SIEM方兴未艾 瀚思是如何进行大数据安全分析的？

ZD至顶网安全频道 10月29日 综合消息： 一直以“数据驱动安全”为愿景，致力于利用大数据帮助企业解决庞杂、分立的信息安全问题的瀚思（HanSight）科技今天在北京召开媒体见面会。瀚思创始人兼首席执行官高瀚昭、瀚思联合创始人董昕出席了本次活动，并与参会媒体分享了瀚思在大数据安全分析领域的成果。

大数据和安全息息相关

什么是大数据？大数据(Big Data)是指所涉及的数据量规模巨大到无法通过目前主流软件工具，在合理时间内达到抽取、管理、处理、并整理成为积极的信息，帮助企业经营决策。

实际上，最近几年，我们不难看出整个IT行业都面临着同一个难题：企业安全架构日趋复杂，各种类型的安全设备、安全数据越来越多，传统的分析能力明显力不从心；另一方面，以APT为代表的新型威胁的兴起，内控与合规的深入，越来越需要储存与分析更多的安全信息，并且以更加快速的做出判定和响应。

会上，瀚思首席执行官高瀚昭先生对媒体表示：“所有数据都是和安全相关的。

近年来随着安全威胁的专业化，越来越多的安全威胁职能在以前和安全似乎没有直接关系的数据中体现，比如操作系统日志、域管理服务器记录、DNS记录、网站日志、内部网络流量甚至门禁刷卡系统记录等等。

而企业IT人员和预算都有限，因此不可能随着数据量的增长不断增加人手，必须通过机器学习的方法自动侦测异常行为，通过大数据技术提高处理性能、扩展性、灵活性，使企业用户能够减少增加数据源、规则和事件响应的费用，让IT部门用最少的人员完成最多的事情。”

信息安全问题已经逐步演变成一个大数据分析问题，大规模的安全数据需要被有效地关联、分析和挖掘，并预测未来将出现安全分析平台。

如何进行大数据安全分析？

基于前面所述问题，实际上，进行大数据安全分析也是多数企业公认有效的手段。那么为何，在以前，没有大规模的进行这项工作呢？究其主要原因则是由于单机数据库的手段无法支撑庞大量级数据的采集和分析。在调查中，我们发现一个千人规模的企业内部数据量就在每天几百GB，大型企业更是每天几TB到几十TB，不应用大数据技术是不可能做到全量采集和长周期分析的。

除此之外，采集部分的难点还在于数据源的多样性，这就意味着我们不仅要把数据收回来还要保证看得懂。另外如何高性能的让数据即收即可用也是很大的挑战。在分析上，如何高性能的准确找到可疑事件，也成为很多做大数据分析的公司所要解决的问题。

高瀚昭先生说：瀚思把数据源分为四大类：网络数据，主机数据，登录认证数据和威胁情报数据。就传统的安全分析系统来说，可以分析到的仅仅是安全设备所产生的数据，并没有办法涵盖以上所有，而瀚思在做的就是将这些用户环境中的所有行为足迹统一进行分析，给用户一个最直观分析结果。

据悉，瀚思把大数据安全分析分为采集、存储、分析、展现四个步骤。此外除了存储针对不同的数据规模和性能要求采用多种成熟的大数据存储系统外，采集、分析和展现模块都是自主开发并正在申请国内外专利。

瀚思联合创始人董昕先生也强调：从市场的角度，瀚思将不仅仅帮助大企业来解决问题，如何协助中小企业和互联网企业用轻量级的办法解决安全问题也是瀚思未来考虑的重点。

最后，瀚思也分享了公司在通信、银行、政府等领域的诸多成功案例以及明年的计划。