APT攻擊通常是經(jīng)過周密策劃和實施，針對特定對象進行長期的、有計劃的攻擊，具有高度的隱蔽性。傳統(tǒng)的安全措施對APT攻擊往往很難防御，中國有句老話叫“不怕被賊偷，就怕賊惦記”正是這種行為的真實寫照。

　　在大會上，有的專家明確表示APT攻擊是不可能被有效防范的，但是也有更多的專家提出了一些創(chuàng)新性的解決方案。來自知道創(chuàng)宇科技的高級安全研究員林峰給安全界描繪了一幅美好的藍圖：利用大數(shù)據(jù)技術(shù)，防范APT攻擊。

知道創(chuàng)宇科技高級安全研究員林峰在中國互聯(lián)網(wǎng)安全大會高峰論壇中發(fā)表演講

　　從2009年開始，大數(shù)據(jù)就成為IT領(lǐng)域的熱詞。大數(shù)據(jù)甚至被認為是繼信息化和互聯(lián)網(wǎng)后整個信息革命的又一次高峰。今天，大數(shù)據(jù)已經(jīng)取代云計算、物聯(lián)網(wǎng)，成為當下網(wǎng)絡上最火熱的技術(shù)趨勢，各種關(guān)于大數(shù)據(jù)的討論層出不窮。

　　有專家指出，大數(shù)據(jù)帶來了兩個重要的變化：首先是數(shù)據(jù)量的爆炸式增長，近兩年所產(chǎn)生的數(shù)據(jù)量相當于2010年以前整個人類文明產(chǎn)生的數(shù)據(jù)量總和；其次是數(shù)據(jù)來源的極大豐富，其中包括語音、視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大。

　　事實上，大數(shù)據(jù)已經(jīng)與我們的生活如影隨形。微博上的社交關(guān)系，淘寶上的購物記錄，GPS導航的移動數(shù)據(jù)，快遞的物流信息……這些形形色色的數(shù)據(jù)囊括了人們的各種行為細節(jié)，也同時記錄了人們的大量的個人隱私。

　　不難看出，大數(shù)據(jù)時代的到來，給傳統(tǒng)的網(wǎng)絡與信息安全帶來了新的問題。大數(shù)據(jù)將安全帶入了一個全新、復雜和綜合的時代，不安全的那些蛛絲馬跡在浩瀚數(shù)據(jù)的掩護下，正在精準地發(fā)起一次又一次的攻擊。但是，凡事都有兩面，人們往往擔憂的是大數(shù)據(jù)所帶來的不安全性，但在林峰看來，大數(shù)據(jù)技術(shù)也是保障信息安全的利器。那么，究竟如何利用大數(shù)據(jù)來防御洶涌而至的網(wǎng)絡攻擊？

　　眾所周知，大數(shù)據(jù)有其四個特性，也就是4個V，分別是數(shù)據(jù)量（Volume）大，數(shù)據(jù)類型（Variety）復雜，數(shù)據(jù)處理速度（Valocity）快，以及數(shù)據(jù)價值（Value）高。林峰指出，很多人主要關(guān)注大數(shù)據(jù)的復雜和海量上，考慮大數(shù)據(jù)如何去存儲、調(diào)度等。其實，大數(shù)據(jù)最重要的一個緯度和特性是價值，大數(shù)據(jù)的價值在于分析，如果有幾百T的數(shù)據(jù)僅僅是放在硬盤里，那這就是垃圾，沒有任何價值。針對大數(shù)據(jù)需要做分析，分析才能產(chǎn)生價值。

　　美國《紐約時報》2012年的一篇專欄對大數(shù)據(jù)評論道：大數(shù)據(jù)時代已經(jīng)降臨。之所以成為大數(shù)據(jù)時代，不單是指數(shù)據(jù)量之大，更主要是指數(shù)據(jù)正在成為一種資產(chǎn)或者生產(chǎn)資料。任何行業(yè)任何領(lǐng)域都會產(chǎn)生有價值的數(shù)據(jù)，而對這些數(shù)據(jù)的統(tǒng)計、分析、挖掘則會創(chuàng)造意想不到的價值和財富。

知道創(chuàng)宇科技高級安全研究員林峰

　　林峰介紹說，基于這種大數(shù)據(jù)技術(shù)的挖掘和分析，知道創(chuàng)宇科技已經(jīng)從攻擊和防御兩個維度做了6年多的積累。正是有了這些年的潛心研究，才能及時準確地捕捉到隱藏在網(wǎng)絡世界那一絲絲若隱若現(xiàn)的威脅。

　　黑客的嗅覺是極其靈敏的，反應也極其快速。根據(jù)林峰介紹的案例，當一個漏洞被發(fā)現(xiàn)，當天就會有攻擊產(chǎn)生，當天就會有針對這個漏洞所開發(fā)的工具，大范圍的攻擊很快就會達到一個高峰，留給安全界的反應時間非常短。傳統(tǒng)的監(jiān)測方式，有限的維護人員，使得對這種攻擊的防御往往是力不從心，經(jīng)常是錯失良機，只能事后亡羊補牢。

