張　濱（中國移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心，北京 100053）

大數(shù)據(jù)分析技術(shù)在安全領(lǐng)域的應(yīng)用

張濱
（中國移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心，北京 100053）

本文從信息安全分析現(xiàn)狀出發(fā)，深入剖析了傳統(tǒng)基于特征的信息安全分析所面臨的問題和挑戰(zhàn)，提出基于大數(shù)據(jù)的安全分析方法，構(gòu)建基于大數(shù)據(jù)的安全分析平臺(tái)，有效提升信息安全管控水平。文章詳細(xì)介紹了大數(shù)據(jù)技術(shù)在信息安全數(shù)據(jù)的存儲(chǔ)、檢索、分析等層面的應(yīng)用，對典型應(yīng)用場景的大數(shù)據(jù)分析方法進(jìn)行了詳細(xì)闡述，并指出安全大數(shù)據(jù)分析的應(yīng)用價(jià)值以及未來的發(fā)展方向。

信息安全；大數(shù)據(jù)；不良信息治理；安全態(tài)勢感知

張 濱 畢業(yè)于清華大學(xué)無線電系。高級工程師?，F(xiàn)任中國移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心總經(jīng)理，曾擔(dān)任江西省移動(dòng)通信局副局長，中國移動(dòng)通信集團(tuán)公司計(jì)劃部、管理信息系統(tǒng)部副總經(jīng)理，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)信息中心副主任。長期從事通信網(wǎng)規(guī)劃建設(shè)、信息化推進(jìn)、信息安全管理工作，參與了中央企業(yè)信息化政策措施研究，組織了中國移動(dòng)ERP項(xiàng)目的實(shí)施，在通信、互聯(lián)網(wǎng)、信息化和信息安全領(lǐng)域有較深入的研究。

傳統(tǒng)的基于特征的信息安全分析技術(shù)已廣泛應(yīng)用惡意代碼檢測、入侵檢測等，但隨著數(shù)據(jù)規(guī)模的增加和一些新興威脅的出現(xiàn)，對安全分析檢測技術(shù)提出了更高要求。應(yīng)用大數(shù)據(jù)分析技術(shù)進(jìn)行信息安全問題分析已成為業(yè)界研究熱點(diǎn)。Gartner在2012年的報(bào)告中明確指出“信息安全正在變成一個(gè)大數(shù)據(jù)分析問題”。借助大數(shù)據(jù)安全分析方法，不但能夠解決海量數(shù)據(jù)的采集和存儲(chǔ)，基于機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘方法，能夠更加主動(dòng)、彈性地去應(yīng)對新型復(fù)雜的違規(guī)行為和未知多變的風(fēng)險(xiǎn)。BDSA（Big Data Security Analysis，安全大數(shù)據(jù)分析）應(yīng)運(yùn)而生。

根據(jù)IDC（國際數(shù)據(jù)公司）的相關(guān)統(tǒng)計(jì)，2015年大數(shù)據(jù)市場規(guī)模增長到170億美元，年增長率為40%；預(yù)計(jì)到2020年，全球數(shù)據(jù)總量將會(huì)增長44倍，達(dá)到35 ZB，而這個(gè)數(shù)值還在以每兩年就翻一番的速度迅猛增長。

在產(chǎn)業(yè)界和學(xué)術(shù)界，“大數(shù)據(jù)分析”都成為炙手可熱的產(chǎn)業(yè)領(lǐng)域。在學(xué)術(shù)界，國際頂級期刊《Nature》和《Sciences》分別出版了?？禕ig Data》和《Dealingwith Data》，從信息安全防護(hù)、互聯(lián)網(wǎng)技術(shù)和生物醫(yī)藥等多個(gè)方面討論了大數(shù)據(jù)應(yīng)用相關(guān)問題。在產(chǎn)業(yè)界，CSA（云安全聯(lián)盟）2012年成立了專門的大數(shù)據(jù)工作組，該工作組由業(yè)內(nèi)和院校的志愿者組成，確定該領(lǐng)域內(nèi)的原則、綱領(lǐng)及所面臨的挑戰(zhàn)。CSA的報(bào)告《安全智能中的大數(shù)據(jù)分析》，重點(diǎn)討論了大數(shù)據(jù)在安全分析中的應(yīng)用，并提出了利用大數(shù)據(jù)分析工具對結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分析如何改變了安全分析領(lǐng)域。同時(shí)，國家制定了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，標(biāo)志著大數(shù)據(jù)戰(zhàn)略正式上升為國家戰(zhàn)略。

