大數(shù)據(jù)安全分析

隨著移動互聯(lián)網(wǎng)、虛擬化、云計算等新技術(shù)在企業(yè)內(nèi)的廣泛應(yīng)用，企業(yè)內(nèi)部安全架構(gòu)日趨復(fù)雜，呈現(xiàn)動態(tài)多變、邊界模糊、安全數(shù)據(jù)龐大且無序等特點。而且隨著各類新型未知威脅的大量出現(xiàn)，傳統(tǒng)的以被動防御為中心、基于規(guī)則匹配的安全設(shè)備對于長期的、大規(guī)模的、實時的分析明顯力不從心。大量的未知威脅可以繞過這類以特征檢測為核心檢測手段的傳統(tǒng)安全防護設(shè)備，如APT攻擊、零日漏洞攻擊等。這些安全問題在給企業(yè)的安全運營帶來極大的威脅，同時也導(dǎo)致了安全數(shù)據(jù)的數(shù)量、種類迅速增長，不僅帶來了海量異構(gòu)數(shù)據(jù)的融合、存儲和管理的問題，甚至對傳統(tǒng)的安全分析技術(shù)產(chǎn)生了強有力的沖擊。

當前，絕大多數(shù)的安全分析技術(shù)都是針對小數(shù)據(jù)量設(shè)計的，在面對海量數(shù)據(jù)時難以發(fā)揮作用，這就導(dǎo)致了新的攻擊手段出現(xiàn)后，現(xiàn)有的安全分析技術(shù)難以在短時間內(nèi)進行檢測和追溯。攻擊方總是想方設(shè)法去突破原有的攻擊思路，創(chuàng)新攻擊技術(shù)和手段，從而達到攻陷對手的目的。而防守方面對變化莫測、創(chuàng)新不斷的攻擊，很難找到統(tǒng)一的、行之有效的方案來主動應(yīng)對攻擊，更多的時候只能被動挨打。安全數(shù)據(jù)的大數(shù)據(jù)化、以及傳統(tǒng)安全分析技術(shù)所面臨的挑戰(zhàn)和發(fā)展趨勢，都預(yù)示著大數(shù)據(jù)分析將成為解決企業(yè)信息安全問題的重要手段。

當前，業(yè)界已經(jīng)出現(xiàn)了將大數(shù)據(jù)分析技術(shù)應(yīng)用于企業(yè)信息安全的技術(shù)——大數(shù)據(jù)安全分析（Big Data Security Analysis，簡 稱 BDSA）。 借助大數(shù)據(jù)安全分析技術(shù)，企業(yè)能夠更好地解決海量安全數(shù)據(jù)的采集、存儲和分析問題，借助基于大數(shù)據(jù)分析技術(shù)的機器學(xué)習(xí)和數(shù)據(jù)挖掘算法，能夠更加智能地洞悉信息與網(wǎng)絡(luò)安全的態(tài)勢，更加主動、彈性地去應(yīng)對新型復(fù)雜的威脅和未知多變的風(fēng)險；能夠及時發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)中已經(jīng)發(fā)生或正在發(fā)生的未知威脅，對威脅進行快速的回溯和定性，輕松分辨出APT攻擊和普通網(wǎng)絡(luò)攻擊，洞察未知威脅，為企業(yè)提供持續(xù)有效的安全支持。

展望未來，大數(shù)據(jù)安全分析將會全面應(yīng)用于APT攻擊檢測、0day惡意代碼分析、網(wǎng)絡(luò)取證分析、網(wǎng)絡(luò)異常流量檢測、大規(guī)模用戶行為分析、安全情報分析、信譽服務(wù)、代碼安全分析等多個網(wǎng)絡(luò)安全領(lǐng)域，特別是對傳統(tǒng)的SOC（Security Operations Center，安全運營中心）平臺將會產(chǎn)生顛覆性的影響。

SOC平臺是指以資產(chǎn)為核心、以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實時資產(chǎn)風(fēng)險模型，協(xié)助管理員進行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。安全管理平臺的核心之一便是安全信息與事件管理，也稱作SIEM（Security Information and Event Management）系統(tǒng)。通常，SIEM為來自企業(yè)和組織中所有IT資源(包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用)產(chǎn)生的安全信息(包括日志、告警等)進行統(tǒng)一的實時監(jiān)控、歷史分析，對來自外部的入侵和內(nèi)部的違規(guī)、誤操作行為進行監(jiān)控、審計分析、調(diào)查取證、出具各種報表報告，實現(xiàn)IT資源合規(guī)性管理的目標，同時提升企業(yè)和組織的安全運營、威脅管理和應(yīng)急響應(yīng)能力。一般的SIEM系統(tǒng)都具有安全事件的采集、范化、存儲、分析、展示等幾個過程，而這與大數(shù)據(jù)分析的收集、存儲、分析和可視化過程是完全相同的，因此，SIEM天然具有應(yīng)用大數(shù)據(jù)分析技術(shù)的特質(zhì)。

安全管理平臺的一個重要發(fā)展趨勢就是采集的安全數(shù)據(jù)種類越來越多，不僅包含傳統(tǒng)的資產(chǎn)和事件信息，還納入了漏洞信息、性能信息、流量信息、配置信息、業(yè)務(wù)信息等，與此同時，安全數(shù)據(jù)的產(chǎn)生速率和總量也在急速增長，企業(yè)用戶亟需安全管理平臺提供更加精確的安全分析研判和問題定位、更加快速的安全應(yīng)急響應(yīng)處置。這些迫切需求，都會促進安全管理平臺引入大數(shù)據(jù)分析技術(shù)。