楊光+霍娜+路沙

物聯(lián)網(wǎng)、云計(jì)算、移動互聯(lián)網(wǎng)帶來的新技術(shù)與新架構(gòu)正在打破傳統(tǒng)的網(wǎng)絡(luò)邊界，通過數(shù)據(jù)獲取、整理、分析和可視化，大數(shù)據(jù)正賦予傳統(tǒng)安全以新思路與新能力。

大數(shù)據(jù)技術(shù)是一種基礎(chǔ)技術(shù)，其興起和發(fā)展最初都來源于互聯(lián)網(wǎng)企業(yè)?；ヂ?lián)網(wǎng)企業(yè)為解決其實(shí)際問題，發(fā)展了大數(shù)據(jù)技術(shù)。而將大數(shù)據(jù)技術(shù)應(yīng)用在安全分析領(lǐng)域，屬于安全分析領(lǐng)域的革新和進(jìn)步，但如何應(yīng)用，需要找到安全痛點(diǎn)，數(shù)據(jù)創(chuàng)造價值，仍然要結(jié)合安全業(yè)務(wù)場景，通過大數(shù)據(jù)技術(shù)解決傳統(tǒng)技術(shù)無法解決或解決起來非常困難的問題。

一個名叫海蓮花（OceanLotus）的境外黑客組織發(fā)動針對中國的APT攻擊已長達(dá)三年，主要攻擊的目標(biāo)是政府、科研院所、海事機(jī)構(gòu)、海域建設(shè)、航運(yùn)企業(yè)等領(lǐng)域，地域遍布國內(nèi)29個省以及境外的36個國家?！昂Ｉ徎ā敝辽偈褂昧?種不同程序形態(tài)、不同編碼風(fēng)格和不同攻擊原理的木馬程序，惡意服務(wù)器遍布全球13個國家 ，注冊的已知域名多達(dá)35個。

“海蓮花”的攻擊早已被捕捉到，但之前只是零散的發(fā)現(xiàn)，直到360成立“天眼”實(shí)驗(yàn)室，利用大數(shù)據(jù)技術(shù)進(jìn)行未知威脅檢測，才首次發(fā)現(xiàn)了這些散見威脅間的聯(lián)系，一個國家級黑客攻擊行為的輪廓才逐漸清晰。

隨著物聯(lián)網(wǎng)、云計(jì)算、移動互聯(lián)的發(fā)展，網(wǎng)絡(luò)與IT的發(fā)展也進(jìn)入大數(shù)據(jù)的時代，網(wǎng)絡(luò)信息安全亦是如此。本質(zhì)上講，所有的安全機(jī)制都可以用在任何一種數(shù)據(jù)體制中，但在新時期，大數(shù)據(jù)保護(hù)呈現(xiàn)出了新特點(diǎn)，如何在已有的安全框架內(nèi)豐富、發(fā)展原有的體系、技術(shù)和方法，以適應(yīng)新形勢，是從事大數(shù)據(jù)安全的業(yè)界人士需要思考的。

根據(jù)Gartner的預(yù)測，傳統(tǒng)的以控制為中心的安全解決方案到2020年將會失效，到2016年，25%的大型企業(yè)將會采用至少一種大數(shù)據(jù)安全解決方案;到2020年，60%的企業(yè)信息安全預(yù)算將會分配在快速檢測和響應(yīng)的方法上。

北京理工大學(xué)軟件學(xué)院信息安全等級保護(hù)國家工程實(shí)驗(yàn)室博士、副教授、碩士生導(dǎo)師閆懷志告訴《中國信息化周報(bào)》記者，與傳統(tǒng)的信息安全相比，大數(shù)據(jù)安全呈現(xiàn)三個新特征。

第一，由于云計(jì)算時代數(shù)據(jù)外包給服務(wù)提供商，傳統(tǒng)根據(jù)網(wǎng)絡(luò)邊界防護(hù)的做法保護(hù)數(shù)據(jù)安全在大數(shù)據(jù)時代就行不通了。

