喬少杰+熊熙+韓楠+李斌勇

摘 要：隨著“永恒之藍(lán)”勒索病毒的爆發(fā)，全民對(duì)信息安全的認(rèn)知提升了一個(gè)新高度，關(guān)注點(diǎn)從會(huì)不會(huì)遭受攻擊轉(zhuǎn)變?yōu)楹螘r(shí)會(huì)遭到攻擊，運(yùn)用大數(shù)據(jù)技術(shù)進(jìn)行防御已從理論研究演進(jìn)到實(shí)際運(yùn)用階段。通過(guò)對(duì)安全要素信息的存儲(chǔ)、分析、和可視化，將分散的安全技術(shù)進(jìn)行連通，借助機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘等大數(shù)據(jù)技術(shù)，建立基于網(wǎng)絡(luò)安全數(shù)據(jù)的大數(shù)據(jù)安全分析平臺(tái)，從傳統(tǒng)的被動(dòng)防御變?yōu)橹鲃?dòng)防御。

關(guān)鍵詞：信息安全；大數(shù)據(jù)；安全分析；機(jī)器學(xué)習(xí)；數(shù)據(jù)挖掘

1 引言

“十三五”后，網(wǎng)絡(luò)安全建設(shè)成為國(guó)家戰(zhàn)略新的發(fā)展方向，中國(guó)《網(wǎng)絡(luò)安全法》在2017年6月1日正式施行。與此同時(shí)，我國(guó)的網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻，根據(jù)國(guó)家互聯(lián)網(wǎng)響應(yīng)中心報(bào)道，感染病毒的主機(jī)數(shù)、被篡改網(wǎng)站總數(shù)、新增信息安全漏洞數(shù)量都在大幅飆升。

隨著信息安全3.0時(shí)代到來(lái)，傳統(tǒng)的防火墻+IDS防御思路已經(jīng)不再有效，需要應(yīng)對(duì)的攻擊和威脅變得日益復(fù)雜，這些威脅具有隱蔽性強(qiáng)、潛伏期長(zhǎng)、持續(xù)性強(qiáng)等特點(diǎn)[1]?，F(xiàn)有的防御思路在安全預(yù)判、威脅識(shí)別和數(shù)據(jù)處理等方面的能力有限，而新的技術(shù)將在復(fù)雜多變的網(wǎng)絡(luò)數(shù)據(jù)中以大數(shù)據(jù)分析架構(gòu)為支撐，業(yè)務(wù)安全為導(dǎo)向，構(gòu)建起以數(shù)據(jù)為核心的安全管理體系，更加主動(dòng)、智能地對(duì)網(wǎng)絡(luò)安全進(jìn)行管理和運(yùn)營(yíng)。

本文首先分析了成都地區(qū)大數(shù)據(jù)行業(yè)和網(wǎng)絡(luò)安全行業(yè)的現(xiàn)狀，依據(jù)調(diào)研結(jié)果探討了成都地區(qū)網(wǎng)絡(luò)安全行業(yè)應(yīng)對(duì)威脅的策略，最后就大數(shù)據(jù)應(yīng)用在網(wǎng)絡(luò)安全行業(yè)中的價(jià)值做出總結(jié)。

2 成都地區(qū)大數(shù)據(jù)行業(yè)和網(wǎng)絡(luò)安全行業(yè)的現(xiàn)狀

成都地區(qū)現(xiàn)有大數(shù)據(jù)相關(guān)企業(yè)300余家，從數(shù)據(jù)應(yīng)用來(lái)看，主要有政府開(kāi)放的數(shù)據(jù)、互聯(lián)網(wǎng)爬蟲(chóng)數(shù)據(jù)和工業(yè)生產(chǎn)中的大數(shù)據(jù)。從行業(yè)應(yīng)用來(lái)看，主要集中于政府、金融、醫(yī)療、運(yùn)營(yíng)商、交通、能源、媒體等行業(yè)[2]。2016年4月份，四川省首個(gè)大數(shù)據(jù)產(chǎn)業(yè)園在成都市雙流區(qū)蛟龍港開(kāi)建，政策的支持下高新技術(shù)公司得以無(wú)阻礙的發(fā)展。

中國(guó)首席數(shù)據(jù)官聯(lián)盟發(fā)布的《中國(guó)大數(shù)據(jù)企業(yè)排行榜》中，來(lái)自成都高新區(qū)的成都數(shù)聯(lián)銘品科技有限公司、成都市映潮科技股份有限公司、勤智數(shù)碼科技股份有限公司、成都四方偉業(yè)軟件股份有限公司和衛(wèi)士通信息產(chǎn)業(yè)股份有限公司5家企業(yè)入榜，充分彰顯高新區(qū)大數(shù)據(jù)產(chǎn)業(yè)蓬勃發(fā)展勢(shì)頭和引領(lǐng)性?xún)?yōu)勢(shì)[3]。

