過(guò)去的一年，整個(gè)IT領(lǐng)域都在談?wù)?u>大數(shù)據(jù)，大數(shù)據(jù)甚至被認(rèn)為是可以比肩互聯(lián)網(wǎng)革命的整個(gè)信息產(chǎn)業(yè)的又一次發(fā)展高峰。現(xiàn)在是大數(shù)據(jù)時(shí)代，因?yàn)閿?shù)據(jù)量在爆炸式增長(zhǎng)——近兩年所產(chǎn)生的數(shù)據(jù)量相當(dāng)于2010年以前整個(gè)人類(lèi)文明產(chǎn)生的數(shù)據(jù)量總和；而且數(shù)據(jù)來(lái)源極大豐富，語(yǔ)音、視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大。海量的數(shù)據(jù)與我們的生活息息相關(guān)：互聯(lián)網(wǎng)行為記錄，地理位置記錄，消費(fèi)信息記錄等等，人們的行為細(xì)節(jié)和隱私無(wú)一遺漏。同樣，大數(shù)據(jù)對(duì)信息安全影響深刻，各種網(wǎng)絡(luò)行為、日志都被記錄下來(lái)，從而發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。

大數(shù)據(jù)對(duì)信息安全影響深刻，各種網(wǎng)絡(luò)行為，日志都被記錄下來(lái)，從而發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)

發(fā)覺(jué)潛在的威脅——大數(shù)據(jù)的這種能力對(duì)今天的信息安全防范意義重大。我們知道，高級(jí)持續(xù)性威脅（AdvancedPersistentThreat，APT）是如今企業(yè)、政府機(jī)構(gòu)信息安全面臨的最大威脅。在APT攻擊當(dāng)中，黑客以竊取核心資料為目的，往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃，網(wǎng)絡(luò)攻擊和入侵行為具有高度的隱蔽性。APT攻擊的關(guān)鍵在于黑客隱匿自己，針對(duì)特定對(duì)象，長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)。這樣的“網(wǎng)絡(luò)間諜”行為，對(duì)網(wǎng)絡(luò)安全系統(tǒng)提出更高的要求，一般的防范手段難以發(fā)現(xiàn)。

APT攻擊行為具有以下特點(diǎn)：首先是目標(biāo)性強(qiáng)，APT攻擊往往針對(duì)具體的目標(biāo)（企業(yè)、組織甚至是國(guó)家）進(jìn)行，目的是獲取某一類(lèi)重要信息；其次是手段先進(jìn)，APT攻擊會(huì)利用多種攻擊手段，包括各類(lèi)零日漏洞和其他的網(wǎng)絡(luò)入侵技術(shù)，有時(shí)候甚至用到社會(huì)工程學(xué)方法；第三是持續(xù)性強(qiáng)，有的APT攻擊會(huì)持續(xù)數(shù)年之久，攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)；第四是危險(xiǎn)性高，APT攻擊主要針對(duì)國(guó)際巨頭企業(yè)、國(guó)家重要基礎(chǔ)設(shè)施和單位進(jìn)行，包括能源、電力、金融、國(guó)防等關(guān)系國(guó)計(jì)民生以及國(guó)家核心利益的基礎(chǔ)設(shè)施。

APT攻擊緣何難防？用中國(guó)一句老話(huà)來(lái)講叫做：“不怕賊偷，就怕賊惦記?！惫シ离p方的信息不對(duì)稱(chēng)性，隱蔽性和持續(xù)性是APT攻擊具有的最大的威脅。請(qǐng)看兩個(gè)典型的攻擊案例（來(lái)自網(wǎng)絡(luò)）：

攻擊者給RSA的母公司EMC的4名員工發(fā)送了惡意郵件。郵件標(biāo)題為“2011RecruitmentPlan”，寄件人是webmaster@Beyond.com，正文寫(xiě)著“Iforwardthisfiletoyouforreview.Pleaseopenandviewit.”，里面有個(gè)EXCEL附件名為“2011Recruitmentplan.xls”。

其中一位員工感興趣并將其從垃圾郵件中取出來(lái)閱讀，殊不知此電子表格其實(shí)含有當(dāng)時(shí)最新的AdobeFlash的0day漏洞（CVE-2011-0609）。這個(gè)Excel打開(kāi)后啥也沒(méi)有，除了在一個(gè)表單的第一個(gè)格子里面有個(gè)“X”，而這個(gè)叉實(shí)際上就是內(nèi)嵌的一個(gè)Flash，該主機(jī)被植入臭名昭著的PoisonIvy遠(yuǎn)端控制工具，并開(kāi)始自BotNet的C&C服務(wù)器（位于good.mincesur.com）下載指令進(jìn)行任務(wù)。

首批受害的使用者并非“位高權(quán)重”人物，緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑。RSA發(fā)現(xiàn)開(kāi)發(fā)用服務(wù)器（Stagingserver）遭入侵，攻擊方隨即進(jìn)行撤離，加密并壓縮所有資料（都是rar格式），并以FTP傳送至遠(yuǎn)端主機(jī)，又迅速再次搬離該主機(jī)，清除任何蹤跡，在拿到了SecurID的信息后，攻擊者就開(kāi)始對(duì)使用SecurID的公司（例如上述防務(wù)公司等）進(jìn)行攻擊了。

