1. 大數(shù)據(jù)安全分析的核心目標(biāo)是什么,？

應(yīng)答：為了能夠找到隱藏在數(shù)據(jù)背后的安全真相,。數(shù)據(jù)之間存在著關(guān)聯(lián)，傳統(tǒng)分析無法將海量數(shù)據(jù)匯總,，但是大數(shù)據(jù)技術(shù)能夠應(yīng)對海量數(shù)據(jù)的分析需求,。通過大數(shù)據(jù)基礎(chǔ)能夠挖掘出APT攻擊、內(nèi)網(wǎng)隱秘通道,、異常用戶行為等安全事件,。在此基礎(chǔ)上可建設(shè)為安全決策支持系統(tǒng)，為安全決策提供數(shù)據(jù)支撐,。

2. 大數(shù)據(jù)安全分析企業(yè)級部署方案與成功案例介紹,。

應(yīng)答：在國家電網(wǎng)、運營商中已經(jīng)有成功的案例,。通過該分析平臺能夠進(jìn)行整體的安全態(tài)勢感知,，以全局的角度對整體安全情況進(jìn)行宏觀掌控。 以運營商為例,，將全網(wǎng)的數(shù)據(jù)匯總并進(jìn)行數(shù)據(jù)挖掘工作,，可視化的將結(jié)果進(jìn)行呈現(xiàn)。

3. 國內(nèi)外大數(shù)據(jù)安全分析的發(fā)展現(xiàn)狀介紹,。

應(yīng)答：目前國外比較成熟的大數(shù)據(jù)安全分析主要以Cisco的Open SOC為代表,。其通過采用大數(shù)據(jù)技術(shù)采集網(wǎng)絡(luò)流量、安全設(shè)備日志,、業(yè)務(wù)系統(tǒng)日志,、網(wǎng)絡(luò)設(shè)備日志,，并對這些數(shù)據(jù)進(jìn)行挖掘、關(guān)聯(lián)等運算,，最后找出安全事件,。

4. 是否有成熟的大數(shù)據(jù)安全分析的方法論？

應(yīng)答：我們要從兩個角度來看這個問題,。

首先,，大數(shù)據(jù)是一個具體的技術(shù)實現(xiàn)。這個技術(shù)在其適用的場景下能夠解決傳統(tǒng)數(shù)據(jù)挖掘難以滿足的需求,。

而安全分析方法論是一直在不斷革新的,。安全分析方法論中仍然有一些理念是無法落地的，無法落地的核心問題是缺少技術(shù)支撐,。

當(dāng)前我們采用大數(shù)據(jù)技術(shù)不是對安全分析進(jìn)行革新,，而是將安全分析曾經(jīng)無法實現(xiàn)的目標(biāo)加以落地。就如同關(guān)系型數(shù)據(jù)的理念,，其最早在1970年提出,，而落地產(chǎn)品在1976年才有相應(yīng)的雛形。大數(shù)據(jù)技術(shù)其實是安全分析方法論的落地實現(xiàn),。

5. 大數(shù)據(jù)安全分析支撐平臺是否存在技術(shù)標(biāo)準(zhǔn)或規(guī)范,？

應(yīng)答：目前沒有技術(shù)標(biāo)準(zhǔn)或規(guī)范，但是國家正在制定相應(yīng)的標(biāo)準(zhǔn),。綠盟科技2016年會參與標(biāo)準(zhǔn)的制定工作,。

6. 大數(shù)據(jù)安全分析類項目過程中容易遇到的技術(shù)難點或需要大量投入的環(huán)節(jié)？

應(yīng)答：分析平臺目前基本是成熟的技術(shù),，難點主要在與前期規(guī)劃與安全分析兩個環(huán)節(jié),。前期規(guī)劃要能夠準(zhǔn)確的估算出硬件配置、存儲容量等基礎(chǔ)信息,，后期的安全分析需要專業(yè)人員對數(shù)據(jù)進(jìn)行深入挖掘,。

7. 從大數(shù)據(jù)安全分析的角度如何實現(xiàn)數(shù)據(jù)驅(qū)動業(yè)務(wù)安全？

應(yīng)答：通過大數(shù)據(jù)分析能夠量化的明確當(dāng)前企業(yè)中存在的安全事件,，通過安全事件驅(qū)動業(yè)務(wù)發(fā)展,，從而實現(xiàn)數(shù)據(jù)驅(qū)動業(yè)務(wù)安全的目標(biāo)。

8. 作為非IT類型企業(yè),，要實現(xiàn)大數(shù)據(jù)安全分析所需的必要條件是什么,？

應(yīng)答：有專職的IT團(tuán)隊，有專職的安全團(tuán)隊,，有必要的資源投入,，有必要的流程支持。

9. 大數(shù)據(jù)安全分析可視化的技術(shù)現(xiàn)狀如何,？展示的內(nèi)容,、方法,、形式有哪些？

應(yīng)答：可視化技術(shù)一直都在不斷發(fā)展中,，在沒有大數(shù)據(jù)之前可視化技術(shù)廣泛被使用在BI系統(tǒng)中,。隨著大數(shù)據(jù)技術(shù)的成熟，可視化技術(shù)不僅能實現(xiàn)傳統(tǒng)的餅圖,、折線圖,、散點圖、柱狀圖,、條形圖之外，還能夠以地圖,、熱力圖,、氣泡圖、力圖,、平行坐標(biāo)圖等多維展示,。

