在網(wǎng)絡(luò)安全領(lǐng)域，將人工智能技術(shù)融入安全產(chǎn)品已成為數(shù)字時(shí)代下安全發(fā)展的新趨勢(shì)，兩者的有效結(jié)合能夠加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的自動(dòng)化預(yù)測(cè)、識(shí)別、響應(yīng)、處置能力。但人工智能技術(shù)需有效融入安全產(chǎn)品，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行自動(dòng)化的預(yù)測(cè)、識(shí)別、響應(yīng)、處置，AI 算法和模型必須獲取到海量且多維的安全大數(shù)據(jù)，不斷地進(jìn)行“訓(xùn)練”和“驗(yàn)證”，才能進(jìn)行有效的“思考”和作出最優(yōu)的“決策”，得以實(shí)時(shí)進(jìn)化，方能具備真正的智能安全。

　　一、安全大數(shù)據(jù)的特點(diǎn)

　　網(wǎng)絡(luò)安全領(lǐng)域的大數(shù)據(jù)不同于普通大數(shù)據(jù)，它的獲取渠道、獲取難度、數(shù)據(jù)關(guān)注維度都有自己鮮明的特點(diǎn)。傳統(tǒng)的消費(fèi)領(lǐng)域大數(shù)據(jù)，關(guān)注的更多是企業(yè)、個(gè)體的商業(yè)和生活行為，透過交易特征、消費(fèi)偏好、行動(dòng)軌跡等，去判斷背后的交易喜好、生活和消費(fèi)習(xí)慣，從而變現(xiàn)商業(yè)價(jià)值。這涉及很多個(gè)人隱私，也成為“大數(shù)據(jù)之殤”，成為監(jiān)管的重點(diǎn)。

　　1. 不同于普通大數(shù)據(jù)，不涉及用戶隱私

　　安全大數(shù)據(jù)不關(guān)注上述商業(yè)行為和個(gè)人隱私，而更關(guān)注那些網(wǎng)絡(luò)“作惡者”在網(wǎng)絡(luò)上的行為，更關(guān)注安全風(fēng)險(xiǎn)和異常。如關(guān)注哪些數(shù)據(jù)是惡意攻擊行為，是否在做黑產(chǎn)交易，是否為分布式拒絕服務(wù)攻擊（DDoS）攻擊，是否為爬蟲行為等。

　　2. 關(guān)注“安全治理、安全風(fēng)險(xiǎn)”

　　安全大數(shù)據(jù)更加關(guān)注與網(wǎng)絡(luò)空間安全治理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的大數(shù)據(jù)，關(guān)注黑客、行為、資產(chǎn)。涉及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的數(shù)據(jù)，對(duì)于運(yùn)營(yíng)主體的數(shù)據(jù)安全、合規(guī)性、資產(chǎn)安全、業(yè)務(wù)安全都是非常重要的參考和響應(yīng)處置的依據(jù)。

　　3. 安全大數(shù)據(jù)關(guān)注的細(xì)分維度

　　在實(shí)際中，安全大數(shù)據(jù)可分為以下三個(gè)方面。攻擊行為數(shù)據(jù)，如攻擊的具體類型，攻擊者習(xí)慣使用的平臺(tái)、工具，語(yǔ)言等，從而對(duì)攻擊者的攻擊行為進(jìn)行相應(yīng)判斷。攻擊者畫像數(shù)據(jù)，主要是攻擊留下的痕跡等多維數(shù)據(jù)信息，據(jù)此判斷攻擊者的類型，對(duì)攻擊者進(jìn)行畫像，這需要多維數(shù)據(jù)作為參考，進(jìn)行綜合分析，輔助一定時(shí)間的數(shù)據(jù)積累。資產(chǎn)數(shù)據(jù)，通過網(wǎng)絡(luò)空間測(cè)繪或漏洞掃描可以獲取到互聯(lián)網(wǎng)的資產(chǎn)數(shù)據(jù)，也可以獲得企業(yè)內(nèi)部的已知或未知的網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)。

　　二、安全大數(shù)據(jù)的獲取渠道

　　安全大數(shù)據(jù)從哪里獲??？對(duì)于本地化部署的網(wǎng)絡(luò)安全解決方案，由于安全設(shè)備部署在用戶現(xiàn)場(chǎng)，只能在用戶本地根據(jù)客戶需求和許可，對(duì)數(shù)據(jù)進(jìn)行采集、分析，無法獲取到真正的安全大數(shù)據(jù)。而且，僅僅單個(gè)用戶的安全數(shù)據(jù)，量級(jí)較小、維度單一，不利于機(jī)器學(xué)習(xí)算法和模型的優(yōu)化和調(diào)優(yōu)。

　　對(duì)于互聯(lián)網(wǎng)企業(yè)和 SaaS 部署的安全企業(yè)，由于安全產(chǎn)品部署在云上，所有部署其 SaaS 安全產(chǎn)品的用戶，其安全數(shù)據(jù)（如攻擊行為、活動(dòng)軌跡、IP 信息、資產(chǎn)信息等）都會(huì)直接同步到云端數(shù)據(jù)中心，形成海量安全大數(shù)據(jù)，并不斷投喂給機(jī)器學(xué)習(xí)算法模型進(jìn)行實(shí)時(shí)分析，從而進(jìn)一步自動(dòng)調(diào)整算法，讓安全能力實(shí)時(shí)進(jìn)化提升。

