大數據分析——信息安全下一站

2012年3月，Gartner在一份報告中明確指出——信息安全正在成為一個大數據分析問題。

?
誠然，安全威脅千變萬化，特別是近年來APT攻擊等新型安全威脅的出現，讓企業、非盈利組織乃至政府機構等攻擊目標防不勝防。攻擊方總是想盡辦法突破原有的攻擊思路，創新攻擊技術和手段，從而達到攻陷對手的目的。而防守方面對變化莫測、創新不斷的攻擊，很難找到統一的、行之有效的方案，來主動應對威脅。更多的時候，他們只能頭痛醫頭腳痛醫腳，被動挨打。

真的沒有這樣的方案嗎？

答案并非如此。

曙光已至

正如Gartner指出的那樣，大數據分析或許就是這樣一個方案。大數據分析的巨大價值，不僅可以用于為消費者畫像，幫助企業進行精準營銷。它同樣可以用于為攻擊者畫像，從而主動預測、識別、防范攻擊，搶先進行處置。

與沙箱等被動的防護方式不同，如果通過大數據分析真的能把隱匿在數據海洋中的攻擊者或者潛在攻擊者“揪”出來，那么攻擊方在暗處，防守方在明處，攻擊方主動，防守方被動，攻擊方出招，防守方只能接招的不利局面將被徹底扭轉。

面對一絲曙色，我們有理由相信，大數據分析不僅為信息安全防護提供一個新的思路，它還有可能改變整個信息安全產業。

啟明星辰泰合產品本部產品總監葉蓬認為，大數據分析技術能夠給網絡與信息安全帶來全新的技術提升，突破傳統技術的瓶頸，可以更好地解決已有的安全問題，也可以幫助我們應對新的安全問題。

簡言之，安全數據的大數據化、傳統安全分析面臨的諸多挑戰，以及正在興起的智能安全和情境感知理念都將大數據分析視作關鍵的解決方案。于是，業界出現了將大數據分析技術應用于信息安全的技術——大數據安全分析（Big Data Security Analytics，簡稱BDSA），也有人稱做針對安全的大數據分析（Big Data Analytics for Security）。

借助大數據安全分析技術，人們能夠更好地解決天量安全要素信息的采集、存儲的問題，借助基于大數據分析技術的機器學習和數據挖據算法，能夠更加智能地洞悉信息與網絡安全的態勢，更加主動、彈性地應對新型復雜的威脅和未知多變的風險。

攻擊者的攻擊行為隱藏在海量的安全事件中，通過包捕獲，也能拿到天量的包含攻擊流量的數據。所有這些天量數據匯聚起來就是安全大數據。通過對這些安全大數據進行實時分析和歷史分析，建立行為輪廓，并進行行為建模和數據挖掘，就能幫助安全分析師識別出攻擊者及其攻擊行為和過程，并提取攻擊特征，反饋給安全防御設施進行阻斷。

“其實，這類分析方法很早就提出來了，只是受限于當時的技術實現手段，難以落地。大數據技術的成熟，以及大數據生態系統的日益壯大，使得這些分析方法有了落地的可性能。”葉蓬告訴記者。

防御思想變革

毫無疑問，信息安全始終是一場攻與防的博弈，此消彼長。當攻擊方不斷創新和突破的時候，那防守方呢？

“現在業界討論更多的不是有沒有遭到攻擊，而是何時會遭受攻擊，甚至是當我們已經遭受攻擊時，如何迅速、準確地找到網絡中已經存在的攻擊！”葉蓬認為，面對越來越高級和新型的安全威脅，當前整個網絡安全防御體系已經失效，因而安全防御的思想方法論也需要進行重大的變革。

“當然，這并不是說傳統的防御思想一無是處，而是需要進行反思和提升。”葉蓬告訴記者，當前的信息安全發展趨勢正在從面向合規的安全向面向對抗的安全轉變；從消極被動防御到積極主動防御，甚至是攻防兼備、積極對抗的轉變。


