隨著大數(shù)據分析技術與安全的結合，安全技術和理念正開始面臨著一輪新的變革與融合。在日前召開的媒體沙龍活動上，華為企業(yè)網絡產品線首席安全架構師錢曉斌表示，安全技術從無到有的發(fā)展實際上是一個非常艱難的過程，由于安全廠商之間的安全理念不同，技術路線也存在很多差異，難以實現(xiàn)統(tǒng)一的安全模型。因此，針對特定問題的具體解決方案比較多，這在技術的發(fā)展上留下了非常多的問題。而現(xiàn)在大數(shù)據的方法為安全產業(yè)打開了一個窗口，大數(shù)據驅動了技術發(fā)展層面上的變革，也改變了安全研究的方法。

錢曉斌談到，“在剛剛結束的RSA2014大會上，給我留下深刻印象的關鍵字是創(chuàng)新沙盤里一個小公司提的口號。我們內心想過這種方法，但當別人第一次把這種口號提出來時，我心里還是覺得挺震撼的。‘No signatures, no sandboxing, no heuristics, no behavioral analysis - Just math’，我想這個口號可以指引我們向未來走得很遠?！?/p>

智能安全的兩個理解

錢曉斌談到，智能安全體現(xiàn)在兩個層面，一是安全知識，二是安全能力的生產過程以及安全防御過程的智能化。

1、安全知識：安全的核心就是攻和防的關系，在這個關系里，安全廠商提供給用戶服務來抵御攻擊者的攻擊行為。那么安全廠商提供給客戶的到底是什么?錢曉斌表示，安全廠商提供的核心服務是安全硬件或軟件里包含的安全能力，安全能力的核心就是安全知識。而安全知識實際上就是安全廠商跟攻擊者之間博弈的核心點。

2、安全能力的生產過程以及安全防御過程的智能化，需要人干預的內容越來越少，用戶的維護越來越簡單、系統(tǒng)使用的成本也越來越低。錢曉斌談到，智能化體現(xiàn)在安全能力的進一步發(fā)展，如傳統(tǒng)防火墻、UTM快速發(fā)展為下一代防火墻;防病毒開始演進為沙箱，又快速形成BDS(攻擊防御系統(tǒng))的概念;IDS也從IPS快速演進為下一代IPS;SOC進一步演變?yōu)镾IO(安全智能中心)，來實現(xiàn)數(shù)據采集、安全分析、威脅挖掘的高度自動化。

兩大難題的N種解法

錢曉斌談到，安全發(fā)展到現(xiàn)在，核心競爭力已聚焦在兩個方面：一是安全管理，一是安全分析。但在智能化領域，這兩方面仍然存在很多挑戰(zhàn)。

1、安全管理中的智能化挑戰(zhàn)。首先是安全協(xié)同與環(huán)境感知，現(xiàn)在各種層面的設備都越來越注重這方面的功能特性。其次是應用層面的管理，基于精細化應用識別的訪問控制，是安全智能的基礎。再其次，智能策略，自動化的策略配置也是安全智能的核心。最后，還需要用戶友好的安全可視化。還有安全預測，這些方面的安全管理上的問題，很多還是需要不斷的往前演進，給用戶提供更好的體驗。

2、威脅分析的自動化。以往安全實驗室中的人工分析方式越來越不適應當前的威脅態(tài)勢快速發(fā)展要求，需要更多地使用人工智能的方法。首先需要海量樣本收集的能力，其次工具和平臺的建設也是至關重要，三是數(shù)據密集型計算，這種計算方法非常適用于大數(shù)據環(huán)境下的安全分析。四是模式的挖掘，最困難的是實現(xiàn)從已知模式到未知模式的跳躍。五是機器學習，對于機器來說可以比人注意到更多的內在關聯(lián)關系。

華為智能安全未來發(fā)展

1、APT攻擊防護

從威脅層面上看APT是一個最危險的方法，我們把它理解為未知的，針對特定目標的一些嚴重的攻擊活動。這些攻擊活動，主要是它的隱蔽性、持久性、還有目標的特定性。為了檢測APT，你必須看到其隱蔽的特征。錢曉斌談到，華為的做法首先是從惡意軟件的全生命周期做分析。一個攻擊活動有它的生命周期，包括它的開發(fā)過程、測試過程、傳播過程，最后自我銷毀或者是被發(fā)現(xiàn)的過程。在這個過程里有一個傳播的時間，如果在這個時間過程中及早發(fā)現(xiàn)它，則最終還是能夠控制住;另外就是全路徑分析，就意味著需要關注各個入口各種終端的數(shù)據，不管是外部、內部、通過社會工程學方法等等，必須關注到所有的地方，所有地方都可能存在安全漏洞。

2、華為安全信譽系統(tǒng)

“我們希望在安全智能層面站得更高一點，在安全信譽的層面來解決安全的問題，就跟我們在現(xiàn)實的世界里一樣?！?錢曉斌向媒體表示。

錢曉斌介紹到，如某個IP訪問企業(yè)的資產，企業(yè)已經有了你的信譽屬性，就能知道這個IP可能存在什么樣的問題，企業(yè)就可以應用相應的策略來應對。但是信譽的知識是需要預先積累的，如Google它有很強的運營能力，長時間以來沒發(fā)生過什么安全問題，經過測試我們認為它確實安全，把它認為是信譽度好的。還有一些經常注冊一些隨機域名或是和一些知名網站相似的域名，它可能就是一個欺詐的網站，這些域名經過日常檢測，可能經常會被掛馬，把這些網站放到黑名單中。還有大量中間區(qū)域的網站，總數(shù)非常大，但并不被大家頻繁訪問，這些網站也容易出現(xiàn)安全風險，在防御體系里就需要有更深度的檢測機制。

企業(yè)在前端經過信譽庫快速處理，后端根據信譽指示進行相應的處理，這樣能用較低的時間成本與資源成本，智能化地提升安全能力。錢曉斌談到，在信譽體系里更容易做到智能協(xié)同，因為信譽數(shù)據在共享層面更容易操作，效率更高。

最后，錢曉斌談到，總體來說華為構建自己的安全智能中心，不僅具有大數(shù)據的分析平臺，還有各種各樣的分析模型。這個安全智能中心包括了華為的特征庫生產系統(tǒng)與信譽查詢系統(tǒng)，它也會接收來自各個層面的信息反饋。安全智能中心對于很多企業(yè)來說可能需要自建到內部，這樣內部形成一個數(shù)據自循環(huán)的系統(tǒng)，檢測數(shù)據來自于內部，最后形成對安全知識的反饋也來自于那里，這種部署方式也能滿足企業(yè)對于敏感數(shù)據的保護需求。

“我們想通過上述各個方面的思路，在安全智能上做更多工作，通過變革我們的技術本身的工具、方法還有模型，逐漸的把華為的安全體系做強，更好的為用戶服務!”錢曉斌表示。