (Advanced Persistent Threat, APT)、零時差漏洞 (Zero-day exploit)、動態洪水及應用程式及洪水攻擊 (DDoS、L7 DDoS) 等攻擊,許多的攻擊手段已經不是單一設備能更判讀,加上現今駭客或攻擊者並不會直的展開攻擊,而是預先進行偵測性探知攻擊,換言之便是採用少量的攻擊來判斷服務供應商是否具備被攻擊的可能性,而就大數據的角度出發,我們必須持續觀察攻擊的情況,然而透過大數據的歷史軌跡跟追蹤,管理者可以在攻擊發生時立即知道攻擊的狀態。而具體的實現方式便是利用現場的資安設備進行各個資安設備的日誌及事件串聯,以達到追蹤跟分析的效益。大數據引擎 (BDE) 可以同時接收如防火牆 (Firewall)、主動入侵防護系統 (Intrusion Prevention System ; IPS)、集中式威脅管理 (Unified Threat Management,UTM)、防毒系統 (Anti-Virus System) 等設備資訊、網頁應用程式防火牆 (Web Application Firewall),並同時呈現於單一儀表 (Dashboard) 中,使用者直接利用欲關聯的訊息點 (如來源 IP、國家、時間等資訊) 進行訊息在不同設備之類的關聯性,以達到事件軌跡的顯現效益。
(將不同設備的可視面板置於同一儀表中,即可利用訊息點來進行關聯式訊息呈現) 3、使用者行為分析
在上述的資安管理中,我們理解可以透過現有或添購的標準資安設備來達成較為完整的資安比對及關聯分析,但實際上許多的攻擊是隱藏在類似正常的行為之下,例如自動化機器人攻擊 (Bot)、僵屍網路 (Botnet)、慢速存取攻擊 (slowris) 等是無法用一般的資訊安全設備來進行追蹤及防護,此時我們將利用前述行為分析的架構進行應對。這種情況之下,建議將於環境中置入行為擷取設備,進行存取動作的欄位元拆解及存取模式的比對分析,利用動作欄位資訊,我們可以具體得知存取者所發送及接收的資料訊息、格式、內容。而透過存取模式的比對分析我們可以獲得其對應的行動類型,從如此的應用面向便可詳細的瞭解每個用戶在進行存取時的行為動作,再藉由此數據源進而判斷行為安全性的問題點。
(透過指定的訊息點追蹤用戶行為)
(詳細的 API 行為欄位列表)
(利用行為比對判斷攻擊手法並細詳記錄被攻擊的位置)4、商務效益分析
在達成了行為分析的情況下,大數據引擎 (BDE) 可以產生的效益將不僅僅是應用在資訊安全的行為分析上,更進一步的可以對於電商服務達成類商務智慧 (Business Intelligence) 的分析效益,當我們能詳細的對用戶或使用者進行為的欄位化對應拆解,那當然他們曾經點擊過的連結,使用過的服務項目及傳送接收的所有資訊,我們也能夠從大數據引擎 (BDE) 上一目了然,換言之我們可以透過這樣特性來達成商務面向的應用。舉個簡單的案例,當大量的用戶點擊過某個商品,那相對的來說,這個商品可能較具引吸力,那如果想知道都是什麼人進行的點擊,就更需要知道使用者的身份及登入資訊,故藉此我們可以透過大數據引擎 (BDE) 進行對登入資訊的接收,並記錄操作歷程及行為軌跡,進而再分析喜好可能性。之後當數據源豐富之後,管理者或上層決策者,更可利用統計及週期報表的比對分析進行商務面向的決策。
未來 : 機器學習增強的 API 安全隨著技術,處理和計算能力的最新發展,機器學習(ML)是人工智能(AI)的子類別,被用於網路安全以及根據結構化和非結構化數據執行威脅和風險分析。通過仔細的數據分析,它可以識別各種類型的威脅,可疑IP地址和異常行為之間的關係。
AI 和 ML 是用於開發這種全面而智能的API的出色工具,可用於管理具有挑戰性和新出現的威脅模型。這些包括識別和標記異常行為和惡意數據趨勢,以及識別和阻止在多種環境和情況下的 API 攻擊和異常行為模式。學習功能被添加到 API,並且在沒有事先了解攻擊和書面策略的情況下標記了異常行為。由於即時回應對應用至關重要,因此 ML 快速執行安全性分析,做出關鍵決策和啟動補救響應的能力使其成為 API 開發人員和管理人員的絕佳選擇。
