在当今世界，通过威胁检测，防火墙，代理服务器，入侵防御系统等等措施，安全专业人员对已知的安全威胁都能够采取积极的预防管理政策来进行防护。同时，他们还通过分析和关联脱机技术，如入侵检测和安全事件管理系统的数据，以定义内联解决方案策略行动，应对安全威胁。

　　我不禁回想起了某一天，我与一个同事在探讨从整体计算转向离散分布式应用程序和计算终端时涉及到大数据分析和新兴的安全分析的话题。我们注意到，当这一切发生的时候，会发生两件事情：

　　企业创造了大量可用的企业数据。

　　从某种角度来看，企业可以使用这些数据来做出明智和更有效的安全决策。

　　这就为IT企业带来了巨大的挑战和机遇 ，其中最主要的问题在于缺乏企业数据的透明度和对应用程序的控制。毕竟，这些海量的数据信息可以在瞬间以令人难以置信的速率跨许多移动应用程序被消耗，操作、可视化和理解分析。

　　安全控制的两个维度

　　为了更好地了解安全控制的相关问题，让我们来考虑控制本身的性质：其是积极的控制(采用内联和基于策略的控制)还是被动的做出反应(与离线技术相关的数据)?针对后者，我们需要考虑其安全威胁行为是已知还是未知的。

　　目前，在市场上的几款成熟的技术已经能够很好的解决已知的安全威胁了。而未知的安全威胁则是完全不同的。能够驾驭这些未知安全威胁的能力被认为是安全从业人员的重中之重。SEM工具可以被动地检测出未知的威胁，而DDoS攻击，欺诈检测和沙箱工具则更多的属于积极主动的维度。

　　与此同时，安全从业人员在如何使用企业数据方面已经变得越来越聪明了。我们已经有了能够识别未知威胁的异常行为，并及时发出信号警报的技术。而我们进行的实时分析越多，就越是能够采取一些较积极的安全威胁防护措施。对于企业应用程序，尤其是那些在云中运行的应用程序而言，这是一个新兴的领域，其将变得像高级持续性威胁，数据丢失和欺诈行为一样，成为解决复杂问题的关键。

　　问题的关键在于数据

　　我的主要观点是：一个良好的异常检测框架基础的关键在于其所使用的数据。数据越丰富，我们就越能得出更好的推论。事实上，在异常检测算法中使用的数据可以被归类为如下几种：

　　网络：IP地址，数据包或计数字节，延时性，路由拓扑，时间等。

　　用户数据信息：用户名，地理定位，终端设备等。

　　应用程序数据信息：应用程序名称，声誉评分，活动，活动属性，等等。

　　今天，大多数的数据都是孤立在一个单一的类别进行分析的(坦率地说，当涉及到安全威胁检测时其并不是很有用的一种做法) 。我们应该尽量在相互关联的多个类别的进行数据分析。

　　考虑算法。为了建立或找到可以对数据进行操作和检测异常事件的算法，关键是先假设预期的行为，我们称之为基线。然后你必须允许一个明确的学习周期，然后不断改进和完善。学习周期会因具体案例而有所不同，但应足够长，以捕获系统的所有可能的用途。

　　在学习期间也应根据具体的使用模式细分为不同的时间间隔。对于一款企业应用程序而言，工作时间的使用情况和下班时间的使用情况必须采用单独的基线。

　　一旦你有了一个基线，任何异常活动都是反常现象。在数据科学领域，我们提出分类算法，可用于为两个不同的类别建立基线：

　　基于矢量的预定义将学习识别被收集的一个数据子集。对于这项工作，该系统在学习期间使用记录数据的离散值的方法，以及统计数据的最小值，最大值和平均值。一个例子可能包括用户名，位置和字节数来确定已知或未知地址传输的数据。

　　机器学习不需要预定义的数据基线。机器学习算法识别数据集群唯一标识的行为。机器学习可以监督(在一个训练过程中，系统输入数据说明正常使用模式的算法)和非监督(系统基于其所找到的数据自动生成关联) 。这些天，我的大多数同事都在学习无监督机器技术，其可以识别人工看不出来的关系。

　　随着云计算采用的普及和数据爆炸的趋势发生碰撞，异常检测将成为企业安全态势的一个重要组成部分，并将成为解决先进的持续的威胁、数据丢失和欺诈行为等复杂问题的一个重要工具。恰当的措施意味着企业对未知安全威胁的主动控制，无无疑是企业安全的保障。

　　责任编辑：余芯