喬少杰+熊熙+韓楠+李斌勇
摘 要:隨著“永恒之藍(lán)”勒索病毒的爆發(fā),全民對(duì)信息安全的認(rèn)知提升了一個(gè)新高度,關(guān)注點(diǎn)從會(huì)不會(huì)遭受攻擊轉(zhuǎn)變?yōu)楹螘r(shí)會(huì)遭到攻擊,運(yùn)用大數(shù)據(jù)技術(shù)進(jìn)行防御已從理論研究演進(jìn)到實(shí)際運(yùn)用階段。通過(guò)對(duì)安全要素信息的存儲(chǔ)、分析、和可視化,將分散的安全技術(shù)進(jìn)行連通,借助機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘等大數(shù)據(jù)技術(shù),建立基于網(wǎng)絡(luò)安全數(shù)據(jù)的大數(shù)據(jù)安全分析平臺(tái),從傳統(tǒng)的被動(dòng)防御變?yōu)橹鲃?dòng)防御。
關(guān)鍵詞:信息安全;大數(shù)據(jù);安全分析;機(jī)器學(xué)習(xí);數(shù)據(jù)挖掘
1 引言
“十三五”后,網(wǎng)絡(luò)安全建設(shè)成為國(guó)家戰(zhàn)略新的發(fā)展方向,中國(guó)《網(wǎng)絡(luò)安全法》在2017年6月1日正式施行。與此同時(shí),我國(guó)的網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻,根據(jù)國(guó)家互聯(lián)網(wǎng)響應(yīng)中心報(bào)道,感染病毒的主機(jī)數(shù)、被篡改網(wǎng)站總數(shù)、新增信息安全漏洞數(shù)量都在大幅飆升。
隨著信息安全3.0時(shí)代到來(lái),傳統(tǒng)的防火墻+IDS防御思路已經(jīng)不再有效,需要應(yīng)對(duì)的攻擊和威脅變得日益復(fù)雜,這些威脅具有隱蔽性強(qiáng)、潛伏期長(zhǎng)、持續(xù)性強(qiáng)等特點(diǎn)[1]?,F(xiàn)有的防御思路在安全預(yù)判、威脅識(shí)別和數(shù)據(jù)處理等方面的能力有限,而新的技術(shù)將在復(fù)雜多變的網(wǎng)絡(luò)數(shù)據(jù)中以大數(shù)據(jù)分析架構(gòu)為支撐,業(yè)務(wù)安全為導(dǎo)向,構(gòu)建起以數(shù)據(jù)為核心的安全管理體系,更加主動(dòng)、智能地對(duì)網(wǎng)絡(luò)安全進(jìn)行管理和運(yùn)營(yíng)。
本文首先分析了成都地區(qū)大數(shù)據(jù)行業(yè)和網(wǎng)絡(luò)安全行業(yè)的現(xiàn)狀,依據(jù)調(diào)研結(jié)果探討了成都地區(qū)網(wǎng)絡(luò)安全行業(yè)應(yīng)對(duì)威脅的策略,最后就大數(shù)據(jù)應(yīng)用在網(wǎng)絡(luò)安全行業(yè)中的價(jià)值做出總結(jié)。
2 成都地區(qū)大數(shù)據(jù)行業(yè)和網(wǎng)絡(luò)安全行業(yè)的現(xiàn)狀
成都地區(qū)現(xiàn)有大數(shù)據(jù)相關(guān)企業(yè)300余家,從數(shù)據(jù)應(yīng)用來(lái)看,主要有政府開(kāi)放的數(shù)據(jù)、互聯(lián)網(wǎng)爬蟲(chóng)數(shù)據(jù)和工業(yè)生產(chǎn)中的大數(shù)據(jù)。從行業(yè)應(yīng)用來(lái)看,主要集中于政府、金融、醫(yī)療、運(yùn)營(yíng)商、交通、能源、媒體等行業(yè)[2]。2016年4月份,四川省首個(gè)大數(shù)據(jù)產(chǎn)業(yè)園在成都市雙流區(qū)蛟龍港開(kāi)建,政策的支持下高新技術(shù)公司得以無(wú)阻礙的發(fā)展。
中國(guó)首席數(shù)據(jù)官聯(lián)盟發(fā)布的《中國(guó)大數(shù)據(jù)企業(yè)排行榜》中,來(lái)自成都高新區(qū)的成都數(shù)聯(lián)銘品科技有限公司、成都市映潮科技股份有限公司、勤智數(shù)碼科技股份有限公司、成都四方偉業(yè)軟件股份有限公司和衛(wèi)士通信息產(chǎn)業(yè)股份有限公司5家企業(yè)入榜,充分彰顯高新區(qū)大數(shù)據(jù)產(chǎn)業(yè)蓬勃發(fā)展勢(shì)頭和引領(lǐng)性?xún)?yōu)勢(shì)[3]。