收稿日期：2015-11-16

中國移動(dòng)利用大數(shù)據(jù)分析技術(shù)在信息安全領(lǐng)域開展多項(xiàng)應(yīng)用探索，如基于大數(shù)據(jù)技術(shù)的騷擾詐騙電話等不良信息治理、基于大數(shù)據(jù)分析技術(shù)的安全態(tài)勢感知分析、基于大數(shù)據(jù)分析技術(shù)的釣魚網(wǎng)站分析等，都取得了良好的效果，有效提升了信息安全管控水平。

1　安全大數(shù)據(jù)分析

大數(shù)據(jù)分析技術(shù)給信息安全領(lǐng)域帶來了全新的解決方案，但是如同其它領(lǐng)域一樣，大數(shù)據(jù)的功效并非簡單地采集數(shù)據(jù)，而是需要資源的投入，系統(tǒng)的建設(shè)，科學(xué)的分析。Gartner在2013年的報(bào)告中指出，大數(shù)據(jù)技術(shù)作為未來信息架構(gòu)發(fā)展的十大趨勢之首，具有數(shù)據(jù)量大、種類繁多、速度快、價(jià)值密度低等特點(diǎn)。將大數(shù)據(jù)技術(shù)應(yīng)用與信息安全領(lǐng)域可實(shí)現(xiàn)容量大、成本低、效率高的安全分析能力。

1.1信息安全分析引入大數(shù)據(jù)的必要性

大數(shù)據(jù)具有“4V”的特點(diǎn)：Volume、Variety、Velocity和Value，可實(shí)現(xiàn)大容量、低成本、高效率的信息安全分析能力，能夠滿足安全數(shù)據(jù)的處理和分析要求，將大數(shù)據(jù)應(yīng)用于信息安全領(lǐng)域能夠有效的識(shí)別各種攻擊行為或安全事件，具有重大的研究意義和實(shí)用價(jià)值。

隨著企業(yè)規(guī)模的增大和安全設(shè)備的增加，信息安全分析的數(shù)據(jù)量呈指數(shù)級增長。數(shù)據(jù)源豐富、數(shù)據(jù)種類多、數(shù)據(jù)分析維度廣；同時(shí)，數(shù)據(jù)生成的速度更快，對信息安全分析應(yīng)答能力要求也相應(yīng)增長。傳統(tǒng)信息安全分析主要基于流量和日志兩大類數(shù)據(jù)，并與資產(chǎn)、業(yè)務(wù)行為、外部情報(bào)等進(jìn)行關(guān)聯(lián)分析?；诹髁康陌踩治鰬?yīng)用主要包括惡意代碼檢測、僵木蠕檢測、異常流量、Web安全分析等；基于日志的安全分析應(yīng)用主要包括安全審計(jì)、主機(jī)入侵檢測等。

將大數(shù)據(jù)分析技術(shù)引入到信息安全分析中，就是將分散的安全數(shù)據(jù)整合起來，通過高效的采集、存儲(chǔ)、檢索和分析，利用多階段、多層面的關(guān)聯(lián)分析以及異常行為分類預(yù)測模型，有效的發(fā)現(xiàn)APT攻擊、數(shù)據(jù)泄露、DDoS攻擊、騷擾詐騙、垃圾信息等，提升安全防御的主動(dòng)性。而且，大數(shù)據(jù)分析涉及的數(shù)據(jù)更加全面，主要包括應(yīng)用場景自身產(chǎn)生的數(shù)據(jù)、通過某種活動(dòng)或內(nèi)容“創(chuàng)建”出來的數(shù)據(jù)、相關(guān)背景數(shù)據(jù)及上下文關(guān)聯(lián)數(shù)據(jù)等。如何高效合理的處理和分析這些數(shù)據(jù)是安全大數(shù)據(jù)技術(shù)應(yīng)當(dāng)研究的問題。

