盤點：企業對大資料安全分析的6大要點

現在，很多行業都已經開始利用大資料來提高銷售，降低成本，精准行銷等等。 然而，其實大資料在網路安全與資訊安全方面也有很長足的應用。 特別是利用大資料來甄別和發現風險和漏洞。

通過大資料，人們可以分析大量的潛在安全事件，找出它們之間的聯繫從而勾勒出一個完整的安全威脅。 通過大資料，分散的資料可以被整合起來，使得安全人員能夠採用更加主動的安全防禦手段。

今天，HTTP://www.aliyun.com/zixun/aggregation/16327.html">網路環境極為複雜， APT攻擊以及其他一些網路攻擊可以通過對從不同資料來源的資料的搜索和分析來對安全威脅加以甄別，要做到這一點，就需要對一系列資料來源的進行監控，包括DNS資料，命令與控制(C2)，黑白名單等。 從而能夠把這些資料進行關聯來進行發囧。

企業針對安全的大資料分析下面是一些要點：

DNS資料

DNS資料能夠提供一系列新註冊功能變數名稱，經常用來進行垃圾資訊發送的功能變數名稱，以及新創建的功能變數名稱等等，所有這些資訊都可以和黑白名單結合起來，所有這些資料都應該收集起來做進一步分析。

如果自有DNS伺服器，就能過檢查那些對外的功能變數名稱查詢，這樣可能發現一些無法解析的功能變數名稱。 這種情況就可能意味著你檢測到了一個「功能變數名稱生成演算法」.這樣的資訊就能夠讓安全團隊對公司網路進行保護。 而且如果對局域網流量資料日誌進行分析的話，就有可能找到對應的受到攻擊的機器。

命令與控制(C2)系統

把命令與控制資料結合進來可以得到一個IP位址和功能變數名稱的黑名單。 對於公司網路來說，網路流量絕對不應該流向那些已知的命令與控制系統。 如果網路安全人員要仔細調查網路攻擊的話，可以把來自C2系統的流量引導到公司設好的「蜜罐」機器上去。

安全威脅情報

有一些類似與網路信譽的資料來源可以用來判定一個位址是否是安全的。 有些資料來源提供「是」與「否」的判定，有的還提供一些關於威脅等級的資訊。 網路安全人員能夠根據他們能夠接受的風險大小來決定某個位址是否應該訪問。

網路流量日誌

有很多廠商都提供記錄網路流量日誌的工具。 在利用流量日誌來分析安全威脅的時候，人們很容易被淹沒在大量的「噪音」資料中。 不過流量日誌依然是安全分析的基本要求。 有一些好的演算法和軟體能夠説明人們提供分析品質。

「蜜罐」資料

「蜜罐」可以有效地檢測針對特定網路的惡意軟體。 此外，通過「蜜罐」獲得的惡意軟體可以通過分析獲得其特徵碼，從而進一步監控網路中其他設備的感染情況。 這樣的資訊是非常有價值的，尤其是很多APT攻擊所採用的定制的惡意程式碼往往無法被常規防毒軟體所發現。 參見本站文章企業設置「蜜罐」的五大理由

資料品質很重要

最後，企業要注意資料的品質。 市場上有很多資料可用，在安全人員進行大資料安全分析時，這些資料的品質和準確性是一個最重要的考量。 因此，企業需要有一個內部的資料評估團隊針對資料來源提出相應的問題，如：最近的資料是什麼時候添加的?有沒有樣本資料以供評估?每天能夠添加多少資料?這些資料哪些是免費的?資料總共收集了多久?等等。

安全事件和資料洩露的新聞幾乎每天都能夠出現在報紙上，即使企業已經開始採取手段防禦APT,傳統的安全防禦手段對於APT之類的攻擊顯得辦法不多。 而利用大資料，企業可以採取更為主動的防禦措施，使得安全防禦的深度和廣度都大為加強。