在安全領域，高級持續攻擊的出現改變了傳統安全攻防態勢，其采用多種綜合的攻擊手法、多種惡意軟件，甚至0day漏洞與社會工程方法。而我們所熟知的傳統安全分析，則是構建在基于特征的檢測基礎之上的，只能做到知所已知，難以應對高級威脅和內部威脅的挑戰。

你肯定已經想到了SIEM產品，但傳統SIEM產品構建于數據庫和架構基礎之上，并且這些數據庫和架構在處理大量事件、歷史記錄數據和關系數據擴展的能力方面存在固有的局限性。另外，傳統SIEM產品的分析能力也有所欠缺。許多企業不得不關閉重要但非主要的分析功能，然后再耗費數小時的等待才能生成一份報告，這讓企業很難接受。

在這種背景下，大數據安全技術作為海量數據實時分析處理的新興技術。通過大數據技術，將不同設備產生的海量日志進行集中存儲，通過數據格式的統一規整、自動歸并、關聯分析、機器學習等方法，自動發現威脅和異常行為，讓安全分析更簡單。同時通過豐富的可視化技術，將威脅及異常行為可視化呈現出來，讓安全看得見。

據了解，目前Intel Security（邁克菲）、惠普、Splunk，甚至IBM都對這個市場有較多的涉足，在近年來的一些安全大會上特別是RSA大會能夠明顯感受到大數據安全受到的追捧熱度。但與之相對的是，國內安全廠商在大數據安全領域仍然聲音不足。

安全“老兵”發力大數據安全分析

HanSight瀚思的出現打破了這種現狀，雖然是一家國內安全廠商，但在實力上，似乎完全不遜于朗朗上口的國際大牌。從創始人經驗上看，幾位聯合創始人都算得上是安全行業的“老兵”，早在2004年就在做基于算法的安全分析，并且作為瀚思首席科學家的萬曉川，第一個申請的國際專利就是通過SVM算法對樣本進行分析。此外，瀚思的工程師團隊除了以前在趨勢科技中做引擎、安全分析、網關等的同事外，還有很多是從專業做Hadoop生態圈的天云趨勢出來的。可以說，瀚思的技術團隊在大數據安全創業公司里面是非常強悍的。

另外，完備的數據來源也是必不可少，據筆者了解到，很多國外大數據安全分析平臺在支持國產設備上還有些不足，本地化做的相對弱一些。而瀚思的數據收集支持大型企業中各個主流平臺各種日志傳輸協議和格式，同時也有自己的網絡流抓包設備和海量安全情報。值得一提的是，瀚思還額外提供SaaS產品線給中小企業客戶。

在算法的選擇上，瀚思也是突破了該領域公認的難點，幾乎試驗過所有類型的無監督算法，從最大眾的聚類、PCA一直到非常前沿的張量分析和數據拓撲分析。更難得的是，瀚思除了對無監督算法做了挑選，在可視化方面投入了大量人力，比如僅一個用戶行為分析就開發過7個原型，讓客戶能理解算法的分析過程，這對安全運維人員來說，無疑是一個重大利好。

打造大數據安全分析的閉環

這樣細致的思維會打造出什么樣的產品呢？萬曉川在接受51CTO記者采訪時介紹到，瀚思目前擁有安全情報、企業級大數據安全分析系統、安全即服務（SaaS）三部分業務。首先企業級大數據安全分析系統，它面對客戶群是大型企業，以私有云的方式為客戶提供定制化的大數據安全分析的服務。根據客戶不同行業特點，我們可以積累各種通用安全場景和和安全知識庫，從而形成安全威脅情報，和充實SaaS的安全分析能力。同時企業級安全分析系統可享有安全威脅情報帶來的安全檢測能力的大幅提升。

其次安全即服務（SaaS），它面對的客戶群是大量的中小型企業，以公有云的方式為客戶提供相對低成本的大數據安全分析服務。SaaS大量的用戶基礎，提高了瀚思及時發現新型安全威脅效率，并將及時發現的安全威脅形成安全威脅情報，同時SaaS享有安全威脅情報服務。

最后安全威脅情報，這是大數據安全的核心，企業級大數據分析系統和安全即服務（SaaS）通過安全威脅情報的連接，三者形成了一個大數據安全的閉環，組成了一個大數據安全的完整生態。

更多驚喜就在WOT 2016 企業安全技術峰會

說了這么多，在哪里可以見識一下呢？別急，WOT 2016 企業安全技術峰會即將于2016年6月24-25日在北京珠三角JW萬豪酒店隆重召開。本次大會將圍繞企業安全管理與運維、工控安全與物聯網安全、安全管理工具和方法、移動與Web安全、云安全與大數據安全、金融與電子商務安全等話題展開討論，為廣大網絡安全從業人士指點迷津。

作為本次大會的重磅演講嘉賓，萬曉川透露到，屆時不僅會分享瀚思在大數據安全分析的觀點，還會展示可視化的研究成果，并且與參會者共同探討把大數據安全SaaS化的一些看法。