大數據是時下最火熱的IT行業的詞匯，隨之數據倉庫、數據安全、數據分析、數據挖掘等等圍繞大數量的商業價值的利用逐漸成為行業人士爭相追捧的利潤焦點。

本人在與用戶溝通大數據問題時經常會遇到一些問題，現將這些常見問題匯總，拋磚引玉，希望可以幫助到大家。

1. 大數據安全分析的核心目標是什么?

應答：為了能夠找到隱藏在數據背后的安全真相。數據之間存在著關聯，傳統分析無法將海量數據匯總，但是大數據技術能夠應對海量數據的分析需求。通過大數據基礎能夠挖掘出APT攻擊、內網隱秘通道、異常用戶行為等安全事件。在此基礎上可建設為安全決策支持系統，為安全決策提供數據支撐。

2. 大數據安全分析企業級部署方案與成功案例介紹。

應答：在國家電網、運營商中已經有成功的案例。通過該分析平臺能夠進行整體的安全態勢感知，以全局的角度對整體安全情況進行宏觀掌控。 以運營商為例，將全網的數據匯總并進行數據挖掘工作，可視化的將結果進行呈現。

3. 國內外大數據安全分析的發展現狀介紹。

應答：目前國外比較成熟的大數據安全分析主要以Cisco的Open SOC為代表。其通過采用大數據技術采集網絡流量、安全設備日志、業務系統日志、網絡設備日志，并對這些數據進行挖掘、關聯等運算，最后找出安全事件。

4. 是否有成熟的大數據安全分析的方法論?

應答：我們要從兩個角度來看這個問題。

首先，大數據是一個具體的技術實現。這個技術在其適用的場景下能夠解決傳統數據挖掘難以滿足的需求。

而安全分析方法論是一直在不斷革新的。安全分析方法論中仍然有一些理念是無法落地的，無法落地的核心問題是缺少技術支撐。

當前我們采用大數據技術不是對安全分析進行革新，而是將安全分析曾經無法實現的目標加以落地。就如同關系型數據的理念，其最早在1970年提出，而落地產品在1976年才有相應的雛形。大數據技術其實是安全分析方法論的落地實現。

5. 大數據安全分析支撐平臺是否存在技術標準或規范?

應答：目前沒有技術標準或規范，但是國家正在制定相應的標準。綠盟科技2016年會參與標準的制定工作。

6. 大數據安全分析類項目過程中容易遇到的技術難點或需要大量投入的環節?

應答：分析平臺目前基本是成熟的技術，難點主要在與前期規劃與安全分析兩個環節。前期規劃要能夠準確的估算出硬件配置、存儲容量等基礎信息，后期的安全分析需要專業人員對數據進行深入挖掘。

7. 從大數據安全分析的角度如何實現數據驅動業務安全?

應答：通過大數據分析能夠量化的明確當前企業中存在的安全事件，通過安全事件驅動業務發展，從而實現數據驅動業務安全的目標。

8. 作為非IT類型企業，要實現大數據安全分析所需的必要條件是什么?

應答：有專職的IT團隊，有專職的安全團隊，有必要的資源投入，有必要的流程支持。

9. 大數據安全分析可視化的技術現狀如何?展示的內容、方法、形式有哪些?

應答：可視化技術一直都在不斷發展中，在沒有大數據之前可視化技術廣泛被使用在BI系統中。隨著大數據技術的成熟，可視化技術不僅能實現傳統的餅圖、折線圖、散點圖、柱狀圖、條形圖之外，還能夠以地圖、熱力圖、氣泡圖、力圖、平行坐標圖等多維展示。

10. 如何從展現層面體現大數據安全分析的優勢?

應答：展現只是安全分析的最后結果呈現。大數據的安全分析的優勢的核心是在于安全分析模型。在展示層面的優勢完全來自于安全模型的定義，僅從展示層面不好說明其優勢。這主要是因為，在沒有大數據技術之前可視化展示技術也在快速發展。

　　11. 當前作為大數據安全分析最常用的數據類型有哪些?

應答：DDoS態勢感知、溯源模型，APT攻擊模型，資產脆弱性態勢感知，網站脆弱性態勢感知等等。

12. 如果從專家系統、統計分析、機器學習三個維度實現大數據安全分析，是否已有相應的算法或數據模型?

應答：這三個是不同的層面。

專家系統通常是由在線與離線兩個組成部分。離線部分為客戶本地的知識庫，里面記錄大量經驗，通過歷史經驗對問題進行處理。在線部分為云端知識庫系統，客戶通過云端系統提出問題，解決問題，并且在線系統通常為7*24小時，由全球專家接力處理問題。

統計分析，通過簡單的統計進行數據的過濾與結果呈現。通常由非專業人員進行簡單的數據統計工作。能夠從宏觀的角度發現一些問題，但是無法實現深入的數據挖掘工作。為了應對這樣的實際情況，在業務系統中會建設數據倉庫，通過數據倉庫來實現數據挖掘工作。但是由于建立數據倉庫費時費力，只有在大型集團企業中才會將其使用在安全領域。

機器學習，實際上是程序自我矯正，實現結果的準確性。這是一個較為成熟的技術，在金融領域有很多成熟的案例。機器學習主要應用在難以人為劃定規則的領域，如異常流量監測，異常行為檢測等。通常使用在難以通過規則進行判斷的業務場景中。

在這三個層面都有成熟的算法以及應用，并且都通過的實際場景的檢驗。

13. 關于APT攻擊、0day攻擊是否具備成熟的基于大數據的解決方案?

應答：APT攻擊一般按照攻擊鏈的方式進行攻擊。

攻擊鏈條分為三個階段：

1.威脅進入階段

2.威脅擴散階段

3.數據竊取階段。

APT攻擊檢測和防御，重點在于前兩個階段，威脅嘗試進入和擴散，大數據分析利用威脅情報系統，對網絡，郵件，安全，操作系統等層面的數據進行索引匯總，統計，關聯分析，來檢測進入企業的威脅。這是大數據分析在APT威脅檢測領域的應用。

對于0Day漏洞，綠盟更多的利用部署在網絡邊界的威脅分析系統進行實時監控，通過對樣本的靜態分析和動態分析，判斷是否存在威脅。經過樣本分析引擎進行分析后，可以獲得樣本是否利用了0Day漏洞，根據樣本自身的信譽信息，比如文件簽名，樣本用到的回連CnC地址，可以借助大數據引擎，對當前的數據以及歸檔的歷史數據進行分析，定位和回溯受到影響的主機、用戶等信息。

14. 對于已知的威脅模式，已實現的基于大數據的安全分析算法或模型有哪些?(列舉UseCasae)

應答：

1)攻擊鏈關聯分析

同一資產，按照威脅檢測的時間進行分析，描述攻擊鏈條

2)歸并統計相同類型的攻擊事件進行合并，多對一統計，一對多統計

3)威脅情報關聯分析根據威脅情報，對當前的數據和歷史數據進行遞歸查詢，生成告警事件

4)異常流量學習正常訪問流量，當流量異常時進行告警