APT攻击通常是经过周密策划和实施，针对特定对象进行长期的、有计划的攻击，具有高度的隐蔽性。传统的安全措施对APT攻击往往很难防御，中国有句老话叫“不怕被贼偷，就怕贼惦记”正是这种行为的真实写照。

　　在大会上，有的专家明确表示APT攻击是不可能被有效防范的，但是也有更多的专家提出了一些创新性的解决方案。来自知道创宇科技的高级安全研究员林峰给安全界描绘了一幅美好的蓝图：利用大数据技术，防范APT攻击。

　　
知道创宇科技高级安全研究员林峰在中国互联网安全大会高峰论坛中发表演讲

　　从2009年开始，大数据就成为IT领域的热词。大数据甚至被认为是继信息化和互联网后整个信息革命的又一次高峰。今天，大数据已经取代云计算、物联网，成为当下网络上最火热的技术趋势，各种关于大数据的讨论层出不穷。

　　有专家指出，大数据带来了两个重要的变化：首先是数据量的爆炸式增长，近两年所产生的数据量相当于2010年以前整个人类文明产生的数据量总和;其次是数据来源的极大丰富，其中包括语音、视频、图像等非结构化数据所占比例逐渐增大。

　　事实上，大数据已经与我们的生活如影随形。微博上的社交关系，淘宝上的购物记录，GPS导航的移动数据，快递的物流信息……这些形形色色的数据囊括了人们的各种行为细节，也同时记录了人们的大量的个人隐私。

　　不难看出，大数据时代的到来，给传统的网络与信息安全带来了新的问题。大数据将安全带入了一个全新、复杂和综合的时代，不安全的那些蛛丝马迹在浩瀚数据的掩护下，正在精准地发起一次又一次的攻击。但是，凡事都有两面，人们往往担忧的是大数据所带来的不安全性，但在林峰看来，大数据技术也是保障信息安全的利器。那么，究竟如何利用大数据来防御汹涌而至的网络攻击？

　　众所周知，大数据有其四个特性，也就是4个V，分别是数据量(Volume)大，数据类型(Variety)复杂，数据处理速度(Valocity)快，以及数据价值(Value)高。林峰指出，很多人主要关注大数据的复杂和海量上，考虑大数据如何去存储、调度等。其实，大数据最重要的一个纬度和特性是价值，大数据的价值在于分析，如果有几百T的数据仅仅是放在硬盘里，那这就是垃圾，没有任何价值。针对大数据需要做分析，分析才能产生价值。

　　美国《纽约时报》2012年的一篇专栏对大数据评论道：大数据时代已经降临。之所以成为大数据时代，不单是指数据量之大，更主要是指数据正在成为一种资产或者生产资料。任何行业任何领域都会产生有价值的数据，而对这些数据的统计、分析、挖掘则会创造意想不到的价值和财富。

　　
知道创宇科技高级安全研究员林峰

　　林峰介绍说，基于这种大数据技术的挖掘和分析，知道创宇科技已经从攻击和防御两个维度做了6年多的积累。正是有了这些年的潜心研究，才能及时准确地捕捉到隐藏在网络世界那一丝丝若隐若现的威胁。

　　黑客的嗅觉是极其灵敏的，反应也极其快速。根据林峰介绍的案例，当一个漏洞被发现，当天就会有攻击产生，当天就会有针对这个漏洞所开发的工具，大范围的攻击很快就会达到一个高峰，留给安全界的反应时间非常短。传统的监测方式，有限的维护人员，使得对这种攻击的防御往往是力不从心，经常是错失良机，只能事后亡羊补牢。

　　在会上林峰公布了一组数据：据知道创宇科技的统计，2013年1月至6月，全国有190597个网站被篡改，其中仅北京地区就有13075个网，而另一方面，平均每天发现北京地区有2300多个网站存在WebShell。

　　在这样一组数字面前，人们可以真实的感受到网络攻击的巨大压力。这个时候，大数据分析就开始展现出它的强大优势。

　　“网络战争中，反恐最贵。”林峰着重展示了这样一张图片。“我们永远不知道对手在哪里，用的什么样的武器，用的什么样的方法，在这种未知的情况下，网络反恐的成本高昂。但是现在有了大数据，我们就可以摆脱被动等待的局面，可以对隐藏的敌人进行精准预测，可以守株待兔，甚至瓮中捉鳖。”

　　林峰强调，利用大数据技术可以做到真正的APT防御。

　　工欲善其事，必先利其器，林峰对此做了详细的解释。知道创宇科技多年专注于Web安全和大数据，依靠自有的云平台，针对网站和应用所存在的漏洞进行捕获、挖掘、修复，同时对全球已经发生的和正在发生的网站攻击进行记录，包括黑客在什么样的时间，攻击什么样的网站，甚至是使用什么样的攻击工具，有着什么样的配合。这些海量的数据经过多维度的自动整合与输出，生成了漏洞的支持库、对比库，还有黑客们的行为特征、全球被黑网站等数据库。

　　这些数据库会形成规则，可以横向和纵向去匹配关联分析，这些规则会被输出到预警团队，形成了一整套防御系统。这样一来，对网络中看似不关联的蛛丝马迹，就可以通过综合分析和特征对比，匹配出这是不是攻击行为，乃至锁定攻击者，做到有效、准确的预警。

　　林峰举了一个真实的案例。在2012年他曾经处理过一次来自国外的攻击事件。攻击者使用了国外的代理，没有办法根据IP地址做更多的判断。但是通过防御系统的数据库，匹配到了黑客攻击团队的一些典型信息，如经常使用的攻击代码，接着匹配到了攻击者的常用ID，进而就可以进一步锁定攻击者的更多真实信息。

　　对于基于特征的传统IDS(入侵检测)防御和目前流行的白名单方式，林峰也指出了潜在的问题。对于基于特征的入侵防御，由于现在攻击者经常使用的是0day漏洞，可能在出现之后短短几个小时利用完就消亡了，这个时候往往抓不到它的攻击特征，防御也无从谈起。使用白名单的防御策略，又很容易被黑客们通过种种方法绕过和伪装，风险也很大。所以，对这种没有特征的伪装性很强的攻击，只有放在大数据中进行分析，进行纵向横向的各种关联，才能确定它的真实行为，从而采取针对性的应对措施。

　　不难看出，如大数据这样的新兴技术趋势，如果利用得当，给安全产业带来的是不仅是更大的挑战，也是更多的机会。