网络安全的本质在于攻防对抗。攻击者希望寻找各种漏洞从而渗透进来，防守方则尽全力阻止黑客的入侵。

长期以来，攻击者与防守方不知道在网络空间中较量了多少次，双方互有胜负。而随着网络安全的发展，攻防能力的重要性日益提升。为了快速提升攻防能力，一些机构开始把它们搬上了比赛的舞台。组织者一方面可以利用比赛成果快速弥补企业的缺陷，另一方面也可以培养并吸纳大量的网络安全尤其是漏洞攻防方面的人才。

起源于1996年DEFCON世界黑客大赛的CTF（夺旗赛）是近些年来全球最火热的网络安全赛事之一了。最初作为全球顶级黑客的技术交流舞台，CTF因其别出心裁的赛题和环节设置，受到了广大技术宅的青睐。而随着攻防技术和网络安全形势的发展，举办CTF也成为了培养技战术人才的重要途径。

CTF比赛的成功，引起了全球各个各个国家的大力追捧。我们国家每年也会举办大量的CTF类竞赛，据公开数据统计，每年就有三百多场类似的竞赛，占据了我国网络安全竞赛的绝大多数。阿里巴巴有AliCTF，腾讯有TCTF等等。大量的CTF比赛为国内网络安全产业输送了大量的攻防人才，长亭科技的创始人就出自于清华大学知名CTF战队蓝莲花。但是，只有CTF类比赛是不够的。

“清华大学作为中国CTF最早的参与者和竞赛的组织者，我们对CTF比赛有着非常深刻的理解。CTF对于培养人员的攻防对抗能力、特别是攻击方面的能力是非常有益的，但是目前，安全企业、政府等单位迫切需要的不是攻击能力，而是防范和分析能力。对于这方面能力的培养，CTF和漏洞挖掘类的比赛是不足的。”清华大学教授、360企业安全集团技术研究院院长段海新如是说。

所以，360企业安全集团与清华大学将会共同主办大数据安全分析比赛，为国家和社会培养安全人才的防御能力，提高真实网络中的数据分析、攻击检测方面的实战水平。

防守应从被动防御走向积极防御

目前，我国的网络安全人才缺口可以达到数十万甚至上百万量级，为什么会选择大数据安全分析方向的人才培养？

大家都习惯于把修补漏洞比作是打补丁，但区别在于补丁打一个就少一个，漏洞却怎么也挖不完。有统计说，程序员每写一千行代码就会产生一个缺陷，而这些程序缺陷如果能够用于发动网络攻击就成为了漏洞。360企业安全集团董事长齐向东在《漏洞》一书中就这样写到：缺陷是天生的，漏洞是无法避免的，网络攻击是必然的。这也就意味着，我们没办法从攻击者的角度，去应对每一次的网络攻击。

大家都知道，很多大型互联网公司都建立起了自身的SRC（安全响应中心），并且给出相当丰厚的奖励来吸引白帽子给自身的系统做漏洞挖掘。但事实的情况是，零日漏洞仍然层出不穷，黑客还是能利用各种各样的漏洞完成渗透。

我们还面临着一个很棘手的问题：传统的网络安全设备无法应对爆发式增长的安全大数据。大家明显能够看到，安全数据的数量在不断增长，种类越来越多，流转速率在不断加快，对于防守方而言，如何抓住隐藏在海量数据中的恶意流量？如何针对攻击行为进行精准溯源？

所以，我们要引入大数据安全分析技术。正如2012年3月Gartner在一份报告中提到的，网络安全正在成为一个大数据分析问题。如果参考网络安全滑动标尺模型，大量的机构仍然处于基础架构安全和被动防御阶段，防御技术则是以规则引擎为主的静态防御技术。这对于防御已知威胁十分有效，但却无法有效防御未知威胁。对此，我们需要在基础架构安全和被动防御的基础上，借助云计算、大数据安全分析以及人工智能技术，实现积极防御。

