現(xiàn)在很多行業(yè)都已經(jīng)開始利用大數(shù)據(jù)來提高銷售， 降低成本， 精準營銷等等，然而， 其實大數(shù)據(jù)在網(wǎng)絡安全與信息安全方面也有很長足的應用。

通過大數(shù)據(jù)， 人們可以分析大量的潛在安全事件， 找出它們之間的聯(lián)系從而勾勒出一個完整的安全威脅。 通過大數(shù)據(jù)， 分散的數(shù)據(jù)可以被整合起來， 使得安全人員能夠采用更加主動的安全防御手段。

今天， 網(wǎng)絡環(huán)境極為復雜， APT 攻擊以及其他一些網(wǎng)絡攻擊可以通過對從不同數(shù)據(jù)源的數(shù)據(jù)的搜索和分析來對安全威脅加以甄別， 要做到這一點， 就需要對一系列數(shù)據(jù)源的進行監(jiān)控， 包括 DNS 數(shù)據(jù)， 命令與控制（ C2) ， 黑白名單等。 從而能夠把這些數(shù)據(jù)進行關(guān)聯(lián)來進行發(fā)囧。

企業(yè)針對安全的大數(shù)據(jù)分析下面是一些要點：

DNS 數(shù)據(jù)

DNS 數(shù)據(jù)能夠提供一系列新注冊域名， 經(jīng)常用來進行垃圾信息發(fā)送的域名， 以及新創(chuàng)建的域名等等， 所有這些信息都可以和黑白名單結(jié)合起來， 所有這些數(shù)據(jù)都應該收集起來做進一步分析。

如果自有 DNS 服務器， 就能過檢查那些對外的域名查詢， 這樣可能發(fā)現(xiàn)一些無法解析的域名。 這種情況就可能意味著你檢測到了一個“域名生成算法”。 這樣的信息就能夠讓安全團隊對公司網(wǎng)絡進行保護。 而且如果對局域網(wǎng)流量數(shù)據(jù)日志進行分析的話 ， 就有可能找到對應的受到攻擊的機器。

命令與控制（ C2 ）系統(tǒng)  

把命令與控制數(shù)據(jù)結(jié)合進來可以得到一個 IP 地址和域名的黑名單。 對于公司網(wǎng)絡來說， 網(wǎng)絡流量絕對不應該流向那些已知的命令與控制系統(tǒng)。 如果網(wǎng)絡安全人員要仔細調(diào)查網(wǎng)絡攻擊的話， 可以把來自 C2 系統(tǒng)的流量引導到公司設好的“ 蜜罐 ”機器上去。

安全威脅情報

有一些類似與網(wǎng)絡信譽的數(shù)據(jù)源可以用來判定一個地址是否是安全的。 有些數(shù)據(jù)源提供“是”與“否”的判定， 有的還提供一些關(guān)于威脅等級的信息。 網(wǎng)絡安全人員能夠根據(jù)他們能夠接受的風險大小來決定某個地址是否應該訪問。

網(wǎng)絡流量日志

有很多廠商都提供記錄網(wǎng)絡流量日志的工具。 在利用流量日志來分析安全威脅的時候， 人們很容易被淹沒在大量的”噪音“數(shù)據(jù)中。 不過流量日志依然是安全分析的基本要求。 有一些好的算法和軟件能夠幫助人們提供分析質(zhì)量。

” 蜜罐“數(shù)據(jù)

” 蜜罐“可以有效地檢測針對特定網(wǎng)絡的惡意軟件。 此外， 通過”蜜罐“獲得的惡意軟件可以通過分析獲得其特征碼， 從而進一步監(jiān)控網(wǎng)絡中其他設備的感染情況。 這樣的信息是非常有價值的， 尤其是很多 APT 攻擊所采用的定制的 惡意代碼 往往無法被常規(guī)防病毒軟件所發(fā)現(xiàn)。 參見本站文章企業(yè)設置 ”蜜罐“的五大理由

數(shù)據(jù)質(zhì)量很重要

最后， 企業(yè)要注意數(shù)據(jù)的質(zhì)量。 市場上有很多數(shù)據(jù)可用， 在安全人員進行大數(shù)據(jù)安全分析時， 這些數(shù)據(jù)的質(zhì)量和準確性是一個最重要的考量。 因此， 企業(yè)需要有一個內(nèi)部的數(shù)據(jù)評估團隊針對數(shù)據(jù)來源提出相應的問題， 如： 最近的數(shù)據(jù)是什么時候添加的 ? 有沒有樣本數(shù)據(jù)以供評估？ 每天能夠添加多少數(shù)據(jù)？ 這些數(shù)據(jù)哪些是免費的？ 數(shù)據(jù)總共收集了多久？

安全事件和數(shù)據(jù)泄露的新聞幾乎每天都能夠出現(xiàn)在報紙上， 即使企業(yè)已經(jīng)開始采取手段防御 APT ， 傳統(tǒng)的安全防御手段對于 APT 之類的攻擊顯得辦法不多。 而利用大數(shù)據(jù)， 企業(yè)可以采取更為主動的防御措施， 使得安全防御的深度和廣度都大為加強。