一種防御思想是縱深防御。盡管這個防御思想經常被提及，但是當下要更加深化對“縱深”的理解。“這種縱深不能僅僅是防范某類些攻擊路徑上的縱深，還需要考慮防范攻擊的時間縱深、管理縱深、物理縱深。總之，我們要從更高的維度來進行縱深防御，因為我們的對手也正在研究如何從更高的維度來發起攻擊。”葉蓬說。

隨著網絡安全日漸上升到國家層面，以及網絡戰風險的加大，很多軍事理論也被引入了網絡安全領域，譬如更加重視情報，尤其是威脅情報在網絡威脅檢測中的作用。情報的獲得與分享將大大提升對高級威脅防御的有效性。而情報的分析與分享需要大數據平臺來做支撐。又譬如，軍事領域的偽裝、誘餌技術也應用于網絡安全，安全防御體系中正在加入偽裝的核心數據庫和服務器，對設備、主機、系統和應用的特征指紋進行偽裝，以及部署蜜網等。

“100%的守住網絡安全是絕不可能的。因此，我們不能被動地防守，我們需要更快更好地識別潛在的威脅和敵人。從國家網絡空間安全的角度來看，就是要具備先發制人的能力，以及網絡空間威懾的能力。從一般企業和組織的角度來看就是要具備主動防御能力，包括提前獲悉網絡中的暴露面，獲悉網絡威脅情報?！比~蓬表示。

還有一種防御思維是積極防御、積極對抗。這種思想的終極目標是不求阻止任何攻擊，而是盡可能地延緩攻擊，拖延攻擊者的時間，以便為找到對策爭取時間。網絡攻防很多時候就是一場奪取時間的戰斗，誰得到的時間越多，誰就越有可能掌握對抗的主動權，而掌握主動就意味著更有可能獲取對抗的勝利。

葉蓬告訴記者，諸如美國國防部提出了移動目標防御（Moving Target Defense，簡稱MTD）的理論，并投入大量資金進行研究和產業化。移動目標防御的核心就是不斷變換己方關鍵目標的工作姿態，從而使得對方疲于破解，消耗對方的時間，為己方贏得防御時間，提升系統的可生存性。

“這種積極防御就像踢足球一樣。過去，我們的防守也有陣型，但是更像是站樁式防守，對方一變陣，就完全無法應對。我們過去部署的大量安全設備和系統基本上都是站樁式的，缺乏協作與變換，相互協作和補防能力都沒有。積極防御就是要求防守隊員都跑動起來，相互之間更好地協同，對于網絡安全防護設備而言就是要相互協同聯動起來。再厲害一點，連球門（關鍵保護對象）的位置也要能夠變化，譬如隱匿IP，動態化IP等?！比~蓬說。

“除了場上的隊員要積極起來，場下的教練和分析師智囊團也要積極起來，要根據場上的形勢變化做出合理的戰術布置和調整。對于網絡安全防御，就是要有一個決策分析與研判的機制，要有一個安全分析的大腦。這個大腦能夠能夠基于歷史數據挖掘分析，找到合適的設備，將其部署到合適的位置，讓各種安全設備和機制發揮最大的作用；同時，能夠實時分析對抗過程中產生的信息，做出合理的防守變化?！比~蓬的比喻非常形象。

顯然，這個安全分析的大腦就是大數據安全分析平臺。

?

大數據安全分析平臺

“在一個較為完備的基于大數據安全分析的解決方案中，通常會有一個大數據安全分析平臺作為整個方案的核心部件，承載大數據分析的核心功能，將分散的安全要素信息進行集中、存儲、分析、可視化，對分析的結果進行分發，對分析的任務進行調度，將各個分散的安全分析技術整合到一起，實現各種技術間的互動。”葉蓬表示，通常意義上的SIEM（安全信息與事件分析系統）、DLP（數據防泄露系統）、4A系統（認證、賬號、授權、審計）等都在這個大數據安全分析平臺之下。

