張然 夏晨 鄭航堅(jiān)

摘要：我國高校當(dāng)前的發(fā)展和運(yùn)行中，由于網(wǎng)絡(luò)通信系統(tǒng)中含有大量的研究成果，并且一些成果具有較高的保密等級，要嚴(yán)格防范出現(xiàn)數(shù)據(jù)泄露以及被惡意竊取問題。大數(shù)據(jù)時(shí)代出現(xiàn)網(wǎng)絡(luò)攻擊現(xiàn)象的概率提高，并且以APT攻擊手段為首的攻擊形式具有較高的隱蔽性，并且數(shù)據(jù)隱蔽信道檢查難度也較高，新時(shí)期要采用合適方法落實(shí)安全防護(hù)工作。

關(guān)鍵詞：大數(shù)據(jù)技術(shù);高校網(wǎng)絡(luò)系統(tǒng);安全防護(hù);APT攻擊

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）05-0043-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

大數(shù)據(jù)時(shí)期最常見的攻擊手段是APT攻擊，這種攻擊形式具有隱蔽性高、潛伏性好以及可以在硬件中存在很長時(shí)間等特點(diǎn)，導(dǎo)致目前采用的安全防護(hù)手段難以直接發(fā)現(xiàn)在系統(tǒng)中存在的故障。在大數(shù)據(jù)時(shí)代，可借助該技術(shù)對互聯(lián)網(wǎng)節(jié)點(diǎn)、硬件設(shè)施等逐個(gè)掃描，從中找到系統(tǒng)中存在的問題，通過輸出攻擊圖的方式提高安全防護(hù)效果。

1 大數(shù)據(jù)時(shí)代高校網(wǎng)絡(luò)安全防護(hù)工作的分析重點(diǎn)

1.1隱蔽信道檢測

大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)攻擊中，APT攻擊會通過建成的隱蔽信道完成信息的傳遞工作，但是這一技術(shù)在使用中，容易出現(xiàn)長期的信息泄露問題，從而讓這一系統(tǒng)的運(yùn)行質(zhì)量無法滿足要求[1]。此外在當(dāng)前的網(wǎng)絡(luò)系統(tǒng)運(yùn)行中，APT攻擊也會針對高校中建成的通信節(jié)點(diǎn)獲取信息，出現(xiàn)可以研究成果的泄密問題，從而讓這一系統(tǒng)的安全防護(hù)質(zhì)量不足。

對于隱蔽信道來說，雖然硬軟件防火墻能夠檢測到流量發(fā)生一定的波動(dòng)情況，但是無法識別其中含有的信息類型，導(dǎo)致這一系統(tǒng)的運(yùn)行質(zhì)量無法滿足要求。

1.2攻擊節(jié)點(diǎn)查找

攻擊節(jié)點(diǎn)的查找中，要完成對于已經(jīng)被攻擊節(jié)點(diǎn)的全面找到，其中對于系統(tǒng)的運(yùn)行過程來說，使用大數(shù)據(jù)技術(shù)可以實(shí)現(xiàn)對各個(gè)節(jié)點(diǎn)的檢測工作，從而讓這一系統(tǒng)可以更好運(yùn)行。此外節(jié)點(diǎn)的檢測過程中，也要分析當(dāng)前這一系統(tǒng)是否能夠更好運(yùn)行，要分析節(jié)點(diǎn)之間的連接性。在實(shí)際的檢測過程中，在檢測其中的一個(gè)節(jié)點(diǎn)時(shí)，則要分析與之連接其余節(jié)點(diǎn)的作用水平和工作效果，并且生成當(dāng)前APT攻擊已經(jīng)覆蓋的范圍，從中分析當(dāng)前和今后需要做好的故障排除方式。

1.3攻擊圖生成

攻擊圖在生成之后，可以讓網(wǎng)絡(luò)運(yùn)維人員分析攻擊形式和攻擊造成的損失，并制定后續(xù)的網(wǎng)絡(luò)系統(tǒng)安防方案，就實(shí)際的作用方法上來看，要分析當(dāng)前被攻擊的區(qū)域和攻擊程度，從中選擇最佳的問題處理方案。攻擊圖的生成過程中要通過對各個(gè)邏輯關(guān)系的研究和明確，在此基礎(chǔ)上讓這一系統(tǒng)能夠更好運(yùn)行，從而讓當(dāng)前存在的問題被有效解決。