政府、金融、企業(yè)等對(duì)信息安全產(chǎn)品、服務(wù)的需求，拉動(dòng)了信息安全產(chǎn)業(yè)的整體需求。我國(guó)信息安全產(chǎn)業(yè)自2012年來(lái)一直保持穩(wěn)定增長(zhǎng)，預(yù)測(cè)2017-2018增長(zhǎng)額保持在23%左右。

目前信息安全按照市場(chǎng)可分為硬件安全、軟件安全和安全服務(wù)三大類(lèi)[4]。以下一代防火墻類(lèi)硬件安全產(chǎn)品占據(jù)市場(chǎng)份額最大，包含咨詢(xún)、實(shí)施、運(yùn)維和培訓(xùn)的安全服務(wù)次之，防病毒軟件、Web應(yīng)用防火墻、數(shù)字證書(shū)身份認(rèn)證等軟件安全產(chǎn)品占據(jù)市場(chǎng)份額最小。由于虛擬化及云服務(wù)等理念的滲透，信息安全盈利模式開(kāi)始由軟硬件產(chǎn)品向安全服務(wù)傾斜[5]。

3 成都地區(qū)網(wǎng)絡(luò)安全行業(yè)應(yīng)對(duì)威脅的策略及方法

根據(jù)四川省互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計(jì)，近兩年間在互聯(lián)網(wǎng)安全環(huán)境方面，被篡改網(wǎng)站事件、網(wǎng)站被植入后門(mén)事件、飛客蠕蟲(chóng)事件、感染僵尸木馬受控事件、網(wǎng)站漏洞事件等安全事件數(shù)量整體趨于下降，新增高危漏洞方面有所增幅。其中應(yīng)用程序漏洞占比最高，達(dá)到42%左右，其余從高到底分別為操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、Web應(yīng)用漏洞、安全產(chǎn)品漏洞[6]。在此期間全球網(wǎng)絡(luò)安全事件可以看出，DDos攻擊規(guī)模和數(shù)量激增，勒索軟件肆無(wú)忌憚，商業(yè)郵件詐騙不斷。

DDos攻擊有4大特點(diǎn)：（1）物聯(lián)網(wǎng)設(shè)備成為新的攻擊源；（2）黑客手段多樣化，混合攻擊難以防御[7]；（3）基礎(chǔ)設(shè)施和云服務(wù)商是主要攻擊源；（4）頻率和規(guī)模增長(zhǎng)快。針對(duì)DDos攻擊，360安全企業(yè)提出了HTTP/HTTPS網(wǎng)站常規(guī)防護(hù)方案。企業(yè)防護(hù)策略是通過(guò)建立云防護(hù)平臺(tái)，將原來(lái)域名指向服務(wù)器IP地址，從而引流向云防護(hù)平臺(tái)，在企業(yè)網(wǎng)站遭受大流量DDos攻擊時(shí)，云防護(hù)平臺(tái)將流量調(diào)度到全國(guó)幾十個(gè)高防護(hù)節(jié)點(diǎn)機(jī)房進(jìn)行清洗工作，之后把正常流量返回給企業(yè)網(wǎng)站。

遭受勒索軟件攻擊主要因?yàn)榻K端主機(jī)沒(méi)有將操作系統(tǒng)補(bǔ)丁升級(jí)。面對(duì)勒索軟件，安全企業(yè)提出終端主機(jī)接入控制設(shè)備方案，將沒(méi)有安裝殺毒軟件或沒(méi)有進(jìn)行操作系統(tǒng)補(bǔ)丁升級(jí)的終端主機(jī)進(jìn)行網(wǎng)絡(luò)隔離，避免交叉感染，并及時(shí)提醒終端主機(jī)進(jìn)行防御。

4 挖掘基于大數(shù)據(jù)的威脅檢測(cè)手段

大數(shù)據(jù)針對(duì)信息安全領(lǐng)域內(nèi)的數(shù)據(jù)分析，主要基于日志與流量的兩大方式，同時(shí)關(guān)聯(lián)系統(tǒng)配置、用戶(hù)行為、應(yīng)用行為 、業(yè)務(wù)行為等數(shù)據(jù)進(jìn)行分析，達(dá)到感知威脅，攻擊取證的目的。目前存在兩種方式感知異常行為：基于特征與行為的檢測(cè)和機(jī)器學(xué)習(xí)鑒定。傳統(tǒng)的檢測(cè)機(jī)制依靠黑名單分析建模，缺陷是對(duì)0day未知漏洞不可感知。機(jī)器學(xué)習(xí)鑒定通過(guò)白名單，可通過(guò)行為日志感知未知漏洞。