第二，云計(jì)算是虛擬化的操作，那么虛擬化安全就成為一個非常重要的領(lǐng)域。

第三，傳統(tǒng)信息安全領(lǐng)域中，對于人隱私的保護(hù)不是特別強(qiáng)，因此有關(guān)隱私的保護(hù)需要加強(qiáng)。大數(shù)據(jù)一直存在，只是以前的網(wǎng)絡(luò)和信息處理技術(shù)沒有這樣快捷，信息化使得原有的許多數(shù)據(jù)都關(guān)聯(lián)起來了，形成了大數(shù)據(jù)的架構(gòu)，原來數(shù)據(jù)的保護(hù)方法在大數(shù)據(jù)時代仍然是適用的。只是現(xiàn)在大數(shù)據(jù)的保護(hù)呈現(xiàn)出三個新的特征?，F(xiàn)在大數(shù)據(jù)的保護(hù)離不開經(jīng)典的安全保護(hù)的手段。

大數(shù)據(jù)時代安全到底有何不同，該如何實(shí)現(xiàn)，又有哪些難點(diǎn)和瓶頸？《中國信息化周報(bào)》記者通過采訪多位專家和企業(yè)負(fù)責(zé)人來探尋答案。

傳統(tǒng)安全邊界正在被打破

新的架構(gòu)與技術(shù)讓網(wǎng)絡(luò)邊界變得越來越模糊，傳統(tǒng)安全重在邊界防御的手段也會逐漸失去效力。

物聯(lián)網(wǎng)把每個實(shí)體都編上特征，然后將其加入到網(wǎng)絡(luò)中，如今的信息系統(tǒng)已經(jīng)和物理空間關(guān)聯(lián)起來了，也就是所謂的信息物理系統(tǒng)（Cyber-Physical Systems，CPS）。

CPS分為計(jì)算決策層、網(wǎng)絡(luò)通信層以及感知執(zhí)行層，各層之間的互聯(lián)互通需要通過一些通用協(xié)議以及各類軟件的協(xié)調(diào)配合來實(shí)現(xiàn)。這個實(shí)現(xiàn)過程就成為CPS最主要的信息安全威脅。

與傳統(tǒng)的IT信息系統(tǒng)安全需求不同的是，CPS設(shè)計(jì)需要兼顧應(yīng)用場景和控制管理等多方面的因素，以優(yōu)先確保系統(tǒng)的高可靠性和業(yè)務(wù)連續(xù)性。缺乏有效的安全防御機(jī)制和數(shù)據(jù)通信保密措施就成了CPS的安全隱患。

工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心主任助理、博士曾晉在接受《中國信息化周報(bào)》記者采訪時表示，CPS與傳統(tǒng)的IT系統(tǒng)信息安全的不同具體表現(xiàn)在安全需求、安全保護(hù)優(yōu)先級、安全補(bǔ)丁與更新以及安全防護(hù)技術(shù)的差異上。

為更好地應(yīng)對CPS信息安全所面臨的挑戰(zhàn)，我們需要在清楚認(rèn)識危害來源的基礎(chǔ)上，更好地理解受到攻擊后的結(jié)果，設(shè)計(jì)全新攻擊檢測算法、新的抗攻擊彈性算法和架構(gòu)以及適合CPS的身份認(rèn)證與密碼技術(shù)，并開發(fā)硬件兼容能力更強(qiáng)和適用于異構(gòu)平臺的安全防護(hù)技術(shù)。

“現(xiàn)在的信息系統(tǒng)涉及云計(jì)算、物聯(lián)網(wǎng)、信息物理系統(tǒng)，在《中國制造2025》和‘互聯(lián)網(wǎng)+大勢下，關(guān)注大數(shù)據(jù)就得關(guān)注現(xiàn)代信息系統(tǒng)的發(fā)展。保護(hù)大數(shù)據(jù)的安全成為諸多廠商關(guān)注的領(lǐng)域。”閆懷志告訴記者。

360企業(yè)安全集團(tuán)天眼實(shí)驗(yàn)室高級總監(jiān)韓永剛告訴記者，傳統(tǒng)方法的問題一是在于主要依賴于一些已知“規(guī)則”進(jìn)行防護(hù)，而對越來越多的攻擊檢測對抗手段、未知威脅以及復(fù)雜攻擊無能為力。二是，傳統(tǒng)方法的視點(diǎn)較窄，往往只聚焦在局部范圍以及實(shí)時上，對于高級威脅，尤其是綜合多種攻擊手段，長時間針對特定目標(biāo)的持續(xù)定向攻擊，無法做到有效發(fā)現(xiàn)與完整的防護(hù)。

