本文通过介绍大数据分析在360安全大脑[1]对APT攻击分析方面的利用,展示了目前360利用大数据挖掘对已知APT攻击组织的追踪、挖掘能力。本文介绍的手段均已落实在当前的日常生产中。当前系统中追踪中的APT组织多达23个,日增量数据10T以上。文中提及的云查杀为目前360卫士、360杀毒的普通保护手段,海莲花为360首次发现的一个隐藏在我国周边长期对我国渗透、攻击的APT组织,Poseidon数据平台是360推出的一个企业级大数据合作平台,能够为安全厂商提供海量数据分析查询服务。本文通过介绍360分析APT攻击数据的来源,展示了像360这样的安全厂商是如何通过一点一滴积累形成安全大数据的;通过介绍360云查杀引擎的工作模式,展示了高风险样本文件在360云端的处理流程;通过介绍服务端数据的处理方式,展示了大数据在实际生产中的具体落地实现形式;通过介绍Poseidon系统的技术实现,展示了大数据在APT分析方面的实力体现原因;通过介绍一个普通APT追踪案例,分析大数据在做数据挖掘时需要的周边资源配合情况,展示了一个普通的数据挖掘模型是如何通过有效的交互手段,实现资源的充分利用,最终形成自动化分析工具。

• 单位
  中国人民大学