王晨飛 李慧芹 韓維 呂靜賢 王蕾

（1.國家電網(wǎng)有限公司客戶服務(wù)中心 天津市 300309 2.中電偉恒（北京）科技發(fā)展有限公司天津分公司 天津市 300309）

科學(xué)技術(shù)使得人們的生活越來越便捷，使得人工的工作方式更加簡化。在社會各行業(yè)中靈活性的運用大數(shù)據(jù)技術(shù)，能夠?qū)崿F(xiàn)工作效率提升的目的。在追蹤溯源數(shù)據(jù)資產(chǎn)時，利用指紋相似度，通過獲取、感知與處理數(shù)據(jù)，便可以在最短時間內(nèi)獲得數(shù)據(jù)結(jié)果，提升速度。指紋相似度綜合人、機、物，在網(wǎng)絡(luò)世界中通過相互交互，以獲得數(shù)據(jù)信息，其重要性集中體現(xiàn)在維護(hù)網(wǎng)絡(luò)安全，提升現(xiàn)代核心產(chǎn)業(yè)信息化技術(shù)等層面，對思維方式轉(zhuǎn)變和科學(xué)研究提供借鑒。

1 指紋相似度分析

簡而言之，通過指紋能夠?qū)Κ毺氐脑O(shè)備或者是信息進(jìn)行標(biāo)識。眾所周知，人的指紋各不相同，也正是因為這唯一的特征，使得指紋這一生物識別技術(shù)被深入研發(fā)且深度運用。指紋標(biāo)識包含有唯一性，難修改性和固有性的特點。例如最為常見的是在生產(chǎn)手機的過程中，將會為手機賦予一個位移的MEI（International Mobile Equipment Identity）編號，通過這個編號對設(shè)備進(jìn)行唯一標(biāo)識。再如電腦中的網(wǎng)卡，在生產(chǎn)的環(huán)節(jié)中，將會為網(wǎng)卡賦予唯一的MAC地址。這些標(biāo)識都將會被認(rèn)定為設(shè)備的位移標(biāo)識符，既設(shè)備指紋。

除此之外，通過使用相關(guān)特征集合作為指紋，這些特征可以為顏色、型號、名稱以及功能等等，通過對這些因素進(jìn)行整合，便能夠得到設(shè)備標(biāo)識。這種可以類似的理解為人的記憶，通過人的面部特征等進(jìn)行判斷。伴隨著移動互聯(lián)網(wǎng)崛起，強化網(wǎng)絡(luò)安全防護(hù)已是當(dāng)務(wù)之急，指紋相似度分析也成為當(dāng)前移動端企業(yè)風(fēng)險控制的重要措施，將其作為大數(shù)據(jù)風(fēng)險控制的關(guān)鍵技術(shù)。

指紋相似度應(yīng)用的技術(shù)原理是獲得中心點，并且將其作為一個均值線，之后對設(shè)備與均值之間的差距作出對比。在具體實施的過程中，首先要將標(biāo)準(zhǔn)點完成劃分，得到兩類，一類是IE 類型，一類是其他類型。

以相似度算法作為依據(jù)，完成不同維度之上的相似度計算，之后將比重添加完成即可。

2 現(xiàn)有數(shù)據(jù)資產(chǎn)追蹤溯源技術(shù)存在的不足與特點分析

2.1 現(xiàn)有的數(shù)據(jù)追蹤溯源技術(shù)不足

我國在互聯(lián)網(wǎng)技術(shù)的推動之下，各行業(yè)實現(xiàn)技術(shù)升級，越來越多的企業(yè)控制系統(tǒng)在網(wǎng)絡(luò)環(huán)境中暴露無遺。這種現(xiàn)象的出現(xiàn)，使得很多企業(yè)的信息存在的比較嚴(yán)重的安全隱患。如今市面上所采取的危險防范工具工作原理是不斷對系統(tǒng)進(jìn)行探測掃描，這些工具的使用普遍需要經(jīng)過企業(yè)內(nèi)部的機房或者是通過國內(nèi)云服務(wù)器。在應(yīng)用的圣后，存在的不足集中體現(xiàn)在五個方面。

（1）使用的追蹤溯源工具基本上需要在企業(yè)內(nèi)部的機房中部署，在運行的過程中若是突然發(fā)現(xiàn)侵入目標(biāo)，便會在最短的時間內(nèi)發(fā)起源IP 掃描指令，此時就需要以源IP 的活動行為作為依據(jù)展開反攻擊或者是反滲透，將會造成企業(yè)內(nèi)部的其他服務(wù)器設(shè)備在運行的過程中受到影響。