將大數(shù)據(jù)技術(shù)用于安全領(lǐng)域能為業(yè)界找到新的方法與驅(qū)動力應(yīng)對新挑戰(zhàn)。在安全需要變革的時代，大數(shù)據(jù)分析、可視化分析、威脅情報(bào)這些技術(shù)重新給予我們“看見”安全態(tài)勢的能力。

新思路 老辦法 新能力

閆懷志認(rèn)為，大數(shù)據(jù)分析技術(shù)幾乎已成安全產(chǎn)品的必需組成部分。這也從一方面說明依托大數(shù)據(jù)安全分析的安全防御思路正在變得越來越被廣泛接受。大數(shù)據(jù)安全有兩種理解，一種是使用大數(shù)據(jù)技術(shù)來分析安全問題，第二種就是大數(shù)據(jù)自身的安全問題。大數(shù)據(jù)技術(shù)體系包括大數(shù)據(jù)應(yīng)用、大數(shù)據(jù)處理機(jī)制，大數(shù)據(jù)系統(tǒng)中包含的海量數(shù)據(jù)。

無論是哪種數(shù)據(jù)都離不開數(shù)據(jù)的獲取、數(shù)據(jù)的傳輸、數(shù)據(jù)的存儲和數(shù)據(jù)的應(yīng)用，只不過云計(jì)算架構(gòu)下，數(shù)據(jù)獲取的方式、存儲方式和應(yīng)用方式發(fā)生了變化，對應(yīng)的安全機(jī)制也要進(jìn)行調(diào)整。

韓永剛介紹，數(shù)據(jù)驅(qū)動安全是360企業(yè)安全的核心思維，這符合當(dāng)今時代的安全思路。數(shù)據(jù)是基礎(chǔ)，驅(qū)動是手段，安全是目標(biāo)。而傳統(tǒng)的防護(hù)體系、產(chǎn)品、服務(wù)不是都沒有用途了，而是通過數(shù)據(jù)驅(qū)動賦予它們現(xiàn)在缺失的基于大數(shù)據(jù)技術(shù)的安全可見與態(tài)勢感知能力。

綠盟科技解決方案中心項(xiàng)目總監(jiān)張旭認(rèn)為，數(shù)據(jù)驅(qū)動的安全并不只依賴數(shù)據(jù)，數(shù)據(jù)是安全業(yè)務(wù)目標(biāo)的底層支撐。在安全業(yè)務(wù)目標(biāo)明確下，首先進(jìn)行安全場景梳理，進(jìn)而進(jìn)行安全場景模型建立，最后才是數(shù)據(jù)梳理與安全分析工作。

而具體到安全數(shù)據(jù)可視化，綠盟科技采用更為直觀的展現(xiàn)方式，如平行坐標(biāo)圖通常用來進(jìn)行攻擊鏈展現(xiàn)，氣泡圖用來進(jìn)行威脅程度展示，地理圖進(jìn)行攻擊路徑展示，力圖用來做動態(tài)拓?fù)湔宫F(xiàn)等，力求能夠更直觀地將安全事件展示到?jīng)Q策者眼前。

啟明星辰泰合產(chǎn)品本部產(chǎn)品總監(jiān)葉蓬告訴《中國信息化周報(bào)》記者，在目前，網(wǎng)絡(luò)攻防雙方的能力已經(jīng)不對等，攻擊占據(jù)上風(fēng)，攻擊耗時遠(yuǎn)遠(yuǎn)低于防守耗時。攻防的對抗其實(shí)就是數(shù)據(jù)的對抗、知識的對抗和人的對抗，數(shù)據(jù)驅(qū)動的安全一定程度上是在彌補(bǔ)防守耗時，以求盡快識別攻擊并進(jìn)行響應(yīng)、阻斷和反制。

