在安全領(lǐng)域，高級(jí)持續(xù)攻擊的出現(xiàn)改變了傳統(tǒng)安全攻防態(tài)勢(shì)，其采用多種綜合的攻擊手法、多種惡意軟件，甚至0day漏洞與社會(huì)工程方法。而我們所熟知的傳統(tǒng)安全分析，則是構(gòu)建在基于特征的檢測(cè)基礎(chǔ)之上的，只能做到知所已知，難以應(yīng)對(duì)高級(jí)威脅和內(nèi)部威脅的挑戰(zhàn)。

你肯定已經(jīng)想到了SIEM產(chǎn)品，但傳統(tǒng)SIEM產(chǎn)品構(gòu)建于數(shù)據(jù)庫(kù)和架構(gòu)基礎(chǔ)之上，并且這些數(shù)據(jù)庫(kù)和架構(gòu)在處理大量事件、歷史記錄數(shù)據(jù)和關(guān)系數(shù)據(jù)擴(kuò)展的能力方面存在固有的局限性。另外，傳統(tǒng)SIEM產(chǎn)品的分析能力也有所欠缺。許多企業(yè)不得不關(guān)閉重要但非主要的分析功能，然后再耗費(fèi)數(shù)小時(shí)的等待才能生成一份報(bào)告，這讓企業(yè)很難接受。

在這種背景下，大數(shù)據(jù)安全技術(shù)作為海量數(shù)據(jù)實(shí)時(shí)分析處理的新興技術(shù)。通過(guò)大數(shù)據(jù)技術(shù)，將不同設(shè)備產(chǎn)生的海量日志進(jìn)行集中存儲(chǔ)，通過(guò)數(shù)據(jù)格式的統(tǒng)一規(guī)整、自動(dòng)歸并、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等方法，自動(dòng)發(fā)現(xiàn)威脅和異常行為，讓安全分析更簡(jiǎn)單。同時(shí)通過(guò)豐富的可視化技術(shù)，將威脅及異常行為可視化呈現(xiàn)出來(lái)，讓安全看得見(jiàn)。

據(jù)了解，目前Intel Security（邁克菲）、惠普、Splunk，甚至IBM都對(duì)這個(gè)市場(chǎng)有較多的涉足，在近年來(lái)的一些安全大會(huì)上特別是RSA大會(huì)能夠明顯感受到大數(shù)據(jù)安全受到的追捧熱度。但與之相對(duì)的是，國(guó)內(nèi)安全廠商在大數(shù)據(jù)安全領(lǐng)域仍然聲音不足。

安全“老兵”發(fā)力大數(shù)據(jù)安全分析

HanSight瀚思的出現(xiàn)打破了這種現(xiàn)狀，雖然是一家國(guó)內(nèi)安全廠商，但在實(shí)力上，似乎完全不遜于朗朗上口的國(guó)際大牌。從創(chuàng)始人經(jīng)驗(yàn)上看，幾位聯(lián)合創(chuàng)始人都算得上是安全行業(yè)的“老兵”，早在2004年就在做基于算法的安全分析，并且作為瀚思首席科學(xué)家的萬(wàn)曉川，第一個(gè)申請(qǐng)的國(guó)際專利就是通過(guò)SVM算法對(duì)樣本進(jìn)行分析。此外，瀚思的工程師團(tuán)隊(duì)除了以前在趨勢(shì)科技中做引擎、安全分析、網(wǎng)關(guān)等的同事外，還有很多是從專業(yè)做Hadoop生態(tài)圈的天云趨勢(shì)出來(lái)的。可以說(shuō)，瀚思的技術(shù)團(tuán)隊(duì)在大數(shù)據(jù)安全創(chuàng)業(yè)公司里面是非常強(qiáng)悍的。

另外，完備的數(shù)據(jù)來(lái)源也是必不可少，據(jù)筆者了解到，很多國(guó)外大數(shù)據(jù)安全分析平臺(tái)在支持國(guó)產(chǎn)設(shè)備上還有些不足，本地化做的相對(duì)弱一些。而瀚思的數(shù)據(jù)收集支持大型企業(yè)中各個(gè)主流平臺(tái)各種日志傳輸協(xié)議和格式，同時(shí)也有自己的網(wǎng)絡(luò)流抓包設(shè)備和海量安全情報(bào)。值得一提的是，瀚思還額外提供SaaS產(chǎn)品線給中小企業(yè)客戶。

