APT攻擊通常是經(jīng)過周密策劃和實(shí)施，針對(duì)特定對(duì)象進(jìn)行長(zhǎng)期的、有計(jì)劃的攻擊，具有高度的隱蔽性。傳統(tǒng)的安全措施對(duì)APT攻擊往往很難防御，中國(guó)有句老話叫“不怕被賊偷，就怕賊惦記”正是這種行為的真實(shí)寫照。

　　在大會(huì)上，有的專家明確表示APT攻擊是不可能被有效防范的，但是也有更多的專家提出了一些創(chuàng)新性的解決方案。來(lái)自知道創(chuàng)宇科技的高級(jí)安全研究員林峰給安全界描繪了一幅美好的藍(lán)圖：利用大數(shù)據(jù)技術(shù)，防范APT攻擊。

知道創(chuàng)宇科技高級(jí)安全研究員林峰在中國(guó)互聯(lián)網(wǎng)安全大會(huì)高峰論壇中發(fā)表演講

　　從2009年開始，大數(shù)據(jù)就成為IT領(lǐng)域的熱詞。大數(shù)據(jù)甚至被認(rèn)為是繼信息化和互聯(lián)網(wǎng)后整個(gè)信息革命的又一次高峰。今天，大數(shù)據(jù)已經(jīng)取代云計(jì)算、物聯(lián)網(wǎng)，成為當(dāng)下網(wǎng)絡(luò)上最火熱的技術(shù)趨勢(shì)，各種關(guān)于大數(shù)據(jù)的討論層出不窮。

　　有專家指出，大數(shù)據(jù)帶來(lái)了兩個(gè)重要的變化：首先是數(shù)據(jù)量的爆炸式增長(zhǎng)，近兩年所產(chǎn)生的數(shù)據(jù)量相當(dāng)于2010年以前整個(gè)人類文明產(chǎn)生的數(shù)據(jù)量總和；其次是數(shù)據(jù)來(lái)源的極大豐富，其中包括語(yǔ)音、視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大。

　　事實(shí)上，大數(shù)據(jù)已經(jīng)與我們的生活如影隨形。微博上的社交關(guān)系，淘寶上的購(gòu)物記錄，GPS導(dǎo)航的移動(dòng)數(shù)據(jù)，快遞的物流信息……這些形形色色的數(shù)據(jù)囊括了人們的各種行為細(xì)節(jié)，也同時(shí)記錄了人們的大量的個(gè)人隱私。

　　不難看出，大數(shù)據(jù)時(shí)代的到來(lái)，給傳統(tǒng)的網(wǎng)絡(luò)與信息安全帶來(lái)了新的問題。大數(shù)據(jù)將安全帶入了一個(gè)全新、復(fù)雜和綜合的時(shí)代，不安全的那些蛛絲馬跡在浩瀚數(shù)據(jù)的掩護(hù)下，正在精準(zhǔn)地發(fā)起一次又一次的攻擊。但是，凡事都有兩面，人們往往擔(dān)憂的是大數(shù)據(jù)所帶來(lái)的不安全性，但在林峰看來(lái)，大數(shù)據(jù)技術(shù)也是保障信息安全的利器。那么，究竟如何利用大數(shù)據(jù)來(lái)防御洶涌而至的網(wǎng)絡(luò)攻擊？

　　眾所周知，大數(shù)據(jù)有其四個(gè)特性，也就是4個(gè)V，分別是數(shù)據(jù)量（Volume）大，數(shù)據(jù)類型（Variety）復(fù)雜，數(shù)據(jù)處理速度（Valocity）快，以及數(shù)據(jù)價(jià)值（Value）高。林峰指出，很多人主要關(guān)注大數(shù)據(jù)的復(fù)雜和海量上，考慮大數(shù)據(jù)如何去存儲(chǔ)、調(diào)度等。其實(shí)，大數(shù)據(jù)最重要的一個(gè)緯度和特性是價(jià)值，大數(shù)據(jù)的價(jià)值在于分析，如果有幾百T的數(shù)據(jù)僅僅是放在硬盤里，那這就是垃圾，沒有任何價(jià)值。針對(duì)大數(shù)據(jù)需要做分析，分析才能產(chǎn)生價(jià)值。