在這個過程中，數(shù)據(jù)的獲取、整理、分析和呈現(xiàn)都很有講究，每個環(huán)節(jié)都很重要，并且環(huán)環(huán)相扣。可視化是一種呈現(xiàn)方式，主要面向兩類角色。一類是分析師，幫助其更高效地進(jìn)行交互式分析，即所謂威脅捕獵。另一類是管理層和決策者，幫助他們了解整體安全態(tài)勢，做出清晰、有效的決策。

在進(jìn)行數(shù)據(jù)可視化的時候，不能一味追求酷炫的展示效果，更要注重內(nèi)容的表達(dá)，幫助客戶實(shí)現(xiàn)對安全的可見性（Visibility）比實(shí)現(xiàn)對安全的可視化（Visualization）更重要。

瓶頸是什么

北信源董事長助理/核心技術(shù)發(fā)展中心總經(jīng)理鐘力博士告訴《中國信息化周報(bào)》記者，大數(shù)據(jù)安全的瓶頸在于關(guān)聯(lián)分析能力，即如何分析處理數(shù)據(jù)，獲得知識，再上升到智慧感知的層次。

這包括兩個方面的要求：一是對數(shù)據(jù)的融會貫通，根據(jù)線索匯聚、處理、分析海量數(shù)據(jù);二是對網(wǎng)絡(luò)攻擊的理解，能夠理解網(wǎng)絡(luò)攻擊的行為模式和特征。

張旭則認(rèn)為，大數(shù)據(jù)安全分析主要的問題在于將業(yè)務(wù)目標(biāo)與技術(shù)實(shí)現(xiàn)混淆以及業(yè)務(wù)目標(biāo)不明確兩個方面。

他認(rèn)為，大數(shù)據(jù)僅僅是一種技術(shù)手段而不是一個業(yè)務(wù)目標(biāo)，安全分析才是實(shí)際要解決的核心問題。

其次，錯誤地假設(shè)了大數(shù)據(jù)安全分析可以解決當(dāng)前全部為解決的安全問題，粗獷地認(rèn)為只要部署大數(shù)據(jù)安全產(chǎn)品就可以將安全問題逐一解決。正是由于這樣的假設(shè)深入人心導(dǎo)致現(xiàn)在大數(shù)據(jù)安全項(xiàng)目無法達(dá)到過高的預(yù)期。

最后，對于大數(shù)據(jù)技術(shù)在安全分析的項(xiàng)目設(shè)想得過于簡單易行，習(xí)慣性認(rèn)為安全問題就是防護(hù)設(shè)備的堆疊，那么大數(shù)據(jù)安全分析也是類似的方式運(yùn)作。而實(shí)際上，大數(shù)據(jù)安全分析恰恰需要極為詳細(xì)的業(yè)務(wù)梳理、安全分析、數(shù)據(jù)分析等一系列工作，但這些往往被忽視。以上三點(diǎn)正是大數(shù)據(jù)安全分析類的瓶頸。

北京天融信科技股份有限公司產(chǎn)品線總監(jiān)唐寧認(rèn)為，大數(shù)據(jù)安全分析的全過程會分成數(shù)據(jù)收集、數(shù)據(jù)整理與存儲、數(shù)據(jù)分析和數(shù)據(jù)展示等多個階段，目前來說有如下幾點(diǎn)問題：數(shù)據(jù)收集不全，有些數(shù)據(jù)量太大，存在數(shù)據(jù)丟失的問題，有些數(shù)據(jù)缺乏手段，甚至都無法收集;數(shù)據(jù)分析手段不夠靈活，安全形勢是變化的，沒有辦法以不變應(yīng)萬變，必須有一種技術(shù)手段迅速構(gòu)建分析模型;數(shù)據(jù)可視化不夠直觀，數(shù)據(jù)分析結(jié)果的展示非常不直觀。

為解決這些問題，從數(shù)據(jù)收集層面，必須有各種被動、主動的數(shù)據(jù)收集方式，數(shù)據(jù)收集必須涵蓋從終端到網(wǎng)絡(luò)，從應(yīng)用到行為，從內(nèi)網(wǎng)到互聯(lián)網(wǎng)等多種維度，保證不漏掉任何有用的數(shù)據(jù);從數(shù)據(jù)分析和可視化的角度，必須有一套平臺進(jìn)行技術(shù)支撐，這樣才能在不斷變化的網(wǎng)絡(luò)安全對抗中脫穎而出。

