趋势解读大数据安全分析是信息安全领域近年来的研究热点，一直受到安全企业的高度关注。回顾近几届RSA大会，我们不难发现，大数据安全分析从概念兴起到受到热捧，再到逐渐成熟的完整周期。在刚结束的RSA2016展会上，大数据安全分析在信息安全产业界有怎样的发展趋势，本文为读者一一解读。

　　趋势一：“User Behavior Analysis”技术受到关注，“用户画像”成为主流方案

　　在大数据安全分析中，建模是分析过程中不可或缺的关键环节。建模过程中可选择资产视角、风险视角，或者是用户视角。如何选择建模的视角，才能更好地检测由攻击引发的异常？在今年的展会中我们发现，大量的企业选择了用户视角，即基于“用户行为分析”进行异常检测。选择用户行为分析技术，更符合当前主流的“攻击存在假设”，即用户的网络环境必然会被入侵，且攻击者会以某个合法用户的身份做伪装，实施进一步的攻击行为。在这种情况下，伪装合法用户的行为会与其历史行为有一定的差异性，选择用户视角进行异常检测，能够更好地突显攻击者的入侵行为。例如，在RSA2016大会上，我们发现，在应用审计领域领跑者Imperva推出的用户行为审计产品中，实现了基于“用户画像”的异常检测功能。Imperva的用户画像模块，从用户登录的资产信息、连接的服务器统计、访问本地文件系统统计、访问云端系统统计等维度出发，建立其用户行为的完整轮廓。当用户的某些行为与模型差异较大时，系统可基于偏离程度进行不同等级的报警。

　　趋势二：提升异常检测结果的准确度，持续分析成为热点

　　对异常检测技术而言，一个绕不开的话题就是检测的准确度。在异常检测中，漏报和误报作为矛盾总是交替出现，成为影响异常检测技术应用的主要障碍。如何提升检测结果的准确率，成为技术上首先要攻克的难关。在本届RSA大会上我们看到，多家公司在其大数据分析平台中采取了“持续分析”技术，即不仅仅凭借单一报警判断入侵行为，而是对触发报警的用户行为进行持续分析，通过更多的证据提升报警的准确度。

　　例如，知名大数据分析平台Splunk，在其安全分析应用中实现了基于“Kill Chain”的检测模块。对每个用户的异常行为，Splunk并非进行简单的报警，而是判断该异常在攻击链中的位置，并通过将多个相关的报警进行关联，进行攻击场景的还原，进一步揭露攻击意图，从而提升报警准确度。

　　趋势三：在判断个体行为异常度时参考群体行为检测结果，降低偶发事件的影响

　　影响异常检测准确度的另一个因素是偶发事件对检测结果的影响。由于建模的时间窗口有限，模型不可能体现用户所有的正常行为。那就可能存在一种低频的合法行为，在建模期间没有发生，在检测阶段出现时被视为异常，进而导致检测系统误报。在相当长的时间内，这也是异常检测技术被人们诟病最多的地方。

　　在本届RSA大会上，我们看到很多厂商试图解决这一难题，并提出了很好的解决方案。例如用户行为分析厂商exabeam公司的大数据安全分析平台中，将“group analysis”与单个用户的行为进行关联分析。当某个用户出现某种异常行为时，系统会检测该类异常行为在与该用户相同角色的群组中出现的频率。如果对属于该群组的用户而言，该类异常行为并非是一个小概率事件，那就有可能是模型不完善导致的误报，系统将会对检测结果进行修正，从而提升报警的可信度。

　　趋势四：检测与取证并重，关注对历史流量数据的存储和快速检索，以支持分析过程

　　检测只是识别入侵行为的第一步，在大多数情况下，还需要分析人员对攻击过程进行细粒度（例如数据包级）的还原，从而一方面确认检测结果的可靠性，另一方面对攻击行为进行取证溯源。传统入侵检测系统的存储能力有限，往往不能支撑对历史数据的存储和快速检索，在大数据时代这个问题在工程上已经完全可解。

　　在本届RSA大会上，我们看到业界主流的安全分析平台，都支持了从检索到取证的完整入侵行为分析过程。例如信息安全产业领头羊RSA公司在占地面积巨大的展台中，展示了其“security analysis”平台的强大分析取证能力。对分析过程的每一个报警、第三方设备产生的安全事件，都可在“security analysis”平台中进行逐级钻取，直至还原出攻击时刻的原始数据包，并支持对原始数据包进行应用层协议解析和内容还原，大大方便了安全分析人员的验证和取证过程。

　　相比前几届RSA展会，本届展会的大数据安全分析产品，无论是产品的成熟度，还是功能的丰富度，都有了显著的提升。大数据安全分析已经过了炒作期，进入稳步发展的阶段。相信随着大数据安全分析平台的应用，必将会对当前的攻防博弈带来积极的影响。

　　作者单位：启明星辰信息技术集团股份有限公司