遭受震網(wǎng)病毒攻擊的核電站計(jì)算機(jī)系統(tǒng)實(shí)際上是與外界物理隔離的，理論上不會(huì)遭遇外界攻擊。堅(jiān)固的堡壘只有從內(nèi)部才能被攻破，超級(jí)工廠病毒也正充分地利用了這一點(diǎn)。超級(jí)工廠病毒的攻擊者并沒(méi)有廣泛的去傳播病毒，而是針對(duì)核電站相關(guān)工作人員的家用電腦、個(gè)人電腦等能夠接觸到互聯(lián)網(wǎng)的計(jì)算機(jī)發(fā)起感染攻擊，以此為第一道攻擊跳板，進(jìn)一步感染相關(guān)人員的U盤(pán)，病毒以U盤(pán)為橋梁進(jìn)入“堡壘”內(nèi)部，隨即潛伏下來(lái)。病毒很有耐心地逐步擴(kuò)散，利用多種漏洞，包括當(dāng)時(shí)的一個(gè)0day漏洞，一點(diǎn)一點(diǎn)的進(jìn)行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙地控制了攻擊范圍，攻擊十分精準(zhǔn)。

從以上兩個(gè)典型的APT攻擊案例中可以看出，對(duì)于APT攻擊，現(xiàn)代安全防御手段統(tǒng)統(tǒng)失效，零日漏洞和加密通信躲過(guò)了以特征匹配為手段的主流網(wǎng)絡(luò)安全產(chǎn)品，長(zhǎng)期的持續(xù)性攻擊讓基于時(shí)間點(diǎn)的檢測(cè)技術(shù)難以奏效；以?xún)?nèi)部機(jī)器為跳板，繞過(guò)邊界防御，利用內(nèi)部可信的安全策略。APT使用的這些方法繞過(guò)了傳統(tǒng)安全方案，并長(zhǎng)時(shí)間地潛伏在系統(tǒng)中。

企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)產(chǎn)生大量日志數(shù)據(jù)，包括上述核電站計(jì)算機(jī)系統(tǒng)，只是與公網(wǎng)物理隔離，內(nèi)部依然是一個(gè)龐大的網(wǎng)絡(luò)。大數(shù)據(jù)可以針對(duì)所有的系統(tǒng)運(yùn)行記錄進(jìn)行分析，可以彌補(bǔ)時(shí)間點(diǎn)檢測(cè)技術(shù)的不足，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的蛛絲馬跡。在這個(gè)基礎(chǔ)上，結(jié)合傳統(tǒng)的檢測(cè)技術(shù)，可以組成基于記憶的檢測(cè)系統(tǒng)，這是由國(guó)內(nèi)安全廠商啟明星辰提出的思路。

RSA曾提出過(guò)三種方法應(yīng)對(duì)APT攻擊：一是利用虛擬化帶來(lái)的預(yù)防機(jī)制；二是一旦出現(xiàn)任何攻擊，可將對(duì)服務(wù)器進(jìn)行重置；三是使用虛擬監(jiān)控，利用虛擬化平臺(tái)搜集數(shù)據(jù)，并進(jìn)行分析。事實(shí)上，通過(guò)預(yù)防機(jī)制應(yīng)對(duì)APT，只能對(duì)已知威脅有效；發(fā)現(xiàn)攻擊對(duì)服務(wù)器重置屬于補(bǔ)救措施，亡羊補(bǔ)牢只是為了降低損失；利用虛擬化平臺(tái)收集數(shù)據(jù)并分析，是基于大數(shù)據(jù)技術(shù)的方法，也是應(yīng)對(duì)APT攻擊的關(guān)鍵。

應(yīng)用大數(shù)據(jù)分析，需要強(qiáng)大的數(shù)據(jù)采集平臺(tái)，以及強(qiáng)大的數(shù)據(jù)分析處理能力。最理想的情況是建立全球化的數(shù)據(jù)分析引擎，在全球范圍內(nèi)進(jìn)行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析。這樣就能克服信息分布孤島帶來(lái)的調(diào)查取證難的問(wèn)題，更容易發(fā)現(xiàn)攻擊。針對(duì)具體的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的運(yùn)行數(shù)據(jù)采集分析，捕獲、挖掘、修復(fù)漏洞；對(duì)全球已經(jīng)發(fā)生以及正在發(fā)生的網(wǎng)絡(luò)攻擊行為進(jìn)行記錄，并將這些海量的數(shù)據(jù)經(jīng)過(guò)多維度的整合分析，自動(dòng)生成漏洞庫(kù)、黑客們行為特征等數(shù)據(jù)庫(kù)。對(duì)于具體的網(wǎng)絡(luò)系統(tǒng)，全球化的安全監(jiān)測(cè)，運(yùn)用大數(shù)據(jù)技術(shù)，可以提前發(fā)現(xiàn)攻擊，提前阻止。

對(duì)于企業(yè)、組織機(jī)構(gòu)來(lái)講，首先要把信息收集起來(lái)進(jìn)行識(shí)別，包括日志全采集，網(wǎng)絡(luò)監(jiān)控，然后把所有的信息放到統(tǒng)一的監(jiān)控平臺(tái)，建立全自動(dòng)化的響應(yīng)系統(tǒng)。因?yàn)榇髷?shù)據(jù)需要一個(gè)中控系統(tǒng)把所有內(nèi)部的、外部的信息收集起來(lái)進(jìn)行分析。

總結(jié)起來(lái)，大數(shù)據(jù)并不針對(duì)APT攻擊中的某個(gè)步驟，而是通過(guò)全面收集重要終端和服務(wù)器上的日志信息以及采集網(wǎng)絡(luò)設(shè)備上的原始流量，進(jìn)行集中分析和數(shù)據(jù)挖掘。發(fā)現(xiàn)APT攻擊的蛛絲馬跡后，通過(guò)全面分析海量數(shù)據(jù)，從而還原整個(gè)APT攻擊場(chǎng)景。面向全局而非局部，這是目前大多數(shù)廠商采用的思路。