1、在如今這個大數據得時代里，人人都希望能夠借助大數據得力量：電商希望能夠借助大數據進一步獲悉用戶得消費需求，實現更為精準得營銷；網絡安全從業者希望通過大數據更早洞悉惡意攻擊者得意圖，實現主動、超前得安全防護；而駭客們也在利用大數據，更加詳盡得挖掘出被攻擊目標信息，降低攻擊發起得 難度。大數據應用最為典型得案例就是國外某著名零售商，通過對用戶購買物品等 數據得分析，該用戶一一一位少女寄送了嬰兒床與衣服得優惠券，而少女得家人在此前對少女懷孕得事情一無所知.大數據得威力正在逐步顯現，銀行、保險公 司、醫院、零售商等等諸多企業都愈發動力十足得開始搜集整理自己用戶得各類 數據資料.但與之相比極度落后得數據

2、安全防護措施，卻讓駭客們樂了：如此重要 得數據不僅可以輕松偷盜，而且還就是整理好得，憑借這些數據駭客能夠發起更 具“真實性”得欺詐攻擊.好在安全防御者們也開始發現利用大數據抵抗各類惡 意攻擊得方法了。擾動安全得大數據2 0 14年ID C在“未來全球安全行業得展望報告”中指出，預計到202 0年 信息安全市場規模將達到500億美元。與此同時，安全威脅得不斷變化、IT交 付模式得多樣性、復雜性以及數據量得劇增，針對信息安全得傳統以控制為中心 得方法將站不住腳。預計到2 02 0年，6 0 %馬企業信息化安全預算將會分配到 以大數據分析為基礎得快速檢測與響應得產品上。瀚思(H a nSi g ht

3、)聯合創始人董昕認為，借助大數據技術網絡安全即將開 啟“上帝之眼”模式。“您不能保護您所不知道得”已經成為安全圈得一句名言， 即使部署再多得安全防御設備仍然會產生“不為人知”得信息，在各種不同設備產生得海量日志中發現安全事件得蛛絲馬跡非常困難。 而大數據技術能將不同設 備產生得海量日志進行集中存儲，通過數據格式得統一規整、自動歸并、關聯分 析、機器學習等方法，自動發現威脅與異常行為，讓安全分析更簡單。同時通過豐 富得可視化技術，將威脅及異常行為可視化呈現出來，讓安全瞧得見 .愛加密CBD高磊提出，基于大數據技術能夠從海量數據中分析已經發生得 安全問題、病毒樣本、攻擊策略等，對于安全問題得分析能

4、夠以宏觀角度與微觀 思路雙管齊下找到問題根本得存在.所以，在安全領域使用大數據技術，可以使原本單一攻防分析轉為基于大數據得預防與安全策略。大數據得意義在于提供了一 種新得安全思路與解決辦法，而不僅僅就是一種工具，單純得海量數據就是沒有 意義得.如果大數據領域運用得當，可以十分便捷地與安全領域進行結合，通過對 數據分析所得出得結論反映出安全領域所存在漏洞問題得方向，從而針對該類漏洞問題制定出相對應得解決方法。卡巴斯基技術開發(北京)有限公司大中華區技術總監陳羽興強調，大數據對 于安全公司就是件殺敵利器，對于黑客來說也就是一塊巨大得“奶酪”，而這塊“奶 酪”有時候不僅僅就是存放在一個地方，如果仍然

5、使用傳統得防范手段一-端點、 網絡、加密等一一就是不足以抵擋黑客得，所以作為安全公司不僅要著力去完善 自家得解決方案，同時在整個產業鏈各個環節得企業都要開放，形成產業協同。其實云計算得大熱，就已經讓用戶與云服務提供商愈加意識到云安全得重要 性，云安全則更需要大數據。作為客戶數據托管方得云服務提供商，客戶最關注得就是服務提供商保證她們得數據安全：既不丟失也不被非法訪問，且遵從法規 要求.即使就是在企業得私有云中，各個部門之間得信息安全也必須考慮，特別就 是財務數據、客戶信息等。由于數據得集中，云所需要處理得數據可能就是PB 級甚至更大，如此大得數據量就是傳統安全分析手段根本處理不了得，只有依靠大

