当前网络与信息安全领域，正在面临着多种挑战。一方面，企业和组织安全体系架构的日趋复杂，各种类型的安全数据越来越多，传统的分析能力明显力不从心;另一方面，新型威胁的兴起，内控与合规的深入，传统的分析方法存在诸多缺陷，越来越需要分析更多的安全信息、并且要更加快速的做出判定和响应。 信息安全 也面临大数据带来的挑战。

如何鉴别所谓的大数据安全分析是真的呢?在摩根大通、 美林 、 英特尔 、 IBM 等公司安全部门供职过的Ron Bennatan给了5个鉴别方法。

大数据安全分析应运而生。在今天的安全分析行业，大数据是一个热门词汇，但很多客户还是持怀疑态度。因为很多公司花了数十年的时间建“数据湖”后才发现不能通过“泄湖”得到一些有用的东西。

今天的解决方案通常包括昂贵的集群加上静态的商业智能报告以及看上去不错、但实际作用不大的可视化仪表盘。

着眼于分析和如何应用有价值的数据来得到实时决策、发现关键模式、决定持续性的和不断变化的安全政策，大幅提高安全性，这才是有用的。

看看谷歌、亚马逊、Netflix这样的公司就能认识到，通过对具有3v(velocity, variety and volume)的数据集进行实时挖掘，大数据可以成为商业成功的推动者。这些公司使用大数据预测分析，来识别出你想要买或者看些什么，这才是真正有用的安全分析模型。

如果遇到有供应商告诉你他们会提供大数据安全技术，这里有5个测试，来帮助你确定他们是不是真的使用了大数据技术。

1、你的大数据解决方案只针对“3v”数据吗?

如果只是解决处理速度、数据类型和数据量的问题，那么大数据系统可能比SIEM(安全信息和事件管理)更高效，但它会是大数据存储的陷阱。你的供应商需要与你讨论贝叶斯理论,回归、分类算法、维度问题，来确保大数据是真正可操作，可预测的。

2、当你问“安全分析”是什么意思的时候你会得到什么答案?

如果你听到相关性、仪表板、查询和alerts，注意，这些都是老的词汇。 你需要听到机器学习库、多维数据集、余弦矩阵等。一切都是基于大数定律/异常值——这种技术要利用大量的数据和大量的历史来自动建造东西(不断更精确)，而不是一个人需要盯着静态聚合数据或手动定义明确的安全策略。

3、你的安全分析系统关闭了反馈回路吗?

分析不是报告，分析只能帮助你做出决定。安全分析不是“事后”，他们利用历史信息来改善。例如查找分析、,修改您的实时监测、告诉你排除、关注、而不只是给你发送警报。当谈到智能安全分析,增加大量的数据与相应的算法显著提高了分析和决策一直有用的系统。

4、数据集群是否越来越大?

大数据世界有时候很疯狂，可能添加了大量数据和各种复杂维度，但得到的却很少，你今天赚到了钱不代表你明天也会赚钱，而且既然我们的目标要从许多时间和来源汇总数据，你还要确保成本和数据是匹配的。一般来说,更多的数据会产生更好的效果，但如果打破一定的边界数据也会变的无用。你应该寻找平台，有效地扩展。寻找那些使用NoSQL的方法、柱状数据域和一个内存中的分布式并行处理架构系统。一个有效的系统不应该要求一个节点几TB的数据 - 的比率必须要高得多。

5、你的数据管理架构面对大量的数据是否灵活?

大数据具有多种层次和许多选项,这将帮助你和一些可以削弱你的复杂性。大数据提供了一个丰富的信息通过支持多种数据类型。大数据经历了许多代非常快,因此,它是重要为你寻找压力简单的现代数据的方法,例如那些将大数据与JSON(Javascript对象表示法)作为一个灵活的数据格式。