楊光+霍娜+路沙

物聯網、云計算、移動互聯網帶來的新技術與新架構正在打破傳統(tǒng)的網絡邊界，通過數據獲取、整理、分析和可視化，大數據正賦予傳統(tǒng)安全以新思路與新能力。

大數據技術是一種基礎技術，其興起和發(fā)展最初都來源于互聯網企業(yè)。互聯網企業(yè)為解決其實際問題，發(fā)展了大數據技術。而將大數據技術應用在安全分析領域，屬于安全分析領域的革新和進步，但如何應用，需要找到安全痛點，數據創(chuàng)造價值，仍然要結合安全業(yè)務場景，通過大數據技術解決傳統(tǒng)技術無法解決或解決起來非常困難的問題。

一個名叫海蓮花（OceanLotus）的境外黑客組織發(fā)動針對中國的APT攻擊已長達三年，主要攻擊的目標是政府、科研院所、海事機構、海域建設、航運企業(yè)等領域，地域遍布國內29個省以及境外的36個國家?！昂Ｉ徎ā敝辽偈褂昧?種不同程序形態(tài)、不同編碼風格和不同攻擊原理的木馬程序，惡意服務器遍布全球13個國家 ，注冊的已知域名多達35個。

“海蓮花”的攻擊早已被捕捉到，但之前只是零散的發(fā)現，直到360成立“天眼”實驗室，利用大數據技術進行未知威脅檢測，才首次發(fā)現了這些散見威脅間的聯系，一個國家級黑客攻擊行為的輪廓才逐漸清晰。

隨著物聯網、云計算、移動互聯的發(fā)展，網絡與IT的發(fā)展也進入大數據的時代，網絡信息安全亦是如此。本質上講，所有的安全機制都可以用在任何一種數據體制中，但在新時期，大數據保護呈現出了新特點，如何在已有的安全框架內豐富、發(fā)展原有的體系、技術和方法，以適應新形勢，是從事大數據安全的業(yè)界人士需要思考的。

根據Gartner的預測，傳統(tǒng)的以控制為中心的安全解決方案到2020年將會失效，到2016年，25%的大型企業(yè)將會采用至少一種大數據安全解決方案;到2020年，60%的企業(yè)信息安全預算將會分配在快速檢測和響應的方法上。

北京理工大學軟件學院信息安全等級保護國家工程實驗室博士、副教授、碩士生導師閆懷志告訴《中國信息化周報》記者，與傳統(tǒng)的信息安全相比，大數據安全呈現三個新特征。

第一，由于云計算時代數據外包給服務提供商，傳統(tǒng)根據網絡邊界防護的做法保護數據安全在大數據時代就行不通了。

第二，云計算是虛擬化的操作，那么虛擬化安全就成為一個非常重要的領域。

第三，傳統(tǒng)信息安全領域中，對于人隱私的保護不是特別強，因此有關隱私的保護需要加強。大數據一直存在，只是以前的網絡和信息處理技術沒有這樣快捷，信息化使得原有的許多數據都關聯起來了，形成了大數據的架構，原來數據的保護方法在大數據時代仍然是適用的。只是現在大數據的保護呈現出三個新的特征?，F在大數據的保護離不開經典的安全保護的手段。

大數據時代安全到底有何不同，該如何實現，又有哪些難點和瓶頸？《中國信息化周報》記者通過采訪多位專家和企業(yè)負責人來探尋答案。

傳統(tǒng)安全邊界正在被打破

新的架構與技術讓網絡邊界變得越來越模糊，傳統(tǒng)安全重在邊界防御的手段也會逐漸失去效力。

物聯網把每個實體都編上特征，然后將其加入到網絡中，如今的信息系統(tǒng)已經和物理空間關聯起來了，也就是所謂的信息物理系統(tǒng)（Cyber-Physical Systems，CPS）。

CPS分為計算決策層、網絡通信層以及感知執(zhí)行層，各層之間的互聯互通需要通過一些通用協議以及各類軟件的協調配合來實現。這個實現過程就成為CPS最主要的信息安全威脅。

與傳統(tǒng)的IT信息系統(tǒng)安全需求不同的是，CPS設計需要兼顧應用場景和控制管理等多方面的因素，以優(yōu)先確保系統(tǒng)的高可靠性和業(yè)務連續(xù)性。缺乏有效的安全防御機制和數據通信保密措施就成了CPS的安全隱患。

