【IT168评论】现在流行一个词“新常态”。企业希望借助移动、云计算和大数据等新兴技术，在新常态下谋求新的发展机遇。但是，在企业希望获得快速发展的同时，一直被安全问题困扰，尤其是更加隐蔽的安全手段，比病毒更具威胁性。如何能够让企业具备一个安全可靠的运行环境，是企业迫切需要解决的问题。

　　2012年，Gartner的一份报告预测，未来的信息安全问题将变成大数据分析问题，只有获得更多的数据，才能在里面找到安全的威胁、攻击以及相应的安全隐患，才能去做相应的安全措施。令大家没想到的是，预言这么快就实现了。大规模的安全数据需要被有效地关联、分析和挖掘。今年开始，无论是硅谷的企业，还是包括瀚思在内的中国企业，都开始着手解决这种问题。

　　新应用催生500亿美元市场

　　IDC预测，到2020年，信息安全市场规模将达到500亿美元，主要由云安全、物联网安全以及安全智能(如何用大数据的技术手段来分析)组成。传统的防火墙等技术已经存在了二、三十年，虽然一直在改变，但本质和架构没变，未来将无法适应新的安全要求。

　　随着新型应用模式的改变，安全的架构也在变。例如，用户都在使用智能设备，所有的数据都存到云端，所有信息做到集中存储，这就要靠大数据分析，靠机器学习建模，比以前更有说服力，更有效。

▲瀚思创始人兼首席执行官高瀚昭

　　在接受记者采访时，北京瀚思安信科技有限公司(下称“瀚思”)创始人兼首席执行官高瀚昭表示，在企业面临新的安全威胁时，瀚思主要集中精力解决两个问题：第一，通过大数据的方式对企业所有行为做可视化的展现;第二，做数据挖掘，通过动态的方式，在海量数据中发现可疑的蛛丝马迹。总结起来，一个是提供大数据技术，另一个是机器学习技术(或者深度学习、模式匹配)。

　　如何发现并解除潜在安全威胁

　　当多数企业对安全问题不以为然时，这些隐患正在发生。以某银行客户为例，其网银一天的日志数据大概有1TB，网络流数据大概是500TB/天。面对如此大量的数据，如何进行数据的挖掘?如何在这些数据中发现可疑的蛛丝马迹?

　　对可疑行为的处理，简单说就是对工作流的处理。整个处理过程分两步：第一步，举证。攻击事情发生后，要知道是谁攻击的，造成了多大的影响，并拿出证据链;第二步，采取行动。有了证据链，就知道攻击了哪几台机器，怎么进来的，该不该拦截，从哪个地方拦截是最有效的。

　　在举证方面，传统是采用“清洗”数据的方式，按照数据库认识的数据格式存进去，不认识丢掉。这样容易造成事后举证丢失有效、重要信息的后果。而且由于数据量太大，存储也面临困难。高瀚昭表示，瀚思的举证是基于大数据方式，首先做全量存储，将原始日志全量保存，举证非常方便。其次，采取行动时，对现有的防火墙、防病毒软件，或用户的策略管理做动态匹配，下达一些指令，做拦阻或遏止动作。

▲瀚思联合创始人兼首席运营官董昕

　　瀚思联合创始人兼首席运营官董昕补充到，瀚思的思路是通过采集日志、网络流、安全事件等大量企业内部信息数据，并进行有效的存储、快速的分析，做安全的算法、模式识别，进而发现以前传统的防火墙、杀毒软件、IDS所发现不了的安全隐患、安全威胁，以及内部人员对核心资源的异常访问、异常窃取。

　　以数据驱动信息安全

　　打个形象的比方，在安全策略上，瀚思不再是靠设一道门、设一堵墙、加把锁解决安全问题。而是在房间里加了很多“摄像头”，把每个人的行为轨迹记录下来，然后靠大规模的机器学习，加上规则匹配，找到谁是那个“小偷”、攻击者，谁是被攻击者。最终为客户提供“可见性”，让客户知道是怎么回事。另外，安全智能也是基于大数据安全技术，靠机器学习产生基线，从而对未来做出预警。

