李艷華

（北京賽迪時(shí)代信息產(chǎn)業(yè)股份有限公司，北京 100080）

1 引言

隨著信息技術(shù)的飛速發(fā)展，內(nèi)網(wǎng)、外網(wǎng)以及互聯(lián)網(wǎng)等各種形式的網(wǎng)絡(luò)將社會(huì)的各個(gè)領(lǐng)域連接起來，數(shù)據(jù)的大規(guī)模生產(chǎn)、共享和應(yīng)用的大數(shù)據(jù)時(shí)代已經(jīng)到來。大數(shù)據(jù)由于其多元化的來源、異構(gòu)化的體系、分布式的時(shí)空狀態(tài)等多層面、復(fù)雜化的狀況，產(chǎn)生了獨(dú)特的體系結(jié)構(gòu)，在推動(dòng)存儲(chǔ)、網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)發(fā)展的同時(shí)，也帶來了新的安全問題、安全機(jī)遇和挑戰(zhàn)。

2 大數(shù)據(jù)發(fā)展帶來新的安全挑戰(zhàn)和機(jī)遇

2.1 大數(shù)據(jù)技術(shù)發(fā)展給安全帶來極大挑戰(zhàn)

（1）海量數(shù)據(jù)使得安全管理的難度顯著增加。一方面，大量的數(shù)據(jù)集中存儲(chǔ)在一個(gè)物理位置或同一個(gè)邏輯地址，增加了泄漏的風(fēng)險(xiǎn)，黑客的成功攻擊可以獲得比以往任何時(shí)候更多的數(shù)據(jù)，幾乎降低了黑客的攻擊成本，增加了攻擊收益。另一方面，海量數(shù)據(jù)的收集可能包含更復(fù)雜、更敏感和更有價(jià)值的數(shù)據(jù)，這將吸引更多潛在的攻擊者。

（2）大數(shù)據(jù)的多樣性和復(fù)雜性使得驗(yàn)證信息是否有效的工作變得更加困難。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)來自多維空間，不再局限于特定的數(shù)據(jù)采集模式。不僅需要鑒別不斷增加的數(shù)據(jù)是否真實(shí)、可靠、有效、大量重復(fù)。對(duì)于如何區(qū)分?jǐn)?shù)據(jù)是否具有時(shí)效性、可提取特征或統(tǒng)計(jì)意義，也是一個(gè)棘手的問題。

（3）低密度值分布數(shù)據(jù)使得大型信息系統(tǒng)必須擴(kuò)大邊界安全和防護(hù)范圍。一方面，大量的數(shù)據(jù)被混合在一起，其中包括大量的業(yè)務(wù)操作數(shù)據(jù)、客戶信息、個(gè)人隱私和各種行為的詳細(xì)記錄。不同類型的數(shù)據(jù)通過不同的采集渠道經(jīng)過不同方式的數(shù)據(jù)清洗和處理，按照不同的結(jié)構(gòu)存儲(chǔ)在不同類型的介質(zhì)上，其安全需求的多樣性和復(fù)雜性顯而易見。另一方面，由于一些敏感數(shù)據(jù)的所有權(quán)和使用權(quán)沒有明確界定，許多大型基于數(shù)據(jù)的分析沒有考慮到涉及的隱私問題，導(dǎo)致個(gè)人信息保護(hù)堪憂。最后，大數(shù)據(jù)給數(shù)據(jù)完整性和可用性帶來了挑戰(zhàn)，在防止數(shù)據(jù)丟失、被篡改、被盜、濫用和銷毀等方面存在新的技術(shù)困難，許多傳統(tǒng)的安全工具在大數(shù)據(jù)安全面前都顯得無能為力。

2.2 大數(shù)據(jù)技術(shù)應(yīng)用提升安全保障能力

大數(shù)據(jù)技術(shù)也為數(shù)據(jù)安全的發(fā)展提供了新的機(jī)會(huì)，為安全分析提供了新的可能性。

一是大數(shù)據(jù)技術(shù)可以應(yīng)用在對(duì)A P T攻擊檢測(cè)上。相對(duì)于傳統(tǒng)威脅，A P T攻擊具有特定目標(biāo)、隱蔽性強(qiáng)、破壞力大、持續(xù)時(shí)間長的特點(diǎn)。目前，A P T攻擊檢測(cè)主要集中在三個(gè)方面：惡意代碼檢測(cè)、主機(jī)應(yīng)用保護(hù)和網(wǎng)絡(luò)入侵檢測(cè)。通過大數(shù)據(jù)技術(shù)，可以獲得全方位的數(shù)據(jù)，對(duì)不同階段的安全威脅進(jìn)行感知；同時(shí)，大數(shù)據(jù)技術(shù)可以實(shí)現(xiàn)全流量分析，并發(fā)現(xiàn)異常情況。基于大數(shù)據(jù)分析的防A P T產(chǎn)品可以對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)進(jìn)行全流量鏡像偵聽，通過存儲(chǔ)和分析流量數(shù)據(jù)，發(fā)現(xiàn)異常的數(shù)據(jù)行為，探測(cè)A P T攻擊，并根據(jù)這些數(shù)據(jù)對(duì)APT攻擊進(jìn)行溯源。