工業(yè)和信息化部計算機與微電子發(fā)展研究中心主任助理、博士曾晉在接受《中國信息化周報》記者采訪時表示，CPS與傳統(tǒng)的IT系統(tǒng)信息安全的不同具體表現在安全需求、安全保護優(yōu)先級、安全補丁與更新以及安全防護技術的差異上。

為更好地應對CPS信息安全所面臨的挑戰(zhàn)，我們需要在清楚認識危害來源的基礎上，更好地理解受到攻擊后的結果，設計全新攻擊檢測算法、新的抗攻擊彈性算法和架構以及適合CPS的身份認證與密碼技術，并開發(fā)硬件兼容能力更強和適用于異構平臺的安全防護技術。

“現在的信息系統(tǒng)涉及云計算、物聯網、信息物理系統(tǒng)，在《中國制造2025》和‘互聯網+大勢下，關注大數據就得關注現代信息系統(tǒng)的發(fā)展。保護大數據的安全成為諸多廠商關注的領域?！遍Z懷志告訴記者。

360企業(yè)安全集團天眼實驗室高級總監(jiān)韓永剛告訴記者，傳統(tǒng)方法的問題一是在于主要依賴于一些已知“規(guī)則”進行防護，而對越來越多的攻擊檢測對抗手段、未知威脅以及復雜攻擊無能為力。二是，傳統(tǒng)方法的視點較窄，往往只聚焦在局部范圍以及實時上，對于高級威脅，尤其是綜合多種攻擊手段，長時間針對特定目標的持續(xù)定向攻擊，無法做到有效發(fā)現與完整的防護。

將大數據技術用于安全領域能為業(yè)界找到新的方法與驅動力應對新挑戰(zhàn)。在安全需要變革的時代，大數據分析、可視化分析、威脅情報這些技術重新給予我們“看見”安全態(tài)勢的能力。

新思路 老辦法 新能力

閆懷志認為，大數據分析技術幾乎已成安全產品的必需組成部分。這也從一方面說明依托大數據安全分析的安全防御思路正在變得越來越被廣泛接受。大數據安全有兩種理解，一種是使用大數據技術來分析安全問題，第二種就是大數據自身的安全問題。大數據技術體系包括大數據應用、大數據處理機制，大數據系統(tǒng)中包含的海量數據。

無論是哪種數據都離不開數據的獲取、數據的傳輸、數據的存儲和數據的應用，只不過云計算架構下，數據獲取的方式、存儲方式和應用方式發(fā)生了變化，對應的安全機制也要進行調整。

韓永剛介紹，數據驅動安全是360企業(yè)安全的核心思維，這符合當今時代的安全思路。數據是基礎，驅動是手段，安全是目標。而傳統(tǒng)的防護體系、產品、服務不是都沒有用途了，而是通過數據驅動賦予它們現在缺失的基于大數據技術的安全可見與態(tài)勢感知能力。

綠盟科技解決方案中心項目總監(jiān)張旭認為，數據驅動的安全并不只依賴數據，數據是安全業(yè)務目標的底層支撐。在安全業(yè)務目標明確下，首先進行安全場景梳理，進而進行安全場景模型建立，最后才是數據梳理與安全分析工作。

而具體到安全數據可視化，綠盟科技采用更為直觀的展現方式，如平行坐標圖通常用來進行攻擊鏈展現，氣泡圖用來進行威脅程度展示，地理圖進行攻擊路徑展示，力圖用來做動態(tài)拓撲展現等，力求能夠更直觀地將安全事件展示到決策者眼前。

啟明星辰泰合產品本部產品總監(jiān)葉蓬告訴《中國信息化周報》記者，在目前，網絡攻防雙方的能力已經不對等，攻擊占據上風，攻擊耗時遠遠低于防守耗時。攻防的對抗其實就是數據的對抗、知識的對抗和人的對抗，數據驅動的安全一定程度上是在彌補防守耗時，以求盡快識別攻擊并進行響應、阻斷和反制。

在這個過程中，數據的獲取、整理、分析和呈現都很有講究，每個環(huán)節(jié)都很重要，并且環(huán)環(huán)相扣?？梢暬且环N呈現方式，主要面向兩類角色。一類是分析師，幫助其更高效地進行交互式分析，即所謂威脅捕獵。另一類是管理層和決策者，幫助他們了解整體安全態(tài)勢，做出清晰、有效的決策。

在進行數據可視化的時候，不能一味追求酷炫的展示效果，更要注重內容的表達，幫助客戶實現對安全的可見性（Visibility）比實現對安全的可視化（Visualization）更重要。

