大数据剖析信息安全下一站.docVIP

大数据剖析信息安全下一站 　　2012年3月，Gartner在一份报告中明确指出――信息安全正在成为一个大数据分析问题。 　　诚然，安全威胁千变万化，特别是近年来APT攻击等新型安全威胁的出现，让企业、非盈利组织乃至政府机构等攻击目标防不胜防。攻击方总是想尽办法突破原有的攻击思路，创新攻击技术和手段，从而达到攻陷对手的目的。而防守方面对变化莫测、创新不断的攻击，很难找到统一的、行之有效的方案，来主动应对威胁。更多的时候，他们只能头痛医头脚痛医脚，被动挨打。 　　真的没有这样的方案吗？ 　　答案并非如此。 　　曙光已至 　　正如Gartner指出的那样，大数据分析或许就是这样一个方案。大数据分析的巨大价值，不仅可以用于为消费者画像，帮助企业进行精准营销。它同样可以用于为攻击者画像，从而主动预测、识别、防范攻击，抢先进行处置。 　　与沙箱等被动的防护方式不同，如果通过大数据分析真的能把隐匿在数据海洋中的攻击者或者潜在攻击者“揪”出来，那么攻击方在暗处，防守方在明处，攻击方主动，防守方被动，攻击方出招，防守方只能接招的不利局面将被彻底扭转。 　　面对一丝曙色，我们有理由相信，大数据分析不仅为信息安全防护提供一个新的思路，它还有可能改变整个信息安全产业。 　　启明星辰泰合产品本部产品总监叶蓬认为，大数据分析技术能够给网络与信息安全带来全新的技术提升，突破传统技术的瓶颈，可以更好地解决已有的安全问题，也可以帮助我们应对新的安全问题。 　　简言之，安全数据的大数据化、传统安全分析面临的诸多挑战，以及正在兴起的智能安全和情境感知理念都将大数据分析视作关键的解决方案。于是，业界出现了将大数据分析技术应用于信息安全的技术――大数据安全分析（Big Data Security Analytics，简称BDSA），也有人称做针对安全的大数据分析（Big Data Analytics for Security）。 　　借助大数据安全分析技术，人们能够更好地解决天量安全要素信息的采集、存储的问题，借助基于大数据分析技术的机器学习和数据挖据算法，能够更加智能地洞悉信息与网络安全的态势，更加主动、弹性地应对新型复杂的威胁和未知多变的风险。“现在的数据规模越来越大，能够通过大数据分析来实现网络威胁检测和威胁防护的效果也越来越明显。例如，一个攻击者和一个网络的正常使用者，其网络使用频率、服务访问时间和次数都是完全不同的，通过大数据分析技术，对网络的正常使用者的网络行为建模，如果某个人的网络行为不符合正常的行为模型，那么就可以很容易判断出这个人是攻击者。”山石网科产品市场总监贾彬告诉记者，这样的行为分析方式相比较传统的安全防护技术的最大优势在于，传统方式是基于特征的，也就是必须是已知攻击的特点和行为，才能够检测出攻击，但是对于没有特征的攻击无能为力。而行为分析方式，对于未知威胁，那些没有被识别出特征的威胁，可以通过模型分析方式检测出来，很好地弥补特征检测的缺陷。 　　攻击者的攻击行为隐藏在海量的安全事件中，通过包捕获，也能拿到天量的包含攻击流量的数据。所有这些天量数据汇聚起来就是安全大数据。通过对这些安全大数据进行实时分析和历史分析，建立行为轮廓，并进行行为建模和数据挖掘，就能帮助安全分析师识别出攻击者及其攻击行为和过程，并提取攻击特征，反馈给安全防御设施进行阻断。 　　“其实，这类分析方法很早就提出来了，只是受限于当时的技术实现手段，难以落地。大数据技术的成熟，以及大数据生态系统的日益壮大，使得这些分析方法有了落地的可性能。”叶蓬告诉记者。 　　防御思想变革 　　毫无疑问，信息安全始终是一场攻与防的博弈，此消彼长。当攻击方不断创新和突破的时候，那防守方呢？ 　　“APT攻击的典型特点是持续时间长，攻击者对于威胁防护设备进行持续的试探和尝试，不断研究和测试攻击目标系统中的弱点，一旦发现防护短板，再利用各种技术进行攻击。就像一个伺机而动的小偷，不断研究保险柜如何破解，再坚固的保险柜在其不断尝试过程中，也会有弱点被小偷发现。传统的安全防护体系与保险柜有很多相似之处，都是被动的等待攻击者。”贾彬表示，新的攻击方式必须有新的防护方式进行防护。未来的安全防护设备不仅要具备防护能力，更要具备自我分析、动态控制、安全加固的能力。 　　“现在业界讨论更多的不是有没有遭到攻击，而是何时会遭受攻击，甚至是当我们已经遭受攻击时，如何迅速、准确地找到网络中已经存在的攻击！”叶蓬认为，面对越来越高级和新型的安全威胁，当前整个网络安全防御体系已经失效，因而安全防御的思想方法论也需要进行重大的变革。 　　“当然，这并不是说传统的防御思想一无是处，而是需要进行反思和提升。”叶蓬告诉记者，当前的信息安全发展趋势正在从面向合规的安全向面向对抗的安全转变;从消极