10. 如何從展現(xiàn)層面體現(xiàn)大數(shù)據(jù)安全分析的優(yōu)勢？

應(yīng)答：展現(xiàn)只是安全分析的最后結(jié)果呈現(xiàn),。

大數(shù)據(jù)的安全分析的優(yōu)勢的核心是在于安全分析模型,。在展示層面的優(yōu)勢完全來自于安全模型的定義，僅從展示層面不好說明其優(yōu)勢,。這主要是因為,，在沒有大數(shù)據(jù)技術(shù)之前可視化展示技術(shù)也在快速發(fā)展。

11. 當(dāng)前作為大數(shù)據(jù)安全分析最常用的數(shù)據(jù)類型有哪些,？

應(yīng)答：DDoS態(tài)勢感知,、溯源模型，APT攻擊模型,，資產(chǎn)脆弱性態(tài)勢感知,，網(wǎng)站脆弱性態(tài)勢感知等等。

12. 如果從專家系統(tǒng),、統(tǒng)計分析,、機器學(xué)習(xí)三個維度實現(xiàn)大數(shù)據(jù)安全分析，是否已有相應(yīng)的算法或數(shù)據(jù)模型,？

應(yīng)答：這三個是不同的層面,。

專家系統(tǒng)通常是由在線與離線兩個組成部分。離線部分為客戶本地的知識庫,，里面記錄大量經(jīng)驗,，通過歷史經(jīng)驗對問題進(jìn)行處理。在線部分為云端知識庫系統(tǒng),，客戶通過云端系統(tǒng)提出問題,，解決問題,，并且在線系統(tǒng)通常為7*24小時，由全球?qū)＜医恿μ幚韱栴},。

統(tǒng)計分析,，通過簡單的統(tǒng)計進(jìn)行數(shù)據(jù)的過濾與結(jié)果呈現(xiàn)。通常由非專業(yè)人員進(jìn)行簡單的數(shù)據(jù)統(tǒng)計工作,。能夠從宏觀的角度發(fā)現(xiàn)一些問題,，但是無法實現(xiàn)深入的數(shù)據(jù)挖掘工作。為了應(yīng)對這樣的實際情況,，在業(yè)務(wù)系統(tǒng)中會建設(shè)數(shù)據(jù)倉庫,，通過數(shù)據(jù)倉庫來實現(xiàn)數(shù)據(jù)挖掘工作。但是由于建立數(shù)據(jù)倉庫費時費力,，只有在大型集團(tuán)企業(yè)中才會將其使用在安全領(lǐng)域,。

機器學(xué)習(xí)，實際上是程序自我矯正,，實現(xiàn)結(jié)果的準(zhǔn)確性,。這是一個較為成熟的技術(shù)，在金融領(lǐng)域有很多成熟的案例,。機器學(xué)習(xí)主要應(yīng)用在難以人為劃定規(guī)則的領(lǐng)域,，如異常流量監(jiān)測，異常行為檢測等,。通常使用在難以通過規(guī)則進(jìn)行判斷的業(yè)務(wù)場景中,。

在這三個層面都有成熟的算法以及應(yīng)用，并且都通過的實際場景的檢驗,。

13. 關(guān)于APT攻擊,、0day攻擊是否具備成熟的基于大數(shù)據(jù)的解決方案？

應(yīng)答：APT攻擊一般按照攻擊鏈的方式進(jìn)行攻擊,。

攻擊鏈條分為三個階段：

1.威脅進(jìn)入階段

2.威脅擴散階段

3.數(shù)據(jù)竊取階段,。

APT攻擊檢測和防御，重點在于前兩個階段,，威脅嘗試進(jìn)入和擴散,，大數(shù)據(jù)分析利用威脅情報系統(tǒng)，對網(wǎng)絡(luò),，郵件,，安全，操作系統(tǒng)等層面的數(shù)據(jù)進(jìn)行索引匯總,，統(tǒng)計,，關(guān)聯(lián)分析，來檢測進(jìn)入企業(yè)的威脅,。這是大數(shù)據(jù)分析在APT威脅檢測領(lǐng)域的應(yīng)用,。

對于0Day漏洞,，綠盟更多的利用部署在網(wǎng)絡(luò)邊界的威脅分析系統(tǒng)進(jìn)行實時監(jiān)控，通過對樣本的靜態(tài)分析和動態(tài)分析,，判斷是否存在威脅,。經(jīng)過樣本分析引擎進(jìn)行分析后，可以獲得樣本是否利用了0Day漏洞,，根據(jù)樣本自身的信譽信息,，比如文件簽名，樣本用到的回連CnC地址,，可以借助大數(shù)據(jù)引擎,，對當(dāng)前的數(shù)據(jù)以及歸檔的歷史數(shù)據(jù)進(jìn)行分析，定位和回溯受到影響的主機,、用戶等信息,。

14. 對于已知的威脅模式，已實現(xiàn)的基于大數(shù)據(jù)的安全分析算法或模型有哪些,？(列舉UseCasae)

應(yīng)答：

1）攻擊鏈關(guān)聯(lián)分析

同一資產(chǎn)，按照威脅檢測的時間進(jìn)行分析,，描述攻擊鏈條

2）歸并統(tǒng)計

相同類型的攻擊事件進(jìn)行合并,，多對一統(tǒng)計，一對多統(tǒng)計

3）威脅情報關(guān)聯(lián)分析

根據(jù)威脅情報,，對當(dāng)前的數(shù)據(jù)和歷史數(shù)據(jù)進(jìn)行遞歸查詢,，生成告警事件

4）異常流量

學(xué)習(xí)正常訪問流量，當(dāng)流量異常時進(jìn)行告警