（2）使用的追蹤溯源工具若是需要在國內(nèi)云服務(wù)器上進(jìn)行部署，那么在運行的過程中若是發(fā)現(xiàn)侵入目標(biāo)，也會在最短的時間內(nèi)做出反映，快速追源到源IP。在追蹤溯源的時候，需要安全按照用戶在購買云服務(wù)時的備案信息作為依據(jù)，對造成的不安全事件相關(guān)負(fù)責(zé)人追究責(zé)任。

（3）當(dāng)前在國內(nèi)市場所應(yīng)用的追蹤溯源工具主要有nmap 工具、態(tài)勢感知系統(tǒng)以及plcscan 等工具，這些工具可以在使用的過程中實現(xiàn)深測掃描和聯(lián)網(wǎng)的功能，在進(jìn)行問題追蹤溯源的時候，需要通過UDP 或者是TCP 方式實現(xiàn)，沒有對掃描探測指紋采取加密保護(hù)處理，這樣以來將會十分容易被第三方截獲重要信息，通過關(guān)鍵技術(shù)探索出重要內(nèi)容，造成損失。

（4）當(dāng)前最為主流的代理服務(wù)器，例如shadowsocks，在提供代理服務(wù)的時候只能夠?qū)ttp 或者是https 進(jìn)行。在應(yīng)用的過程中不能夠?qū)elnet、ICMP、udpsocket 以及原生tcp 完成代理傳輸，更不用說實現(xiàn)很好的隱藏掃描效果。

（5）在國內(nèi)使用的VPN 或者是免費提供使用的VPN，在使用的過程中存在著不穩(wěn)定性的缺陷，另外還經(jīng)常性的掉線，在使用當(dāng)中會比較容易被中國的防火墻封鎖。

2.2 數(shù)據(jù)資源追蹤溯源技術(shù)的特點

針對于專業(yè)性較強的攻擊者、專業(yè)間諜，例如APT 組織或者是海蓮花等，需要在追蹤溯源的時候?qū)ζ涔粽叩奶匦杂枰粤私狻Ｊ紫绕涔舻氖侄问嵌喾N多樣的，其中包含有惡意樣本、魚叉釣魚、暴力破解、社會工程學(xué)攻擊等等。其次是隱蔽性強，在進(jìn)行隱蔽的時候能夠避開監(jiān)控，擁有開發(fā)惡意軟件程序的能力，能夠?qū)⒑圹E清除等。最后是擁有很強的反偵察能力，例如不間斷的對IP 連接后門進(jìn)行更換，通過運用多種方式進(jìn)行反偵察。在利用追蹤溯源的時候，要針對性的提出解決措施。首先要加快完成包括有whois、IP、域名等基礎(chǔ)設(shè)施信息的信息收集工作。其次要通過組織專業(yè)的技術(shù)人員展開分析研究，對攻擊者的攻擊手段和攻擊特征展開分析，比如魚叉釣魚所針對的是企業(yè)內(nèi)部較為敏感的工作人員，在進(jìn)行排查的時候，可以針對于企業(yè)的競爭對手。若是攻擊的對象沒有比較明顯的目的，此時便可以針對于攻擊情況考慮是否是高級白帽子行為。若是其所攻擊的是企業(yè)的生產(chǎn)鏈條，那么便可以考慮是否是APT 組織。ATP 組織能夠通過使用威脅情報完成攻擊者信息定位，但是卻不能百分百肯定。這主要是因為樣本泛濫，有很多樣本是被修改之后再投放的，或者是被攻擊的。

3 基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源方法

對當(dāng)前指紋相似度技術(shù)進(jìn)行分析，了解了指紋相似度在技術(shù)應(yīng)用領(lǐng)域中的優(yōu)勢。目前在傳統(tǒng)的數(shù)據(jù)資產(chǎn)追蹤溯源領(lǐng)域中使用的方法存在著不足，無論是技術(shù)層面還是工具層面，不成熟已經(jīng)成為其發(fā)展的最大弊端。于是，本文將創(chuàng)新利用指紋相似度技術(shù)，提升數(shù)據(jù)資產(chǎn)追蹤溯源水平。通過利用基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源技術(shù)能夠使得被侵犯者在最短的時間內(nèi)對侵犯者作出定位，維系玩過安全性。網(wǎng)絡(luò)領(lǐng)域中的攻擊模型，可以概括表示為攻擊者→跳板機→僵尸機→反射器→被攻擊者。在整個攻擊環(huán)節(jié)中，通過利用數(shù)據(jù)資產(chǎn)追蹤溯源，能夠?qū)ふ业焦粽?。比較傳統(tǒng)的數(shù)據(jù)資產(chǎn)追蹤溯源法與基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源方法，得到的結(jié)果如表1所示。

