大数据分析给企业安全防护带来新思路

在安全领域，高级持续攻击的出现改变了传统安全攻防态势，其采用多种综合的攻击手法、多种恶意软件，甚至0day漏洞与社会工程方法。而我们所熟知的传统安全分析，则是构建在基于特征的检测基础之上的，只能做到知所已知，难以应对高级威胁和内部威胁的挑战。

你肯定已经想到了SIEM产品，但传统SIEM产品构建于数据库和架构基础之上，并且这些数据库和架构在处理大量事件、历史记录数据和关系数据扩展的能力方面存在固有的局限性。另外，传统SIEM产品的分析能力也有所欠缺。许多企业不得不关闭重要但非主要的分析功能，然后再耗费数小时的等待才能生成一份报告，这让企业很难接受。

在这种背景下，大数据安全技术作为海量数据实时分析处理的新兴技术。通过大数据技术，将不同设备产生的海量日志进行集中存储，通过数据格式的统一规整、自动归并、关联分析、机器学习等方法，自动发现威胁和异常行为，让安全分析更简单。同时通过丰富的可视化技术，将威胁及异常行为可视化呈现出来，让安全看得见。

据了解，目前Intel Security（迈克菲）、惠普、Splunk，甚至IBM都对这个市场有较多的涉足，在近年来的一些安全大会上特别是RSA大会能够明显感受到大数据安全受到的追捧热度。但与之相对的是，国内安全厂商在大数据安全领域仍然声音不足。

安全“老兵”发力大数据安全分析

HanSight瀚思的出现打破了这种现状，虽然是一家国内安全厂商，但在实力上，似乎完全不逊于朗朗上口的国际大牌。从创始人经验上看，几位联合创始人都算得上是安全行业的“老兵”，早在2004年就在做基于算法的安全分析，并且作为瀚思首席科学家的万晓川，第一个申请的国际专利就是通过SVM算法对样本进行分析。此外，瀚思的工程师团队除了以前在趋势科技中做引擎、安全分析、网关等的同事外，还有很多是从专业做Hadoop生态圈的天云趋势出来的。可以说，瀚思的技术团队在大数据安全创业公司里面是非常强悍的。

另外，完备的数据来源也是必不可少，据笔者了解到，很多国外大数据安全分析平台在支持国产设备上还有些不足，本地化做的相对弱一些。而瀚思的数据收集支持大型企业中各个主流平台各种日志传输协议和格式，同时也有自己的网络流抓包设备和海量安全情报。值得一提的是，瀚思还额外提供SaaS产品线给中小企业客户。

在算法的选择上，瀚思也是突破了该领域公认的难点，几乎试验过所有类型的无监督算法，从最大众的聚类、PCA一直到非常前沿的张量分析和数据拓扑分析。更难得的是，瀚思除了对无监督算法做了挑选，在可视化方面投入了大量人力，比如仅一个用户行为分析就开发过7个原型，让客户能理解算法的分析过程，这对安全运维人员来说，无疑是一个重大利好。

打造大数据安全分析的闭环

这样细致的思维会打造出什么样的产品呢？万晓川在接受记者采访时介绍到，瀚思目前拥有安全情报、企业级大数据安全分析系统、安全即服务（SaaS）三部分业务。首先企业级大数据安全分析系统，它面对客户群是大型企业，以私有云的方式为客户提供定制化的大数据安全分析的服务。根据客户不同行业特点，我们可以积累各种通用安全场景和和安全知识库，从而形成安全威胁情报，和充实SaaS的安全分析能力。同时企业级安全分析系统可享有安全威胁情报带来的安全检测能力的大幅提升。

其次安全即服务（SaaS），它面对的客户群是大量的中小型企业，以公有云的方式为客户提供相对低成本的大数据安全分析服务。SaaS大量的用户基础，提高了瀚思及时发现新型安全威胁效率，并将及时发现的安全威胁形成安全威胁情报，同时SaaS享有安全威胁情报服务。

最后安全威胁情报，这是大数据安全的核心，企业级大数据分析系统和安全即服务（SaaS）通过安全威胁情报的连接，三者形成了一个大数据安全的闭环，组成了一个大数据安全的完整生态。

更多惊喜就在WOT 2016 企业安全技术峰会

说了这么多，在哪里可以见识一下呢？别急，WOT 2016 企业安全技术峰会即将于2016年6月24-25日在北京珠三角JW万豪酒店隆重召开。本次大会将围绕企业安全管理与运维、工控安全与物联网安全、安全管理工具和方法、移动与Web安全、云安全与大数据安全、金融与电子商务安全等话题展开讨论，为广大网络安全从业人士指点迷津。

作为本次大会的重磅演讲嘉宾，万晓川透露到，届时不仅会分享瀚思在大数据安全分析的观点，还会展示可视化的研究成果，并且与参会者共同探讨把大数据安全SaaS化的一些看法。