葉蓬告訴《中國信息化周報(bào)》記者，隨著大數(shù)據(jù)技術(shù)生態(tài)的逐步成型，大數(shù)據(jù)技術(shù)逐漸成為一種貨架技術(shù)?；谶@些技術(shù)，目前大數(shù)據(jù)安全分析過程中的數(shù)據(jù)采集和存儲技術(shù)已經(jīng)被先進(jìn)企業(yè)所掌握，可視化水平也突飛猛進(jìn)，存在的瓶頸主要是應(yīng)用場景、安全分析場景方面。盡快突破的辦法就是結(jié)合安全業(yè)務(wù)場景，以場景驅(qū)動安全分析，以數(shù)據(jù)帶動技術(shù)進(jìn)步。

與此同時，安全分析師、業(yè)務(wù)分析師、領(lǐng)域工程師等技術(shù)人員的匱乏也是制約大數(shù)據(jù)安全分析應(yīng)用發(fā)展的重大瓶頸。在大數(shù)據(jù)分析情境之下，對分析師的人員和技能要求更高。

借力“天眼” ?見微知著 掌控安全態(tài)勢

據(jù)悉，支撐360數(shù)據(jù)驅(qū)動安全的首先是豐富的安全大數(shù)據(jù)資源以及強(qiáng)大的大數(shù)據(jù)存儲和計(jì)算能力：360目前大數(shù)據(jù)服務(wù)器規(guī)模超過40000臺，總存儲數(shù)據(jù)量接近1EB，每天各種數(shù)據(jù)計(jì)算任務(wù)10萬個，每分鐘可以調(diào)動幾十萬顆CPU核參與計(jì)算，具備每秒鐘處理1TB數(shù)據(jù)的能力;積累了海量的情報(bào)數(shù)據(jù)，主防庫總?cè)罩緮?shù)50000億條，樣本庫總樣本數(shù)高達(dá)95億， DNS庫解析記錄超過50億條，URL庫每天查詢300億、每天會處理100億URL。龐大的存儲計(jì)算資源與海量宏觀安全數(shù)據(jù)就構(gòu)成了大數(shù)據(jù)分析的基礎(chǔ)。

“有了數(shù)據(jù)只是第一步，還需要有相應(yīng)的數(shù)據(jù)挖掘分析的方法，如綜合使用統(tǒng)計(jì)分析、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、可視化分析、攻防分析，才能夠從海量數(shù)據(jù)中找到有價值的線索，發(fā)現(xiàn)與高級威脅相關(guān)聯(lián)的各類信息，形成高價值的威脅情報(bào)?！表n永剛舉例說，通過大數(shù)據(jù)技術(shù)，從一個捕獲的惡意軟件，可以通過同源分析找到新的相似的惡意軟件，以及遠(yuǎn)端的攻擊服務(wù)器。再通過對域名解析記錄的查詢，找到相關(guān)聯(lián)的用于攻擊的惡意域名，以及更多的攻擊資源。如此一來，一次復(fù)雜的高級定向攻擊，甚至攻擊組織的行為、攻擊途徑、動機(jī)、組織背景都逐步展現(xiàn)在我們面前。

360的天眼系統(tǒng)依托于360的安全大數(shù)據(jù)技術(shù)，幫助企業(yè)與組織實(shí)現(xiàn)高級威脅的發(fā)現(xiàn)，以及安全態(tài)勢感知。據(jù)韓永剛介紹：“天眼其實(shí)分為云端與客戶端兩個部分。云端即基于安全大數(shù)據(jù)體系的‘見廣的部分。而另一側(cè)，在企業(yè)與組織的本地，天眼系統(tǒng)也幫助企業(yè)提供了產(chǎn)品化的本地輕量級大數(shù)據(jù)平臺，將與安全相關(guān)的各類數(shù)據(jù)進(jìn)行采集、日志還原、分析，從而讓企業(yè)形成‘見微的能力。而銜接這種微觀與宏觀大數(shù)據(jù)的，就是威脅情報(bào)，從而將互聯(lián)網(wǎng)大數(shù)據(jù)分析的結(jié)果應(yīng)用在企業(yè)本地，快速定位與解決高級威脅?！?