　　美國(guó)《紐約時(shí)報(bào)》2012年的一篇專欄對(duì)大數(shù)據(jù)評(píng)論道：大數(shù)據(jù)時(shí)代已經(jīng)降臨。之所以成為大數(shù)據(jù)時(shí)代，不單是指數(shù)據(jù)量之大，更主要是指數(shù)據(jù)正在成為一種資產(chǎn)或者生產(chǎn)資料。任何行業(yè)任何領(lǐng)域都會(huì)產(chǎn)生有價(jià)值的數(shù)據(jù)，而對(duì)這些數(shù)據(jù)的統(tǒng)計(jì)、分析、挖掘則會(huì)創(chuàng)造意想不到的價(jià)值和財(cái)富。

知道創(chuàng)宇科技高級(jí)安全研究員林峰

　　林峰介紹說(shuō)，基于這種大數(shù)據(jù)技術(shù)的挖掘和分析，知道創(chuàng)宇科技已經(jīng)從攻擊和防御兩個(gè)維度做了6年多的積累。正是有了這些年的潛心研究，才能及時(shí)準(zhǔn)確地捕捉到隱藏在網(wǎng)絡(luò)世界那一絲絲若隱若現(xiàn)的威脅。

　　黑客的嗅覺是極其靈敏的，反應(yīng)也極其快速。根據(jù)林峰介紹的案例，當(dāng)一個(gè)漏洞被發(fā)現(xiàn)，當(dāng)天就會(huì)有攻擊產(chǎn)生，當(dāng)天就會(huì)有針對(duì)這個(gè)漏洞所開發(fā)的工具，大范圍的攻擊很快就會(huì)達(dá)到一個(gè)高峰，留給安全界的反應(yīng)時(shí)間非常短。傳統(tǒng)的監(jiān)測(cè)方式，有限的維護(hù)人員，使得對(duì)這種攻擊的防御往往是力不從心，經(jīng)常是錯(cuò)失良機(jī)，只能事后亡羊補(bǔ)牢。

　　在會(huì)上林峰公布了一組數(shù)據(jù)：據(jù)知道創(chuàng)宇科技的統(tǒng)計(jì)，2013年1月至6月，全國(guó)有190597個(gè)網(wǎng)站被篡改，其中僅北京地區(qū)就有13075個(gè)網(wǎng)，而另一方面，平均每天發(fā)現(xiàn)北京地區(qū)有2300多個(gè)網(wǎng)站存在WebShell。

　　在這樣一組數(shù)字面前，人們可以真實(shí)的感受到網(wǎng)絡(luò)攻擊的巨大壓力。這個(gè)時(shí)候，大數(shù)據(jù)分析就開始展現(xiàn)出它的強(qiáng)大優(yōu)勢(shì)。

　　“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中，反恐最貴。”林峰著重展示了這樣一張圖片。“我們永遠(yuǎn)不知道對(duì)手在哪里，用的什么樣的武器，用的什么樣的方法，在這種未知的情況下，網(wǎng)絡(luò)反恐的成本高昂。但是現(xiàn)在有了大數(shù)據(jù)，我們就可以擺脫被動(dòng)等待的局面，可以對(duì)隱藏的敵人進(jìn)行精準(zhǔn)預(yù)測(cè)，可以守株待兔，甚至甕中捉鱉。”

