在安全領(lǐng)域，高級持續(xù)攻擊的出現(xiàn)改變了傳統(tǒng)安全攻防態(tài)勢，其采用多種綜合的攻擊手法、多種惡意軟件，甚至0day漏洞與社會工程方法。而我們所熟知的傳統(tǒng)安全分析，則是構(gòu)建在基于特征的檢測基礎(chǔ)之上的，只能做到知所已知，難以應(yīng)對高級威脅和內(nèi)部威脅的挑戰(zhàn)。

你肯定已經(jīng)想到了SIEM產(chǎn)品，但傳統(tǒng)SIEM產(chǎn)品構(gòu)建于數(shù)據(jù)庫和架構(gòu)基礎(chǔ)之上，并且這些數(shù)據(jù)庫和架構(gòu)在處理大量事件、歷史記錄數(shù)據(jù)和關(guān)系數(shù)據(jù)擴(kuò)展的能力方面存在固有的局限性。另外，傳統(tǒng)SIEM產(chǎn)品的分析能力也有所欠缺。許多企業(yè)不得不關(guān)閉重要但非主要的分析功能，然后再耗費(fèi)數(shù)小時(shí)的等待才能生成一份報(bào)告，這讓企業(yè)很難接受。

在這種背景下，大數(shù)據(jù)安全技術(shù)作為海量數(shù)據(jù)實(shí)時(shí)分析處理的新興技術(shù)。通過大數(shù)據(jù)技術(shù)，將不同設(shè)備產(chǎn)生的海量日志進(jìn)行集中存儲，通過數(shù)據(jù)格式的統(tǒng)一規(guī)整、自動(dòng)歸并、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等方法，自動(dòng)發(fā)現(xiàn)威脅和異常行為，讓安全分析更簡單。同時(shí)通過豐富的可視化技術(shù)，將威脅及異常行為可視化呈現(xiàn)出來，讓安全看得見。

據(jù)了解，目前Intel Security（邁克菲）、惠普、Splunk，甚至IBM都對這個(gè)市場有較多的涉足，在近年來的一些安全大會上特別是RSA大會能夠明顯感受到大數(shù)據(jù)安全受到的追捧熱度。但與之相對的是，國內(nèi)安全廠商在大數(shù)據(jù)安全領(lǐng)域仍然聲音不足。

安全“老兵”發(fā)力大數(shù)據(jù)安全分析

HanSight瀚思的出現(xiàn)打破了這種現(xiàn)狀，雖然是一家國內(nèi)安全廠商，但在實(shí)力上，似乎完全不遜于朗朗上口的國際大牌。從創(chuàng)始人經(jīng)驗(yàn)上看，幾位聯(lián)合創(chuàng)始人都算得上是安全行業(yè)的“老兵”，早在2004年就在做基于算法的安全分析，并且作為瀚思首席科學(xué)家的萬曉川，第一個(gè)申請的國際專利就是通過SVM算法對樣本進(jìn)行分析。此外，瀚思的工程師團(tuán)隊(duì)除了以前在趨勢科技中做引擎、安全分析、網(wǎng)關(guān)等的同事外，還有很多是從專業(yè)做Hadoop生態(tài)圈的天云趨勢出來的?？梢哉f，瀚思的技術(shù)團(tuán)隊(duì)在大數(shù)據(jù)安全創(chuàng)業(yè)公司里面是非常強(qiáng)悍的。

另外，完備的數(shù)據(jù)來源也是必不可少，據(jù)筆者了解到，很多國外大數(shù)據(jù)安全分析平臺在支持國產(chǎn)設(shè)備上還有些不足，本地化做的相對弱一些。而瀚思的數(shù)據(jù)收集支持大型企業(yè)中各個(gè)主流平臺各種日志傳輸協(xié)議和格式，同時(shí)也有自己的網(wǎng)絡(luò)流抓包設(shè)備和海量安全情報(bào)。值得一提的是，瀚思還額外提供SaaS產(chǎn)品線給中小企業(yè)客戶。

在算法的選擇上，瀚思也是突破了該領(lǐng)域公認(rèn)的難點(diǎn)，幾乎試驗(yàn)過所有類型的無監(jiān)督算法，從最大眾的聚類、PCA一直到非常前沿的張量分析和數(shù)據(jù)拓?fù)浞治?。更難得的是，瀚思除了對無監(jiān)督算法做了挑選，在可視化方面投入了大量人力，比如僅一個(gè)用戶行為分析就開發(fā)過7個(gè)原型，讓客戶能理解算法的分析過程，這對安全運(yùn)維人員來說，無疑是一個(gè)重大利好。

打造大數(shù)據(jù)安全分析的閉環(huán)

這樣細(xì)致的思維會打造出什么樣的產(chǎn)品呢？萬曉川在接受51CTO記者采訪時(shí)介紹到，瀚思目前擁有安全情報(bào)、企業(yè)級大數(shù)據(jù)安全分析系統(tǒng)、安全即服務(wù)（SaaS）三部分業(yè)務(wù)。首先企業(yè)級大數(shù)據(jù)安全分析系統(tǒng)，它面對客戶群是大型企業(yè)，以私有云的方式為客戶提供定制化的大數(shù)據(jù)安全分析的服務(wù)。根據(jù)客戶不同行業(yè)特點(diǎn)，我們可以積累各種通用安全場景和和安全知識庫，從而形成安全威脅情報(bào)，和充實(shí)SaaS的安全分析能力。同時(shí)企業(yè)級安全分析系統(tǒng)可享有安全威脅情報(bào)帶來的安全檢測能力的大幅提升。

其次安全即服務(wù)（SaaS），它面對的客戶群是大量的中小型企業(yè)，以公有云的方式為客戶提供相對低成本的大數(shù)據(jù)安全分析服務(wù)。SaaS大量的用戶基礎(chǔ)，提高了瀚思及時(shí)發(fā)現(xiàn)新型安全威脅效率，并將及時(shí)發(fā)現(xiàn)的安全威脅形成安全威脅情報(bào)，同時(shí)SaaS享有安全威脅情報(bào)服務(wù)。

最后安全威脅情報(bào)，這是大數(shù)據(jù)安全的核心，企業(yè)級大數(shù)據(jù)分析系統(tǒng)和安全即服務(wù)（SaaS）通過安全威脅情報(bào)的連接，三者形成了一個(gè)大數(shù)據(jù)安全的閉環(huán)，組成了一個(gè)大數(shù)據(jù)安全的完整生態(tài)。

更多驚喜就在WOT 2016 企業(yè)安全技術(shù)峰會

說了這么多，在哪里可以見識一下呢？別急，WOT 2016 企業(yè)安全技術(shù)峰會即將于2016年6月24-25日在北京珠三角JW萬豪酒店隆重召開。本次大會將圍繞企業(yè)安全管理與運(yùn)維、工控安全與物聯(lián)網(wǎng)安全、安全管理工具和方法、移動(dòng)與Web安全、云安全與大數(shù)據(jù)安全、金融與電子商務(wù)安全等話題展開討論，為廣大網(wǎng)絡(luò)安全從業(yè)人士指點(diǎn)迷津。

作為本次大會的重磅演講嘉賓，萬曉川透露到，屆時(shí)不僅會分享瀚思在大數(shù)據(jù)安全分析的觀點(diǎn)，還會展示可視化的研究成果，并且與參會者共同探討把大數(shù)據(jù)安全SaaS化的一些看法。