在網(wǎng)絡安全領(lǐng)域，將人工智能技術(shù)融入安全產(chǎn)品已成為數(shù)字時代下安全發(fā)展的新趨勢，兩者的有效結(jié)合能夠加強網(wǎng)絡風險的自動化預測、識別、響應、處置能力。但人工智能技術(shù)需有效融入安全產(chǎn)品，對網(wǎng)絡風險進行自動化的預測、識別、響應、處置，AI 算法和模型必須獲取到海量且多維的安全大數(shù)據(jù)，不斷地進行“訓練”和“驗證”，才能進行有效的“思考”和作出最優(yōu)的“決策”，得以實時進化，方能具備真正的智能安全。

　　一、安全大數(shù)據(jù)的特點

　　網(wǎng)絡安全領(lǐng)域的大數(shù)據(jù)不同于普通大數(shù)據(jù)，它的獲取渠道、獲取難度、數(shù)據(jù)關(guān)注維度都有自己鮮明的特點。傳統(tǒng)的消費領(lǐng)域大數(shù)據(jù)，關(guān)注的更多是企業(yè)、個體的商業(yè)和生活行為，透過交易特征、消費偏好、行動軌跡等，去判斷背后的交易喜好、生活和消費習慣，從而變現(xiàn)商業(yè)價值。這涉及很多個人隱私，也成為“大數(shù)據(jù)之殤”，成為監(jiān)管的重點。

　　1. 不同于普通大數(shù)據(jù)，不涉及用戶隱私

　　安全大數(shù)據(jù)不關(guān)注上述商業(yè)行為和個人隱私，而更關(guān)注那些網(wǎng)絡“作惡者”在網(wǎng)絡上的行為，更關(guān)注安全風險和異常。如關(guān)注哪些數(shù)據(jù)是惡意攻擊行為，是否在做黑產(chǎn)交易，是否為分布式拒絕服務攻擊（DDoS）攻擊，是否為爬蟲行為等。

　　2. 關(guān)注“安全治理、安全風險”

　　安全大數(shù)據(jù)更加關(guān)注與網(wǎng)絡空間安全治理、網(wǎng)絡安全風險相關(guān)的大數(shù)據(jù)，關(guān)注黑客、行為、資產(chǎn)。涉及網(wǎng)絡安全風險相關(guān)的數(shù)據(jù)，對于運營主體的數(shù)據(jù)安全、合規(guī)性、資產(chǎn)安全、業(yè)務安全都是非常重要的參考和響應處置的依據(jù)。

　　3. 安全大數(shù)據(jù)關(guān)注的細分維度

　　在實際中，安全大數(shù)據(jù)可分為以下三個方面。攻擊行為數(shù)據(jù)，如攻擊的具體類型，攻擊者習慣使用的平臺、工具，語言等，從而對攻擊者的攻擊行為進行相應判斷。攻擊者畫像數(shù)據(jù)，主要是攻擊留下的痕跡等多維數(shù)據(jù)信息，據(jù)此判斷攻擊者的類型，對攻擊者進行畫像，這需要多維數(shù)據(jù)作為參考，進行綜合分析，輔助一定時間的數(shù)據(jù)積累。資產(chǎn)數(shù)據(jù)，通過網(wǎng)絡空間測繪或漏洞掃描可以獲取到互聯(lián)網(wǎng)的資產(chǎn)數(shù)據(jù)，也可以獲得企業(yè)內(nèi)部的已知或未知的網(wǎng)絡資產(chǎn)數(shù)據(jù)。

　　二、安全大數(shù)據(jù)的獲取渠道

　　安全大數(shù)據(jù)從哪里獲??？對于本地化部署的網(wǎng)絡安全解決方案，由于安全設(shè)備部署在用戶現(xiàn)場，只能在用戶本地根據(jù)客戶需求和許可，對數(shù)據(jù)進行采集、分析，無法獲取到真正的安全大數(shù)據(jù)。而且，僅僅單個用戶的安全數(shù)據(jù)，量級較小、維度單一，不利于機器學習算法和模型的優(yōu)化和調(diào)優(yōu)。

　　對于互聯(lián)網(wǎng)企業(yè)和 SaaS 部署的安全企業(yè)，由于安全產(chǎn)品部署在云上，所有部署其 SaaS 安全產(chǎn)品的用戶，其安全數(shù)據(jù)（如攻擊行為、活動軌跡、IP 信息、資產(chǎn)信息等）都會直接同步到云端數(shù)據(jù)中心，形成海量安全大數(shù)據(jù)，并不斷投喂給機器學習算法模型進行實時分析，從而進一步自動調(diào)整算法，讓安全能力實時進化提升。

