大數據分析已經被人們視為信息安全領域的得力工具，特別是針對高級持續性威脅（APT）。大數據分析方法給安全分析、安全預警、安全管理、安全防護帶來了新思路、新機遇，它可能會改變未來信息安全的技術格局。

過去的一年，整個IT領域都在談論大數據，大數據甚至被認為是可以比肩互聯網革命的整個信息產業的又一次發展高峰。現在是大數據時代，因為數據量在爆炸式增長——近兩年所產生的數據量相當于2010年以前整個人類文明產生的數據量總和；而且數據來源極大豐富，語音、視頻、圖像等非結構化數據所占比例逐漸增大。海量的數據與我們的生活息息相關：互聯網行為記錄，地理位置記錄，消費信息記錄等等，人們的行為細節和隱私無一遺漏。同樣，大數據對信息安全影響深刻，各種網絡行為、日志都被記錄下來，從而發現潛在的安全風險。

發覺潛在的威脅——大數據的這種能力對今天的信息安全防范意義重大。我們知道，高級持續性威脅(Advanced Persistent Threat，APT)是如今企業、政府機構信息安全面臨的最大威脅。在APT攻擊當中，黑客以竊取核心資料為目的，往往經過長期的經營與策劃，網絡攻擊和入侵行為具有高度的隱蔽性。APT攻擊的關鍵在于黑客隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據。這樣的“網絡間諜”行為，對網絡安全系統提出更高的要求，一般的防范手段難以發現。

APT攻擊緣何難防？

APT攻擊行為具有以下特點：首先是目標性強，APT攻擊往往針對具體的目標（企業、組織甚至是國家）進行，目的是獲取某一類重要信息；其次是手段先進，APT攻擊會利用多種攻擊手段，包括各類零日漏洞和其他的網絡入侵技術，有時候甚至用到社會工程學方法；第三是持續性強，有的APT攻擊會持續數年之久，攻擊者不斷嘗試各種攻擊手段，以及在滲透到網絡內部后長期蟄伏，不斷收集各種信息，直到收集到重要情報；第四是危險性高，APT攻擊主要針對國際巨頭企業、國家重要基礎設施和單位進行，包括能源、電力、金融、國防等關系國計民生以及國家核心利益的基礎設施。

APT攻擊緣何難防？用中國一句老話來講叫做：“不怕賊偷，就怕賊惦記。” 攻防雙方的信息不對稱性，隱蔽性和持續性是APT攻擊具有的最大的威脅。請看兩個典型的攻擊案例（來自網絡）：

1、 RSA SecureID竊取攻擊

攻擊者給RSA的母公司EMC的4名員工發送了惡意郵件。郵件標題為“2011 Recruitment Plan”，寄件人是[email protected]，正文寫著“I forward this file to you for review. Please open and view it.”，里面有個EXCEL附件名為“2011 Recruitment plan.xls”。

其中一位員工感興趣并將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609)。這個Excel打開后啥也沒有，除了在一個表單的第一個格子里面有個“X”，而這個叉實際上就是內嵌的一個Flash，該主機被植入臭名昭著的Poison Ivy遠端控制工具，并開始自BotNet的C&C服務器(位于 good.mincesur.com)下載指令進行任務。

首批受害的使用者并非“位高權重”人物，緊接著相關聯的人士包括IT與非IT等服務器管理員相繼被黑。RSA發現開發用服務器(Staging server)遭入侵，攻擊方隨即進行撤離，加密并壓縮所有資料(都是rar格式)，并以FTP傳送至遠端主機，又迅速再次搬離該主機，清除任何蹤跡，在拿到了SecurID的信息后，攻擊者就開始對使用SecurID的公司(例如上述防務公司等)進行攻擊了。

2、 震網攻擊

遭受震網病毒攻擊的核電站計算機系統實際上是與外界物理隔離的，理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破，超級工廠病毒也正充分地利用了這一點。超級工廠病毒的攻擊者并沒有廣泛的去傳播病毒，而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊，以此 為第一道攻擊跳板，進一步感染相關人員的U盤，病毒以U盤為橋梁進入“堡壘”內部，隨即潛伏下來。病毒很有耐心地逐步擴散，利用多種漏洞，包括當時的一個 0day漏洞，一點一點的進行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙地控制了攻擊范圍，攻擊十分精準。

從以上兩個典型的APT攻擊案例中可以看出，對于APT攻擊，現代安全防御手段統統失效，零日漏洞和加密通信躲過了以特征匹配為手段的主流網絡安全產品，長期的持續性攻擊讓基于時間點的檢測技術難以奏效；以內部機器為跳板，繞過邊界防御，利用內部可信的安全策略。APT使用的這些方法繞過了傳統安全方案，并長時間地潛伏在系統中。

大數據分析有效防御APT攻擊

企業的計算機網絡系統產生大量日志數據，包括上述核電站計算機系統，只是與公網物理隔離，內部依然是一個龐大的網絡。大數據可以針對所有的系統運行記錄進行分析，可以彌補時間點檢測技術的不足，發現網絡攻擊的蛛絲馬跡。在這個基礎上，結合傳統的檢測技術，可以組成基于記憶的檢測系統，這是由國內安全廠商啟明星辰提出的思路。

RSA曾提出過三種方法應對APT攻擊：一是利用虛擬化帶來的預防機制；二是一旦出現任何攻擊，可將對服務器進行重置；三是使用虛擬監控，利用虛擬化平臺搜集數據，并進行分析。事實上，通過預防機制應對APT，只能對已知威脅有效；發現攻擊對服務器重置屬于補救措施，亡羊補牢只是為了降低損失；利用虛擬化平臺收集數據并分析，是基于大數據技術的方法，也是應對APT攻擊的關鍵。

應用大數據分析，需要強大的數據采集平臺，以及強大的數據分析處理能力。最理想的情況是建立全球化的數據分析引擎，在全球范圍內進行相關數據的關聯性分析。這樣就能克服信息分布孤島帶來的調查取證難的問題，更容易發現攻擊。針對具體的網絡、系統和應用的運行數據采集分析，捕獲、挖掘、修復漏洞；對全球已經發生以及正在發生的網絡攻擊行為進行記錄，并將這些海量的數據經過多維度的整合分析，自動生成漏洞庫、黑客們行為特征等數據庫。對于具體的網絡系統，全球化的安全監測，運用大數據技術，可以提前發現攻擊，提前阻止。

對于企業、組織機構來講，首先要把信息收集起來進行識別，包括日志全采集，網絡監控，然后把所有的信息放到統一的監控平臺，建立全自動化的響應系統。因為大數據需要一個中控系統把所有內部的、外部的信息收集起來進行分析。

總結起來，大數據并不針對APT攻擊中的某個步驟，而是通過全面收集重要終端和服務器上的日志信息以及采集網絡設備上的原始流量，進行集中分析和數據挖掘。發現APT攻擊的蛛絲馬跡后，通過全面分析海量數據，從而還原整個APT攻擊場景。面向全局而非局部，這是目前大多數廠商采用的思路。