　　目前，能夠獲取安全大數(shù)據(jù)的主要渠道有：云測(cè)繪、云監(jiān)測(cè)、云防御和安全探針類的云端設(shè)備和平臺(tái)。

　　1. 云測(cè)繪：全球網(wǎng)絡(luò)空間測(cè)繪獲取的大量 IP資產(chǎn)數(shù)據(jù)

　　網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪對(duì)象主要集中在 IPv4、IPv6、域名、暗網(wǎng)等方面，以知道創(chuàng)宇的網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪項(xiàng)目 ZoomEye （鐘馗之眼）為例，迄今為止收集了超 30 個(gè)億的 IPv6 地址并進(jìn)行測(cè)繪。

　　獲取數(shù)據(jù)的核心能力包括很多細(xì)節(jié)，如此多的數(shù)據(jù)需要部署大量的探測(cè)節(jié)點(diǎn)，那么就存在各種“對(duì)抗”的問題，節(jié)點(diǎn)會(huì)被“禁止”等，而解決這些問題正是獲取數(shù)據(jù)能力的體現(xiàn)。ZoomEye 通過全球部署的 1000+ 節(jié)點(diǎn)對(duì)全球網(wǎng)絡(luò)空間資產(chǎn)進(jìn)行 7×24 小時(shí)不間斷資產(chǎn)測(cè)繪，通過十幾年的積累，目前擁有100 億網(wǎng)絡(luò)空間測(cè)繪數(shù)據(jù)。

　　2. 云監(jiān)測(cè)：覆蓋全球的安全風(fēng)險(xiǎn)監(jiān)測(cè)數(shù)據(jù)

　　云監(jiān)測(cè)可以理解為全球黑客信息的搬運(yùn)工，通過軟件即服務(wù)（SaaS）的部署方式，云監(jiān)測(cè)可持續(xù)不斷監(jiān)測(cè)到全球最新的網(wǎng)絡(luò)攻擊、漏洞數(shù)據(jù)、黑客指紋數(shù)據(jù)、威脅情報(bào)等數(shù)據(jù)信息。以知道創(chuàng)宇的云監(jiān)測(cè)產(chǎn)品圖譜為例，其中有對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)的 NDR 流量監(jiān)測(cè)產(chǎn)品；對(duì)網(wǎng)絡(luò)空間的威脅監(jiān)測(cè)及收集威脅數(shù)據(jù)的產(chǎn)品；監(jiān)測(cè)收集黑客指紋數(shù)據(jù)的全球黑客追蹤系統(tǒng)；監(jiān)測(cè)漏洞數(shù)據(jù)的 ScanV Max、WebSOC 等，這些產(chǎn)品形成了具有大覆蓋范圍的云監(jiān)測(cè)矩陣，產(chǎn)生了源源不斷的安全數(shù)據(jù)。

　　3. 云防御：在線防護(hù)業(yè)務(wù)系統(tǒng)產(chǎn)生的真實(shí)攻防大數(shù)據(jù)

　　通過 SaaS 形式為客戶部署 Web 應(yīng)用防火墻（云WAF），不僅可對(duì)客戶實(shí)施貼身防護(hù)，同時(shí)安全廠商自然獲得了大量真實(shí)的攻防數(shù)據(jù)，這些數(shù)據(jù)進(jìn)入到云端大數(shù)據(jù)平臺(tái)進(jìn)行融合，攻防信息可同時(shí)分發(fā)給所有的云端客戶，當(dāng)受到同樣類型攻擊時(shí)，可有效進(jìn)行阻斷和防護(hù)，做到“一網(wǎng)攻擊、全網(wǎng)防御”。

　　從云測(cè)繪、云監(jiān)測(cè)、云防御系列組合得到的攻防大數(shù)據(jù)，與 AI 算法和模型相結(jié)合，可被用于對(duì)異常風(fēng)險(xiǎn)的發(fā)現(xiàn)和自動(dòng)化處置。通過數(shù)據(jù)生產(chǎn)引擎、AI 智能分析引擎，基于場(chǎng)景優(yōu)化的深度學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)技術(shù)和算法，可對(duì)異常行為進(jìn)行特征分析，如異常的登錄、偏離度較大的異常行為等。同時(shí)，針對(duì)不同業(yè)務(wù)場(chǎng)景收集網(wǎng)絡(luò)攻擊情報(bào)，根據(jù)安全大數(shù)據(jù)生成不同的風(fēng)險(xiǎn)策略模型，將其同步到實(shí)時(shí)攻擊行為特征的策略模型中，當(dāng)識(shí)別到遭遇同一特征模型的風(fēng)險(xiǎn)時(shí)，可做到即時(shí)識(shí)別并攔截。

　　在安全大數(shù)據(jù) +AI 技術(shù)的互相促進(jìn)下，源源不斷的安全大數(shù)據(jù)可讓網(wǎng)絡(luò)安全體系更具“彈性”。越來越智能的網(wǎng)絡(luò)安全體系，可更加靈敏的感知異常、自動(dòng)化響應(yīng)和快速處置，讓網(wǎng)絡(luò)具備較強(qiáng)的運(yùn)營(yíng)連續(xù)性、組織韌性和良好的業(yè)務(wù)彈性。