大數(shù)據(jù)分析—安全防御的核武器

過去的一年，整個IT領(lǐng)域都在談?wù)摯髷?shù)據(jù)，大數(shù)據(jù)甚至被認為是可以比肩互聯(lián)網(wǎng)革命的整個信息產(chǎn)業(yè)的又一次發(fā)展高峰。現(xiàn)在是大數(shù)據(jù)時代，因為數(shù)據(jù)量在爆炸式增長——近兩年所產(chǎn)生的數(shù)據(jù)量相當(dāng)于2010年以前整個人類文明產(chǎn)生的數(shù)據(jù)量總和；而且數(shù)據(jù)來源極大豐富，語音、視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大。海量的數(shù)據(jù)與我們的生活息息相關(guān)：互聯(lián)網(wǎng)行為記錄，地理位置記錄，消費信息記錄等等，人們的行為細節(jié)和隱私無一遺漏。同樣，大數(shù)據(jù)對信息安全影響深刻，各種網(wǎng)絡(luò)行為、日志都被記錄下來，從而發(fā)現(xiàn)潛在的安全風(fēng)險。

發(fā)覺潛在的威脅——大數(shù)據(jù)的這種能力對今天的信息安全防范意義重大。我們知道，高級持續(xù)性威脅（Advanced Persistent Threat，APT）是如今企業(yè)、政府機構(gòu)信息安全面臨的最大威脅。在APT攻擊當(dāng)中，黑客以竊取核心資料為目的，往往經(jīng)過長期的經(jīng)營與策劃，網(wǎng)絡(luò)攻擊和入侵行為具有高度的隱蔽性。APT攻擊的關(guān)鍵在于黑客隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)。這樣的“網(wǎng)絡(luò)間諜”行為，對網(wǎng)絡(luò)安全系統(tǒng)提出更高的要求，一般的防范手段難以發(fā)現(xiàn)。

APT攻擊緣何難防？

APT攻擊行為具有以下特點：首先是目標(biāo)性強，APT攻擊往往針對具體的目標(biāo)（企業(yè)、組織甚至是國家）進行，目的是獲取某一類重要信息；其次是手段先進，APT攻擊會利用多種攻擊手段，包括各類零日漏洞和其他的網(wǎng)絡(luò)入侵技術(shù)，有時候甚至用到社會工程學(xué)方法；第三是持續(xù)性強，有的APT攻擊會持續(xù)數(shù)年之久，攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報；……