随着云时代的到来，大数据引发了广泛的关注。据Gartner的定义，“大数据”指需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。如此，大数据不单单是以数据的量级来衡量，还表现在数据的种类、样式和对数据的处理手段的多样性和可变性上。其中，不断扩展的数据源成为大数据的一个尤为重要的特征。

安全领域为什么要用到大数据技术？

安全数据正不断大数据化：

1） 数据量越来越大：网络已经从千兆迈向了万兆，网络安全设备要分析的数据包数据量急剧上升。同时，随着NGFW的出现，安全网关要进行应用层协议的分析，分析的数据量更是大增。与此同时，随着安全防御的纵深化，安全监测的内容不断细化，除了传统的攻击监测，还出现了合规监测、应用监测、用户行为监测、性能检测、事务监测，等等，这些都意味着要监测和分析比以往更多的数据。此外，随着APT等新型威胁的兴起，全包捕获技术逐步应用，海量数据处理问题也日益凸显。

2） 速度越来越快：对于网络设备而言，包处理和转发的速度需要更快；对于安管平台、事件分析平台而言，数据源的事件发送速率（EPS，Event per Second，事件数每秒）越来越快。

3） 种类越来越多：除了数据包、日志、资产数据，安全要素信息还加入了漏洞信息、配置信息、身份与访问信息、用户行为信息、应用信息、业务信息、外部情报信息等。
安全数据的大数据化，自然引发人们思考如何将大数据技术应用于安全领域。

大数据技术的核心就是大数据分析（Big Data Analysis / Analytics）。一般人们将大数据分析定义为一组能够高效存储和处理海量数据、并有效达成多种分析目标的工具及技术的集合。通俗地讲，大数据分析技术就是大数据的收集、存储、分析和可视化的技术，是一套能够解决大数据的4V（海量、高速、多变、低密度）问题，分析出高价值（Value）的信息的工具集合。

传统SIEM向安全智能迁移

面对海量安全数据，传统的集中化安全分析平台（譬如SIEM，安全管理平台等）遭遇到了诸多瓶颈，主要表现在以下方面：

·高速海量安全数据的采集和存储变得困难
·异构数据的存储和管理变得困难
·威胁数据源较小，导致系统判断能力有限
·对历史数据的检测能力很弱
·安全事件的调查效率太低
·安全系统相互独立，无有效手段协同工作
·分析的方法较少
·对于趋势性的东西预测较难，对早期预警的能力比较差
·系统交互能力有限，数据展示效果有待提高

而当前，信息与网络安全分析存在两个基本的发展趋势：情境感知的安全分析与智能化的安全分析。

Gartner在2010年的一份报告中指出，“未来的信息安全将是情境感知的和自适应的”。所谓情境感知，就是利用更多的相关性要素信息的综合研判来提升安全决策的能力，包括资产感知、位置感知、拓扑感知、应用感知、身份感知、内容感知，等等。情境感知极大地扩展了安全分析的纵深，纳入了更多的安全要素信息，拉升了分析的空间和时间范围，也必然对传统的安全分析方法提出了挑战。

同样是在2010年，Gartner的另一份报告指出，要“为企业安全智能的兴起做好准备”。在这份报告中，Gartner提出了安全智能的概念，强调必须将过去分散的安全信息进行集成与关联，独立的分析方法和工具进行整合形成交互，从而实现智能化的安全分析与决策。而信息的集成、技术的整合必然导致安全要素信息的迅猛增长，智能的分析必然要求将机器学习、数据挖据等技术应用于安全分析，并且要更快更好地的进行安全决策。

大数据分析技术与企业安全事件相结合

大数据时代，传统SIEM分析已经难以应对APT攻击等位置特征的威胁。单点式的安防系统，或者传统基于黑名单的威胁分析方案已经不足以支撑企业现在的安全环境。企业需要更智能化的解决方案，来应对日益增加的未知安全威胁。

基于大数据技术的IT运维、安全、交易监控解决方案提供商华青融天推出解决方案Accur，Accur是一套完全基于异构日志的企业安全日志分析管理系统。它不仅可以从海量异构安全日志中过滤出最有价值的安全信息，而且可以通过分析这些安全信息，帮助管理者还原危害现场，找到隐藏在现象背后的安全威胁。

 “大数据时代，对企业安全提出了全新挑战。华青融天的安全事件管理分析系统Accur，正是将大数据分析技术与企业的安全事件相结合的产物。”华青融天总经理吴雨表示，“作为一家在数据领域耕耘多年的国内解决方案提供商，我们愿与企业及合作伙伴携手，实现真正自主、安全、可控的大数据安全。”

注：文章部分援引他人观点，此处加以综合。