1.2安全大數(shù)據(jù)分析方法

安全大數(shù)據(jù)分析的核心思想是基于網(wǎng)絡(luò)異常行為分析，通過對海量數(shù)據(jù)處理及學(xué)習(xí)建模，從海量數(shù)據(jù)中找出異常行為和相關(guān)特征；針對不同安全場景設(shè)計(jì)針對性的關(guān)聯(lián)分析方法，發(fā)揮大數(shù)據(jù)存儲(chǔ)和分析的優(yōu)勢，從豐富的數(shù)據(jù)源中進(jìn)行深度挖掘，進(jìn)而挖掘出安全問題。安全大數(shù)據(jù)分析主要包括安全數(shù)據(jù)采集、存儲(chǔ)、檢索和安全數(shù)據(jù)的智能分析。

（1） 安全數(shù)據(jù)采集、存儲(chǔ)和檢索：基于大數(shù)據(jù)采集、存儲(chǔ)、檢索等技術(shù)，可以從根本上提升安全數(shù)據(jù)分析的效率。采集多種類型的數(shù)據(jù)，如業(yè)務(wù)數(shù)據(jù)、流量數(shù)據(jù)、安全設(shè)備日志數(shù)據(jù)及輿情數(shù)據(jù)等。針對不同的數(shù)據(jù)采用特定的采集方式，提升采集效率。針對日志信息可采用Chukwa、Flume、Scribe等工具；針對流量數(shù)據(jù)可采用流量景象方法，并使用Storm和Spark技術(shù)對數(shù)據(jù)進(jìn)行存儲(chǔ)和分析；針對格式固定的業(yè)務(wù)數(shù)據(jù)，可使用HBase、GBase等列式存儲(chǔ)機(jī)制，通過MapReduce和Hive等分析方法，可以實(shí)時(shí)的對數(shù)據(jù)進(jìn)行檢索，大大提升數(shù)據(jù)處理效率。

（2） 安全數(shù)據(jù)的智能分析：并行存儲(chǔ)和NoSQL數(shù)據(jù)庫提升了數(shù)據(jù)分析和查詢的效率，從海量數(shù)據(jù)中精確地挖掘安全問題還需要智能化的分析工具，主要包括ETL（如預(yù)處理）、統(tǒng)計(jì)建模工具（如回歸分析、時(shí)間序列預(yù)測、多元統(tǒng)計(jì)分析理論）、機(jī)器學(xué)習(xí)工具（如貝葉斯網(wǎng)絡(luò)、邏輯回歸、決策樹、隨機(jī)森利）、社交網(wǎng)絡(luò)工具（如關(guān)聯(lián)分析、隱馬爾可夫模型、條件隨機(jī)場）等。常用的大數(shù)據(jù)分析思路有先驗(yàn)分析方法、分類預(yù)測分析方法、概率圖模型、關(guān)聯(lián)分析方法等?？墒褂肕ahout和MLlib等分析工具對數(shù)據(jù)進(jìn)行挖掘分析。

綜上，一個(gè)完備的安全大數(shù)據(jù)分析平臺(tái)（如圖1所示）應(yīng)自下而上分為數(shù)據(jù)采集層、大數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)挖掘分析層、可視化展示層。主要通過數(shù)據(jù)流、日志、業(yè)務(wù)數(shù)據(jù)、情報(bào)信息等多源異構(gòu)數(shù)據(jù)進(jìn)行分布式融合分析，針對不同場景搭建分析模型，最終實(shí)現(xiàn)信息安全的可管可控，展現(xiàn)整體安全態(tài)勢。