图：网络安全滑动标尺模型

“但是，我们国家在大数据安全检测与分析能力方面与世界强国是有差距的。”段海新说到，“比如我们经常可以看到美国根据他们的安全分析报告追踪、定位到具体的攻击者，而我国同样作为网络攻击的受害者，却很少有能找出类似的线索或证据。没有足够的分析、检测能力，我国在攻防博弈中总是处于被动地位。”这也就更加充分证明了此次大数据安全分析比赛的必要性。

贴近实战的大数据安全分析比赛

说到大数据分析相关的比赛，最著名的应该是IEEE VAST Challenge，这项比赛是数据可视化与分析领域最顶级、规模最大的比赛，它要求参赛团队去解决一系列包含了现实场景、数据和任务的问题，比如生化恐怖袭击、流行病、武器走私、社会骚动、网络攻击等。值得一提的是，360企业安全和北大联合代表队是国内唯一一支连续四年参赛并且获奖的队伍。

但遗憾的是，不论是CTF类比赛，还是其他的网络安全竞赛，大数据安全分析都鲜被提及。段海新认为，目前社会各界对安全人员的分析和和检测能力的培养和训练是不足的，主要原因是缺少安全分析和检测的场景和数据。特别是在校学生，他们很难接触到真实的生产环境、应用场景或攻击事件，即使是企业里的安全运维人员所遇到的攻击事件也是很有限的。搞不定真实的环境和真实的数据，举办比赛也失去了其本身的社会价值。

但就本次大数据安全分析比赛而言，360企业安全集团和清华大学利用安全攻防方面的丰富经验和数据资源，以真实的攻防演练和安全重保为背景，为所有参赛选手设置了三个方向的考题。

第一个方向是DNS检测，要求参赛选手从网站DNS流量中分析找到恶意流量；第二个方向恶意代码分析，要求参赛选手基于沙箱分析的行为数据，找出所有的恶意样本并标注出其样本家族；第三个方向是攻击者分析，要求参赛选手利用网站、终端、数据库等多维度的攻击数据，分析所有可能存在的攻击源。

在赛题的方向选择方面，主办方可谓下了一番苦功夫，敲定下来之前不知道反反复复讨论了多少次。赛题设置难度要适中，要贴近真实环境，并且能够提升参赛选手的实战水平。对此，段海新解释道：“首先，网络流量、恶意代码、攻击场景可能是安全分析人员经常需要处理的，非常具有代表性；其次，我们是第一次举办这类比赛，参赛选手也没有足够的经验，因此我们特意挑选相对比较简单协议和场景，也是出于现实的考虑。”

不仅仅是赛题设置，此次比赛的奖励设置也是别出心裁。抛开常规的物质奖励不谈，此次主办方联合了包括招商银行、格力集团等十家500强企业在贵阳的颁奖现场办一场别开生面的双选会，所有获奖选手将会有机会通过双选会拿到这些世界知名企业的offer。

这个环节的设置，是和本次比赛的初衷分不开的。中国的网络安全人才短缺严重，大数据安全分析人才短缺就更加严重，这类人才不仅要懂安全，还要懂数据，更要懂得业务，三者缺一不可。根据360企业安全集团长期服务政企客户的经验，企业迫切需求检测与分析方向的安全人才。从这个角度而言，主办方通过比赛的形式把人才聚集才一起，再把这些人和企业连接在一起，将会大大加快人才的培养速度。因为在真实环境中，实操就是最好的训练，业务、数据与安全就可以有机的连接在一起。

“首先，我们希望未来逐步完善这个比赛，让比赛更加合理、更加有趣；其次，我们希望参赛人数和范围逐渐扩大，发展成一个国际性的比赛。事实上，今年德国一个著名的安全研究中心表示，他们对这次比赛很感兴趣。”段海新对这场比赛的未来发展充满了期待。

截至3月28日，已有383支团队报名参加DataCon大数据分析比赛，其中高校团队284支，企业团队99支，报名总人数2000余人。其中美国Northeastern University、卡塔尔Hamad Bin Khalifa University、香港大学等都有团队报名参加比赛。