在2013中国互联网安然大年夜会上，绕不开的一个热点话题就是APT报复打击。这类被称为高级延续性威胁(Advanced Persistent Threat，APT)的收集报复打击手法已成为信息安然保障范畴的巨大年夜威胁。

　　APT报复打击凡是是颠末周到策划和实施，针对特定对象进行持久的、有打算的报复打击，具有高度的埋没性。传统的安然办法对APT报复打击常常很难防御，中国有句老话叫“不怕被贼偷，就怕贼惦记”恰是这类行动的真实写照。

　　在大年夜会上，有的专家明白暗示APT报复打击是不成能被有效防备的，可是也有更多的专家提出了一些立异性的解决方案。来自知道创宇科技的高级安然研究员林峰给安然界描画了一幅夸姣的蓝图：操纵大年夜数据手艺，防备APT报复打击。

　　知道创宇科技高级安然研究员林峰在中国互联网安然大年夜会岑岭论坛中颁发演讲

　　从2009年开端，大年夜数据就成为IT范畴的热词。大年夜数据乃至被觉得是继信息化和互联网后全部信息革命的又一次岑岭。今天，大年夜数据已代替云计较、物联网，成为当下收集上最火热的手艺趋势，各类关于大年夜数据的会商层见叠出。

　　有专家指出，大年夜数据带来了两个首要的改变：起首是数据量的爆炸式增加，近两年所产生的数据量相当于2010年之前整小我类文明产生的数据量总和;其次是数据来历的极大年夜丰硕，此中包含语音、视频、图象等非布局化数据所占比例逐步增大年夜。

　　事实上，大年夜数据已与我们的糊口如影随形。微博上的社交关系，淘宝上的购物记实，GPS导航的移动数据，快递的物流信息……这些五花八门的数据包括了人们的各类行动细节，也同时记实了人们的大年夜量的小我隐私。

　　不难看出，大年夜数据期间的到来，给传统的收集与信息安然带来了新的标题问题。大年夜数据将安然带进了一个全新、复杂和综合的期间，不服安的那些蛛丝马迹在浩大数据的保护下，正在精准地倡议一次又一次的报复打击。可是，凡事都有两面，人们常常担忧的是大年夜数据所带来的不服安性，但在林峰看来，大年夜数据手艺也是保障信息安然的利器。那么，事实若何操纵大年夜数据来防御澎湃而至的收集报复打击？

　　尽人皆知，大年夜数据有其四个特点，也就是4个V，别离是数据量(Volume)大年夜，数据类型(Variety)复杂，数据措置速度(Valocity)快，和数据价值(Value)高。林峰指出，良多人首要存眷大年夜数据的复杂和海量上，考虑大年夜数据若何往存储、调剂等。其实，大年夜数据最首要的一个纬度和特点是价值，大年夜数据的价值在于阐发，假定有几百T的数据仅仅是放在硬盘里，那这就是垃圾，没有任何价值。针对大年夜数据需要做阐发，阐发才能产生价值。

　　美国《纽约时报》2012年的一篇专栏对大年夜数据评论道：大年夜数据期间已降临。之所以成为大年夜数据期间，不单是指数据量之大年夜，更主如果指数据正在成为一种资产或出产资料。任何行业任何范畴城市产生有价值的数据，而对这些数据的统计、阐发、发掘则会创作发现意想不到的价值和财富。

　　知道创宇科技高级安然研究员林峰

　　林峰介绍说，基于这类大年夜数据手艺的发掘和阐发，知道创宇科技已从报复打击和防御两个维度做了6年多的堆集。恰是有了这些年的潜心研究，才能及时准确地捕获到隐躲在收集世界那一丝丝若隐若现的威胁。