瓶頸是什么

北信源董事長助理/核心技術發(fā)展中心總經理鐘力博士告訴《中國信息化周報》記者，大數據安全的瓶頸在于關聯分析能力，即如何分析處理數據，獲得知識，再上升到智慧感知的層次。

這包括兩個方面的要求：一是對數據的融會貫通，根據線索匯聚、處理、分析海量數據;二是對網絡攻擊的理解，能夠理解網絡攻擊的行為模式和特征。

張旭則認為，大數據安全分析主要的問題在于將業(yè)務目標與技術實現混淆以及業(yè)務目標不明確兩個方面。

他認為，大數據僅僅是一種技術手段而不是一個業(yè)務目標，安全分析才是實際要解決的核心問題。

其次，錯誤地假設了大數據安全分析可以解決當前全部為解決的安全問題，粗獷地認為只要部署大數據安全產品就可以將安全問題逐一解決。正是由于這樣的假設深入人心導致現在大數據安全項目無法達到過高的預期。

最后，對于大數據技術在安全分析的項目設想得過于簡單易行，習慣性認為安全問題就是防護設備的堆疊，那么大數據安全分析也是類似的方式運作。而實際上，大數據安全分析恰恰需要極為詳細的業(yè)務梳理、安全分析、數據分析等一系列工作，但這些往往被忽視。以上三點正是大數據安全分析類的瓶頸。

北京天融信科技股份有限公司產品線總監(jiān)唐寧認為，大數據安全分析的全過程會分成數據收集、數據整理與存儲、數據分析和數據展示等多個階段，目前來說有如下幾點問題：數據收集不全，有些數據量太大，存在數據丟失的問題，有些數據缺乏手段，甚至都無法收集;數據分析手段不夠靈活，安全形勢是變化的，沒有辦法以不變應萬變，必須有一種技術手段迅速構建分析模型;數據可視化不夠直觀，數據分析結果的展示非常不直觀。

為解決這些問題，從數據收集層面，必須有各種被動、主動的數據收集方式，數據收集必須涵蓋從終端到網絡，從應用到行為，從內網到互聯網等多種維度，保證不漏掉任何有用的數據;從數據分析和可視化的角度，必須有一套平臺進行技術支撐，這樣才能在不斷變化的網絡安全對抗中脫穎而出。

葉蓬告訴《中國信息化周報》記者，隨著大數據技術生態(tài)的逐步成型，大數據技術逐漸成為一種貨架技術?；谶@些技術，目前大數據安全分析過程中的數據采集和存儲技術已經被先進企業(yè)所掌握，可視化水平也突飛猛進，存在的瓶頸主要是應用場景、安全分析場景方面。盡快突破的辦法就是結合安全業(yè)務場景，以場景驅動安全分析，以數據帶動技術進步。

與此同時，安全分析師、業(yè)務分析師、領域工程師等技術人員的匱乏也是制約大數據安全分析應用發(fā)展的重大瓶頸。在大數據分析情境之下，對分析師的人員和技能要求更高。

借力“天眼” ?見微知著 掌控安全態(tài)勢

據悉，支撐360數據驅動安全的首先是豐富的安全大數據資源以及強大的大數據存儲和計算能力：360目前大數據服務器規(guī)模超過40000臺，總存儲數據量接近1EB，每天各種數據計算任務10萬個，每分鐘可以調動幾十萬顆CPU核參與計算，具備每秒鐘處理1TB數據的能力;積累了海量的情報數據，主防庫總日志數50000億條，樣本庫總樣本數高達95億， DNS庫解析記錄超過50億條，URL庫每天查詢300億、每天會處理100億URL。龐大的存儲計算資源與海量宏觀安全數據就構成了大數據分析的基礎。

“有了數據只是第一步，還需要有相應的數據挖掘分析的方法，如綜合使用統(tǒng)計分析、關聯分析、機器學習、可視化分析、攻防分析，才能夠從海量數據中找到有價值的線索，發(fā)現與高級威脅相關聯的各類信息，形成高價值的威脅情報。”韓永剛舉例說，通過大數據技術，從一個捕獲的惡意軟件，可以通過同源分析找到新的相似的惡意軟件，以及遠端的攻擊服務器。再通過對域名解析記錄的查詢，找到相關聯的用于攻擊的惡意域名，以及更多的攻擊資源。如此一來，一次復雜的高級定向攻擊，甚至攻擊組織的行為、攻擊途徑、動機、組織背景都逐步展現在我們面前。

360的天眼系統(tǒng)依托于360的安全大數據技術，幫助企業(yè)與組織實現高級威脅的發(fā)現，以及安全態(tài)勢感知。據韓永剛介紹：“天眼其實分為云端與客戶端兩個部分。云端即基于安全大數據體系的‘見廣的部分。而另一側，在企業(yè)與組織的本地，天眼系統(tǒng)也幫助企業(yè)提供了產品化的本地輕量級大數據平臺，將與安全相關的各類數據進行采集、日志還原、分析，從而讓企業(yè)形成‘見微的能力。而銜接這種微觀與宏觀大數據的，就是威脅情報，從而將互聯網大數據分析的結果應用在企業(yè)本地，快速定位與解決高級威脅?！?

