大数据分析：安全防御的制胜法宝

随着大数据价值的凸显，大数据分析的运用也越来越广泛，在信息安全领域，大数据分析已经成为公认的制胜法宝，特别是针对高级持续性威胁（APT）。大数据分析方法给安全分析、安全预警、安全管理、安全防护带来了新思路、新机遇，它可能会改变未来信息安全的技术格局。

过去的一年，整个IT领域都在谈论大数据，大数据甚至被认为是可以比肩互联网革命的整个信息产业的又一次发展高峰。现在是大数据时代，因为数据量在爆炸式增长——近两年所产生的数据量相当于2010年以前整个人类文明产生的数据量总和；而且数据来源极大丰富，语音、视频、图像等非结构化数据所占比例逐渐增大。海量的数据与我们的生活息息相关：互联网行为记录，地理位置记录，消费信息记录等等，人们的行为细节和隐私无一遗漏。同样，大数据对信息安全影响深刻，各种网络行为、日志都被记录下来，从而发现潜在的安全风险。

发觉潜在的威胁——大数据的这种能力对今天的信息安全防范意义重大。我们知道，高级持续性威胁(Advanced Persistent Threat，APT)是如今企业、政府机构信息安全面临的最大威胁。在APT攻击当中，黑客以窃取核心资料为目的，往往经过长期的经营与策划，网络攻击和入侵行为具有高度的隐蔽性。APT攻击的关键在于黑客隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据。这样的“网络间谍”行为，对网络安全系统提出更高的要求，一般的防范手段难以发现。

大数据分析有效防御APT攻击

企业的计算机网络系统产生大量日志数据，包括上述核电站计算机系统，只是与公网物理隔离，内部依然是一个庞大的网络。大数据可以针对所有的系统运行记录进行分析，可以弥补时间点检测技术的不足，发现网络攻击的蛛丝马迹。在这个基础上，结合传统的检测技术，可以组成基于记忆的检测系统，这是由国内安全厂商启明星辰提出的思路。

RSA曾提出过三种方法应对APT攻击：一是利用虚拟化带来的预防机制；二是一旦出现任何攻击，可将对服务器进行重置；三是使用虚拟监控，利用虚拟化平台搜集数据，并进行分析。事实上，通过预防机制应对APT，只能对已知威胁有效；发现攻击对服务器重置属于补救措施，亡羊补牢只是为了降低损失；利用虚拟化平台收集数据并分析，是基于大数据技术的方法，也是应对APT攻击的关键。

应用大数据分析，需要强大的数据采集平台，以及强大的数据分析处理能力。最理想的情况是建立全球化的数据分析引擎，在全球范围内进行相关数据的关联性分析。这样就能克服信息分布孤岛带来的调查取证难的问题，更容易发现攻击。针对具体的网络、系统和应用的运行数据采集分析，捕获、挖掘、修复漏洞；对全球已经发生以及正在发生的网络攻击行为进行记录，并将这些海量的数据经过多维度的整合分析，自动生成漏洞库、黑客们行为特征等数据库。对于具体的网络系统，全球化的安全监测，运用大数据技术，可以提前发现攻击，提前阻止。

对于企业、组织机构来讲，首先要把信息收集起来进行识别，包括日志全采集，网络监控，然后把所有的信息放到统一的监控平台，建立全自动化的响应系统。因为大数据需要一个中控系统把所有内部的、外部的信息收集起来进行分析。

大数据分析是安全防御的制胜法宝，这是信息安全领域公认的事实，然而，大数据并不针对APT攻击中的某个步骤，而是通过全面收集重要终端和服务器上的日志信息以及采集网络设备上的原始流量，进行集中分析和数据挖掘。发现APT攻击的蛛丝马迹后，通过全面分析海量数据，从而还原整个APT攻击场景。面向全局而非局部，这是目前大多数厂商采用的思路，也是相对正确的思路。