在今天這場IT變革中，正如英特爾中國研究院首席工程師吳甘沙在2013年全球大數(shù)據(jù)技術(shù)峰會上所提出的那樣，大數(shù)據(jù)是本，云計算是術(shù)，物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)是用。大數(shù)據(jù)讓舊有IT和業(yè)務(wù)運營模式發(fā)生極大變化，它也同樣影響著信息安全的未來走向。今年在美國RSA大會上，RSA執(zhí)行主席亞瑟·科維洛在主題演講中甚至將演講題目定為：大數(shù)據(jù)重新定義信息安全。

2013大數(shù)據(jù)全球技術(shù)峰會專題

提到大數(shù)據(jù)安全，其實需要從兩個維度去理解，一個是大數(shù)據(jù)本身的安全，包括數(shù)據(jù)中心、存儲等的安全，另一個是利用大數(shù)據(jù)來提升安全能力。如果說前者意味著更大挑戰(zhàn)，那么后者則是更好的機會。

大數(shù)據(jù)是否會重構(gòu)信息安全產(chǎn)業(yè)，對這個問題，安全界仍然存在爭議。但可以肯定是，大數(shù)據(jù)正在為安全從業(yè)者提供一個更寬廣的新視角，幫助他們更加前瞻性地發(fā)現(xiàn)安全威脅。

利用大數(shù)據(jù)分析提前發(fā)現(xiàn)威脅，這在APT(高級持續(xù)性攻擊)日益猖獗的今天顯得尤為可貴，但這究竟怎么實現(xiàn)?華為安全智能中心高級架構(gòu)師李鑫在大數(shù)據(jù)技術(shù)峰會上介紹了他們的做法。他表示，把安全檢測技術(shù)與大數(shù)據(jù)處理的過濾、篩選等技術(shù)相結(jié)合，就能夠發(fā)現(xiàn)互聯(lián)網(wǎng)中存在的威脅數(shù)據(jù)及所在區(qū)域，提升應(yīng)對威脅的能力，揭示安全威脅的模式與發(fā)展趨勢。

將安全檢測與大數(shù)據(jù)技術(shù)相融合，第一步是收集數(shù)據(jù)，包括：可執(zhí)行文件、壓縮包、圖片、頁面、流量等，那些長尾數(shù)據(jù)往往有著重要的價值;第二步是提煉數(shù)據(jù)，對上一步收集上來的數(shù)據(jù)進行分類、關(guān)聯(lián)分析和挖掘;第三步是檢測，這個過程會用到安全分析技術(shù)和數(shù)據(jù)挖掘技術(shù)。通過這三步，最終發(fā)現(xiàn)威脅。

在數(shù)據(jù)提煉的環(huán)節(jié)，華為安全智能中心將千億級的數(shù)據(jù)按照多個維度進行了分類處理，如：按照內(nèi)容可分為黃賭毒、金融理財和體育競技;按照功能可分為bbs/論壇等交互性站點、門戶和代理服務(wù)器;按照平臺可分為操作系統(tǒng)和平臺軟件。這種分類，是基于威脅出現(xiàn)的頻率來進行，比如：黃賭毒內(nèi)容的網(wǎng)站，出現(xiàn)惡意軟件的風(fēng)險明顯要高出其他。數(shù)據(jù)提煉還包括對億級URL/IP數(shù)據(jù)進行生命周期評估，即：通過數(shù)據(jù)監(jiān)測的歷史結(jié)果來預(yù)判未來的威脅。

大數(shù)據(jù)環(huán)境下，安全分析模式正在發(fā)生改變，數(shù)據(jù)采集、數(shù)據(jù)提煉、安全分析、安全態(tài)勢判斷，這已經(jīng)形成一個新的完整鏈條。李鑫坦言，安全分析模式的改變，也凸顯出海量的待分析數(shù)據(jù)和目前相對有限的分析能力之間的矛盾。

如何提高對海量數(shù)據(jù)的分析能力?李鑫并未給出明確答復(fù)。不過，惠普在上個月推出的大數(shù)據(jù)安全解決方案也許能給我們一些啟示?；萜諏P ArcSight的安全信息與事件管理(SIEM)功能與HP Autonomy IDOL內(nèi)容分析引擎進行了整合，通過解讀原始安全數(shù)據(jù)的含義，擴大了企業(yè)安全監(jiān)視功能的覆蓋范圍;通過對與數(shù)據(jù)相關(guān)的人力情緒(如行為模式等)進行跟蹤和分析，企業(yè)能夠更迅速地識別之前被忽視的威脅。值得注意的是，ArcSight是全球領(lǐng)先的安全信息和日志管理產(chǎn)品，而Autonomy以IDOL(智能數(shù)據(jù)處理平臺)見長，2年前，正是因為看好其對非結(jié)構(gòu)數(shù)據(jù)的處理技術(shù)，惠普以高達110億美元的價格收購了這家公司。