大数据时代的来临，企业不仅要学习如何挖掘数据价值，还要竭尽所能的进行安全整合，以免遭到更强有力的攻击，降低风险。近日，在参加“OWASP 2015中国应用安全论坛——业务安全之大数据分析”会议上，WebRAY创始人权小文先生表示：“任何事物都有存在的两面性，大数据也是如此，虽然黑客盯准了它，但大数据一样可以用来反击。基于大数据分析的内网异常检测技术，已经为有效发现和阻断内网攻击的做好了准备。”

　　【WebRAY创始人权小文】

　　APT防范思路“掉头”内网

　　企业内网承载大量的核心资产和机密数据，虽然用户采用了层层叠加的网络安全防护产品，SOC、监控中心、网管系统、流量分析系统等处处把关，但出现在内网的攻击和泄露事件并未减少。究其缘由，这与内网安全数年来不能改变的传统防护技术有关，更与内网入侵事件所处的场景化有关。

　　那么，何为“传统”、何为“情景”呢?权小文做出了如下解答：

　　他指出，“内网防护现状是离散的、非体系化的防护方法，而大量的安全事件或者是内部员工的恶意、无意造成，或者是长期的潜伏或离职意向前的突发行为。因此，要想在内网发现不法人员盗取数据的‘行走轨迹’，就要借助防御APT攻击的思路，针对内网定制化的情景，通过获取样本，建立正常行为模型，然后分析内部网络流量或终端服务器上的行为，做到情景感知，这将是有别于传统防御方案的新起点、后续监测和分析的触发点。”

　　据了解，APT攻击防范的难点在于，黑客采用了高度定制的代码，有时很可能只适用“一次”，随之潜伏下来，由于没有已知的特征，所以这些攻击很难被传统对检测手段发现。而静态检测无法检测到深度攻击行为，但动态检测由于存在大量的环境组合，无法穷举，所以不应该使用任何一种单独的方法对目标进行检测，这就需要把所有信息关联起来分析。而针对内网环境，WebRAY所倡导的方法，是把有效对付APT攻击的成功经验、关联分析等技术部署在企业内网情景中，而这必然离不开大数据技术作为“支点”。

　　大数据带来“情景”分析新机遇

　　内网安全的重要性不言而喻，那么，用户部署安全攻击防护产品、终端病毒的防范、对服务器加固、网络隔离、部署身份认证和安全审计系统，这系列动作的目的又是什么呢?不外乎形成一个有效的流程：预警→监控 →溯源→安全事件责任认定。但是，现实与梦想总有差距。

 

　　权小文表示，大数据技术应用带来了内网检测预警新形态和新机遇。他说，“由于传统的、基于SOL存储的安全信息无法整合分析，只能对可以定义的数据进行存储，对于不能定义的数据丢弃，在数据的完整性层面势单力薄。而大数据系统采用NoSQL的非结构化存储，这种技术突破了之前SOC等系统采用的SQL存储的模式，可以保存所有数据，保证了数据的完整性。”