在實(shí)戰(zhàn)的應(yīng)用中，360通過天眼系統(tǒng)，能幫助客戶發(fā)現(xiàn)與定位高級持續(xù)攻擊，找到受害者，并進(jìn)一步通過拓展分析，回溯出攻擊發(fā)生的過程，以及產(chǎn)生的數(shù)據(jù)資產(chǎn)的損失，進(jìn)而幫助阻斷攻擊。這樣一套基于安全大數(shù)據(jù)分析，從發(fā)現(xiàn)、阻斷、取證、溯源，再到拓展分析的閉環(huán)過程，成為幫助客戶應(yīng)對新威脅形式的有效手段與新安全思維。

大數(shù)據(jù)安全分析技術(shù)是催化劑

在安全數(shù)據(jù)收集、整理、分析的過程中，張旭認(rèn)為最關(guān)鍵的是對安全的理解。他強(qiáng)調(diào)，只有準(zhǔn)確理解安全數(shù)據(jù)背后的意義和內(nèi)在的聯(lián)系，才能有效地實(shí)現(xiàn)安全數(shù)據(jù)分析和安全態(tài)勢理解。準(zhǔn)確理解安全態(tài)勢，才能使得可視化時“看見”的內(nèi)容是正確的、有用的。

“理解安全數(shù)據(jù)背后的意義和內(nèi)在聯(lián)系，可以協(xié)助客戶對有聯(lián)系的數(shù)據(jù)進(jìn)行關(guān)聯(lián)整合，實(shí)現(xiàn)安全數(shù)據(jù)的關(guān)聯(lián)聚合。安全數(shù)據(jù)關(guān)聯(lián)聚合后，會大幅度減少需要處理的事件數(shù)量，使安全運(yùn)維人員有能力做重點(diǎn)事件分析處理，避免每天‘處理幾百上千萬數(shù)據(jù)的情況發(fā)生?！睆埿袢缡钦f。

以網(wǎng)絡(luò)入侵檢測的應(yīng)用場景為例，綠盟科技研發(fā)了基于對抗的網(wǎng)絡(luò)入侵威脅感知引擎和攻擊推理引擎，可以有效進(jìn)行網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的關(guān)聯(lián)聚合。張旭舉例說，曾經(jīng)在某市骨干網(wǎng)絡(luò)進(jìn)行測試，對40G網(wǎng)絡(luò)帶寬進(jìn)行入侵監(jiān)測。10天時間產(chǎn)生網(wǎng)絡(luò)入侵檢測原始日志達(dá)到2336萬條，平均每天近234萬條入侵告警日志，這么多入侵告警是無法靠人工處理的。經(jīng)過綠盟科技的數(shù)據(jù)分析整理，僅形成979起入侵事件告警日志，平均每日不足100起，這樣的數(shù)據(jù)量就可以讓運(yùn)維團(tuán)隊(duì)進(jìn)行事件處理響應(yīng)。利用綠盟科技對網(wǎng)絡(luò)入侵告警數(shù)據(jù)的理解，我們對數(shù)據(jù)分析、聚合、壓縮，可以達(dá)到24000：1的數(shù)據(jù)壓縮比，將原來人工不可能完成的工作變成可能。

在綠盟解決方案中心平臺經(jīng)理胡喆騫看來，大數(shù)據(jù)安全分析就利用大數(shù)據(jù)分析的技術(shù)，對海量安全數(shù)據(jù)進(jìn)行整理，發(fā)現(xiàn)安全問題，及時進(jìn)行安全策略調(diào)整、安全事件響應(yīng)，進(jìn)而提高安全防御能力?？梢哉f，大數(shù)據(jù)安全分析技術(shù)就像是催化劑，在現(xiàn)有安全數(shù)據(jù)中發(fā)現(xiàn)新價值，提高安全數(shù)據(jù)自身的價值。