　　目前，能夠獲取安全大數(shù)據(jù)的主要渠道有：云測繪、云監(jiān)測、云防御和安全探針類的云端設(shè)備和平臺。

　　1. 云測繪：全球網(wǎng)絡空間測繪獲取的大量 IP資產(chǎn)數(shù)據(jù)

　　網(wǎng)絡空間資產(chǎn)測繪對象主要集中在 IPv4、IPv6、域名、暗網(wǎng)等方面，以知道創(chuàng)宇的網(wǎng)絡空間資產(chǎn)測繪項目 ZoomEye （鐘馗之眼）為例，迄今為止收集了超 30 個億的 IPv6 地址并進行測繪。

　　獲取數(shù)據(jù)的核心能力包括很多細節(jié)，如此多的數(shù)據(jù)需要部署大量的探測節(jié)點，那么就存在各種“對抗”的問題，節(jié)點會被“禁止”等，而解決這些問題正是獲取數(shù)據(jù)能力的體現(xiàn)。ZoomEye 通過全球部署的 1000+ 節(jié)點對全球網(wǎng)絡空間資產(chǎn)進行 7×24 小時不間斷資產(chǎn)測繪，通過十幾年的積累，目前擁有100 億網(wǎng)絡空間測繪數(shù)據(jù)。

　　2. 云監(jiān)測：覆蓋全球的安全風險監(jiān)測數(shù)據(jù)

　　云監(jiān)測可以理解為全球黑客信息的搬運工，通過軟件即服務（SaaS）的部署方式，云監(jiān)測可持續(xù)不斷監(jiān)測到全球最新的網(wǎng)絡攻擊、漏洞數(shù)據(jù)、黑客指紋數(shù)據(jù)、威脅情報等數(shù)據(jù)信息。以知道創(chuàng)宇的云監(jiān)測產(chǎn)品圖譜為例，其中有對網(wǎng)絡流量數(shù)據(jù)進行監(jiān)測的 NDR 流量監(jiān)測產(chǎn)品；對網(wǎng)絡空間的威脅監(jiān)測及收集威脅數(shù)據(jù)的產(chǎn)品；監(jiān)測收集黑客指紋數(shù)據(jù)的全球黑客追蹤系統(tǒng)；監(jiān)測漏洞數(shù)據(jù)的 ScanV Max、WebSOC 等，這些產(chǎn)品形成了具有大覆蓋范圍的云監(jiān)測矩陣，產(chǎn)生了源源不斷的安全數(shù)據(jù)。

　　3. 云防御：在線防護業(yè)務系統(tǒng)產(chǎn)生的真實攻防大數(shù)據(jù)

　　通過 SaaS 形式為客戶部署 Web 應用防火墻（云WAF），不僅可對客戶實施貼身防護，同時安全廠商自然獲得了大量真實的攻防數(shù)據(jù)，這些數(shù)據(jù)進入到云端大數(shù)據(jù)平臺進行融合，攻防信息可同時分發(fā)給所有的云端客戶，當受到同樣類型攻擊時，可有效進行阻斷和防護，做到“一網(wǎng)攻擊、全網(wǎng)防御”。

　　從云測繪、云監(jiān)測、云防御系列組合得到的攻防大數(shù)據(jù)，與 AI 算法和模型相結(jié)合，可被用于對異常風險的發(fā)現(xiàn)和自動化處置。通過數(shù)據(jù)生產(chǎn)引擎、AI 智能分析引擎，基于場景優(yōu)化的深度學習的神經(jīng)網(wǎng)絡技術(shù)和算法，可對異常行為進行特征分析，如異常的登錄、偏離度較大的異常行為等。同時，針對不同業(yè)務場景收集網(wǎng)絡攻擊情報，根據(jù)安全大數(shù)據(jù)生成不同的風險策略模型，將其同步到實時攻擊行為特征的策略模型中，當識別到遭遇同一特征模型的風險時，可做到即時識別并攔截。

　　在安全大數(shù)據(jù) +AI 技術(shù)的互相促進下，源源不斷的安全大數(shù)據(jù)可讓網(wǎng)絡安全體系更具“彈性”。越來越智能的網(wǎng)絡安全體系，可更加靈敏的感知異常、自動化響應和快速處置，讓網(wǎng)絡具備較強的運營連續(xù)性、組織韌性和良好的業(yè)務彈性。