跨越传统SIEM 解析瀚思的大数据安全思维

“基于大数据的安全产品产生的价值，将会是传统安全产品的10倍。”瀚思（HanSight）联合创始人董昕在近日的媒体沟通会上表示。

的确，在大数据安全领域，Intel Security（迈克菲）、惠普、Splunk，甚至IBM都对这个市场有较多的涉足，在近年来的一些安全大会上特别是RSA大会能够明显感受到大数据安全受到的追捧热度。但与之相对的是，国内安全厂商在大数据安全领域仍然声音不足。

作为一家初创公司，瀚思敏锐的发现了这一点，并选择大数据安全作为突破点。

从时间上看瀚思是一家年轻公司，不过，从资历上，他的团队并不年轻，这是一家由来自趋势科技、微软、甲骨文等知名公司骨干组成的核心团队。在丰富的经验和足够的技术积累基础下，瀚思2年内研发出了其大数据安全分析平台，并在像招行、联通、国家电网这样大型的客户进行了应用部署。

 
瀚思（HanSight）联合创始人董昕

当然，你也许有疑问，瀚思这么一家新公司为什么这么快就得到市场的认可并拥有一席之地？透过ZD至顶网对瀚思创始人兼CEO高瀚昭和瀚思联合创始人董昕的采访，也许能问答你的一些疑问。

瀚思的大数据安全思维

在董昕看来，瀚思是一个集合了大数据和安全基因的跨界公司，不再用传统的方法解决信息安全长久以来存在的诸多问题，不是简单的规则、简单的黑白名单，而是通过海量数据的收集、分析与展现，帮助企业获得更好的全局可见性和安全智能，从而抵御新型安全威胁和内部人员监守自盗。

董昕用“数据驱动安全”来总结瀚思的愿景，通过海量数据的深度挖掘与学习，通过大数据分析升级企业信息安全战略。

这里有必要解释下大数据和安全是怎么结合在一起形成化学反应的？在100年前，城市的防御中还是依赖城墙，通过对过往的人进行盘查排除风险。再往后发展，例如一家商店还是在门上加一道锁防止风险发生。而现在，通过安装摄像头建立监控中心成了更有效的防止风险发生的方式。

如同现实世界一样，信息世界也以防御为中心转变为以监控为中心

以此类比，学习现实世界，在信息世界中以防御为中心转变为以监控为中心也成为了信息安全防护的更有效方式。瀚思创始人兼CEO高瀚昭对于使用大数据分析解决安全问题信心十足，大数据安全解决的问题不再是某一个点，而是一个面，他给了企业在众多和纷繁复杂的信息中寻找安全风险源头的技术支撑点，所以这和现实世界中建立监控中心同一个道理。

信息安全正在变成一个大数据分析问题，大规模的安全数据需要被有效地关联、分析和挖掘。瀚思的使命就是基于大数据框架对企业的系统、应用和用户访问行为数据进行存储与分析，并采用机器学习和算法来检测异常行为，来抵御新型外部攻击和内部人员恶意窃取核心数据。

董昕将如今的信息安全世界称为安全3.0，安全3.0的典型特征就是IT部门的控制力度越来越弱，他说，“IT部门甚至不知道企业的数据到底在公司还是在云上，还是在其他什么地方？还谈何安全！”

瀚思的安全思维是什么？“瀚思要收集和掌握全量的数据，无论是终端的、主机的、应用的、网络设备的、安全设备的，还是第三方云上的，通过收集这些全量数据进行进行统一的存储、分析和展现，从而发现里面的异常行为，并进一步找到未知的安全威胁。”董昕说道。

“在招行银行，他们用瀚思的大数据安全分析平台每天处理数十亿条接近1个T的海量数据，帮助找到一些可能存在的潜在的风险和威胁。”

看到这，你也许认定了瀚思做的就是安全信息和事件管理 (SIEM) 了，不过要说得是，它是，也不是。

SIEM的变与不变

高瀚昭解释瀚思大数据安全分析平台和传统SIEM/SOC的差别是量变到质变的过程，“瀚思的大数据分析平台数据源种类不仅仅是安全设备；数据量每天达TB级（10-100亿条）；分析能力是全链条关联；展现能力呈现的是数据可视化技术。”

高瀚昭称，瀚思大数据分析平台超越了传统合规和安全事件报告系统，并且与传统安全信息管理系统的简单信息汇总也有所不同，从下面瀚思大数据分析平台在数据采集、数据存储和安全智能分析中体现的能力可见一斑。

（图）瀚思大数据安全分析平台是如何工作的

数据采集：瀚思日志采集器提供1000-50000EPS的采集性能，并可以获取网络与安全设备日志、操作系统日志、应用日志、数据库日志或是任何有时间戳的数据源，支持对网络流的采集。

数据存储：瀚思支持100T以上的数据管理。通过分布式存储技术和高性能数据查询引擎，能够为分析模块提供实时或者长期的关联分析能力。系统具备非常高的吞吐量、数据压缩率和持久的大规模数据存储能力。

安全智能分析：瀚思通过对海量日志等信息进行机器学习，分析用户行为，侦测异常行为模式和隐藏的威胁，洞察全局安全变化。

以大数据异常检测方法举例，高瀚昭再次解释了瀚思的特别之处，瀚思通过发现偏离基线的流量以及热点分析，找出可疑流量和对应IP地址。瀚思对以往常用的推荐算法和分类算法进行了扩展，从而发挥机器学习的能量。

“假如在某个银行发现异常行为，然后拿这个异常行为的模型去其他公司哪怕是另外一个银行，可能就完全不一样。因为每个人的行为、系统、应用、甚至上班时间等都是不一样的。也就是说每个用户环境里面网络、访问等行为是没有一个通用标准的，所以也就不能简单的判定一个合理另一个不合理。所以，必须要靠现场的环境或历史的数据进行训练，从而检测异常。”高瀚昭说。

当然，瀚思大数据安全分析平台和SIEM产品的原理并无二致，同时它还兼顾了传统安全信息统一管理的功能（SOC和SIEM等）。

不过，瀚思大数据分析平台是对传统安全信息管理系统的一次跨越，董昕称，它形成了一套以威胁为导向、以资产为导向、以链条为导向的分析方法，为企业安全决策提供依据，并提升了企业数据的价值。

董昕引用Gartner的数据，“到2020年，60%的企业信息安全预算将会分配在快速检测和响应的方法上。”届时，也是大数据安全爆发之时，瀚思的加入，给了众多企业多一个选择的机会。