APT攻擊通常是經過周密策劃和實施，針對特定對象進行長期的、有計劃的攻擊，具有高度的隱蔽性。傳統的安全措施對APT攻擊往往很難防御，中國有句老話叫“不怕被賊偷，就怕賊惦記”正是這種行為的真實寫照。

　　在大會上，有的專家明確表示APT攻擊是不可能被有效防范的，但是也有更多的專家提出了一些創新性的解決方案。來自知道創宇科技的高級安全研究員林峰給安全界描繪了一幅美好的藍圖：利用大數據技術，防范APT攻擊。

知道創宇科技高級安全研究員林峰在中國互聯網安全大會高峰論壇中發表演講

　　從2009年開始，大數據就成為IT領域的熱詞。大數據甚至被認為是繼信息化和互聯網后整個信息革命的又一次高峰。今天，大數據已經取代云計算、物聯網，成為當下網絡上最火熱的技術趨勢，各種關于大數據的討論層出不窮。

　　有專家指出，大數據帶來了兩個重要的變化：首先是數據量的爆炸式增長，近兩年所產生的數據量相當于2010年以前整個人類文明產生的數據量總和；其次是數據來源的極大豐富，其中包括語音、視頻、圖像等非結構化數據所占比例逐漸增大。

　　事實上，大數據已經與我們的生活如影隨形。微博上的社交關系，淘寶上的購物記錄，GPS導航的移動數據，快遞的物流信息……這些形形色色的數據囊括了人們的各種行為細節，也同時記錄了人們的大量的個人隱私。

　　不難看出，大數據時代的到來，給傳統的網絡與信息安全帶來了新的問題。大數據將安全帶入了一個全新、復雜和綜合的時代，不安全的那些蛛絲馬跡在浩瀚數據的掩護下，正在精準地發起一次又一次的攻擊。但是，凡事都有兩面，人們往往擔憂的是大數據所帶來的不安全性，但在林峰看來，大數據技術也是保障信息安全的利器。那么，究竟如何利用大數據來防御洶涌而至的網絡攻擊？

　　眾所周知，大數據有其四個特性，也就是4個V，分別是數據量（Volume）大，數據類型（Variety）復雜，數據處理速度（Valocity）快，以及數據價值（Value）高。林峰指出，很多人主要關注大數據的復雜和海量上，考慮大數據如何去存儲、調度等。其實，大數據最重要的一個緯度和特性是價值，大數據的價值在于分析，如果有幾百T的數據僅僅是放在硬盤里，那這就是垃圾，沒有任何價值。針對大數據需要做分析，分析才能產生價值。

　　美國《紐約時報》2012年的一篇專欄對大數據評論道：大數據時代已經降臨。之所以成為大數據時代，不單是指數據量之大，更主要是指數據正在成為一種資產或者生產資料。任何行業任何領域都會產生有價值的數據，而對這些數據的統計、分析、挖掘則會創造意想不到的價值和財富。

知道創宇科技高級安全研究員林峰

　　林峰介紹說，基于這種大數據技術的挖掘和分析，知道創宇科技已經從攻擊和防御兩個維度做了6年多的積累。正是有了這些年的潛心研究，才能及時準確地捕捉到隱藏在網絡世界那一絲絲若隱若現的威脅。

　　黑客的嗅覺是極其靈敏的，反應也極其快速。根據林峰介紹的案例，當一個漏洞被發現，當天就會有攻擊產生，當天就會有針對這個漏洞所開發的工具，大范圍的攻擊很快就會達到一個高峰，留給安全界的反應時間非常短。傳統的監測方式，有限的維護人員，使得對這種攻擊的防御往往是力不從心，經常是錯失良機，只能事后亡羊補牢。

　　在會上林峰公布了一組數據：據知道創宇科技的統計，2013年1月至6月，全國有190597個網站被篡改，其中僅北京地區就有13075個網，而另一方面，平均每天發現北京地區有2300多個網站存在WebShell。

　　在這樣一組數字面前，人們可以真實的感受到網絡攻擊的巨大壓力。這個時候，大數據分析就開始展現出它的強大優勢。

　　“網絡戰爭中，反恐最貴。”林峰著重展示了這樣一張圖片。“我們永遠不知道對手在哪里，用的什么樣的武器，用的什么樣的方法，在這種未知的情況下，網絡反恐的成本高昂。但是現在有了大數據，我們就可以擺脫被動等待的局面，可以對隱藏的敵人進行精準預測，可以守株待兔，甚至甕中捉鱉。”

　　林峰強調，利用大數據技術可以做到真正的APT防御。

　　工欲善其事，必先利其器，林峰對此做了詳細的解釋。知道創宇科技多年專注于Web安全和大數據，依靠自有的云平臺，針對網站和應用所存在的漏洞進行捕獲、挖掘、修復，同時對全球已經發生的和正在發生的網站攻擊進行記錄，包括黑客在什么樣的時間，攻擊什么樣的網站，甚至是使用什么樣的攻擊工具，有著什么樣的配合。這些海量的數據經過多維度的自動整合與輸出，生成了漏洞的支持庫、對比庫，還有黑客們的行為特征、全球被黑網站等數據庫。

　　這些數據庫會形成規則，可以橫向和縱向去匹配關聯分析，這些規則會被輸出到預警團隊，形成了一整套防御系統。這樣一來，對網絡中看似不關聯的蛛絲馬跡，就可以通過綜合分析和特征對比，匹配出這是不是攻擊行為，乃至鎖定攻擊者，做到有效、準確的預警。

　　林峰舉了一個真實的案例。在2012年他曾經處理過一次來自國外的攻擊事件。攻擊者使用了國外的代理，沒有辦法根據IP地址做更多的判斷。但是通過防御系統的數據庫，匹配到了黑客攻擊團隊的一些典型信息，如經常使用的攻擊代碼，接著匹配到了攻擊者的常用ID，進而就可以進一步鎖定攻擊者的更多真實信息。

　　對于基于特征的傳統IDS（入侵檢測）防御和目前流行的白名單方式，林峰也指出了潛在的問題。對于基于特征的入侵防御，由于現在攻擊者經常使用的是0day漏洞，可能在出現之后短短幾個小時利用完就消亡了，這個時候往往抓不到它的攻擊特征，防御也無從談起。使用白名單的防御策略，又很容易被黑客們通過種種方法繞過和偽裝，風險也很大。所以，對這種沒有特征的偽裝性很強的攻擊，只有放在大數據中進行分析，進行縱向橫向的各種關聯，才能確定它的真實行為，從而采取針對性的應對措施。

　　不難看出，如大數據這樣的新興技術趨勢，如果利用得當，給安全產業帶來的是不僅是更大的挑戰，也是更多的機會。

　　正如在大會開幕式上鄔賀銓院士所說的那樣，“互聯網的發展越來越深入，新興安全的挑戰與日俱增，安全與發展相伴，互聯網的發展跟新興安全相關，新興安全又開創了新的領域，道高一尺魔高一丈，只有創新才能真正的解決問題。”信息安全已經成為保障國民經濟健康發展的重要推手，解決安全問題，我們還需要信息安全產業界更多、更好地創新。