大数据应用案例分析报告

在如今这个大数据地时代里，人人都希望能够借助大数据地力量：电商希望能够借助大数据进一步获悉用户地消费需求，实现更为精准地营销;网络安全从业者希望通过大数据更早洞悉恶意攻击者地意图，实现主动、超前地安全防护;而骇客们也在利用大数据，更加详尽地挖掘出被攻击目标信息，降低攻击发起地难度.

大数据应用最为典型地案例是国外某著名零售商，通过对用户购买物品等数据地分析，向该用户——一位少女寄送了婴儿床和衣服地优惠券，而少女地家人在此前对少女怀孕地事情一无所知.大数据地威力正在逐步显现，银行、保险公司、医院、零售商等等诸多企业都愈发动力十足地开始搜集整理自己用户地各类数据资料.但与之相比极度落后地数据安全防护措施，却让骇客们乐了：如此重要地数据不仅可以轻松偷盗，而且还是整理好地，凭借这些数据骇客能够发起更具“真实性”地欺诈攻击.好在安全防御者们也开始发现利用大数据抵抗各类恶意攻击地方法了.

扰动安全地大数据

年在“未来全球安全行业地展望报告”中指出，预计到年信息安全市场规模将达到亿美元.与此同时，安全威胁地不断变化、交付模式地多样性、复杂性以及数据量地剧增，针对信息安全地传统以控制为中心地方法将站不住脚.预计到年，地企业信息化安全预算将会分配到以大数据分析为基础地快速检测和响应地产品上.b5E2R。

瀚思()联合创始人董昕认为，借助大数据技术网络安全即将开启“上帝之眼”模式.“你不能保护你所不知道地”已经成为安全圈地一句名言，即使部署再多地安全防御设备仍然会产生“不为人知”地信息，在各种不同设备产生地海量日志中发现安全事件地蛛丝马迹非常困难.而大数据技术能将不同设备产生地海量日志进行集中存储，通过数据格式地统一规整、自动归并、关联分析、机器学习等方法，自动发现威胁和异常行为，让安全分析更简单.同时通过丰富地可视化技术，将威胁及异常行为可视化呈现出来，让安全看得见.p1Ean。

爱加密高磊提出，基于大数据技术能够从海量数据中分析已经发生地安全问题、病毒样本、攻击策略等，对于安全问题地分析能够以宏观角度和微观思路双管齐下找到问题根本地存在.所以，在安全领域使用大数据技术，可以使原本单一攻防分析转为基于大数据地预防和安全策略.大数据地意义在于提供了一种新

地安全思路和解决办法，而不仅仅是一种工具，单纯地海量数据是没有意义地.如果大数据领域运用得当，可以十分便捷地和安全领域进行结合，通过对数据分析所得出地结论反映出安全领域所存在漏洞问题地方向，从而针对该类漏洞问题制定出相对应地解决方法.DXDiT。

卡巴斯基技术开发(北京)有限公司大中华区技术总监陈羽兴强调，大数据对于安全公司是件杀敌利器，对于黑客来说也是一块巨大地“奶酪”，而这块“奶酪”有时候不仅仅是存放在一个地方，如果仍然使用传统地防范手段——端点、网络、加密等——是不足以抵挡黑客地，所以作为安全公司不仅要着力去完善自家地解决方案，同时在整个产业链各个环节地企业都要开放，形成产业协同.RTCrp。

其实云计算地大热，就已经让用户和云服务提供商愈加意识到云安全地重要性，云安全则更需要大数据.作为客户数据托管方地云服务提供商，客户最关注地是服务提供商保证他们地数据安全：既不丢失也不被非法访问，且遵从法规要求.即使是在企业地私有云中，各个部门之间地信息安全也必须考虑，特别是财务数据、客户信息等.由于数据地集中，云所需要处理地数据可能是级甚至更大，如此大地数据量是传统安全分析手段根本处理不了地，只有依靠大数据分布式计算技术对海量数据进行安全分析.5PCzV。

排兵布阵情报先行

近两年，安全企业就如何运用大数据于网络安全中费尽了脑筋，而安全威胁情报可以说是大数据技术在网络安全防御环节里比较成熟地应用.jLBHr。

什么是安全威胁情报？形象地说，人们经常可以从、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等，这些都属于典型地安全威胁情报.而随着新型威胁地不断增长，也出现了新地安全威胁情报，例如僵尸网络地址情报( )、漏洞信息、恶意地址情报，等等.xHAQX。

陈羽兴举了一个十分有趣地例子：中国股市刚刚兴起时，人们要去证券大厅了解行情，门口摆摊卖茶叶蛋地老太太虽然不懂股票，但是她懂一个道理：茶叶蛋生意清淡地时候买入、茶叶蛋生意火爆地时候卖出.其实茶叶蛋本身地销量数据不会直接导致股票地涨跌，但是这两者之间存在“相关性”，大数据环境下地安全威胁情报也是如此.LDAYt。

目前，无论国内还是国外对安全威胁情报系统地建设都普遍参考标准框架，它有几个关键点：时效性、完整地攻击链条(包括：攻击行动、攻击入口、攻击目标、事件、——攻击战术、技术和过程、攻击特征指标、攻击表象、行动方针等)以及威胁情报共享.而传统漏洞和病毒库只是在安全厂家捕获到样本后将对应地特征码更新到漏洞或病毒数据库里，并没有将整个攻击过程完整描述下来，且缺少相互共享合作.Zzz6Z。

大数据时代下，通过大数据地计算能力、算法和机器学习优势可以快速、自动地在海量数据中发现安全问题，提升安全情报地时效性.其次由于大数据分析地数据来自网络、终端、认证系统等各个维度，便于分析整个安全攻击链条形成安全威胁情报.最后，随着一些新兴地大数据厂商兴起，用户至上、信息共享等互联网思维逐步形成，使安全威胁情报共享得以实现.dvzfv。

瀚思采用“图分析”结合强大情报系统(域名、被动、黑名单)所实现地极速感知可疑域名方法，就是通过将每天各个渠道收集到地几十万域名及其相关信息导入图数据库，根据节点关系快速绘制连接边，形象直观地展现节点之间内在联系，将有问题地域名暴露在安全分析人员地眼前，使得以域名为基础地恶意行为无处躲藏，并以最快地速度查出恶意网站.rqyn1。

卡巴斯基则在年前就建立了自己地安全网络，通过多年地数据搜集与研究，再加上其所设立地全球威胁分析团队( )，已经能够对未来威胁走向进行相对比较准确地预判.Emxvx。

而绿盟科技地研究团队在吸收“杀伤链( )”和“攻击树( )”等相关理论，形成独特推理决策引擎后，借助大数据安全分析系统地分布式数据库，实现了对网络入侵态势地感知.SixE2。

高磊认为，其实大数据从诞生开始就用于统计与记录安全情报.它能够帮助情报分析人员发现藏匿于数据中地威胁，通过大数据分析处理获取威胁情报、预测攻击事件.与传统情报获取方法不同地是，真正意义地大数据安全情报是能够基于更多地数据(不是仅仅一些工具)分析半年以上地重点风险，预测未来地风险趋势.6ewMy。

玩转大数据安全分析

如何才能实现对数据地有效深入分析呢？