在實戰(zhàn)的應用中，360通過天眼系統(tǒng)，能幫助客戶發(fā)現與定位高級持續(xù)攻擊，找到受害者，并進一步通過拓展分析，回溯出攻擊發(fā)生的過程，以及產生的數據資產的損失，進而幫助阻斷攻擊。這樣一套基于安全大數據分析，從發(fā)現、阻斷、取證、溯源，再到拓展分析的閉環(huán)過程，成為幫助客戶應對新威脅形式的有效手段與新安全思維。

大數據安全分析技術是催化劑

在安全數據收集、整理、分析的過程中，張旭認為最關鍵的是對安全的理解。他強調，只有準確理解安全數據背后的意義和內在的聯系，才能有效地實現安全數據分析和安全態(tài)勢理解。準確理解安全態(tài)勢，才能使得可視化時“看見”的內容是正確的、有用的。

“理解安全數據背后的意義和內在聯系，可以協助客戶對有聯系的數據進行關聯整合，實現安全數據的關聯聚合。安全數據關聯聚合后，會大幅度減少需要處理的事件數量，使安全運維人員有能力做重點事件分析處理，避免每天‘處理幾百上千萬數據的情況發(fā)生?！睆埿袢缡钦f。

以網絡入侵檢測的應用場景為例，綠盟科技研發(fā)了基于對抗的網絡入侵威脅感知引擎和攻擊推理引擎，可以有效進行網絡入侵數據的關聯聚合。張旭舉例說，曾經在某市骨干網絡進行測試，對40G網絡帶寬進行入侵監(jiān)測。10天時間產生網絡入侵檢測原始日志達到2336萬條，平均每天近234萬條入侵告警日志，這么多入侵告警是無法靠人工處理的。經過綠盟科技的數據分析整理，僅形成979起入侵事件告警日志，平均每日不足100起，這樣的數據量就可以讓運維團隊進行事件處理響應。利用綠盟科技對網絡入侵告警數據的理解，我們對數據分析、聚合、壓縮，可以達到24000：1的數據壓縮比，將原來人工不可能完成的工作變成可能。

在綠盟解決方案中心平臺經理胡喆騫看來，大數據安全分析就利用大數據分析的技術，對海量安全數據進行整理，發(fā)現安全問題，及時進行安全策略調整、安全事件響應，進而提高安全防御能力?？梢哉f，大數據安全分析技術就像是催化劑，在現有安全數據中發(fā)現新價值，提高安全數據自身的價值。

據胡喆騫介紹，綠盟提出“智慧安全”概念，其核心理念是“智能、敏捷、可運營”。第一，智能。安全數據自動化高效率的智能分析技術將快速發(fā)展并迅速成為安全敏捷防御能力的助推器。第二，敏捷。安全防御能力、安全響應能力將更強，可以利用數據分析結果實現安全防御動態(tài)調整、安全事件快速響應。甚至實現未卜先知的攻擊預警和打擊黑客的主動防御能力。第三，可運營。未來勢必會需要專業(yè)的安全數據分析運營人才，對大量的安全數據進行分析。

定位行業(yè)終端的大數據安全分析

北信源管理著超過4000萬臺企業(yè)級終端，因此，公司將大數據安全分析的重點放在了行業(yè)終端上?；谛袠I(yè)終端的大數據安全分析，需充分考慮行業(yè)的安全需求。北信源董事長助理鐘力博士分析說，首先，大數據安全分析應該實現從網絡安全合規(guī)性管理，到網絡安全態(tài)勢感知，再到威脅情報感知的三個逐級提高的目標;其次，大數據安全分析應該充分體現空間維度和時間維度的統(tǒng)一，以有效發(fā)現APT類型的網絡攻擊;第三，在大數據的采集、傳輸、處理和存儲過程中，其自身的安全十分重要。

