在今天這場IT變革中，正如英特爾中國研究院首席工程師吳甘沙在2013年全球大數據技術峰會上所提出的那樣，大數據是本，云計算是術，物聯網和移動互聯網是用。大數據讓舊有IT和業務運營模式發生極大變化，它也同樣影響著信息安全的未來走向。今年在美國RSA大會上，RSA執行主席亞瑟·科維洛在主題演講中甚至將演講題目定為：大數據重新定義信息安全。

2013大數據全球技術峰會專題

提到大數據安全，其實需要從兩個維度去理解，一個是大數據本身的安全，包括數據中心、存儲等的安全，另一個是利用大數據來提升安全能力。如果說前者意味著更大挑戰，那么后者則是更好的機會。

大數據是否會重構信息安全產業，對這個問題，安全界仍然存在爭議。但可以肯定是，大數據正在為安全從業者提供一個更寬廣的新視角，幫助他們更加前瞻性地發現安全威脅。

利用大數據分析提前發現威脅，這在APT(高級持續性攻擊)日益猖獗的今天顯得尤為可貴，但這究竟怎么實現?華為安全智能中心高級架構師李鑫在大數據技術峰會上介紹了他們的做法。他表示，把安全檢測技術與大數據處理的過濾、篩選等技術相結合，就能夠發現互聯網中存在的威脅數據及所在區域，提升應對威脅的能力，揭示安全威脅的模式與發展趨勢。

將安全檢測與大數據技術相融合，第一步是收集數據，包括：可執行文件、壓縮包、圖片、頁面、流量等，那些長尾數據往往有著重要的價值;第二步是提煉數據，對上一步收集上來的數據進行分類、關聯分析和挖掘;第三步是檢測，這個過程會用到安全分析技術和數據挖掘技術。通過這三步，最終發現威脅。

在數據提煉的環節，華為安全智能中心將千億級的數據按照多個維度進行了分類處理，如：按照內容可分為黃賭毒、金融理財和體育競技;按照功能可分為bbs/論壇等交互性站點、門戶和代理服務器;按照平臺可分為操作系統和平臺軟件。這種分類，是基于威脅出現的頻率來進行，比如：黃賭毒內容的網站，出現惡意軟件的風險明顯要高出其他。數據提煉還包括對億級URL/IP數據進行生命周期評估，即：通過數據監測的歷史結果來預判未來的威脅。

大數據環境下，安全分析模式正在發生改變，數據采集、數據提煉、安全分析、安全態勢判斷，這已經形成一個新的完整鏈條。李鑫坦言，安全分析模式的改變，也凸顯出海量的待分析數據和目前相對有限的分析能力之間的矛盾。

如何提高對海量數據的分析能力?李鑫并未給出明確答復。不過，惠普在上個月推出的大數據安全解決方案也許能給我們一些啟示。惠普將HP ArcSight的安全信息與事件管理(SIEM)功能與HP Autonomy IDOL內容分析引擎進行了整合，通過解讀原始安全數據的含義，擴大了企業安全監視功能的覆蓋范圍;通過對與數據相關的人力情緒(如行為模式等)進行跟蹤和分析，企業能夠更迅速地識別之前被忽視的威脅。值得注意的是，ArcSight是全球領先的安全信息和日志管理產品，而Autonomy以IDOL(智能數據處理平臺)見長，2年前，正是因為看好其對非結構數據的處理技術，惠普以高達110億美元的價格收購了這家公司。