将反病毒“大数据化”,从Facebook ThreatData开始

ThreatDataX

通常情况下,企业一般会选择某个反病毒产品,然后将其部署在所有设备上作为公司核心的防御措施。但事实上,这样做的效果非常有限,因为没有哪个反病毒产品能检测到所有的威胁。大多数情况下,一个反病毒厂商一般会对某些类型的病毒有着较高的探测能力,但更多的时候,它们可能并没有觉察到广泛威胁的存在。为了能将网络世界上各种攻击类型数据化,Facebook在今天推出了ThreatData

那么ThreatData是什么?简单来说它就是一个框架,你可以往里面塞进各类和恶意软件、网络钓鱼以及其他网络安全相关的数据,然后ThreatData会将把这些数据存储、归类并用于实时防御和长期分析中。

在ThreatData出现之前,各个互联网公司或者安全软件厂商一般都用自己的一套数据格式来存储各类安全信息。在网络安全威胁日益突出的今天,这种防御形势明显让被攻击方处于不利地位。ThreatData的出现则很好地解决了这个问题,因为它几乎能接受各个类似的数据并可以将它们转换成ThreatDatum架构化。

ThreatData框架大体上可以分为三个部分:收集威胁源、存储数据和实时响应。

首先ThreatData会通过一个轻量级的接口从多个渠道收集威胁网络安全的各类数据,比如恶意软件的哈希值、恶意链接等等;随后系统会将各个源数据转化成ThreatDatum的形式以便存储。

一旦威胁源被数据化后,ThreatData会分两类存储它们——Hive和Scuba。Hive可以分析出这个威胁是不是新出现的或者现在流行哪种类型的病毒,Scuba则可以告诉人们今天遇到了哪些新病毒或者最流行的钓鱼站点是哪个。

不管是收集病毒源还是将其数据化,终究目的不过是为了防止用户遭受损失,所以当ThreatData识别出恶意网络行为时能为用户提供实时的防护才是最重要的。ThreatData框架目前不但已经可以实时的将来自威胁源的恶意链接发送到黑名单以保护Facebook用户,还能自动从多个恶意软件库读取文件哈希值发送给分析系统。

对于用户来说,网络安全是一个长期挑战,Facebook的ThreatData框架为业界提供了一种新的思路来应对安全威胁。现在,Facebook已经掌握了多个地区网络攻击类型、时间和频率的数据,不过他们仍然希望能通过公开研究成果的方式来提升ThreatData框架的实用性。

图片来自:Shutterstock

订阅更多文章