传统以防御为核心（Signature Based）的安全策略已经过时，信息安全正在变成一个大数据分析问题，大规模的安全数据需要被有效地关联、分析和挖掘。 

瀚思（HanSight）成立于2014年，以“数据驱动安全”为愿景，致力于利用大数据帮助企业解决庞杂、分立的信息安全问题。作为成立不到两年的初创公司，他们有哪些过人之处？背后又有什么样的一群人？带着这些好奇，FreeBuf走进了瀚思。

利用大数据分析发现威胁

FB：能给我们简要介绍你们的产品吗？

HanSight：瀚思下一代大数据安全分析平台可以利用企业内部所有的安全相关数据并具备下一代大数据安全分析平台需要的所有能力，包括数据采集、数据存储和安全智能分析。我们通过对大量的历史日志信息进行机器学习与算法分析来侦测出异常行为模式和隐藏的威胁，无论是外部APT攻击，还是内部人员泄密。通过过滤和分析大而复杂的数据集，洞彻最新的安全威胁的变化。

FB：大数据分析产品，获取数据源很关键，但保证用户数据安全更为关键。瀚思是如何做的？

HanSight：“你不能保护你所不知道的”，即使部署再多的安全防御设备仍然会产生“不为人知”的信息。所以一直以来信息安全被认为是只有安全专家们才能搞定的事情，对于大部分技术人员确实很难在各种不同设备产生的海量日志中发现安全事件的蛛丝马迹。

通过大数据技术，我们将不同设备产生的海量日志进行集中存储，通过数据格式的统一规整、自动归并、关联分析、机器学习等方法，自动发现威胁和异常行为，让安全分析更简单。同时通过丰富的可视化技术，将威胁及异常行为可视化呈现出来，让安全看得见。

FB：通过数据分析实现攻击或异常监控，实时性怎么样？

HanSight：不同分析场景实时性完全不一样，简单说，一部分是实时匹配过往的算法分析结果，所以是准实时的。算法本身大部分是用Intel SSE2或者GPU加速的矩阵运算类算法，速度非常地快。

1 我们分析流程走spark streaming，这个框架造成分析的延迟大在百毫秒级。
2 时间序列异常检测这种问题，数据聚类的粒度在10秒级，所以系统的延迟在10秒级。
3 用户行为异常，某些行为，比如多用户同时用一个账号这种，或者银行账号交易方是过往图分析检测出来的恶意账号，这种一样是有数据实时就能匹配。
4 网页访问异常检测基本也是实时匹配以往算法生成的规则。

FB：你们核心技术是什么？

HanSight：瀚思目前拥有安全情报、企业级大数据安全分析系统、安全即服务（SAAS）三部分业务，之所以公司定位于这三部分业务，是因为无论安全情报、企业级大数据安全分析系统还是安全即服务（SAAS）对于大数据安全都是非常重要的组成部分，三者缺一不可。

FB：在此次2015 WitAwards互联网安全年度评选中，瀚思HanSight Enterprise产品入围了奖项提名。与传统的技术相比，技术创新点在哪？

HanSight：当下，以传统防御为核心（Signature Based）的安全策略已经过时，信息安全正在变成一个大数据分析问题，大规模的安全数据需要被有效地关联、分析和挖掘。

瀚思会利用安全数据创造价值，用户数据的所有权是属于用户的，但用户可以授权给第三方开发，去创造新的价值，去返回给用户。当然，目前对数据所有权的界定问题，从立法到实践都很模糊。还有就是，有能力大规模加工数据的公司也不是很多。

因此瀚思基于大数据框架对企业的系统、应用和用户访问行为数据进行存储与分析，并采用机器学习和算法来检测异常行为，是业界公认的抵御新型外部攻击（APT，Advanced Persistent Threat）和内部人员恶意窃取核心数据（Insider Attacks）的最有效方式，可以最大限度的保护企业信息资产安全。

关于团队

FB：介绍下创始人和核心团队吧？

HanSight：瀚思创始人高瀚昭先生是信息安全与大数据领域的连续创业者和全球资深技术领导者，多年来一直致力于将前沿的大数据技术应用于信息安全相关领域，帮助企业和云上的用户实现从“被动防御”到“主动智能”的转变。在趋势科技工作过12年，从事反病毒引擎的核心研发工作，重点完成电脑病毒自动分析系统的多个版本，也包括沙盒分析、虚拟化、大数据等多种前沿技术。

瀚思创始人高瀚昭

首席科学家万晓川先生，负责瀚思前沿技术研究与核心技术架构。他是核心安全分析、算法、sandbox领域以及异常检测（Anomaly Detection）和用户行为分析（User Behavior Analysis）的世界级专家，拥有该领域多项美国专利，并积极倡导将机器学习应用于信息安全。

董昕是我们的联合创始人兼首席运营官，专注于提升公司产品、市场与运营能力。曾在微软公司工作5年，负责微软开发者关系、开发工具产品市场以及云计算等新技术的战略推动。

销售副总裁Kevin也是IT圈的资深人士了，曾在Oracle、Microsoft工作十多年，负责金融、能源、互联网等行业客户，非常熟悉企业级IT产品。更早的时候曾是电信的总工，是少有的精通技术和销售的高管。 

4、2015年即将过去，过去一年里，瀚思做了哪些工作或成绩？

HanSight：过去一年我们比较低调，主要精力放在了研发上：安全研究、大数据平台（spark, graphx、elasticsearch）和机器学习。其中基于es和spark的产品框架已经定型，也采用了微服务的架构以便于未来的扩展。算法和机器学习是我们的重中之重，有10个人的团队在做部分。也申请了多项以算法为核心的专利。安全研究我们更侧重于安全威胁情报，包括处理每天新增的全网域名，通过机器学习预测未来数小时的可疑域名。

客户层面我们运气不错，收获了诸多行业大客户，我们也发现行业对于基于大数据的安全产品非常之认同。比如招商银行、某市公安局、公安部研究所、联通等。

市场层面，我们今年先后获得了Red Herring红鲱鱼亚洲百强和全球百强。今年获得全球百强的中国公司有四家，三家toB，一家游戏，也说明全球顶级机构对中国toB市场的认可。

FB：做toB业务，你认为最大的困难点在哪？

HanSight：用户粘性与定制化的微妙平衡。传统toB公司都会做一些客户定制化，尤其是和业务系统的整合，以获得更高的用户粘性。反之，工具类的产品对企业，尤其是大企业，粘性会差。我们也是在寻找这样的平衡点。

2015互联网安全年度评选

FreeBuf 主办“2015互联网安全年度评选”WitAwards公众投票已结束，现已经进入到最终的计票统计阶段。年度安全产品、年度安全宝贝、年度安全云、年度最佳SRC、年度安全团队、最佳安全研究者等十二项大奖到底花落谁家，最终评选结果将在2016 FreeBuf互联网安全创新大会（FIT）上揭晓，敬请期待！

*FreeBuf 编辑部，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）