“北信源大數據分析系統(tǒng)是面向行業(yè)終端的大數據安全分析體系的一個具體實現，用于部署在一個行業(yè)、企業(yè)或組織的網絡信息系統(tǒng)或私有云上。”鐘力說，“同時，北信源云安全服務平臺不會主動向這些行業(yè)云提取任何數據，只會接收他們授權提交的可疑數據和網絡威脅數據，并及時對他們提供網絡威脅情報信息和安全服務?！?/p>

談及北信源大數據分析系統(tǒng)的下一步發(fā)展方向時，鐘力提到，將會從網絡攻防對抗、博弈的角度，通過自動化分析處理與專家智慧相結合的方式，強化云端的安全分析、安全管控和威脅情報感知能力，并進一步轉化到對APT類型攻擊的監(jiān)測、檢測、預警和控制，以持續(xù)提升產品品質和安全服務水平。

安全防御的價值在于有效發(fā)現和抵御網絡攻擊，任何網絡攻擊都會以真實或偽裝的狀態(tài)隱藏在數據之中。理論上，如果捕獲了所有的數據（大數據），網絡攻擊就肯定藏身于其中。因此，對這些數據采用大數據的分析處理方法，就能夠發(fā)現網絡攻擊。

鐘力解釋說：“通過基于特征和基于行為的網絡攻擊檢測方法，我們發(fā)現了絕大部分的網絡攻擊，但這些網絡攻擊都是碎片化的、獨立的。如果要發(fā)現這種關聯，就需要進行大數據安全分析，并以此為線索發(fā)現更多可能相關的攻擊?，F已披露的APT攻擊，都是安全人員對網絡攻擊事件及相關原始數據進行長時間的分析而得到，人與大數據分析系統(tǒng)相互支撐，缺一不可。未來的網絡攻防對抗，歸根結底是人與人的對抗，因此，人必須要參與到大數據安全分析的進程當中。大數據處理用于發(fā)現線索、聚焦數據，人則對線索和特定數據進行深入分析?！?/p>

全范式安全分析體系

在當前網絡攻防對抗的形勢下，企業(yè)和組織傳統(tǒng)的安全防護體系和思路必須進行改變。葉蓬提到，我們要從全新的視角去看“建立縱深防護體系”這個理念，要建立一種“高維度的縱深防護體系”。這種高維度是指不僅要考慮攻擊路徑上的縱深，還要考慮防范攻擊的時間縱深、管理縱深、物理縱深。因為我們的對手總是試圖發(fā)起高維攻擊，我們必須建立高維縱深。

面對當前網絡安全的挑戰(zhàn)，結合新技術的發(fā)展情況，啟明星辰創(chuàng)造性地提出了一套全新的安全分析方法論——全范式安全分析體系。所謂“全范式安全分析”體系，就是強調要綜合利用四種安全分析范式來構建一個完備的安全分析體系。

啟明星辰在2014年發(fā)布的泰合大數據安全分析平臺是國內首個面向企業(yè)級客戶的大數據安全分析平臺。系統(tǒng)融合先進的流式計算、交互式計算和批式計算技術，采用云計算和分布式文件系統(tǒng)及索引技術，對包括日志、網絡流、數據包和威脅情報在內的結構化、 半結構化安全要素信息進行采集、存儲、分析和展示，使用智能關聯、情境分析、機器學習等多種數據分析及挖掘技術，構建了全新一代安全分析平臺。

據了解，某政府客戶的應用場景是智慧城市背景下的大數據安全分析應用。泰合大數據安全分析平臺將海量的安全數據采集上來，進行統(tǒng)計分析、聚類分析、用戶畫像，總結出了很多有趣的用戶行為，識別出了一些安全異常行為。

“結合國際上安全分析的發(fā)展趨勢、Gartner的分析報告，以及啟明星辰對國內客戶的差異性分析和具體實踐，”葉蓬說，“我們認為，未來幾年數據驅動的安全分析技術的發(fā)展動向將是：智能化、情報化、交互化、協作化?！?/p>

接著他又做了如下闡釋：智能化，這是數據驅動的安全分析的核心，強調不依賴于既有特征和規(guī)則的分析。未來這方面將進一步增強，更多高級統(tǒng)計、機器學習的技術將引入安全分析。情報化，安全分析將更加依賴安全情報，情報驅動的安全分析將盛行。交互化：安全分析、尤其是高級安全分析和威脅狩獵，將更多地依賴人機交互。協作化，既包括人機協作、內外部情報協作，更包括因國內現實情況而產生的人人協作。