政府、金融、企業(yè)等對(duì)信息安全產(chǎn)品、服務(wù)的需求,拉動(dòng)了信息安全產(chǎn)業(yè)的整體需求。我國(guó)信息安全產(chǎn)業(yè)自2012年來(lái)一直保持穩(wěn)定增長(zhǎng),預(yù)測(cè)2017-2018增長(zhǎng)額保持在23%左右。
目前信息安全按照市場(chǎng)可分為硬件安全、軟件安全和安全服務(wù)三大類(lèi)[4]。以下一代防火墻類(lèi)硬件安全產(chǎn)品占據(jù)市場(chǎng)份額最大,包含咨詢(xún)、實(shí)施、運(yùn)維和培訓(xùn)的安全服務(wù)次之,防病毒軟件、Web應(yīng)用防火墻、數(shù)字證書(shū)身份認(rèn)證等軟件安全產(chǎn)品占據(jù)市場(chǎng)份額最小。由于虛擬化及云服務(wù)等理念的滲透,信息安全盈利模式開(kāi)始由軟硬件產(chǎn)品向安全服務(wù)傾斜[5]。
3 成都地區(qū)網(wǎng)絡(luò)安全行業(yè)應(yīng)對(duì)威脅的策略及方法
根據(jù)四川省互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計(jì),近兩年間在互聯(lián)網(wǎng)安全環(huán)境方面,被篡改網(wǎng)站事件、網(wǎng)站被植入后門(mén)事件、飛客蠕蟲(chóng)事件、感染僵尸木馬受控事件、網(wǎng)站漏洞事件等安全事件數(shù)量整體趨于下降,新增高危漏洞方面有所增幅。其中應(yīng)用程序漏洞占比最高,達(dá)到42%左右,其余從高到底分別為操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、Web應(yīng)用漏洞、安全產(chǎn)品漏洞[6]。在此期間全球網(wǎng)絡(luò)安全事件可以看出,DDos攻擊規(guī)模和數(shù)量激增,勒索軟件肆無(wú)忌憚,商業(yè)郵件詐騙不斷。
DDos攻擊有4大特點(diǎn):(1)物聯(lián)網(wǎng)設(shè)備成為新的攻擊源;(2)黑客手段多樣化,混合攻擊難以防御[7];(3)基礎(chǔ)設(shè)施和云服務(wù)商是主要攻擊源;(4)頻率和規(guī)模增長(zhǎng)快。針對(duì)DDos攻擊,360安全企業(yè)提出了HTTP/HTTPS網(wǎng)站常規(guī)防護(hù)方案。企業(yè)防護(hù)策略是通過(guò)建立云防護(hù)平臺(tái),將原來(lái)域名指向服務(wù)器IP地址,從而引流向云防護(hù)平臺(tái),在企業(yè)網(wǎng)站遭受大流量DDos攻擊時(shí),云防護(hù)平臺(tái)將流量調(diào)度到全國(guó)幾十個(gè)高防護(hù)節(jié)點(diǎn)機(jī)房進(jìn)行清洗工作,之后把正常流量返回給企業(yè)網(wǎng)站。
遭受勒索軟件攻擊主要因?yàn)榻K端主機(jī)沒(méi)有將操作系統(tǒng)補(bǔ)丁升級(jí)。面對(duì)勒索軟件,安全企業(yè)提出終端主機(jī)接入控制設(shè)備方案,將沒(méi)有安裝殺毒軟件或沒(méi)有進(jìn)行操作系統(tǒng)補(bǔ)丁升級(jí)的終端主機(jī)進(jìn)行網(wǎng)絡(luò)隔離,避免交叉感染,并及時(shí)提醒終端主機(jī)進(jìn)行防御。
4 挖掘基于大數(shù)據(jù)的威脅檢測(cè)手段
大數(shù)據(jù)針對(duì)信息安全領(lǐng)域內(nèi)的數(shù)據(jù)分析,主要基于日志與流量的兩大方式,同時(shí)關(guān)聯(lián)系統(tǒng)配置、用戶(hù)行為、應(yīng)用行為 、業(yè)務(wù)行為等數(shù)據(jù)進(jìn)行分析,達(dá)到感知威脅,攻擊取證的目的。目前存在兩種方式感知異常行為:基于特征與行為的檢測(cè)和機(jī)器學(xué)習(xí)鑒定。傳統(tǒng)的檢測(cè)機(jī)制依靠黑名單分析建模,缺陷是對(duì)0day未知漏洞不可感知。機(jī)器學(xué)習(xí)鑒定通過(guò)白名單,可通過(guò)行為日志感知未知漏洞。