2 大數(shù)據(jù)時(shí)代高校網(wǎng)絡(luò)安全防護(hù)工作的存在問題

2.1 技術(shù)選用問題

技術(shù)選用問題表現(xiàn)為，當(dāng)前普遍采用硬件和軟件防火墻實(shí)現(xiàn)對于整個(gè)網(wǎng)絡(luò)的共同防護(hù)，但是在當(dāng)前的工作中也存在一定的問題，其未能實(shí)現(xiàn)對于技術(shù)的合理選用，導(dǎo)致對于基于大數(shù)據(jù)技術(shù)的攻擊手段防護(hù)效果不足，無法保障網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。可以說這一方法只能夠?qū)崿F(xiàn)最為基礎(chǔ)攻擊手段的防范和規(guī)避，對于APT攻擊無法高效規(guī)避。在目前的高校網(wǎng)絡(luò)安全防護(hù)工作中，技術(shù)選用的問題一方面導(dǎo)致防護(hù)的對象存在缺陷，另一方面選擇的技術(shù)未能覆蓋大數(shù)據(jù)時(shí)代的多種新型攻擊手段。

2.2 參數(shù)分析問題

參數(shù)分析要考慮隱蔽信道的檢測和分析、被攻擊節(jié)點(diǎn)的研究和剖析等。對于隱蔽信道來說，會通過對于數(shù)據(jù)包結(jié)構(gòu)的調(diào)整，按照已經(jīng)制定的信號分析方案實(shí)現(xiàn)各類信息的傳遞。目前已經(jīng)開發(fā)出了多種檢測方法，主要是一段時(shí)間內(nèi)數(shù)據(jù)包報(bào)文內(nèi)字符之間的線性關(guān)系，當(dāng)發(fā)現(xiàn)線性相關(guān)時(shí)，可確定這一系統(tǒng)不屬于隱蔽信道，而當(dāng)發(fā)現(xiàn)這一系統(tǒng)中的數(shù)據(jù)處于非線性關(guān)系時(shí)，則可確定該通信信道屬于APT攻擊中的隱蔽信道。

2.3 攻擊圖生成問題

攻擊圖的生成過程中，要明確遭受的攻擊形式，通過對于攻擊圖的使用和分析，可以探究系統(tǒng)中的故障[2]。在攻擊圖的生成中，要研究所有節(jié)點(diǎn)的連接形式，讓工作人員更好總結(jié)當(dāng)前工作體系中存在的問題，從而讓這一系統(tǒng)能夠穩(wěn)定運(yùn)行。另外攻擊圖的生成過程中要明確這一系統(tǒng)的穩(wěn)定運(yùn)行方法，比如詳細(xì)分析攻擊圖中的告警關(guān)聯(lián)形式，以提高對于各類參數(shù)的精確度，防止遺漏遭受攻擊的節(jié)點(diǎn)，從而讓這一系統(tǒng)的運(yùn)行質(zhì)量獲得提高。

3 大數(shù)據(jù)時(shí)代高校網(wǎng)絡(luò)安全防護(hù)工作的踐行方法

3.1 攻擊圖生成過程

（1）告警關(guān)聯(lián)分析

告警關(guān)聯(lián)信息的關(guān)聯(lián)過程中通常有4種關(guān)聯(lián)形式，其一是中心事件告警形式，運(yùn)行方法是在建成以中心事件為研究核心的工作體系，但是周邊事件是否處于被攻擊狀態(tài)則無法被有效確定，要自主測定周邊節(jié)點(diǎn)是否被攻擊。檢測方法包括數(shù)據(jù)包報(bào)文檢測、報(bào)文字符計(jì)數(shù)等，發(fā)現(xiàn)表現(xiàn)出符合攻擊的表現(xiàn)情況時(shí)，則要給出攻擊路徑。其二是上行事件告警方法，當(dāng)發(fā)現(xiàn)某事件能夠同時(shí)決定多個(gè)下行事件時(shí)，則可把這一事件設(shè)定成上行事件，當(dāng)上行事件存在問題時(shí)，會導(dǎo)致整個(gè)系統(tǒng)無法運(yùn)行。其三是下行事件告警，若多個(gè)同一層級事件決定某一個(gè)事件時(shí)，這所有這類事件稱為下行事件，發(fā)現(xiàn)某個(gè)下行事件被攻擊時(shí)，要對同一層級的所有事件進(jìn)行檢測，并分析其上行事件是否受到了影響。其四是事件的決定因素告警方式，對于一些網(wǎng)絡(luò)事件來說，通常其由多個(gè)因素決定，在這類事件的檢測和分析過程中，要研究被決定的事件和決定因素的檢測，尤其是當(dāng)發(fā)現(xiàn)被決定的事件出現(xiàn)嚴(yán)重問題時(shí)，則要確定所有的決定因素已經(jīng)遭受攻擊。

（2）流量異常分析

在網(wǎng)絡(luò)系統(tǒng)遭受了攻擊之后，則會出現(xiàn)流量異?，F(xiàn)象，通過對流量的分析，可以確定當(dāng)前這一系統(tǒng)中存在故障，從而讓這一系統(tǒng)無法穩(wěn)定運(yùn)行。