基于行為檢測(cè)方式下，以日志分析為例，利用足夠詳細(xì)的用戶(hù)行為日志區(qū)分正常行為和異常行為。發(fā)現(xiàn)異常的方式在傳統(tǒng)的關(guān)聯(lián)技巧規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、關(guān)聯(lián)列表關(guān)聯(lián)、環(huán)境關(guān)聯(lián)等進(jìn)行數(shù)據(jù)分析，對(duì)異常行為中的攻擊者畫(huà)像，列出定點(diǎn)攻擊、有明確攻擊目標(biāo)的攻擊者、自動(dòng)化攻擊和無(wú)目標(biāo)的攻擊對(duì)象[8]。針對(duì)行為描述進(jìn)行合理建設(shè)滲透、攻擊模型。

機(jī)器學(xué)習(xí)能夠基于大數(shù)據(jù)進(jìn)行自動(dòng)化學(xué)習(xí)和訓(xùn)練，已經(jīng)在圖像、語(yǔ)音、自然語(yǔ)言處理方面廣泛應(yīng)用[9]。機(jī)器學(xué)習(xí)鑒定方式應(yīng)用于Web入侵防護(hù)中監(jiān)測(cè)用戶(hù)流量，針對(duì)大量正常日志建立Profile模型，檢測(cè)過(guò)程中不符合Profile模型的被視為異常流量。Profile模型的建立主要基于統(tǒng)計(jì)學(xué)習(xí)模型、基于文本分析的機(jī)器學(xué)習(xí)模型、基于單分類(lèi)模型、基于聚類(lèi)模型等幾種建模思想，從海量日志數(shù)據(jù)中建立正常行為模型，少量的異常流量訪(fǎng)問(wèn)行為將被重點(diǎn)監(jiān)控，在對(duì)抗過(guò)程中更難被繞過(guò)。

5 結(jié)論

本文闡述了成都地區(qū)大數(shù)據(jù)行業(yè)和安全行業(yè)應(yīng)對(duì)威脅的方法，而面對(duì)海量的網(wǎng)絡(luò)信息數(shù)據(jù)，傳統(tǒng)的防御思路已經(jīng)不再奏效。大數(shù)據(jù)時(shí)代下的安全分析有助于企業(yè)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)行為異常，從而更好的把控風(fēng)險(xiǎn)。但大數(shù)據(jù)機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)應(yīng)用于信息安全行業(yè)正處于初步階段，沒(méi)有相對(duì)成熟的產(chǎn)品，如何在建模后減少誤報(bào)率是大數(shù)據(jù)的發(fā)展方向。

參考文獻(xiàn)

[1]孫景民，崔金生，曹美琴.軍事網(wǎng)絡(luò)中APT攻擊的防御方法研究[J].信息安全與通信保密，2014（8）：130-132.

[2]洪毅.支持金融產(chǎn)品交叉營(yíng)銷(xiāo)的數(shù)據(jù)挖掘研究[D].浙江工業(yè)大學(xué)，2010.

[3]佚名.信息安全企業(yè)祝賀烏鎮(zhèn)峰會(huì)召開(kāi)[J].中國(guó)信息安全，2015（12）：94-95.

[4]佚名.國(guó)家信息安全成果產(chǎn)業(yè)化（東部）基地已具雛形[J].計(jì)算機(jī)安全，2002（22）：36-38.

[5]趙偉華.大數(shù)據(jù)時(shí)代信息安全行業(yè)的專(zhuān)利解析[J].中國(guó)發(fā)明與專(zhuān)利，2015（12）：17-18.

[6]韋濤，彭武，王冬海.基于漏洞屬性分析的軟件安全評(píng)估方法[J].電光與控制，2015，22（8）：66-70.

[7]趙兵，孫梅.分布式防火墻技術(shù)的分析與研究[J].軟件導(dǎo)刊，2010，09（3）.

[8]姜偉.基于攻防博弈模型的主動(dòng)防御關(guān)鍵技術(shù)研究[D].哈爾濱工業(yè)大學(xué)，2010.

[9]高強(qiáng)，靳其兵，程勇.基于卷積神經(jīng)網(wǎng)絡(luò)探討深度學(xué)習(xí)算法與應(yīng)用[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2015（5）：169-170.endprint