2　安全大數(shù)據(jù)分析的典型應(yīng)用

2.1基于用戶行為的不良信息治理

中國移動(dòng)開展了基于大數(shù)據(jù)的不良信息治理工作，主要針對垃圾短信和騷擾詐騙電話開展基于異常行為的大數(shù)據(jù)分析。通過開源工具Hadoop、HDFS、Pig、Hive、Mahout、MLlib搭建大數(shù)據(jù)分析平臺(tái)，采集用戶的行為數(shù)據(jù)，構(gòu)建用戶行為分析模型；分別提出了異常行為分類預(yù)測模型、統(tǒng)計(jì)預(yù)測分析模型、社交網(wǎng)絡(luò)分析模型等，將用戶的行為數(shù)據(jù)輸入到模型中，可以精準(zhǔn)地挖掘出違規(guī)電話號碼，并且發(fā)現(xiàn)違規(guī)號碼與正常號碼之間存在大量相異的行為特征。通過用戶的行為，構(gòu)建多維度的用戶畫像數(shù)據(jù)庫，支撐全方位的大數(shù)據(jù)不良信息治理服務(wù)，支撐大數(shù)據(jù)不良內(nèi)容的智能識(shí)別等。實(shí)踐表明，大數(shù)據(jù)分析技術(shù)能夠挖掘出更多潛在的違規(guī)號碼，是對現(xiàn)有系統(tǒng)的有效補(bǔ)充。除此之外，中國移動(dòng)還將大數(shù)據(jù)技術(shù)應(yīng)用在安全態(tài)勢感知、手機(jī)惡意軟件檢測和釣魚網(wǎng)站的分析中，提升了現(xiàn)有系統(tǒng)的分析能力。

2.2基于網(wǎng)絡(luò)流量的大數(shù)據(jù)分析

在互聯(lián)網(wǎng)出口進(jìn)行旁路流量監(jiān)控，使用Hadoop存儲(chǔ)及Storm、Spark流分析技術(shù)，通過大數(shù)據(jù)分析技術(shù)梳理業(yè)務(wù)數(shù)據(jù)，深度分析所面臨的安全風(fēng)險(xiǎn)。主要分析思路是采集Netflow原始數(shù)據(jù)、路由器配置數(shù)據(jù)、僵木蠕檢測事件、惡意URL事件等信息，采用多維度分析、行為模式分析、指紋分析、孤立點(diǎn)分析及協(xié)議還原等方法，進(jìn)行Web漏洞挖掘、CC攻擊檢測、可疑掃描、異常Bot行為、APT攻擊、DDoS攻擊挖掘等分析。

圖1　安全大數(shù)據(jù)分析平臺(tái)

2.3 基于安全日志的大數(shù)據(jù)分析

基于安全日志的大數(shù)據(jù)分析思路主要是融合多種安全日志，進(jìn)行數(shù)據(jù)融合關(guān)聯(lián)分析，構(gòu)建異常行為模型，來挖掘違規(guī)安全事件。主要的安全日志包含Web日志、IDS設(shè)備日志、Web攻擊日志、IDC日志、主機(jī)服務(wù)器日志、數(shù)據(jù)庫日志、網(wǎng)管日志、DNS日志及防火墻日志等，通過規(guī)則關(guān)聯(lián)分析、攻擊行為挖掘、情景關(guān)聯(lián)分析、歷史溯源等方法，來分析Web攻擊行為、Sql注入、敏感信息泄露、數(shù)據(jù)分組下載傳輸、跨站漏洞、嘗試口令破解攻擊等應(yīng)用場景。

基于安全日志的大數(shù)據(jù)分析已經(jīng)在國際上有廣泛的應(yīng)用。如IBM QRadar應(yīng)用整合分散在網(wǎng)絡(luò)各處的數(shù)千個(gè)設(shè)備端點(diǎn)和應(yīng)用中的日志源事件數(shù)據(jù)，并將原始安全數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，以區(qū)別威脅和錯(cuò)誤判斷；IBM QRadar還可以與IBM Threat Intelligence一起使用，提供潛在惡意IP地址列表，包括惡意主機(jī)、垃圾郵件和其它威脅等；IBM Qradar 還可以將系統(tǒng)漏洞與事件和網(wǎng)絡(luò)數(shù)據(jù)相關(guān)聯(lián)，劃分安全性事件的優(yōu)先級等。ZettaSet海量事件數(shù)據(jù)倉庫來分析網(wǎng)絡(luò)中的安全漏洞和惡意攻擊；Zettaset主要包括Orchestrator和SDW （Security Data Warehouse，安全數(shù)據(jù)倉庫）。Orchestrator是端到端的Hadoop管理產(chǎn)品，支持多個(gè)Hadoop分布；SDW是構(gòu)建在Hadoop的基礎(chǔ)上，并且基于Hive分布式存儲(chǔ)。SDW于2011年Black Hat網(wǎng)絡(luò)安全會(huì)議面世，SDW可從網(wǎng)絡(luò)防火墻、安全設(shè)備、網(wǎng)站流量、業(yè)務(wù)流程以及其它事務(wù)中挖掘安全信息，確定并阻止安全性威脅。處理的數(shù)據(jù)質(zhì)量和分析的事件數(shù)量比傳統(tǒng)SIEM多；對于一個(gè)月的數(shù)據(jù)負(fù)載，傳統(tǒng)SIEM搜索需要20～60 min，Hive運(yùn)行查詢只需1 min左右。