詳細(xì)的檢查過程中，可以采用的方法是研究當(dāng)前工作中存在的問題，大數(shù)據(jù)時(shí)代使用的方法是借助大數(shù)據(jù)技術(shù)和云計(jì)算技術(shù)完成相應(yīng)的檢測工作，從而讓整個(gè)系統(tǒng)能夠更好運(yùn)行。其中大數(shù)據(jù)技術(shù)可通過對通信網(wǎng)絡(luò)系統(tǒng)中一定時(shí)間內(nèi)的流量情況進(jìn)行分析和記錄，并通過云計(jì)算技術(shù)分析這一系統(tǒng)在運(yùn)行過程中，在一定時(shí)間內(nèi)這一系統(tǒng)的詳細(xì)運(yùn)行質(zhì)量。后續(xù)的檢測過程中，也是以一定時(shí)間內(nèi)的工作形式和工作指標(biāo)為研究指標(biāo)，當(dāng)發(fā)現(xiàn)某信道的數(shù)據(jù)突然發(fā)生變更時(shí)，則可確定這一信道已經(jīng)被攻擊。

（3）攻擊威脅評估

攻擊威脅評估過程中，可使用cvss評價(jià)體系實(shí)現(xiàn)對于安全威脅的多步評價(jià)，從而讓這一系統(tǒng)可以正常穩(wěn)定運(yùn)行[3]。評價(jià)系統(tǒng)的使用方法是，從某功能涵蓋節(jié)點(diǎn)數(shù)量這一角度切入，分析整個(gè)系統(tǒng)的運(yùn)行水平和工作形式。當(dāng)涵蓋的節(jié)點(diǎn)數(shù)量較多時(shí)，則該功能的被攻克難度較高，而當(dāng)發(fā)現(xiàn)涵蓋的節(jié)點(diǎn)較少，但是這一功能的重要性較高時(shí)，則可確定這一功能的被攻克難度較小，要做好對其的重點(diǎn)防護(hù)工作。

3.2 隱蔽信道檢測過程

（1）隱蔽信道類型

常見的隱蔽信道從整體上可以分為網(wǎng)絡(luò)存儲型信道、網(wǎng)絡(luò)時(shí)間型信道兩種，其中這兩類綜合性的信道中下轄多個(gè)具體的信道類型，比如對于網(wǎng)絡(luò)存儲型信道中的傳輸層隱蔽信道，攻擊手段中的常用修改協(xié)議是TCP和UDP協(xié)議，其中對于UDP協(xié)議來說，用來攜帶信息的字段包括端口號、目的端口號和校驗(yàn)字段，通過對其中含有字符的分析，可以明確是否攜帶信息。而對于TCP協(xié)議，通常會處理數(shù)據(jù)包中的序列號和確認(rèn)號，通過對于字符的調(diào)整和排序，以攜帶意圖竊取的信息。

（2）隱蔽信道檢測

整體框架建設(shè)和相關(guān)性分析工作，可借助Web Service協(xié)議完成特征值的分析工作，首先確定特征提取模塊與檢測方案的排序模塊，通過對數(shù)據(jù)流相關(guān)特征值的研究和分析，總結(jié)這一系統(tǒng)的具體運(yùn)行水平。其次是設(shè)定基礎(chǔ)判決器，發(fā)揮的作用是各個(gè)信道中基礎(chǔ)檢測數(shù)據(jù)和后續(xù)判決器之間的溝通橋梁。最后是最終的判決器，其作用是總結(jié)當(dāng)前被檢測的信道是否是隱蔽信道。

相關(guān)性分析工作中，要把各個(gè)字符數(shù)量的相關(guān)性協(xié)調(diào)到線性相關(guān)性的檢測體系，當(dāng)不相關(guān)時(shí)，則這一通信信道是隱蔽信道。

4 結(jié)論

綜上所述，大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安防工作中存在的問題包括大數(shù)據(jù)技術(shù)使用方法問題、參數(shù)分析不到位等，導(dǎo)致攻擊圖的準(zhǔn)確性不足以及隱蔽信道未能測定。使用方法包括使用基于APT的攻擊圖生成和基于Web Service協(xié)議的隱蔽信道檢測。

參考文獻(xiàn)：

[1]袁琛.大數(shù)據(jù)時(shí)代下網(wǎng)絡(luò)信息安全問題及防護(hù)對策[J].信息 記錄材料，2019，20（3）：28-29.

[2]高翔.網(wǎng)絡(luò)安全評估理論及其關(guān)鍵技術(shù)研究[Dl.鄭州：解放軍 信息工程大學(xué)，2014.

[3]韋杰.基于Web Service的數(shù)據(jù)共享交換平臺[Jl，電子技術(shù)與 軟件工程，2018（15）：149-150.

【通聯(lián)編輯：代影】

收稿日期：2019 -11-13

作者簡介：張然（1986-），女，安徽靈璧人，工程師，碩士研究生，研究方向?yàn)樾畔⒓夹g(shù)。