向大数据的“故纸堆”要平安

再让我们回到小说的剧情中，安在天为什么要去找阿炳？因为701是一个负责无线电侦听和破译的情报机构，长期以来一直在侦听台湾本岛与潜伏大陆的特务、残余部队的无线电联络，但在剿匪行动的关键时刻，所有的无线电台一夜之间都神秘失踪了，上百部电台失踪了，上千套频率变了，一下子要找到谈何容易！

天赋异禀的阿炳有着异于常人的听力，不到一个月的时间，他找到了86部电台1516套频率，但遗憾的是，还有12部电台没有找到，阿炳却也没有了别的什么好办法。一筹莫展之际，安在天让阿炳听了三天三夜的资料录音带，找出了敌人70多名报务员的“手迹（手动发报的习惯特征）”，并以此顺藤摸瓜，在浩如烟海的电台中，阿炳正是依靠辨识手迹，硬是超乎寻常的找到了深深一场在老旧的、不起眼的电台信号里的16部高度机密的高层电台。

为什么要讲这个片段？因为在这个故事中，阿炳所表现出的能力，他所担负的角色，便是如今在企业级安全市场的安全厂商们要做的事。

有一句老话说得好：风过留声，雁过留痕。

只要是做过的事情，或多或少都会留下一些蛛丝马迹，任何对企业构成安全威胁的行为和事件，在进行前期准备、对企业的IT系统进行试探的时候，或是会留下痕迹，或是会产生余波，总之，是不会百分百干干净净的全身而退的，而这些痕迹或是余波，都悉数藏匿在企业IT系统的日志之中。

这就意味着，企业可以通过对大量历史日志和安全信息进行的机器学习与算法分析，侦测出企业IT环境中存在的异常行为模式和隐藏的威胁，结合这些分析结构，针对盗窃数据/账号、数据泄露、APT攻击、Web端异常访问和网络欺诈等安全问题，做到未雨绸缪——这正是瀚思力图带给自身客户的最大价值，带给安全行业的变革性安全防护新思路。

我们可以做一个简单的类比：安在天给阿炳听的那三天三夜的资料录音带，就是如今企业安全团队日复一日记录下来的IT系统日志；可以辨识“手迹”的阿炳就是致力于大数据安全的厂商，被阿炳作为推断证据的“手迹”，就是日志中的余波和痕迹；那16部隐藏极深的高度机密的高层电台，就是对企业的安全造成极大威胁的破坏者、潜伏者和攻击者们。

因此被企业CIO或IT管理者忽略的“故纸堆”——日志，将能够发挥极大的作用，这一曾经“食之无味，弃之可惜”的“隐形（安全）宝藏”，将在以大数据安全为核心的企业安全策略中发挥巨大的作用：传统以防御为核心（Signature Based）的安全策略已经过时， 信息安全正在变成一个大数据分析问题，大规模的安全数据需要被有效地关联、分析和挖掘。

安全的生意 企业的防线 (责任编辑：liangzh)