2014年底，啟明星辰發布的具有自主知識產權的泰合大數據安全分析平臺，正是基于上述思想進行設計的。葉蓬介紹，該平臺可以幫助用戶實現在規模不斷擴大的異構海量數據如事件、流、網絡原始流量、文件等信息中，結合流行的關聯分析、機器學習、數理統計、實時分析、歷史分析和人機交互等多種分析方法和技術，發現傳統的安全產品無法檢測的安全攻擊和威脅，從而進一步保護用戶的信息不被破壞，保障用戶的業務安全穩定運行，為用戶達成核心戰略創造價值。

“泰合大數據安全分析平臺面向大型企事業單位、政府、組織機構等用戶，提供一套完整的分布式數據采集框架及預處理過程，選用成熟的大數據存儲架構，結合SQL、NewSQL和NoSQL技術，實現對異構安全數據的快速可靠的存儲。平臺提供了多種集中式和分布式數據分析方法，可實現對天量安全數據的實時分析與事后分析，同時還提供一套可視化的數據挖掘分析工具。

?

借助于該平臺實現的核心功能有：安全信息的全文索引、大數據實時分析、大數據快速統計報表分析、網絡流量元數據存儲與行為分析、全包存儲與原始流量還原分析、歷史數據的關聯分析和溯源、攻擊路徑分析、威脅情報管理與共享、海量數據可視化展示、大數據分析云平臺可視化人機界面，協助安全分析師靈活調整分析過程，發現數據價值?！比~蓬介紹，平臺采用分布式處理技術在提升采集、存儲與分析性能的同時，提供了友好的數據展示平臺，采用豐富的數據展示組件，實現了安全數據集及分析結果的可視化，為安全管理人員呈現有價值的分析結果。

葉蓬介紹，泰合大數據安全分析平臺架構分為采集層、大數據層、分析層、管控層和呈現層，分別完成天量異構數據測采集、預處理、存儲、分析和展示，采用多種分析方法，包括關聯分析、機器學習、運維分析、統計分析、OLAP分析、數據挖掘和惡意代碼分析等多種分析手段對數據進行綜合關聯，完成數據分析和挖掘的功能，并集成了業界領先的智能威脅情報管理功能，結合內外部威脅情報，可以為安全分析人員和管理人員提供快捷高效的決策支持。

重塑信息安全產業

“做大數據分析，數據質量非常關鍵，如果提供分析的數據本身就有問題或者錯誤，那么分析結果必然有問題。尤其是大數據安全分析中，數據的真實性和原始性更加重要。具體來說，如果我們僅針對海量日志進行分析，可能由于攻擊者將關鍵日志抹除，或者故意摻入假日志，反而會讓基于日志的大數據安全分析誤導我們。這時，我們很強調對原始網絡流量的分析，將這些流量轉換為流（元數據），然后進行大數據分析，配合日志分析，效果更佳?！比~蓬說。

?

當然，整體上而言，和大數據分析在其他行業的應用一樣，大數據安全分析還處于早期，尚未成熟，但前景樂觀。葉蓬認為，一方面，大數據分析自身的生態還未真正建立，大數據技術本身還在迅速演化；另一方面，基于大數據的安全分析算法還不夠豐富，安全分析算法的設計人員和數據分析師匱乏，大部分分析結果還需要富有經驗的安全分析師才能解讀，分析結果還做不到一目了然。因此，目前大數據安全分析主要用于針對APT等新型威脅的檢測分析，因為這類需求本身很復雜，值得做這個投入。葉蓬強調，用戶在建設大數據安全系統之前，一定要確認清晰的目標，要有對發展現狀和自身能力的正確認知，切不可盲從。

?

大數據時代的到來，使得安全數據的地位和價值得到了空前的提升，數據成為了網絡安全的關鍵資源。葉蓬指出，大數據安全分析本質上還是一種知識的運用和提取。在大數據時代，安全對抗往往體現為數據和知識的對抗。

葉蓬也強調，大數據安全分析不是一個產品分類，而是一種技術，一種安全分析理念和方法。大數據安全分析技術正在重塑整個信息安全產業，體現在安全防護架構、安全分析體系和業務模式等諸多方面，各種安全產品也正在被大數據安全分析技術重塑。