隨著移動(dòng)互聯(lián)網(wǎng)、虛擬化、云計(jì)算等新技術(shù)在企業(yè)內(nèi)的廣泛應(yīng)用，企業(yè)內(nèi)部安全架構(gòu)日趨復(fù)雜，呈現(xiàn)動(dòng)態(tài)多變、邊界模糊、安全數(shù)據(jù)龐大且無(wú)序等特點(diǎn)。而且隨著各類新型未知威脅的大量出現(xiàn)，傳統(tǒng)的以被動(dòng)防御為中心、基于規(guī)則匹配的安全設(shè)備對(duì)于長(zhǎng)期的、大規(guī)模的、實(shí)時(shí)的分析明顯力不從心。大量的未知威脅可以繞過(guò)這類以特征檢測(cè)為核心檢測(cè)手段的傳統(tǒng)安全防護(hù)設(shè)備，如APT攻擊、零日漏洞攻擊等。這些安全問(wèn)題在給企業(yè)的安全運(yùn)營(yíng)帶來(lái)極大的威脅，同時(shí)也導(dǎo)致了安全數(shù)據(jù)的數(shù)量、種類迅速增長(zhǎng)，不僅帶來(lái)了海量異構(gòu)數(shù)據(jù)的融合、存儲(chǔ)和管理的問(wèn)題，甚至對(duì)傳統(tǒng)的安全分析技術(shù)產(chǎn)生了強(qiáng)有力的沖擊。

當(dāng)前，絕大多數(shù)的安全分析技術(shù)都是針對(duì)小數(shù)據(jù)量設(shè)計(jì)的，在面對(duì)海量數(shù)據(jù)時(shí)難以發(fā)揮作用，這就導(dǎo)致了新的攻擊手段出現(xiàn)后，現(xiàn)有的安全分析技術(shù)難以在短時(shí)間內(nèi)進(jìn)行檢測(cè)和追溯。攻擊方總是想方設(shè)法去突破原有的攻擊思路，創(chuàng)新攻擊技術(shù)和手段，從而達(dá)到攻陷對(duì)手的目的。而防守方面對(duì)變化莫測(cè)、創(chuàng)新不斷的攻擊，很難找到統(tǒng)一的、行之有效的方案來(lái)主動(dòng)應(yīng)對(duì)攻擊，更多的時(shí)候只能被動(dòng)挨打。安全數(shù)據(jù)的大數(shù)據(jù)化、以及傳統(tǒng)安全分析技術(shù)所面臨的挑戰(zhàn)和發(fā)展趨勢(shì)，都預(yù)示著大數(shù)據(jù)分析將成為解決企業(yè)信息安全問(wèn)題的重要手段。

當(dāng)前，業(yè)界已經(jīng)出現(xiàn)了將大數(shù)據(jù)分析技術(shù)應(yīng)用于企業(yè)信息安全的技術(shù)——大數(shù)據(jù)安全分析（Big Data Security Analysis，簡(jiǎn) 稱 BDSA）。 借助大數(shù)據(jù)安全分析技術(shù)，企業(yè)能夠更好地解決海量安全數(shù)據(jù)的采集、存儲(chǔ)和分析問(wèn)題，借助基于大數(shù)據(jù)分析技術(shù)的機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘算法，能夠更加智能地洞悉信息與網(wǎng)絡(luò)安全的態(tài)勢(shì)，更加主動(dòng)、彈性地去應(yīng)對(duì)新型復(fù)雜的威脅和未知多變的風(fēng)險(xiǎn)；能夠及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)中已經(jīng)發(fā)生或正在發(fā)生的未知威脅，對(duì)威脅進(jìn)行快速的回溯和定性，輕松分辨出APT攻擊和普通網(wǎng)絡(luò)攻擊，洞察未知威脅，為企業(yè)提供持續(xù)有效的安全支持。

展望未來(lái)，大數(shù)據(jù)安全分析將會(huì)全面應(yīng)用于APT攻擊檢測(cè)、0day惡意代碼分析、網(wǎng)絡(luò)取證分析、網(wǎng)絡(luò)異常流量檢測(cè)、大規(guī)模用戶行為分析、安全情報(bào)分析、信譽(yù)服務(wù)、代碼安全分析等多個(gè)網(wǎng)絡(luò)安全領(lǐng)域，特別是對(duì)傳統(tǒng)的SOC（Security Operations Center，安全運(yùn)營(yíng)中心）平臺(tái)將會(huì)產(chǎn)生顛覆性的影響。

SOC平臺(tái)是指以資產(chǎn)為核心、以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。安全管理平臺(tái)的核心之一便是安全信息與事件管理，也稱作SIEM（Security Information and Event Management）系統(tǒng)。通常，SIEM為來(lái)自企業(yè)和組織中所有IT資源(包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用)產(chǎn)生的安全信息(包括日志、告警等)進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析，對(duì)來(lái)自外部的入侵和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告，實(shí)現(xiàn)IT資源合規(guī)性管理的目標(biāo)，同時(shí)提升企業(yè)和組織的安全運(yùn)營(yíng)、威脅管理和應(yīng)急響應(yīng)能力。一般的SIEM系統(tǒng)都具有安全事件的采集、范化、存儲(chǔ)、分析、展示等幾個(gè)過(guò)程，而這與大數(shù)據(jù)分析的收集、存儲(chǔ)、分析和可視化過(guò)程是完全相同的，因此，SIEM天然具有應(yīng)用大數(shù)據(jù)分析技術(shù)的特質(zhì)。

安全管理平臺(tái)的一個(gè)重要發(fā)展趨勢(shì)就是采集的安全數(shù)據(jù)種類越來(lái)越多，不僅包含傳統(tǒng)的資產(chǎn)和事件信息，還納入了漏洞信息、性能信息、流量信息、配置信息、業(yè)務(wù)信息等，與此同時(shí)，安全數(shù)據(jù)的產(chǎn)生速率和總量也在急速增長(zhǎng)，企業(yè)用戶亟需安全管理平臺(tái)提供更加精確的安全分析研判和問(wèn)題定位、更加快速的安全應(yīng)急響應(yīng)處置。這些迫切需求，都會(huì)促進(jìn)安全管理平臺(tái)引入大數(shù)據(jù)分析技術(shù)。