知道创宇科技高级安全研究员林峰

林峰介绍说，基于这种大数据技术的挖掘和分析，知道创宇科技已经从攻击和防御两个维度做了6年多的积累。正是有了这些年的潜心研究，才能及时准确地捕捉到隐藏在网络世界那一丝丝若隐若现的威胁。

黑客的嗅觉是极其灵敏的，反应也极其快速。根据林峰介绍的案例，当一个漏洞被发现，当天就会有攻击产生，当天就会有针对这个漏洞所开发的工具，大范围的攻击很快就会达到一个高峰，留给安全界的反应时间非常短。传统的监测方式，有限的维护人员，使得对这种攻击的防御往往是力不从心，经常是错失良机，只能事后亡羊补牢。

在会上林峰公布了一组数据：据知道创宇科技的统计， 2013年1月至6月，全国有190597个网站被篡改，其中仅北京地区就有13075个网，而另一方面，平均每天发现北京地区有2300多个网站存在WebShell。

在这样一组数字面前，人们可以真实的感受到网络攻击的巨大压力。这个时候，大数据分析就开始展现出它的强大优势。

“网络战争中，反恐最贵。”林峰着重展示了这样一张图片。“我们永远不知道对手在哪里，用的什么样的武器，用的什么样的方法，在这种未知的情况下，网络反恐的成本高昂。但是现在有了大数据，我们就可以摆脱被动等待的局面，可以对隐藏的敌人进行精准预测，可以守株待兔，甚至瓮中捉鳖。”

林峰强调，利用大数据技术可以做到真正的APT防御。

工欲善其事，必先利其器，林峰对此做了详细的解释。知道创宇科技多年专注于Web安全和大数据，依靠自有的云平台，针对网站和应用所存在的漏洞进行捕获、挖掘、修复，同时对全球已经发生的和正在发生的网站攻击进行记录，包括黑客在什么样的时间，攻击什么样的网站，甚至是使用什么样的攻击工具，有着什么样的配合。这些海量的数据经过多维度的自动整合与输出，生成了漏洞的支持库、对比库，还有黑客们的行为特征、全球被黑网站等数据库。

这些数据库会形成规则，可以横向和纵向去匹配关联分析，这些规则会被输出到预警团队，形成了一整套防御系统。这样一来，对网络中看似不关联的蛛丝马迹，就可以通过综合分析和特征对比，匹配出这是不是攻击行为，乃至锁定攻击者，做到有效、准确的预警。

林峰举了一个真实的案例。在2012年他曾经处理过一次来自国外的攻击事件。攻击者使用了国外的代理，没有办法根据IP地址做更多的判断。但是通过防御系统的数据库，匹配到了黑客攻击团队的一些典型信息，如经常使用的攻击代码，接着匹配到了攻击者的常用ID，进而就可以进一步锁定攻击者的更多真实信息。

对于基于特征的传统IDS（入侵检测）防御和目前流行的白名单方式，林峰也指出了潜在的问题。对于基于特征的入侵防御，由于现在攻击者经常使用的是0day漏洞，可能在出现之后短短几个小时利用完就消亡了，这个时候往往抓不到它的攻击特征，防御也无从谈起。使用白名单的防御策略，又很容易被黑客们通过种种方法绕过和伪装，风险也很大。所以，对这种没有特征的伪装性很强的攻击，只有放在大数据中进行分析，进行纵向横向的各种关联，才能确定它的真实行为，从而采取针对性的应对措施。

不难看出，如大数据这样的新兴技术趋势，如果利用得当，给安全产业带来的是不仅是更大的挑战，也是更多的机会。

正如在大会开幕式上邬贺铨院士所说的那样，“互联网的发展越来越深入，新兴安全的挑战与日俱增，安全与发展相伴，互联网的发展跟新兴安全相关，新兴安全又开创了新的领域，道高一尺魔高一丈，只有创新才能真正的解决问题。”信息安全已经成为保障国民经济健康发展的重要推手，解决安全问题，我们还需要信息安全产业界更多、更好地创新。