在網絡安全領域，將人工智能技術融入安全產品已成為數字時代下安全發展的新趨勢，兩者的有效結合能夠加強網絡風險的自動化預測、識別、響應、處置能力。但人工智能技術需有效融入安全產品，對網絡風險進行自動化的預測、識別、響應、處置，AI 算法和模型必須獲取到海量且多維的安全大數據，不斷地進行“訓練”和“驗證”，才能進行有效的“思考”和作出最優的“決策”，得以實時進化，方能具備真正的智能安全。

　　一、安全大數據的特點

　　網絡安全領域的大數據不同于普通大數據，它的獲取渠道、獲取難度、數據關注維度都有自己鮮明的特點。傳統的消費領域大數據，關注的更多是企業、個體的商業和生活行為，透過交易特征、消費偏好、行動軌跡等，去判斷背后的交易喜好、生活和消費習慣，從而變現商業價值。這涉及很多個人隱私，也成為“大數據之殤”，成為監管的重點。

　　1. 不同于普通大數據，不涉及用戶隱私

　　安全大數據不關注上述商業行為和個人隱私，而更關注那些網絡“作惡者”在網絡上的行為，更關注安全風險和異常。如關注哪些數據是惡意攻擊行為，是否在做黑產交易，是否為分布式拒絕服務攻擊（DDoS）攻擊，是否為爬蟲行為等。

　　2. 關注“安全治理、安全風險”

　　安全大數據更加關注與網絡空間安全治理、網絡安全風險相關的大數據，關注黑客、行為、資產。涉及網絡安全風險相關的數據，對于運營主體的數據安全、合規性、資產安全、業務安全都是非常重要的參考和響應處置的依據。

　　3. 安全大數據關注的細分維度

　　在實際中，安全大數據可分為以下三個方面。攻擊行為數據，如攻擊的具體類型，攻擊者習慣使用的平臺、工具，語言等，從而對攻擊者的攻擊行為進行相應判斷。攻擊者畫像數據，主要是攻擊留下的痕跡等多維數據信息，據此判斷攻擊者的類型，對攻擊者進行畫像，這需要多維數據作為參考，進行綜合分析，輔助一定時間的數據積累。資產數據，通過網絡空間測繪或漏洞掃描可以獲取到互聯網的資產數據，也可以獲得企業內部的已知或未知的網絡資產數據。

　　二、安全大數據的獲取渠道

　　安全大數據從哪里獲?。繉τ诒镜鼗渴鸬木W絡安全解決方案，由于安全設備部署在用戶現場，只能在用戶本地根據客戶需求和許可，對數據進行采集、分析，無法獲取到真正的安全大數據。而且，僅僅單個用戶的安全數據，量級較小、維度單一，不利于機器學習算法和模型的優化和調優。

　　對于互聯網企業和 SaaS 部署的安全企業，由于安全產品部署在云上，所有部署其 SaaS 安全產品的用戶，其安全數據（如攻擊行為、活動軌跡、IP 信息、資產信息等）都會直接同步到云端數據中心，形成海量安全大數據，并不斷投喂給機器學習算法模型進行實時分析，從而進一步自動調整算法，讓安全能力實時進化提升。

　　目前，能夠獲取安全大數據的主要渠道有：云測繪、云監測、云防御和安全探針類的云端設備和平臺。

　　1. 云測繪：全球網絡空間測繪獲取的大量 IP資產數據

　　網絡空間資產測繪對象主要集中在 IPv4、IPv6、域名、暗網等方面，以知道創宇的網絡空間資產測繪項目 ZoomEye （鐘馗之眼）為例，迄今為止收集了超 30 個億的 IPv6 地址并進行測繪。

　　獲取數據的核心能力包括很多細節，如此多的數據需要部署大量的探測節點，那么就存在各種“對抗”的問題，節點會被“禁止”等，而解決這些問題正是獲取數據能力的體現。ZoomEye 通過全球部署的 1000+ 節點對全球網絡空間資產進行 7×24 小時不間斷資產測繪，通過十幾年的積累，目前擁有100 億網絡空間測繪數據。

　　2. 云監測：覆蓋全球的安全風險監測數據

　　云監測可以理解為全球黑客信息的搬運工，通過軟件即服務（SaaS）的部署方式，云監測可持續不斷監測到全球最新的網絡攻擊、漏洞數據、黑客指紋數據、威脅情報等數據信息。以知道創宇的云監測產品圖譜為例，其中有對網絡流量數據進行監測的 NDR 流量監測產品；對網絡空間的威脅監測及收集威脅數據的產品；監測收集黑客指紋數據的全球黑客追蹤系統；監測漏洞數據的 ScanV Max、WebSOC 等，這些產品形成了具有大覆蓋范圍的云監測矩陣，產生了源源不斷的安全數據。

　　3. 云防御：在線防護業務系統產生的真實攻防大數據

　　通過 SaaS 形式為客戶部署 Web 應用防火墻（云WAF），不僅可對客戶實施貼身防護，同時安全廠商自然獲得了大量真實的攻防數據，這些數據進入到云端大數據平臺進行融合，攻防信息可同時分發給所有的云端客戶，當受到同樣類型攻擊時，可有效進行阻斷和防護，做到“一網攻擊、全網防御”。

　　從云測繪、云監測、云防御系列組合得到的攻防大數據，與 AI 算法和模型相結合，可被用于對異常風險的發現和自動化處置。通過數據生產引擎、AI 智能分析引擎，基于場景優化的深度學習的神經網絡技術和算法，可對異常行為進行特征分析，如異常的登錄、偏離度較大的異常行為等。同時，針對不同業務場景收集網絡攻擊情報，根據安全大數據生成不同的風險策略模型，將其同步到實時攻擊行為特征的策略模型中，當識別到遭遇同一特征模型的風險時，可做到即時識別并攔截。

　　在安全大數據 +AI 技術的互相促進下，源源不斷的安全大數據可讓網絡安全體系更具“彈性”。越來越智能的網絡安全體系，可更加靈敏的感知異常、自動化響應和快速處置，讓網絡具備較強的運營連續性、組織韌性和良好的業務彈性。