基于行為檢測(cè)方式下,以日志分析為例,利用足夠詳細(xì)的用戶(hù)行為日志區(qū)分正常行為和異常行為。發(fā)現(xiàn)異常的方式在傳統(tǒng)的關(guān)聯(lián)技巧規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、關(guān)聯(lián)列表關(guān)聯(lián)、環(huán)境關(guān)聯(lián)等進(jìn)行數(shù)據(jù)分析,對(duì)異常行為中的攻擊者畫(huà)像,列出定點(diǎn)攻擊、有明確攻擊目標(biāo)的攻擊者、自動(dòng)化攻擊和無(wú)目標(biāo)的攻擊對(duì)象[8]。針對(duì)行為描述進(jìn)行合理建設(shè)滲透、攻擊模型。
機(jī)器學(xué)習(xí)能夠基于大數(shù)據(jù)進(jìn)行自動(dòng)化學(xué)習(xí)和訓(xùn)練,已經(jīng)在圖像、語(yǔ)音、自然語(yǔ)言處理方面廣泛應(yīng)用[9]。機(jī)器學(xué)習(xí)鑒定方式應(yīng)用于Web入侵防護(hù)中監(jiān)測(cè)用戶(hù)流量,針對(duì)大量正常日志建立Profile模型,檢測(cè)過(guò)程中不符合Profile模型的被視為異常流量。Profile模型的建立主要基于統(tǒng)計(jì)學(xué)習(xí)模型、基于文本分析的機(jī)器學(xué)習(xí)模型、基于單分類(lèi)模型、基于聚類(lèi)模型等幾種建模思想,從海量日志數(shù)據(jù)中建立正常行為模型,少量的異常流量訪(fǎng)問(wèn)行為將被重點(diǎn)監(jiān)控,在對(duì)抗過(guò)程中更難被繞過(guò)。
5 結(jié)論
本文闡述了成都地區(qū)大數(shù)據(jù)行業(yè)和安全行業(yè)應(yīng)對(duì)威脅的方法,而面對(duì)海量的網(wǎng)絡(luò)信息數(shù)據(jù),傳統(tǒng)的防御思路已經(jīng)不再奏效。大數(shù)據(jù)時(shí)代下的安全分析有助于企業(yè)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)行為異常,從而更好的把控風(fēng)險(xiǎn)。但大數(shù)據(jù)機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)應(yīng)用于信息安全行業(yè)正處于初步階段,沒(méi)有相對(duì)成熟的產(chǎn)品,如何在建模后減少誤報(bào)率是大數(shù)據(jù)的發(fā)展方向。
參考文獻(xiàn)
[1]孫景民,崔金生,曹美琴.軍事網(wǎng)絡(luò)中APT攻擊的防御方法研究[J].信息安全與通信保密,2014(8):130-132.
[2]洪毅.支持金融產(chǎn)品交叉營(yíng)銷(xiāo)的數(shù)據(jù)挖掘研究[D].浙江工業(yè)大學(xué),2010.
[3]佚名.信息安全企業(yè)祝賀烏鎮(zhèn)峰會(huì)召開(kāi)[J].中國(guó)信息安全,2015(12):94-95.
[4]佚名.國(guó)家信息安全成果產(chǎn)業(yè)化(東部)基地已具雛形[J].計(jì)算機(jī)安全,2002(22):36-38.
[5]趙偉華.大數(shù)據(jù)時(shí)代信息安全行業(yè)的專(zhuān)利解析[J].中國(guó)發(fā)明與專(zhuān)利,2015(12):17-18.
[6]韋濤,彭武,王冬海.基于漏洞屬性分析的軟件安全評(píng)估方法[J].電光與控制,2015,22(8):66-70.
[7]趙兵,孫梅.分布式防火墻技術(shù)的分析與研究[J].軟件導(dǎo)刊,2010,09(3).
[8]姜偉.基于攻防博弈模型的主動(dòng)防御關(guān)鍵技術(shù)研究[D].哈爾濱工業(yè)大學(xué),2010.
[9]高強(qiáng),靳其兵,程勇.基于卷積神經(jīng)網(wǎng)絡(luò)探討深度學(xué)習(xí)算法與應(yīng)用[J].電腦知識(shí)與技術(shù):學(xué)術(shù)交流,2015(5):169-170.endprint