2.4基于DNS的安全大數(shù)據(jù)分析

基于DNS的安全大數(shù)據(jù)分析通過對DNS系統(tǒng)的實(shí)時(shí)流量、日志進(jìn)行大數(shù)據(jù)分析，對DNS流量的靜態(tài)及動(dòng)態(tài)特征進(jìn)行建模，提取DNS報(bào)文特征：DNS分組長、DNS響應(yīng)時(shí)間、發(fā)送頻率、域名歸屬地離散度、解析IP離散度、遞歸路徑、域名生存周期等；基于DNS報(bào)文特征，構(gòu)建異常行為模型，來檢測針對DNS系統(tǒng)的各類流量攻擊（如DNS劫持、DNS拒絕服務(wù)攻擊、DNS分組異常、DNS放大攻擊等）及惡意域名、釣魚網(wǎng)站域名等。

2.5APT攻擊大數(shù)據(jù)分析

高級可持續(xù)性威脅（APT）攻擊通過周密的策劃與實(shí)施，針對特定對象進(jìn)行長期的、有計(jì)劃的攻擊，具有高度隱蔽性、潛伏期長、攻擊路徑和渠道不確定等特征?，F(xiàn)已成為信息安全保障領(lǐng)域的巨大威脅?！罢鹁W(wǎng)”潛伏3年，造成伊朗納坦茲核電站上千臺(tái)鈾濃縮離心機(jī)故障。

收集業(yè)務(wù)系統(tǒng)流量、Web訪問日志、數(shù)據(jù)日志、資產(chǎn)庫及Web滲透知識(shí)庫等，提取系統(tǒng)指紋、攻擊種類、攻擊時(shí)間、黑客關(guān)注度、攻擊手段類型、行為歷史等事件特征，再基于大數(shù)據(jù)機(jī)器學(xué)習(xí)方法，發(fā)現(xiàn)Web滲透行為、追溯攻擊源、分析系統(tǒng)脆弱性，加強(qiáng)事中環(huán)節(jié)的威脅感知能力，同時(shí)支撐調(diào)查取證。

3　總結(jié)

隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算等技術(shù)的日趨成熟，黑客網(wǎng)絡(luò)攻擊的手段和方法也日趨復(fù)雜，違規(guī)業(yè)務(wù)行為也變化多樣，給信息安全監(jiān)管和不良信息治理帶來極大的挑戰(zhàn)。傳統(tǒng)的基于特征的信息安全防御手段已很難應(yīng)對。只有充分地利用海量異構(gòu)的大數(shù)據(jù)資源和大數(shù)據(jù)分析技術(shù)，才能有效防御新型攻擊。

中國移動(dòng)已在不良信息治理、態(tài)勢感知、基礎(chǔ)網(wǎng)絡(luò)安全等方面開展大數(shù)據(jù)分析應(yīng)用探索，并取得了一定的成效。電信行業(yè)面臨著復(fù)雜的網(wǎng)絡(luò)環(huán)境和多種安全挑戰(zhàn)，需要體系化地建設(shè)安全大數(shù)據(jù)分析平臺(tái)，利用大數(shù)據(jù)分析技術(shù)，有效提升各領(lǐng)域的信息安全管控水平，為業(yè)務(wù)發(fā)展保駕護(hù)航。

中國移動(dòng)主導(dǎo)的“國際詐騙電話監(jiān)控?cái)r截技術(shù)要求”成為行業(yè)標(biāo)準(zhǔn)

在近日召開的中國通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)會(huì)議上，中國移動(dòng)主導(dǎo)的“國際詐騙電話監(jiān)控?cái)r截技術(shù)要求”獲通過成為行業(yè)標(biāo)準(zhǔn)。