在算法的選擇上，瀚思也是突破了該領(lǐng)域公認(rèn)的難點(diǎn)，幾乎試驗(yàn)過(guò)所有類型的無(wú)監(jiān)督算法，從最大眾的聚類、PCA一直到非常前沿的張量分析和數(shù)據(jù)拓?fù)浞治?。更難得的是，瀚思除了對(duì)無(wú)監(jiān)督算法做了挑選，在可視化方面投入了大量人力，比如僅一個(gè)用戶行為分析就開(kāi)發(fā)過(guò)7個(gè)原型，讓客戶能理解算法的分析過(guò)程，這對(duì)安全運(yùn)維人員來(lái)說(shuō)，無(wú)疑是一個(gè)重大利好。

打造大數(shù)據(jù)安全分析的閉環(huán)

這樣細(xì)致的思維會(huì)打造出什么樣的產(chǎn)品呢？萬(wàn)曉川在接受51CTO記者采訪時(shí)介紹到，瀚思目前擁有安全情報(bào)、企業(yè)級(jí)大數(shù)據(jù)安全分析系統(tǒng)、安全即服務(wù)（SaaS）三部分業(yè)務(wù)。首先企業(yè)級(jí)大數(shù)據(jù)安全分析系統(tǒng)，它面對(duì)客戶群是大型企業(yè)，以私有云的方式為客戶提供定制化的大數(shù)據(jù)安全分析的服務(wù)。根據(jù)客戶不同行業(yè)特點(diǎn)，我們可以積累各種通用安全場(chǎng)景和和安全知識(shí)庫(kù)，從而形成安全威脅情報(bào)，和充實(shí)SaaS的安全分析能力。同時(shí)企業(yè)級(jí)安全分析系統(tǒng)可享有安全威脅情報(bào)帶來(lái)的安全檢測(cè)能力的大幅提升。

其次安全即服務(wù)（SaaS），它面對(duì)的客戶群是大量的中小型企業(yè)，以公有云的方式為客戶提供相對(duì)低成本的大數(shù)據(jù)安全分析服務(wù)。SaaS大量的用戶基礎(chǔ)，提高了瀚思及時(shí)發(fā)現(xiàn)新型安全威脅效率，并將及時(shí)發(fā)現(xiàn)的安全威脅形成安全威脅情報(bào)，同時(shí)SaaS享有安全威脅情報(bào)服務(wù)。

最后安全威脅情報(bào)，這是大數(shù)據(jù)安全的核心，企業(yè)級(jí)大數(shù)據(jù)分析系統(tǒng)和安全即服務(wù)（SaaS）通過(guò)安全威脅情報(bào)的連接，三者形成了一個(gè)大數(shù)據(jù)安全的閉環(huán)，組成了一個(gè)大數(shù)據(jù)安全的完整生態(tài)。

更多驚喜就在WOT 2016 企業(yè)安全技術(shù)峰會(huì)

說(shuō)了這么多，在哪里可以見(jiàn)識(shí)一下呢？別急，WOT 2016 企業(yè)安全技術(shù)峰會(huì)即將于2016年6月24-25日在北京珠三角JW萬(wàn)豪酒店隆重召開(kāi)。本次大會(huì)將圍繞企業(yè)安全管理與運(yùn)維、工控安全與物聯(lián)網(wǎng)安全、安全管理工具和方法、移動(dòng)與Web安全、云安全與大數(shù)據(jù)安全、金融與電子商務(wù)安全等話題展開(kāi)討論，為廣大網(wǎng)絡(luò)安全從業(yè)人士指點(diǎn)迷津。

作為本次大會(huì)的重磅演講嘉賓，萬(wàn)曉川透露到，屆時(shí)不僅會(huì)分享瀚思在大數(shù)據(jù)安全分析的觀點(diǎn)，還會(huì)展示可視化的研究成果，并且與參會(huì)者共同探討把大數(shù)據(jù)安全SaaS化的一些看法。