【BDTC 2015】大数据安全分论坛：数据驱动安全

2015年12月10-12日，由中国计算机学会（CCF）主办，CCF大数据专家委员会承办，中国科学院计算技术研究所、北京中科天玑科技有限公司与CSDN共同协办，以“数据安全、深度分析、行业应用”为主题的 2015中国大数据技术大会 （Big Data Technology Conference 2015，BDTC 2015）在北京新云南皇冠假日酒店盛大开幕。

在12日下午的大数据安全分论坛上，来自阿里巴巴数据安全部阿里数据安全小组总监郑斌、腾讯安全云部助理总经理李旭阳、奇虎360高级技术经理张卓、明略数据技术合伙人杨威、启明星辰资深研究员周涛、中移软件大数据分析与挖掘工程师高家凤及同事沈洁、数美公司联合创始人兼CTO梁堃和众多参会者共聚一堂，就大数据安全领域的话题展开主题分享。

下午13点30，大数据安全论坛，在启明星辰首席战略官潘柱廷的主持下正式开始。

启明星辰首席战略官 潘柱廷

奇虎360高级技术经理张卓：数据驱动安全

奇虎360高级技术经理张卓在《数据驱动安全》的主题演讲中表示高级攻击手法已对现有体系发起了挑战，而特征码技术很难有效检测当前威胁，且以边界安全为主构建的体系也已失效。加大防御速度、缺乏互联网数据是当前安全防范的两大难点。

奇虎360高级技术经理 张卓

空间换时间是张卓提出的应对策略，即只有将本地数据与互联网海量多维数据进行关联，针对性的分析和挖掘，才能真正有效解决快速发现各类威胁的难题，也才能针对威胁进行回溯、研判与拓展。接下来他解释了什么是安全数据，示例展示了可视化分析的重要性，并表示奇虎360首次将深度学习引入到安全领域，用来内网资产识别、资产识别、内网资产划分、告警日志数据的分析等，目前Paper已成功入选国际顶级安全会议Black Hat 2015，并提交申请国内国外专利各一项。

启明星辰资深研究员周涛：在安全分析中如何规避“大” 数据分析

启明星辰资深研究员周涛分享的焦点是关注“在安全分析中如何规避“大” 数据分析”，他首先对企业安全大数据做了介绍，包括安全大数据的成因和特点以及安全大数据带来的挑战，他认为，目前攻击的方式发生了变化，从原来的常规恶意代码到现在的由APT引发的data breach，主要的应对之策是改变事件处置响应的被动模式，从更基础的数据中主动发现威胁。

周涛给出了两种解决方案，他都做了详细的介绍，方案一，利用内部威胁情报实现数据浓缩，方案二是利用异常检测技术减量和降维。另外，他还重点强调了关于威胁情报的几个误区：包括误区1：威胁情报只能依靠互联网公司或产业联盟来提供，真相是威胁情报有外部和内部之分；从自身数据中提取的情报更有价值；误区2：有了威胁情报就能对抗未知威胁，真相：情报是攻击的指征(Indicator)而非特征(Signature)，缺乏完善的数据支撑和基础检测分析能力，情报将难以发挥价值；误区3：威胁情报就是处理原始数据的滤网，对情报的使用方式是单向的，真相：要利用情报过滤数据，再从过滤的结果中发掘新情报，情报和数据间存在双向互动的过程。

启明星辰资深研究员 周涛

中移软件大数据分析与挖掘工程师高家凤及同事沈洁：电信运营商信息安全算法研究和应用实践

中移软件大数据分析与挖掘工程师高家凤及同事沈洁共同分享了《电信运营商信息安全算法研究和应用实践》主题演讲。高家凤表示拦截骚扰诈骗电话和垃圾短信，之前基于统计和业务人员经验的传统治理方法高成本且低效率，如何利用大数据更高效完成该工作，高家凤展示了中国移动基于算法和模型的大数据试验流程。治理不良信息的大数据平台包含平台层、算法层、应用层，可提供强大的数据据处理能务，提升信息安全工作整体价值，用到了Hadoop Spark等开源技术。

沈洁接着展示了中移动针对海量骚扰电话、垃圾短信等各种不良信息，提出的解决方案，即基于BC-Hadoop实现不良信息统一存储，提供统一计算框架，BC-PDM实现各种文本分析算法，包括聚类、分类等，实现不良信息自动化决策支持。最后还分享了信息安全应用实践，涉及到分类模型与不良信息实践、文本挖掘、文本与电话的联动分析、社会网络分析、融合社会网络分析等领域。