據(jù)了解，該標(biāo)準(zhǔn)基于中國移動(dòng)在國際詐騙電話治理方面的成功實(shí)踐，定義了在網(wǎng)絡(luò)側(cè)對國際詐騙電話進(jìn)行監(jiān)控?cái)r截的具體技術(shù)要求，包括總體技術(shù)架構(gòu)、數(shù)據(jù)采集要求、疑似號碼分析、詐騙電話驗(yàn)證、詐騙呼叫攔截等內(nèi)容。目前，依托詐騙電話監(jiān)控?cái)r截系統(tǒng)，中國移動(dòng)月均攔截國際詐騙電話2 000余萬次，切實(shí)保護(hù)了用戶權(quán)益。該標(biāo)準(zhǔn)的通過，標(biāo)志著中國移動(dòng)國際詐騙電話治理工作已成為行業(yè)最佳實(shí)踐，為“打擊治理電信網(wǎng)絡(luò)新型違法犯罪專項(xiàng)行動(dòng)”的深入開展提供了有力支撐，并對全行業(yè)提高詐騙電話治理能力與水平起到了積極的促進(jìn)作用。

中國移動(dòng)匯總了7類詐騙類型樣本，樣本總結(jié)了現(xiàn)階段不法分子利用假冒短信詐騙的主要方式。包括冒充中國移動(dòng)10086客服號碼、假冒各大銀行服務(wù)號碼、假冒知名電商如淘寶或京東平臺(tái)、假冒支付寶、假冒熱播綜藝節(jié)目欄目組、假冒客戶的親戚朋友、假冒學(xué)校等詐騙手法向客戶發(fā)送短信，誘騙用戶點(diǎn)擊訪問短信中出現(xiàn)的釣魚網(wǎng)站鏈接以竊取信息的詐騙短信?？蛻舫鲇趯Ρ患倜捌脚_(tái)的信任或受詐騙短信中中獎(jiǎng)等信息的引誘，上當(dāng)受騙導(dǎo)致信息被竊取的例子層出不窮。

中國移動(dòng)提醒廣大客戶，對收到的相似短信加以甄別，若短信中出現(xiàn)需要點(diǎn)擊的鏈接一定要加以注意，若鏈接中出現(xiàn)需要填寫個(gè)人信息的內(nèi)容更要倍加小心，以免手機(jī)被釣魚詐騙網(wǎng)站或病毒軟件侵襲，導(dǎo)致用戶受到損害。

據(jù)記者了解到，此前，中國移動(dòng)自2014年7月起在全國范圍內(nèi)開展“綜合治理不良網(wǎng)絡(luò)信息防范打擊通訊信息詐騙”行動(dòng)的一階段工作已圓滿落幕并取得了良好的成效。截至2015年10月，中國移動(dòng)月均攔截垃圾短信4億余條，封堵淫穢色情網(wǎng)站1.2萬余個(gè)，監(jiān)測處置惡意軟件1萬余種，處置“響一聲”違規(guī)號碼22萬余個(gè)。

目前，中國移動(dòng)“治防行動(dòng)”二期工作在國務(wù)院批準(zhǔn)建立的包括公安部、工信部、中宣部、中國人民銀行等23個(gè)部門和單位組成的打擊治理電信網(wǎng)絡(luò)新型違法犯罪工作部際聯(lián)席會(huì)議和中國移動(dòng)安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下穩(wěn)步進(jìn)行。這也是截至目前，領(lǐng)導(dǎo)級別最高，成員單位最多的一次針對手機(jī)使用環(huán)境的治理行動(dòng)。據(jù)悉，“治防行動(dòng)”二階段工作將在“電話詐騙”、“偽基站”、“釣魚網(wǎng)站”、“不良手機(jī)APP”等4個(gè)方面進(jìn)行重點(diǎn)打擊，做到“四面圍堵”。 （摘自：新華網(wǎng)）

Big data application in information security analysis

ZHANG Bin
（China Mobile Information Security Center， Beijing 100053， China）

This article analyzes the situation of the information security， the problems and challenges in information security analysis， proposes big data security analysis， and builds big data security analysis system， on the idea of big data to effectively enhance information security management and control ability. The article describes in detail the core application of the big data method in the information security data storage，retrieval， analysis and so on， as well as the typical application scenarios of big data analysis methods，pointing out the value of big data security analysis system and the future direction.

information security； big data； illegal information control； security situation awareness

TN918

A

1008-5599（2015）12-0001-05