近幾年，各種數據泄密事件、網絡安全事件頻發，網絡攻擊的規模也在向網絡戰方向發展。與此同時，越來越多的IT設備接入互聯網，所產生的大量數據的商業價值日益凸顯出來。如何利用大數據，成為了網絡防護戰的新思路。

　　在傳統的攻防戰中，防御會面臨信息不對稱、范圍不對稱、規則不對稱的情況，使得我們通過簡單部署防火墻來防御病毒入侵已經無濟于事。防火墻只能應對已知的危險，對于針對性的攻擊來說，防火墻起不到任何防御作用。這就需要我們除了部署安全防御基礎設施之外，還需要有個“智能的大腦”為我們判斷網絡環境是否安全。而大數據安全防護體系就是我們所需要的智能大腦。

　　華為通過構建立體協同的安全防護體系，來實現全天候全方位感知網絡安全態勢。這套防護體系收網絡設備的流量、基礎設備的可疑樣本以及IT 設備的日志，通過大數據分析系統進行樣本分析和策略控制，實現對黑客供給鏈的精準呈現以及及時防御。同時建立信譽查詢系統和知識庫升級系統，進行信譽查詢以及知識庫同步。

　　安全防護體系有兩大特點，一是基于大數據分析?；诖髷祿治龅陌踩鉀Q方案能夠精準迅速地發現并清除威脅。通過對異常流量、木馬病毒、0day漏洞、C&C以及釣魚郵件進行大數據威脅分析，能夠精準發現病毒。通過可視化呈現感知全網的安全態勢，并通過阻斷C&C、阻斷威脅滲透、并將惡意文件進行清除，實現病毒的快速響應。

　　數據采集和處理部分，系統主要分為兩個步驟。第一步，呈現攻擊全路徑。通過對節點威脅事件、節點異常事件、節點流量數據、節點日志數據的挖掘形成基于攻擊鏈路徑和不同節點不同攻擊行為的攻擊全路徑的回溯展示。第二步，進行溯源調查?；诠袈窂降乃菰凑{查進行數據鉆取，基于網絡攻擊的溯源調查進行文件的回溯。

　　比如，針對郵件安全的信息采集和分析，主要從歷史數據中提取郵件流量元數據，通過分析SMTP/POP3/IMAP協議中的收件人、發件人、郵件服務器、郵件正文、郵件附件等信息，并結合沙箱文件檢測結果，判斷郵件是否存在惡意投遞、發件服務器異常以及郵件正文URL異常等行為。

　　第二個特點是全網防護。通過全網感知、全網響應、全網防御來實現全網安全協防。通過采集全網的安全事件，并做大數據關聯分析，監測當前網絡運行狀況；全網內統一調度，將網絡資源進行動態分配實現全網響應；安全能力動態性擴容，對未知威脅進行及時有效防護，從而實現全網防御。

　　在全網安全防護的防護架構下，黑客入侵的整個過程都會被系統感知到。黑客在哪里，通過何種方式侵入系統，是普通滲透性攻擊，還是病毒性攻擊，還是采用其他的連接算法。入侵之后，病毒又是通過什么途徑連接到哪一臺電腦，又是通過哪一臺電腦中的哪一個密碼最終攻破哪一位管理員。最后，黑客通過哪一臺主機向外鏈接，或者通過一些隱秘的通道，將IP命令、DNS命令發送出去。這整個過程都會被殺毒軟件默認為正常行為，只有基于大數據的安全系統才能感知到。

　　實踐層面講，這套安全防護體系可以做到事前防御、事中檢測和事后響應。

　　在事前防御上，通過打補丁、最小端口開放、FW訪問控制；IPS/AV簽名、FW/ASG/NIP信譽防御等措施減少攻擊面。在事中監測上，1.利用沙箱、流量探針、日志探針，結合大數據機器學習，快速檢測未知威脅；2.整合網絡和終端的信息，確定攻擊事件、并確定優先級；3.聯動網絡、終端，隔離、攔截威脅；在事后響應上，1.提供涵蓋終端、網絡的響應能力；2.自動生成情報，聯動FW/IPS等安全策略執行點，實現防御閉環。

　　這種閉環式防御策略可以實現客戶價值的最大化。保護投資，兼容現有安全技術和資源，抵御高級威脅；高級安全，更快檢測未知、定向、高級威脅；快速響應，更快響應安全事件；安全可控，全網安全態勢感知，整體把握并改善安全狀況。

　　基于閉環式防御策略，華為多次應用到相關安全產品中，最典型就是DDoS防御。華為的DDoS防御在云端提供800G的清洗空間，基本做到在攻擊路徑源頭將病毒清洗工作完成，跨地域式清洗，形成全球性的安全互動。除此之外，也會采取搭建防火墻的辦法，或者根據衛星定位的沙箱實現聯動，從而實現高級威脅文件的檢測，發現新型的文件和病毒，進而做到有效的阻斷。CIS也是華為的一個大數據安全平臺，在CIS上可以做到安全的風險可視和可控。

責任編輯：韓希宇