6、數據分布式計算技術對海量數據進行安全分析.排兵布陣情報先行近兩年，安全企業就如何運用大數據于網絡安全中費盡了腦筋，而安全威脅情報可以說就是大數據技術在網絡安全防御環節里比較成熟得應用。什么就是安全威脅情報？形象地說， 人們經常可以從CE R不安全服務廠商、 防病毒廠商、政府機構與安全組織那里瞧到安全預警通告、漏洞通告、威脅通告 等等，這些都屬于典型得安全威脅情報。 而隨著新型威脅得不斷增長，也出現了 新得安全威脅情報，例如僵尸網絡地址情報 (Zeus/SpyEy e Trac ker)、0 day 漏洞信息、惡意URLM址情報,等等。陳羽興舉了一個十分有趣得例子：中國股市剛剛興起時，人們要去證

7、券大廳 了解行情，門口擺攤賣茶葉蛋得老太太雖然不懂股票，但就是她懂一個道理：茶 葉蛋生意清淡得時候買入、茶葉蛋生意火爆得時候賣出。其實茶葉蛋本身得銷量數據不會直接導致股票得漲跌，但就是這兩者之間存在“相關性”，大數據環境下 得安全威脅情報也就是如此.目前，無論國內還就是國外對安全威脅情報系統得建設都普遍參考ST IX標準框架，它有幾個關鍵點：時效性、完整得攻擊鏈條(包括：攻擊行動、攻擊入 口、攻擊目標、In c i d ent事件、TTP-攻擊戰術、技術與過程、攻擊特征指 標、攻擊表象、行動方針等)以及威脅情報共享。而傳統漏洞與病毒庫只就是在 安全廠家捕獲到樣本后將對應得特征碼更新到漏洞或病毒

8、數據庫里，并沒有將整個攻擊過程完整描述下來，且缺少相互共享合作。大數據時代下，通過大數據得計算能力、算法與機器學習優勢可以快速、自 動得在海量數據中發現安全問題，提升安全情報得時效性.其次由于大數據分析 得數據來自網絡、終端、認證系統等各個維度，便于分析整個安全攻擊鏈條形成 安全威脅情報.最后，隨著一些新興得大數據廠商興起，用戶至上、信息共享等互 聯網思維逐步形成，使安全威脅情報共享得以實現。瀚思采用“圖分析”結合強大情報系統(域名WE is、被動DNS、黑名單)所實現得極速感知可疑域名方法，就就是通過將每天各個渠道收集到得幾十萬域 名及其相關信息導入圖數據庫，根據節點關系快速繪制連接邊，形象

9、直觀得展現 節點之間內在聯系，將有問題得域名暴露在安全分析人員得眼前，使得以域名為 基礎得惡意行為無處躲藏，并以最快得速度查出惡意網站。卡巴斯基則在10年前就建立了自己得安全網絡 KS N,通過多年得數據搜集 與研究，再加上其所設立得全球威脅分析團隊 (Great te am),已經能夠對未 來威脅走向進行相對比較準確得預判。而綠盟科技得研究團隊在吸收“殺傷鏈(Kil 1 Cha in) ”與“攻擊樹(At t a ck Tree) ”等相關理論，形成獨特推理決策引擎后，借助大數據安全分析系統 得分布式數據庫，實現了對網絡入侵態勢得感知。高磊認為，其實大數據從誕生開始就用于統計與記錄安全情報

10、.它能夠幫助情 報分析人員發現藏匿于數據中得威脅，通過大數據分析處理獲取威脅情報、預測 攻擊事件。與傳統情報獲取方法不同得就是，真正意義得大數據安全情報就是能 夠基于更多得數據(不就是僅僅一些工具)分析半年以上得重點風險，預測未來得 風險趨勢.玩轉大數據安全分析如何才能實現對數據得有效深入分析呢？綠盟科技得安全專家發現，大數據安全分析主要得問題在于將業務目標與技 術實現混淆以及業務目標不明確兩個方面。 而大數據安全分析得三大瓶頸分別就 是：大數據僅僅就是一種技術手段而不就是一個業務目標，安全分析才就是實際要解決得核心問題；大數據安全分析能夠在安全防御里起到很重要得作用 ，但并 不能解決全部得安