　　黑客的嗅觉是极其活络的，反应也极其快速。按照林峰介绍的案例，当一个缝隙被发现，当天就会有报复打击产生，当天就会有针对这个缝隙所开辟的东西，大年夜范围的报复打击很快就会达到一个岑岭，留给安然界的反应时候很是短。传统的监测编制，有限的保护人员，使得对这类报复打击的防御常常是力不从心，常常是错掉良机，只能过后亡羊补牢。

　　在会上林峰发布了一组数据：据知道创宇科技的统计，2013年1月至6月，全国有190597个网站被窜改，此中仅北京地区就有13075个网，而另外一方面，平均每天发现北京地区有2300多个网站存在WebShell。

　　在如许一组数字面前，人们可以真实的感触感染到收集报复打击的巨大年夜压力。这个时辰，大年夜数据阐发就开端揭示出它的强大年夜优势。

　　“收集战争中，反恐最贵。”林峰侧重揭示了如许一张图片。“我们永久不知道敌手在哪里，用的甚么样的兵器，用的甚么样的编制，在这类未知的环境下，收集反恐的成本昂扬。可是此刻有了大年夜数据，我们便可以摆脱被动等候的场合排场，可以对隐躲的仇敌进行精准猜想，可以守株待兔，乃至瓮中捉鳖。”

　　林峰夸大年夜，操纵大年夜数据手艺可以做到真实的APT防御。

　　工欲善其事，必先利其器，林峰对此做了具体的诠释。知道创宇科技多年专注于Web安然和大年夜数据，依托自有的云平台，针对网站和利用所存在的缝隙进行捕获、发掘、修复，同时对全球已产生的和正在产生的网站报复打击进行记实，包含黑客在甚么样的时候，报复打击甚么样的网站，乃至是利用甚么样的报复打击东西，有着甚么样的共同。这些海量的数据颠末***度的主动整合与输出，生成了缝隙的撑持库、对比库，还有黑客们的行动特点、全球被黑网站等数据库。

　　这些数据库会形陈法则，可以横向和纵神驰匹配联系关系阐发，这些法则会被输出到预警团队，构成了一整套防御系统。如许一来，对收集中看似不联系关系的蛛丝马迹，便可以经由过程综合阐发和特点对比，匹配出这是不是是报复打击行动，乃至锁定报复打击者，做到有效、准确的预警。

　　林峰举了一个真实的案例。在2012年他曾措置过一次来自国外的报复打击事务。报复打击者利用了国外的代办署理，没有编制按照IP地址做更多的鉴定。可是经由过程防御系统的数据库，匹配到了黑客报复打击团队的一些典型信息，如常常利用的报复打击代码，接着匹配到了报复打击者的常常利用ID，进而便可以进一步锁定报复打击者的更多真实信息。

　　对基于特点的传统IDS(进侵检测)防御和今朝风行的白名单编制，林峰也指出了暗藏的标题问题。对基于特点的进侵防御，因为此刻报复打击者常常利用的是0day缝隙，可能在呈现以后短短几个小时操纵完就灭亡了，这个时辰常常抓不到它的报复打击特点，防御也无从谈起。利用白名单的防御策略，又很等闲被黑客们经由过程各种编制绕过和假装，风险也很大年夜。所以，对这类没有特点的假装性很强的报复打击，只有放在大年夜数据中进行阐发，进行纵向横向的各类联系关系，才能肯定它的真实施为，从而采纳针对性的应对办法。

　　不难看出，如大年夜数据如许的新兴手艺趋势，假定操纵恰当，给安然财产带来的是不可是更大年夜的挑战，也是更多的机缘。

　　正如在大年夜会揭幕式上邬贺铨院士所说的那样，“互联网的成长愈来愈深进，新兴安然的挑战一日千里，安然与成长相伴，互联网的成长跟新兴安然相干，新兴安然又初创了新的范畴，道高一尺魔高一丈，只有立异才能真实的解决标题问题。”信息安然已成为保障国平易近经济健康成长的首要推手，解决安然标题问题，我们还需要信息安然财产界更多、更好地立异。