中移软件大数据分析与挖掘工程师 高家凤

中移软件大数据分析与挖掘工程师 沈洁

明略技术合伙人杨威：构建安全的企业级大数据平台

明略技术合伙人杨威演讲的主题是“构建安全的企业级大数据平台”，他表示目前的目前企业安全面临的风险不仅来自企业外部，还来自内部以及数据风险和服务风险，他介绍了Hadoop平台“安全”的两个方面既要安全又要可靠，他重点介绍了缺乏安全配置的Hadoop平台有哪些隐患，包括：SIMPLE的身份验证机制 ，nobody都可以冒充superuser；基于Linux用户组信息的文件访问控制，本地权限可被恶意用户利用；不经授权的数据访问和粗粒度的数据访问控制， 不经授权的获取关键数据；不设防的底层文件存储，会导致偷走文件即偷走了数据内容。

明略技术合伙人 杨威

阿里巴巴数据安全部阿里数据安全小组总监郑斌：大数据下的数据安全

阿里巴巴数据安全部阿里数据安全小组总监郑斌在《大数据下的数据安全》主题演讲中表示以数据流控制为中心的IT时代正走向以数据共享为基础、激活生产力为目的的DT时代，而大数据是新的生产要素，互联网+的新基础设施云网端（云：云计算、大数据；网：互联网、物联网；端：终端，APP）正激活大数据。

他表示数据安全面临着来自新技术、政策方面的风险，过去的安全防护方案无法满足大数据业务、技术要求，甚至成为瓶颈。新的安全挑战，需要新的安全解决方案，阿里针对这些挑战进行了哪些安全实践？郑斌表示主要从用户、商密两个方面进行数据保护，遵从国家安全法律要求、用户和商业数据保护、SEC，有逐渐完善的组织保障和集团与BU协同的工作机制，制定了《阿里巴巴集团数据安全管理规范（总纲）》，同时对技术框架进行了展示与详解。

阿里巴巴数据安全部阿里数据安全小组总监 郑斌

腾讯安全云部助理总经理李旭阳：大数据打击社工诈骗

来自腾讯安全云部助理总经理李旭阳发表的演讲主题是“大数据打击社工诈 骗”，他首先介绍了安全其实包括三个方面，包括针对舆情、暴恐、间谍的 国家安全方面；针对信息安全，各种业务安全的企业安全方面；以及针对信息泄露，社区诈骗的公众安全。虽然解决的方法很多，包括多维度数据收集、有效维度的筛选、机器学习等 ，但是目前对于社工诈骗效果不太好，所以腾讯将以前用在业务安全上面的方法用在社工诈骗上，效果不错，他们的方法称为染色，包括顺藤摸瓜和找 贼窝，另外，在对抗阶段需要注意保密、干扰对方等方法论。最后，他详细介绍了大数据评估体系。

腾讯安全云部助理总经理 李旭阳

数美公司联合创始人兼CTO梁堃：Sentry金融实时风控系统

数美公司联合创始人兼CTO梁堃在主题演讲中介绍了Sentry金融实时风控系统。他表示实时风控系统对于银行业继续保持高速发展越来越重要。Sentry金融实时风控系统是基于大数据技术构建的实时交易风险评估系统。其工作过程是，在每一笔交易发生时，实时进行（1）业务系统将交易信息发送风控系统；（2）发现该交易中存在的异常行为和可疑场景；（3）根据发现的“证据”计算该交易的风险系数；（4）将风险系数等相关信息反馈给业务系统。Sentry使用的开源组件有分布式存储系统Cassandra、实时计算系统 Storm、 分布式一致性协议的实现ZooKeeper。

其中，梁堃重点介绍了Sentry的整体架构模块图和特点，在Sentry的实施阶段，主要有三个阶段：第一阶段：基于规则的欺诈交易识别；Sentry实施的第二阶段：基于机器学习 ＋ 规则的欺诈交易识别；Sentry实施的第三阶段：长期改进阶段。对于第二阶段，梁堃表示首先通过实时在线训练和批量训练来训练神经网络，随着训练样本的训练时长的增加，机器学习模型会越来越准，然后平滑过渡到机器学习为主，规则为辅的状态。

数美公司联合创始人兼CTO 梁堃