通過表1 可以得知，傳統(tǒng)方法改進(jìn)迫在眉睫，新的方法所產(chǎn)生的積極影響已經(jīng)使得基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源成為研究的重點。

表1：傳統(tǒng)追蹤溯源與基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源法比較表

3.1 基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源介紹

這種方法在在使用的過程中，憑借其適應(yīng)性強、靈活性高、簡潔性顯著、可靠性高以及安全性穩(wěn)的特點，得到廣泛青睞。這種方法主要是通過完成其設(shè)計語言編寫以實現(xiàn)功能。在運用過程中，信息溯源的實現(xiàn)主要是通過NDLog，同時該路徑是十分短的。

3.2 系統(tǒng)之間的協(xié)作

基于指紋相似度理念和數(shù)據(jù)資產(chǎn)追蹤溯源的基本情況作出分析，繼而形成一套良好的協(xié)作方案，從而可以對當(dāng)前大數(shù)據(jù)時代背景下所出現(xiàn)的巨大攻擊強度以及復(fù)雜攻擊形式進(jìn)行應(yīng)對。為了使得基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源系統(tǒng)在使用的過程中更加便于控制與管理，在協(xié)作框架之中所應(yīng)用的溯源設(shè)備將會以網(wǎng)絡(luò)位置的差異為基礎(chǔ)，合理劃分不同區(qū)域。在協(xié)作框架的輔助之下，將會針對于各種類型的攻擊完成協(xié)作化操作，保證溯源設(shè)備形成有機整體，實現(xiàn)相互融合。協(xié)作框架所表現(xiàn)出來的特點是樹形結(jié)構(gòu)，其基礎(chǔ)溯源層形成了樹的葉子，溯源管理層形成了樹干，溯源交互層形成了根部[8]。

通過系統(tǒng)之間的合作可以及時發(fā)現(xiàn)當(dāng)受害者遭受攻擊，在最短時間內(nèi)將其發(fā)送給框架完成溯源請求，通過指紋相似度完成攻擊者的匹配。在這個過程中，協(xié)作框架將會通過指紋相似度的方式完成信息的標(biāo)記，對收集到的信息進(jìn)行整理與拼接，以標(biāo)識作為依據(jù)完成對被攻擊著的判斷，最后對攻擊路徑作出刻畫。其程序內(nèi)容如下所示：

[Algorithm of Collaboration of System Level ]1:Marking process at router R.2:if(Load of R for CPU).3:send collaboration request to its AA.4:AA makes sure the authenticity of the request.5:if (!authenticity) then.6:drop the request.7:else.:8AA check the load status in the performance table.9:if(! heavy )then.10:drop the request.11:send collaborated traceback message to TS.12:else.13:normal packet marking process.14,15,16:end if。

4 結(jié)束語

在網(wǎng)絡(luò)時代背景下，大數(shù)據(jù)技術(shù)發(fā)展既面臨著機遇，又面臨著挑戰(zhàn)。在大數(shù)據(jù)網(wǎng)絡(luò)下，網(wǎng)絡(luò)攻擊手段使得網(wǎng)絡(luò)安全受到嚴(yán)重威脅，網(wǎng)絡(luò)攻擊的復(fù)雜性與多樣性使得難以在整治的過程中難度提升，也為網(wǎng)絡(luò)追蹤溯源技術(shù)帶來嚴(yán)峻挑戰(zhàn)。指紋相似度是通過對攻擊對象的基本特征實施匹配，尋找處其存在的漏洞以快速尋找到其出處，獲得追蹤溯源技術(shù)的效率提升。本文基于當(dāng)前大數(shù)據(jù)時代背景下的網(wǎng)絡(luò)安全問題展開探究，通過對指紋相似度的背景與概念作出分析，認(rèn)識到指紋相似度的含義與應(yīng)用原理，形成相對深入的認(rèn)知。其次分析在當(dāng)前數(shù)據(jù)追蹤溯源當(dāng)中所存在的不足，清楚本次研究的重點。在認(rèn)識指紋相似度技術(shù)理念和目前數(shù)據(jù)追蹤溯源中存在的缺陷以后，探究在追蹤溯源技術(shù)，結(jié)合指紋相似度以后的應(yīng)用措施，為基于指紋相似度的數(shù)據(jù)資產(chǎn)追蹤溯源技術(shù)提升提供理論支撐和實踐支持。