據(jù)胡喆騫介紹，綠盟提出“智慧安全”概念，其核心理念是“智能、敏捷、可運(yùn)營”。第一，智能。安全數(shù)據(jù)自動化高效率的智能分析技術(shù)將快速發(fā)展并迅速成為安全敏捷防御能力的助推器。第二，敏捷。安全防御能力、安全響應(yīng)能力將更強(qiáng)，可以利用數(shù)據(jù)分析結(jié)果實(shí)現(xiàn)安全防御動態(tài)調(diào)整、安全事件快速響應(yīng)。甚至實(shí)現(xiàn)未卜先知的攻擊預(yù)警和打擊黑客的主動防御能力。第三，可運(yùn)營。未來勢必會需要專業(yè)的安全數(shù)據(jù)分析運(yùn)營人才，對大量的安全數(shù)據(jù)進(jìn)行分析。

定位行業(yè)終端的大數(shù)據(jù)安全分析

北信源管理著超過4000萬臺企業(yè)級終端，因此，公司將大數(shù)據(jù)安全分析的重點(diǎn)放在了行業(yè)終端上?；谛袠I(yè)終端的大數(shù)據(jù)安全分析，需充分考慮行業(yè)的安全需求。北信源董事長助理鐘力博士分析說，首先，大數(shù)據(jù)安全分析應(yīng)該實(shí)現(xiàn)從網(wǎng)絡(luò)安全合規(guī)性管理，到網(wǎng)絡(luò)安全態(tài)勢感知，再到威脅情報(bào)感知的三個逐級提高的目標(biāo);其次，大數(shù)據(jù)安全分析應(yīng)該充分體現(xiàn)空間維度和時間維度的統(tǒng)一，以有效發(fā)現(xiàn)APT類型的網(wǎng)絡(luò)攻擊;第三，在大數(shù)據(jù)的采集、傳輸、處理和存儲過程中，其自身的安全十分重要。

“北信源大數(shù)據(jù)分析系統(tǒng)是面向行業(yè)終端的大數(shù)據(jù)安全分析體系的一個具體實(shí)現(xiàn)，用于部署在一個行業(yè)、企業(yè)或組織的網(wǎng)絡(luò)信息系統(tǒng)或私有云上?！辩娏φf，“同時，北信源云安全服務(wù)平臺不會主動向這些行業(yè)云提取任何數(shù)據(jù)，只會接收他們授權(quán)提交的可疑數(shù)據(jù)和網(wǎng)絡(luò)威脅數(shù)據(jù)，并及時對他們提供網(wǎng)絡(luò)威脅情報(bào)信息和安全服務(wù)。”

談及北信源大數(shù)據(jù)分析系統(tǒng)的下一步發(fā)展方向時，鐘力提到，將會從網(wǎng)絡(luò)攻防對抗、博弈的角度，通過自動化分析處理與專家智慧相結(jié)合的方式，強(qiáng)化云端的安全分析、安全管控和威脅情報(bào)感知能力，并進(jìn)一步轉(zhuǎn)化到對APT類型攻擊的監(jiān)測、檢測、預(yù)警和控制，以持續(xù)提升產(chǎn)品品質(zhì)和安全服務(wù)水平。

安全防御的價值在于有效發(fā)現(xiàn)和抵御網(wǎng)絡(luò)攻擊，任何網(wǎng)絡(luò)攻擊都會以真實(shí)或偽裝的狀態(tài)隱藏在數(shù)據(jù)之中。理論上，如果捕獲了所有的數(shù)據(jù)（大數(shù)據(jù)），網(wǎng)絡(luò)攻擊就肯定藏身于其中。因此，對這些數(shù)據(jù)采用大數(shù)據(jù)的分析處理方法，就能夠發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。

鐘力解釋說：“通過基于特征和基于行為的網(wǎng)絡(luò)攻擊檢測方法，我們發(fā)現(xiàn)了絕大部分的網(wǎng)絡(luò)攻擊，但這些網(wǎng)絡(luò)攻擊都是碎片化的、獨(dú)立的。如果要發(fā)現(xiàn)這種關(guān)聯(lián)，就需要進(jìn)行大數(shù)據(jù)安全分析，并以此為線索發(fā)現(xiàn)更多可能相關(guān)的攻擊?，F(xiàn)已披露的APT攻擊，都是安全人員對網(wǎng)絡(luò)攻擊事件及相關(guān)原始數(shù)據(jù)進(jìn)行長時間的分析而得到，人與大數(shù)據(jù)分析系統(tǒng)相互支撐，缺一不可。未來的網(wǎng)絡(luò)攻防對抗，歸根結(jié)底是人與人的對抗，因此，人必須要參與到大數(shù)據(jù)安全分析的進(jìn)程當(dāng)中。大數(shù)據(jù)處理用于發(fā)現(xiàn)線索、聚焦數(shù)據(jù)，人則對線索和特定數(shù)據(jù)進(jìn)行深入分析。“