　　在會上林峰公布了一組數(shù)據(jù)：據(jù)知道創(chuàng)宇科技的統(tǒng)計，2013年1月至6月，全國有190597個網(wǎng)站被篡改，其中僅北京地區(qū)就有13075個網(wǎng)，而另一方面，平均每天發(fā)現(xiàn)北京地區(qū)有2300多個網(wǎng)站存在WebShell。

　　在這樣一組數(shù)字面前，人們可以真實的感受到網(wǎng)絡攻擊的巨大壓力。這個時候，大數(shù)據(jù)分析就開始展現(xiàn)出它的強大優(yōu)勢。

　　“網(wǎng)絡戰(zhàn)爭中，反恐最貴。”林峰著重展示了這樣一張圖片。“我們永遠不知道對手在哪里，用的什么樣的武器，用的什么樣的方法，在這種未知的情況下，網(wǎng)絡反恐的成本高昂。但是現(xiàn)在有了大數(shù)據(jù)，我們就可以擺脫被動等待的局面，可以對隱藏的敵人進行精準預測，可以守株待兔，甚至甕中捉鱉。”

　　林峰強調(diào)，利用大數(shù)據(jù)技術(shù)可以做到真正的APT防御。

　　工欲善其事，必先利其器，林峰對此做了詳細的解釋。知道創(chuàng)宇科技多年專注于Web安全和大數(shù)據(jù)，依靠自有的云平臺，針對網(wǎng)站和應用所存在的漏洞進行捕獲、挖掘、修復，同時對全球已經(jīng)發(fā)生的和正在發(fā)生的網(wǎng)站攻擊進行記錄，包括黑客在什么樣的時間，攻擊什么樣的網(wǎng)站，甚至是使用什么樣的攻擊工具，有著什么樣的配合。這些海量的數(shù)據(jù)經(jīng)過多維度的自動整合與輸出，生成了漏洞的支持庫、對比庫，還有黑客們的行為特征、全球被黑網(wǎng)站等數(shù)據(jù)庫。

　　這些數(shù)據(jù)庫會形成規(guī)則，可以橫向和縱向去匹配關(guān)聯(lián)分析，這些規(guī)則會被輸出到預警團隊，形成了一整套防御系統(tǒng)。這樣一來，對網(wǎng)絡中看似不關(guān)聯(lián)的蛛絲馬跡，就可以通過綜合分析和特征對比，匹配出這是不是攻擊行為，乃至鎖定攻擊者，做到有效、準確的預警。

　　林峰舉了一個真實的案例。在2012年他曾經(jīng)處理過一次來自國外的攻擊事件。攻擊者使用了國外的代理，沒有辦法根據(jù)IP地址做更多的判斷。但是通過防御系統(tǒng)的數(shù)據(jù)庫，匹配到了黑客攻擊團隊的一些典型信息，如經(jīng)常使用的攻擊代碼，接著匹配到了攻擊者的常用ID，進而就可以進一步鎖定攻擊者的更多真實信息。

　　對于基于特征的傳統(tǒng)IDS（入侵檢測）防御和目前流行的白名單方式，林峰也指出了潛在的問題。對于基于特征的入侵防御，由于現(xiàn)在攻擊者經(jīng)常使用的是0day漏洞，可能在出現(xiàn)之后短短幾個小時利用完就消亡了，這個時候往往抓不到它的攻擊特征，防御也無從談起。使用白名單的防御策略，又很容易被黑客們通過種種方法繞過和偽裝，風險也很大。所以，對這種沒有特征的偽裝性很強的攻擊，只有放在大數(shù)據(jù)中進行分析，進行縱向橫向的各種關(guān)聯(lián)，才能確定它的真實行為，從而采取針對性的應對措施。

　　不難看出，如大數(shù)據(jù)這樣的新興技術(shù)趨勢，如果利用得當，給安全產(chǎn)業(yè)帶來的是不僅是更大的挑戰(zhàn)，也是更多的機會。

　　正如在大會開幕式上鄔賀銓院士所說的那樣，“互聯(lián)網(wǎng)的發(fā)展越來越深入，新興安全的挑戰(zhàn)與日俱增，安全與發(fā)展相伴，互聯(lián)網(wǎng)的發(fā)展跟新興安全相關(guān)，新興安全又開創(chuàng)了新的領(lǐng)域，道高一尺魔高一丈，只有創(chuàng)新才能真正的解決問題。”信息安全已經(jīng)成為保障國民經(jīng)濟健康發(fā)展的重要推手，解決安全問題，我們還需要信息安全產(chǎn)業(yè)界更多、更好地創(chuàng)新。