2014年成立的HanSight瀚思是一家专注于大数据安全分析平台的公司，为企业信息管理提供日志搜索举证，能够侦测到外部黑客攻击和高级的、隐秘的低频次内外部攻击。创立当天就拿到了光速中国创投数百万美元的天使投资，近期已拿到A轮融资。

瀚思超过9成员工都是工程师、数据分析师和安全研究员，联合创始人董昕专业技术创业两不误，曾在微软工作5年，后成为云基地旗下超云公司的联合创始人。

董昕告诉创业邦，目前的HanSight瀚思的客户包括招商银行、建设银行、中国联通、大唐电信、公安税务等对IT重度依赖的企业和机构。

从传统被动防御转向主动智能抵御

董昕说，传统以防御为核心的安全策略已经过时，信息安全正在变成一个大数据分析问题。

世界500强的企业，安全设备每天产生的报警就多达30万条，这些报警信息中，哪个是低优先级，哪个是高优先级，仅靠传统的防火墙、杀毒、扫描等方式显然不够，甚至出现错报、误报和漏报。

此外，外部攻击手段也在提升。董昕说，比如一个家庭的安全防护可以靠门和锁，进出凭钥匙，但企业发展成为一个大型超市乃至空间开放的城市时，通过摄像头来监控安全就成为必须。

HanSight瀚思就是要成为企业安全防护中的摄像头，建立一个全面、立体、主动的监控体系，而大数据+中控是核心。

用大数据驱动安全

董昕说，假设我们企业所处的信息环境是不安全的，企业就要对所有互联网行为进行检测，如果可以提前预测、计算、检测，就能适时发现异常行为，并通过对所有异常行为进行分析，最终得到响应，将危险扼杀在摇篮中。

HanSight瀚思主要从三个方面来实现大数据驱动安全的最终目的：

1.数据采集全面完整

董昕说，要保证分析结果的精准，数据源的采集就必须全面。

HanSight瀚思产品监控的是三样数据：日志、网络流量、权量抓包。

数据采集方面，HanSight瀚思自带的日志采集器，可以获取企业内部网络与安全设备日志、操作系统日志、应用日志、数据库日志或任何有时间戳的数据源，并以非格式化或半格式化抓取原始数据，保证数据信息的完整性。同时，HanSight瀚思也支持对网络流的采集。

权量抓包则以企业所有的对外数据的出口为采集对象，保证采集信息的全面性。

董昕说，这三个量级是分级的，层次递次扩大，HanSight瀚思现在主要是采集日志数据，采集数据源会随着企业量级的增加而变动。

2.数据存储量级增加

服务器、网络流量、防火墙等每天产生海量的数据信息，还包括对历史数据的保存。HanSight瀚思可以查询过去超过一月的数据信息，管理数百TB的数据量。

以招商银行为例，之前只能溯源追踪过去10个小时的网银数据，通过HanSight瀚大数据则能追踪到过去3个月，同时管理每天10亿条新增数据量级。

3.安全智能分析和多途径可视化呈现

大数据分析的数据源可能相似，但垂直分析的目标不同，将导致最终数据视角、建模模型的迥异，并最终呈现不一样的结果。

企业信息安全，在安全事件发生之前，无法提前预知，常规的算法和建模并不适用，因此要靠机器的自主学习，来实现数据的分类。

在将数据行为进行异常类、正常类、少数异常的正常类等分类之后，一旦出现异常数据，企业管理人员就能实时侦别，发出预警，及时做出反映。

创业邦了解到，HanSight瀚思产品根据不同的维度，提供可视化的时序分析、关联分析、聚类分析、图分析等，一张图上可视化每类的每天变化情况，用户可精确定位到具体IP、目的端口、时间。

以算法处理后的海量IP的长周期通讯模式图为例，用户从图上可以看出今天的某IP流量变动，然后会知道高出来的究竟是哪些，是否正常，如果不正常的话，可以及时发现开始的时间点，找到源头然后进行处理。

以以上为基础，HanSight瀚思的摄像头监测从两个方向切入：

第一是异常检测

第二是用户行为分析

举例来说，企业同一个部门的员工，日志记录基本雷同，也就是说，根据大数据采集，在可视图表中的行为表现应该基本保持一致，如果行为不一样，就表明可能存在问题。HanSight瀚思产品会对异常进行追踪，包括对历史数据的溯源，数量越大越能更加精确的判定是否是潜在的威胁。

比如常见的撞库，当用户密码泄，被盗窃者拿去其他电子金融账户，模拟真实用户登录时，HanSight瀚思产品就能在多维度建模后的运维中，发现异常行为。董昕说，很多账户资金被盗事件与撞库成功与否有直接关联。

未来的发展将是三位一体

董昕对创业邦说，未来HanSight瀚思要三位一体发展。

第一，算法的研究和产品升级，对产品进行云化，通过云化来服务中大小型企业，扩展用户。

第二，安全威胁情报库，通过一系列的安全情报报告，适时监控和预测全网的网站域名，将潜在的威胁量化，提供安全预警。

第三，SaaS服务的交付，用户场景最小化，支持标准化硬件。

产业投资内参

有价值的产业投资参考

中投顾问

产业投资咨询服务专家