　　林峰強(qiáng)調(diào)，利用大數(shù)據(jù)技術(shù)可以做到真正的APT防御。

　　工欲善其事，必先利其器，林峰對(duì)此做了詳細(xì)的解釋。知道創(chuàng)宇科技多年專注于Web安全和大數(shù)據(jù)，依靠自有的云平臺(tái)，針對(duì)網(wǎng)站和應(yīng)用所存在的漏洞進(jìn)行捕獲、挖掘、修復(fù)，同時(shí)對(duì)全球已經(jīng)發(fā)生的和正在發(fā)生的網(wǎng)站攻擊進(jìn)行記錄，包括黑客在什么樣的時(shí)間，攻擊什么樣的網(wǎng)站，甚至是使用什么樣的攻擊工具，有著什么樣的配合。這些海量的數(shù)據(jù)經(jīng)過多維度的自動(dòng)整合與輸出，生成了漏洞的支持庫(kù)、對(duì)比庫(kù)，還有黑客們的行為特征、全球被黑網(wǎng)站等數(shù)據(jù)庫(kù)。

　　這些數(shù)據(jù)庫(kù)會(huì)形成規(guī)則，可以橫向和縱向去匹配關(guān)聯(lián)分析，這些規(guī)則會(huì)被輸出到預(yù)警團(tuán)隊(duì)，形成了一整套防御系統(tǒng)。這樣一來(lái)，對(duì)網(wǎng)絡(luò)中看似不關(guān)聯(lián)的蛛絲馬跡，就可以通過綜合分析和特征對(duì)比，匹配出這是不是攻擊行為，乃至鎖定攻擊者，做到有效、準(zhǔn)確的預(yù)警。

　　林峰舉了一個(gè)真實(shí)的案例。在2012年他曾經(jīng)處理過一次來(lái)自國(guó)外的攻擊事件。攻擊者使用了國(guó)外的代理，沒有辦法根據(jù)IP地址做更多的判斷。但是通過防御系統(tǒng)的數(shù)據(jù)庫(kù)，匹配到了黑客攻擊團(tuán)隊(duì)的一些典型信息，如經(jīng)常使用的攻擊代碼，接著匹配到了攻擊者的常用ID，進(jìn)而就可以進(jìn)一步鎖定攻擊者的更多真實(shí)信息。

　　對(duì)于基于特征的傳統(tǒng)IDS（入侵檢測(cè)）防御和目前流行的白名單方式，林峰也指出了潛在的問題。對(duì)于基于特征的入侵防御，由于現(xiàn)在攻擊者經(jīng)常使用的是0day漏洞，可能在出現(xiàn)之后短短幾個(gè)小時(shí)利用完就消亡了，這個(gè)時(shí)候往往抓不到它的攻擊特征，防御也無(wú)從談起。使用白名單的防御策略，又很容易被黑客們通過種種方法繞過和偽裝，風(fēng)險(xiǎn)也很大。所以，對(duì)這種沒有特征的偽裝性很強(qiáng)的攻擊，只有放在大數(shù)據(jù)中進(jìn)行分析，進(jìn)行縱向橫向的各種關(guān)聯(lián)，才能確定它的真實(shí)行為，從而采取針對(duì)性的應(yīng)對(duì)措施。

　　不難看出，如大數(shù)據(jù)這樣的新興技術(shù)趨勢(shì)，如果利用得當(dāng)，給安全產(chǎn)業(yè)帶來(lái)的是不僅是更大的挑戰(zhàn)，也是更多的機(jī)會(huì)。

　　正如在大會(huì)開幕式上鄔賀銓院士所說(shuō)的那樣，“互聯(lián)網(wǎng)的發(fā)展越來(lái)越深入，新興安全的挑戰(zhàn)與日俱增，安全與發(fā)展相伴，互聯(lián)網(wǎng)的發(fā)展跟新興安全相關(guān)，新興安全又開創(chuàng)了新的領(lǐng)域，道高一尺魔高一丈，只有創(chuàng)新才能真正的解決問題。”信息安全已經(jīng)成為保障國(guó)民經(jīng)濟(jì)健康發(fā)展的重要推手，解決安全問題，我們還需要信息安全產(chǎn)業(yè)界更多、更好地創(chuàng)新。