罗海龙：大数据安全

我们知道我们内部有员工，员工泄密的事件经常发生，这里举一个例子，某公司的人员，60块钱卖一部分资料给国际犯罪组织，离职的时候，索性把账号给人家了，这个账号用了三年，结果是没有收益太多，但是很多数据都丢失了。这是一个非常可怕的问题。　　

另外全球都在谈APP，高级可持续攻击的概念，大家用鱼叉式的攻击等等。有人用老板的口吻向你发了一个邮件，点一下附件，把附件内容详细看一下，你收到邮件的时候会点击吗，90% 会点击，你怎么知道是不是老板用别人邮箱发的，这是非常可怕的，你点开以后会下载一个远程木马。然后远程控制。韩国 银行的攻击实践里面就是这种典型的水坑式或者是鱼叉式攻击。　　

我们会发现一个问题，我们企业里面都会碰到一个问题，我说我们出了一个安全事件，有了安全事件以后老板问你这是怎么造成的，你分析了半天说我不知道，不知道怎么来的。比如说你老板的笔记本电脑中了一个木马程序，老板说为什么我的笔记本电脑中木马程序，解释半天也不清楚，为什么会这样。因为我们在做这种分析的时候，我们发现有的时候信息太多了，没法处理。我们分析了相关一部分之后又没有了信息，我们对安全信息的记录的时候存在很多问题，包括数据太多，没法计算这些问题存在，所以我们没法给一个正确的答案产生，大家一直在期待解决一个方案，是SIEM系统，会把所有的安全信息记录在一起，按照这种形式去检索和分析相关的问题或者是做事件的回放或者是指导性分析和决策等等。我们以前发现把相关的内容按照某种格式化的数据进行统计，有很大的问题存在。　　

如果我们把云计算的大数据计算应用在这里，我们发现我们不需要对数据进行整理，也就是说为任何一个设备，比如说交换设备或者是防火墙，或者是检测设备或者是防病毒设备也好，记录的相关信息给到我，就可以存储在我的存储系统里面，用数据存储的系统存储在这里，用大数据的检索技术，也就是说这个功能对于整个数据进行检索，按照我所需要的规则进行检索。举一个简单的例子，我们都用手机，有没有人直接可以用手机窃听你的通话，很容易，与给你链接，你连完了以后，你所有的信息包括通话我都可以知道，当你打开一个电话的时候会自动的发起第三方通话的功能，对方就可以听到了，你完全没有感知，我分析这个事件的时候是安全事件呢，可能就是发起了第三方通话，连续三天每小时之要不打电话就会形成三方通话，这个结论是他出了问题，我们想要解决的问题就是在这。我们通过海量数据计算的结果，去分析某一个事件发生的频次或者是频率来发现规则的潜在的技术，来找到问题的发源点。　　

再举一个例子，你这台机器中病毒了，大数据分析功能可以记录这个病毒的文件从哪传来的，哪一个设备传来的，哪一个网络中传来的，传来什么时候，传来以后这个设备，这个文件有没有再次传播，我都可以记录下来。我有了这个数据以后我会发现这台机器中病毒了影响了38台机器，我通过这个防火墙进来的，防火墙某一个策略有问题才造成的，我的意见很简单，更改防火墙的策略。大数据最大的价值是通过>应用的安全机访问发现问题的根本，从根本上解决安全的问题，从而让我们的系统更加安全，这是大数据技术应用在安全里面最核心的机制。　　

那么，趋势科技可以把所有的相关的设备，包括网络设备，甚至是应用系统的日志甚至是相关的记录内容，通过大数据存储的方式存储我们的系统里面来，底层建立Hadoop的一个数据底层构架，上层有智能的相关分析系统，也就是说趋势把自己相关安全的分析的经验，也就是说我们匹配的规则和大数据技术结合形成一种分析体系这就是趋势这个产品最大的价值。　　

那么，他的整体的框架是这样的，我们可以去搜集相关的日志，会有一个现实存储空间，有一个在线的时时数据处理，在大数据时时处理部分，这部分东西可以把数据倒数的我们的UI界面里面让你看时时的数据。同时历史数据分析的时候我们有相关的规则匹配，就是现在所说的智能分析系统，这部分的系统发展我认为如果是加入人工智能的话，他的分析方法是会有更合理的方式，会得到一个真正的大数据对安全的解决方案。　　

那么这是我们的整体的界面，他可以根据你的某一个关键值进行所有数据检索，检索完了以后根据某一个规则进行排序统计。统计完了以后你会清晰的发现很多很多的问题。只要你对安全有一定的理解，通过你这样的检索的规则的匹配度形成以后你就可以知道这个问题的发源点在哪。我们最头疼的是找不到数据，找到数据不知道怎么分析，通过这个系统把数据搜集起来，把海量的数据按照相关的规则找到你想要的结果。这是有一种比较好的方式，基本在每一个安全产品里面装一个代理程序，他不需要，只需要把日志给我，通过什么样的方式都可以，只要给我都可以，我可以对全日志进行分析。　　

我今天给大家介绍的两部分内容就是这样，第一部分是我们通过对于大数据底层结合方式来保护大数据系统的安全性，第二部分是说把大数据计算的技术应用到安全领域里面，提供一个分析系统，帮助大家在安全上进行指导的分析或者是建议，谢谢大家。