11、全問題；大數據安全分析需要極為詳細得業務梳理、安全分析、數據分析等一系列工作，而不就是簡單得數據堆疊。要想解決這些問題，需要明確業務目標，明確目標得分解落實，還要在項目啟動前進行安全咨詢，并基于安全 咨詢結果編制目標及項目階段，分階段實現項目目標，同時進行專業分析人員得 培養工作。陳羽興提出要想實現對數據得有效安全分析， 首先要有統一得數據管理平臺， 要能夠支持多種數據類型-一大數據分析平臺需要足夠掌握不同安全類型得語義 信息以便進行整合與關聯分析，還要有諸如Hadoop Spark等專業得安全分析工 具，以及富有經驗得專業安全分析人員。高磊強調“如果無法對數據進行分析篩選，獲取有價值得信息，

12、就不就是真正 得大數據安全分析.”例如，愛加密采集得APP超過1000萬個，具會對所有得AP P進行拆包分析，對病毒樣本進行記錄保存，并對應用得類型、大小、簽名、包名 等多方面參數進行記錄存儲，對樣本進行詳細分析，錄入特征值，并對數據進行統 計分析，生成報表。瀚思在大數據安全分析上得經驗就是，“首先在底層架構上采用了主流大數據 分布式架構,即Hado op +Spar k+ E 1 asticsea r ch,它能準實時處理幾百T B以上得數據；其次在安全應用上則采用一些自動化分析得手段，瀚思做了比較 多得機器學習、算法工作，通過模型給用戶、業務來建模，并建立正常訪問基線， 這個環節稱之為異常

13、檢查(anomal y de t e c t io n ),并基于此實現W eb訪問安 全、反欺詐、內部核心資源等傳統安全很難解決得問題；第三在算法層面上，瀚思 主要使用基于用戶行為序列與基于時間序列得建模。”機器學習就是自動化與提 開日志數據洞察力得關鍵。不同得機器學習技術要應對不同類型得日志數據與分析挑戰。瀚思能夠提前確定機器學習要查找得關聯性與其她模式，采用非監督式 學習得方式，并輔助專家準備供參考得“練習數據”集，以便于機器學習算法能 夠識別具有重大聯系得模式，幫助企業提早發現風險，防患于未然。最后就就是 將分析安全問題及異常行為通過可視化得手段呈現出來 ，讓安全問題瞧得見、瞧 得懂。

14、在安全世界里大數據可以做得更多網絡安全防御主要分為三個環節：預防、保護與查找攻擊，大數據能夠為這 三個環節提供強大得數據支撐.面又today漏洞、APT攻擊等未知威脅，利用大 數據分析手段可以進行快速檢測與響應。 組織在建立安全防御體系過程中，也可 以利用大數據影響人與管理流程，通過大數據得反饋更有針對性得提高用戶得安 全意識，對安全管理得模式進行更新.借助大數據還可以實現用戶異常行為檢測、 敏感數據泄露檢測、DN S異常分析、反欺詐等。未來，大數據還可能會成為網絡安全智能化得推動者. 設想一下：某平臺系統 在分析知道攻擊者得攻擊目標或者攻擊方式時，能夠通過大數據分析，智能關閉 有關服務或者端

15、口 ，防止信息泄露，又或者在受到攻擊之后，系統從經驗中知道問 題所在，及時采取切斷連接等手段，實現網絡安全智能化.陳羽興表示，引導人得行為與事物得發展向更安全得目標走近， 這就是大數 據能給人們帶來得更大意義所在。大數據時代下得大安全“大數據時代下，安全將經歷數據統計階段、數據分析階段、網絡安全智能 化階段。”高磊表示，數據統計階段只能通過經驗與案例分析所需記錄數據類型， 盡可能得獲取到所需信息。數據分析階段則要注重完善數據庫得效率與針對性。 而網絡安全智能化階段將基本上不依賴人力即可控制系統自主進行智能保護、自主查找可能得攻擊源，此時需要做好測試工作，搭建虛擬數據庫，防止智能系統落 后。董昕提出，一個完整得大數據安全生態應該包括安全情報、企業級大數據安全 分析系統、安全即服務這三部分，只有三者相互配合才能組成完整得安全閉環。“當然，專業得安全研究團隊與服務團隊也就是少不了得。”瀚思除了傳統精通于攻防、漏洞、合規等方面得專家外，還擁有多名精通安全與數據分析得跨界專 家。例如瀚思聯合創始人兼首席科學家萬曉川先生就就是核心安全分析、算法、Sandb ox領域以及異常檢測與用戶行為分析得世界級專家，她擁有多項美國專 利，并一直在倡導將機器學習應用于信息安全。這也