8月15-16日，作为第四届中国创业创新博览会的重要活动之一，“2019草原云谷大数据安全高峰论坛”在内蒙古乌兰察布市举办。

本次会议由国家信息中心、国家信息技术安全研究中心、中国电子技术标准化研究院、内蒙古大数据发展管理局指导，乌兰察布市人民政府主办，旨在推动乌兰察布大数据安全产业交流与合作，展示乌兰察布市大数据产业最新发展成果。围绕“草原云谷·绿色数据·安全赋能”主题，中国工程院院士倪光南、中国工程院院士沈昌祥、中国科学院院士王小云、国家信息中心首席工程师李新友、国家信息技术安全研究中心主任俞克群等专家发表了主旨演讲，来自政府、科研单位、行业等的300多人出席了本次会议。

中睿天下副总谢辉受邀出席论坛，并于8月15日发表主题演讲“攻击溯源——大数据时代网络安全的攻与防”。业界常用4个V（Volume数据体量巨大、Variety数据类型繁多、Value价值密度低、Velocity处理速度快）来概括大数据的特征。沈昌祥院士打了个形象的比喻，“大数据是钻石矿，相当于要从数据废品和垃圾收集处理中挖掘知识和本质规律。”

• 数据价值密度低：随着安全技防手段越来越丰富，安全设备数量和种类不断增加，汇集的威胁告警越来越多，安全运维人员的压力越来越大。到底哪些数据是有价值的？如何从海量告警中提取有价值的数据呢？
• 网络安全人才稀缺：以一些地方单位为例，可能没有那么强的技术力量，面临威胁告警看不懂，高级威胁防不住等难题。如何将安全力量相对集中起来，为所有单位提供专业的“人防”呢？

中睿天下从成立至今，一直致力于研究攻击溯源技术，并基于攻击溯源进行威胁监测与取证溯源。在大数据安全方面，中睿天下做了两件事情：

• 第一，在海量告警中，把最有价值的数据抽取出来，并进行成功研判，先告诉安全人员攻击成功了没有，有成功攻击了先去关注成功攻击，将工作量降到最低。
• 第二，告诉安全人员，攻击者从1号开始踩点，一直到15号都做了什么，一目了然，通过时间轴的方式展现出来，从而配合其他的安全防护设备进行拦截、响应等其他措施。

通常政府单位从大屏上监测到安全问题，一纸文件下发到地方单位，但地方单位的安全人员未必知道该做什么。而在城市级的中心建设平台，当发现某个地方单位主机有问题可直接发送到大屏幕，同时通过流量端溯源与主机端溯源取证直接提供相关的证据链，地方工作人员依据证据链再查，将应急响应时间从10个小时缩短为1个小时。

在8月16日举办的乌兰察布大数据产业政府企业对接会上，中睿天下副总谢辉再次分享“基于攻击溯源技术的云安全运营防护服务”，介绍“攻击溯源”技术当前应用的情况及成功运营的模式，并推动大数据背景下针对智慧城市的“城市级大数据安全运营服务平台”落地。

 当前，伴随“大云物移”等新技术的发展，中睿天下围绕智慧城市、智慧医疗、智慧能源等纵深行业，提供基于“攻击溯源”的网络安全监测及态势感知综合解决方案，并成功探索出“攻击溯源”的六大场景应用，包括：

• 识别0DAY等未知威胁。基于攻击者视角，将攻击知识转为防御优势，研发基于攻击伤害的威胁发现模型，覆盖上千种攻击手法，有效识别已知/未知威胁。2017年3月struts2漏洞大面积爆发时，在未做任何升级的情况下，睿眼成功检测并告警struts2漏洞利用的未知攻击成功事件。

• 攻击溯源。智能对攻击状态进行成功研判，帮助安全运维人员分辨并聚焦真正重要的攻击事件，解决海量告警处理的问题。同时对威胁进行溯源分析，详细还原整个攻击过程。

• 应对勒索病毒。Wannacry爆发期间，事前利用资产督查快速发现网络中开放危险端口的主机，事中监测发现内网发起的SMB漏洞攻击，事后利用 DNS审计监测wanacry的开关域名，快速定位中招主机。

• 主机溯源处置。当发现主机异常进行应急事件处置时，采用睿眼·终端，可快速识别windows和Linux主机中存在的木马、后门、黑客入侵痕迹等，并溯源分析还原黑客事件，让普通安全人员具备专家水平。

• 重大活动保障。各种重大活动安全保障期间，配合「睿眼」等强大的威胁检测能力及大数据分析溯源能力，中睿天下提供可管理的威胁检测与响应服务（MDR服务），包括威胁监测、威胁预警、应急响应、取证溯源等。

• 态势感知平台。引入“开关量”概念，建立起贴近一线生产的安全调度中心，通过一块可视化大屏实现“内外网安全监控”和“安全设备运行状态监控”等，实现整体的统一调度、指挥、联动等。目前，睿云·态势感知平台已在国家电网成功落地应用。