全范式安全分析體系

在當(dāng)前網(wǎng)絡(luò)攻防對抗的形勢下，企業(yè)和組織傳統(tǒng)的安全防護(hù)體系和思路必須進(jìn)行改變。葉蓬提到，我們要從全新的視角去看“建立縱深防護(hù)體系”這個理念，要建立一種“高維度的縱深防護(hù)體系”。這種高維度是指不僅要考慮攻擊路徑上的縱深，還要考慮防范攻擊的時間縱深、管理縱深、物理縱深。因?yàn)槲覀兊膶κ挚偸窃噲D發(fā)起高維攻擊，我們必須建立高維縱深。

面對當(dāng)前網(wǎng)絡(luò)安全的挑戰(zhàn)，結(jié)合新技術(shù)的發(fā)展情況，啟明星辰創(chuàng)造性地提出了一套全新的安全分析方法論——全范式安全分析體系。所謂“全范式安全分析”體系，就是強(qiáng)調(diào)要綜合利用四種安全分析范式來構(gòu)建一個完備的安全分析體系。

啟明星辰在2014年發(fā)布的泰合大數(shù)據(jù)安全分析平臺是國內(nèi)首個面向企業(yè)級客戶的大數(shù)據(jù)安全分析平臺。系統(tǒng)融合先進(jìn)的流式計(jì)算、交互式計(jì)算和批式計(jì)算技術(shù)，采用云計(jì)算和分布式文件系統(tǒng)及索引技術(shù)，對包括日志、網(wǎng)絡(luò)流、數(shù)據(jù)包和威脅情報(bào)在內(nèi)的結(jié)構(gòu)化、 半結(jié)構(gòu)化安全要素信息進(jìn)行采集、存儲、分析和展示，使用智能關(guān)聯(lián)、情境分析、機(jī)器學(xué)習(xí)等多種數(shù)據(jù)分析及挖掘技術(shù)，構(gòu)建了全新一代安全分析平臺。

據(jù)了解，某政府客戶的應(yīng)用場景是智慧城市背景下的大數(shù)據(jù)安全分析應(yīng)用。泰合大數(shù)據(jù)安全分析平臺將海量的安全數(shù)據(jù)采集上來，進(jìn)行統(tǒng)計(jì)分析、聚類分析、用戶畫像，總結(jié)出了很多有趣的用戶行為，識別出了一些安全異常行為。

“結(jié)合國際上安全分析的發(fā)展趨勢、Gartner的分析報(bào)告，以及啟明星辰對國內(nèi)客戶的差異性分析和具體實(shí)踐，”葉蓬說，“我們認(rèn)為，未來幾年數(shù)據(jù)驅(qū)動的安全分析技術(shù)的發(fā)展動向?qū)⑹牵褐悄芑⑶閳?bào)化、交互化、協(xié)作化?！?/p>

接著他又做了如下闡釋：智能化，這是數(shù)據(jù)驅(qū)動的安全分析的核心，強(qiáng)調(diào)不依賴于既有特征和規(guī)則的分析。未來這方面將進(jìn)一步增強(qiáng)，更多高級統(tǒng)計(jì)、機(jī)器學(xué)習(xí)的技術(shù)將引入安全分析。情報(bào)化，安全分析將更加依賴安全情報(bào)，情報(bào)驅(qū)動的安全分析將盛行。交互化：安全分析、尤其是高級安全分析和威脅狩獵，將更多地依賴人機(jī)交互。協(xié)作化，既包括人機(jī)協(xié)作、內(nèi)外部情報(bào)協(xié)作，更包括因國內(nèi)現(xiàn)實(shí)情況而產(chǎn)生的人人協(xié)作。