　　企业除了结构化数据，还存在大量半结构化和非结构化数据。目前对非结构化数据的处理依旧是个难题。瀚思的做法是，对非结构化数据的处理重在识别数据类型，判断是不是敏感数据，安全等级，什么用户在什么时间点访问了这个数据，这个用户是否具备访问条件等。

　　传统的判断策略是一刀切，要么禁止访问，要么允许访问。瀚思则是通过更精细的判断，比如，某个用户在白天访问被判定为正常，晚上访问则是不正常;或者访问一次两次正常，频繁访问就不正常。要实现这个智能化的判断，需要提供数据挖掘和机器学习的过程。

　　举例：某P2P互联网金融公司，经常有业务员在离职前疯狂的下载客户资料。这只是偶然的一次发现。瀚思要做的是对所有业务员的访问做建模，这样就知道他们什么时候该访问什么，不该访问什么，一旦出现大规模的下载情况，就会立刻告警，通知他的经理，或IT管理员，这个员工要离职了，正在下载资料，通过分析出这种关联事件，制定出要不要制止或任由他下载的策略。

　　内外结合的大数据分析

　　“尽管企业安全也会遇到来自外部的威胁，但更多的是监守自盗。还有一些员工离职前下载机密的源代码、客户资料、商业合同等，甚至会通过一些渠道发布出去。这些行为都可以通过大数据分析、数据挖掘、建模加规则的方式解决”，高瀚昭说。

　　瀚思的大数据分析主要是内外结合。应对内部威胁，比如用户通过外部VPN链接、或登录等方式进来，就有登录信息，可以看到其中的一些蛛丝马迹。应对外部威胁，比如用户通过中了木马的U盘，将信息传到公司的电脑或网络中，这样的行为也可以被发现。

　　高瀚昭表示，本质上，机器的行为和人的行为是不一样的，要靠数据挖掘去发现一些不正常的事件。原则上，类似360这种安全软件做的事情，瀚思是不做的。无论用户是否安装了防病毒软件，都能知道病毒何时进来，是U盘还是网络下载，蔓延到什么范围，掌握了整个攻击链，了解病毒的进展，最终做全面的清理。

　　从“被动防御”到“主动智能”防御

　　在安全业界有一个共识，就是学习现实社会，看看超市怎么防范盗窃?道路上怎么防范闯红灯?监控的核心是信息采集，记录每一个用户、每一个系统、每一个应用的所有足迹。随着数据量的增多，即便是稍大一些的企业，也从来没有一个系统试图记录企业里发生的所有事情，更谈不上数据分析。

　　幸运的是，现在大数据技术已经比较成熟，除了数据采集，还需要分析有没有人做坏事。以前，安全行业通过采集病毒样本，制作“解药”，投放市场。但前提是病毒在每个公司的攻击方式是一样的。而实际上，每个公司碰到的攻击都不一样，这个时候有基本两个办法：一个是以不变应万变。常见的是白名单，只要不是好人全部干掉，但是错杀太多，只有管理特别严格的企业才能做到。而且这个办法对内部人员的攻击仍旧无能为力。另一个是你变我也变。通过机器学习动态发现异常，这就类似于超市不但能通过摄像头监控，还能自动判断小偷告警，而不是靠人盯着看。因此，大数据的方式帮助企业从“被动防御”向“主动智能”防御过度。

　　总的来讲，瀚思推出了新一代大数据安全分析平台，以大数据的方式帮助企业做好安全防御。尽管其他安全厂商也在推类似的平台，由于缺乏大数据专业人员，往往采用第三方大数据平台，这样以来用户需要采购两套系统，遇到问题也要找两个厂商解决，难免遇到互相推诿的情况。瀚思凭借十年以上大数据和机器学习的积累，推出一站式解决方案，产品已经应用在银行、公安、航天等多个领域。伴随着企业信息量的快速增加，以及对信息安全重视程度的提高，未来市场空间巨大。