二是大數(shù)據(jù)技術(shù)可以應(yīng)用在態(tài)勢(shì)感知上。網(wǎng)絡(luò)態(tài)勢(shì)感知能夠獲取、理解、顯示和預(yù)測(cè)在大規(guī)模網(wǎng)絡(luò)環(huán)境下導(dǎo)致網(wǎng)絡(luò)態(tài)勢(shì)變化的安全要素?；诖髷?shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知，可以存儲(chǔ)諸多網(wǎng)絡(luò)探針獲取的數(shù)據(jù)，并基于數(shù)據(jù)挖掘技術(shù)，從海量數(shù)據(jù)中挖掘出有用的數(shù)據(jù)信息。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)攻擊復(fù)雜性的增加，網(wǎng)絡(luò)態(tài)勢(shì)感知數(shù)據(jù)量會(huì)進(jìn)一步擴(kuò)大，此時(shí)只有應(yīng)用大數(shù)據(jù)技術(shù)才能處理海量數(shù)據(jù)，理解并預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

三是大數(shù)據(jù)技術(shù)可以應(yīng)用在終端防護(hù)、特種木馬防范等信息安全技術(shù)領(lǐng)域中?，F(xiàn)今，惡意代碼的變種總數(shù)已經(jīng)達(dá)到千萬級(jí)，而有效的樣本數(shù)則達(dá)到了數(shù)以億計(jì)。在這一前提下，只有應(yīng)用大數(shù)據(jù)技術(shù)，才能實(shí)現(xiàn)全樣本分析，繪制成圖譜。二十年前，在移動(dòng)方向上信息安全行業(yè)每投入兩個(gè)工程師只能分析出九個(gè)病毒，而隨著手機(jī)惡意代碼的不斷發(fā)展，到了2014年，只需投入十五個(gè)工程師就可分析出一百三十萬種手機(jī)病毒。這正是通過有效地引入了相應(yīng)的自動(dòng)分析處理技術(shù)和大數(shù)據(jù)方法，才讓海量樣本分析成為了可能。

3 大數(shù)據(jù)安全發(fā)展需求

3.1 大數(shù)據(jù)環(huán)境下預(yù)警和應(yīng)急處置能力急需提升

當(dāng)前，大數(shù)據(jù)產(chǎn)業(yè)涉及的數(shù)據(jù)范圍更廣、形式更多元化，近年來大數(shù)據(jù)市場(chǎng)一直以高增速擴(kuò)大規(guī)模。在諸如醫(yī)療、銀行和金融業(yè)、社交網(wǎng)絡(luò)、公共安全、通信、基礎(chǔ)科學(xué)研究等領(lǐng)域，大數(shù)據(jù)都發(fā)揮著至關(guān)重要的作用。

現(xiàn)階段，我國互聯(lián)網(wǎng)迅速發(fā)展，新技術(shù)得到快速應(yīng)用的同時(shí)，也給數(shù)字化、網(wǎng)絡(luò)化違法犯罪提供了全新途徑，各類新型網(wǎng)絡(luò)犯罪、社會(huì)公共安全事件呈加速增長態(tài)勢(shì)，并且手段隱蔽、影響廣泛、后果嚴(yán)重、難以防范。面對(duì)上述趨勢(shì)，相應(yīng)的網(wǎng)絡(luò)預(yù)警及防控機(jī)制有待進(jìn)一步提高和完善，現(xiàn)有的技術(shù)手段難以應(yīng)對(duì)新型網(wǎng)絡(luò)違法犯罪及危害社會(huì)公共的安全事件。由于缺乏有效的預(yù)警機(jī)制，各方感知的信息難以被快速匯聚和充分利用，使防控難度不斷加大。此外，預(yù)警規(guī)則設(shè)置、數(shù)據(jù)源可信驗(yàn)證等技術(shù)還需進(jìn)一步加大研究力度。

應(yīng)急處置方面，由于傳統(tǒng)的檢測(cè)是基于單個(gè)時(shí)間點(diǎn)的威脅特征進(jìn)行實(shí)時(shí)匹配檢測(cè)，大數(shù)據(jù)已逐漸成為高級(jí)可持續(xù)攻擊的載體，先進(jìn)的可持續(xù)攻擊是一個(gè)實(shí)現(xiàn)過程，沒有明顯的實(shí)時(shí)檢測(cè)特征，無法實(shí)時(shí)檢測(cè)。另外，大數(shù)據(jù)的價(jià)值密度很低，安全分析工具很難把重點(diǎn)放在價(jià)值點(diǎn)上。黑客可以在大數(shù)據(jù)中隱藏攻擊，這使得安全服務(wù)提供商很難分析安全事件。針對(duì)此類攻擊行為，上下聯(lián)動(dòng)的應(yīng)急響應(yīng)體系有待進(jìn)一步完善。相應(yīng)地，大數(shù)據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全態(tài)勢(shì)感知等核心關(guān)鍵技術(shù)還需突破。

3.2 大數(shù)據(jù)環(huán)境下數(shù)據(jù)安全保護(hù)技術(shù)急需突破

當(dāng)前，數(shù)據(jù)安全已成為各行業(yè)和企業(yè)的最基本需求。由于大數(shù)據(jù)量大、類型復(fù)雜、價(jià)值密度低、分布式處理速度快，大數(shù)據(jù)也面臨著前所未有的數(shù)據(jù)安全威脅和挑戰(zhàn)。隨著大數(shù)據(jù)的使用規(guī)模和領(lǐng)域的擴(kuò)大，大數(shù)據(jù)的安全威脅也將完全輻射到各種行業(yè)。比如，2018年發(fā)生的Facebook數(shù)據(jù)泄露事件，F(xiàn)acebook以50億美元代價(jià)與美國FTC和解。而IBM的年度數(shù)據(jù)泄露研究表明，數(shù)據(jù)泄露的成本包括調(diào)查取證、訴訟賠償、損失控制和修復(fù)等多種相關(guān)費(fèi)用，從全球范圍來看，平均成本高達(dá)392萬美元。大數(shù)據(jù)基礎(chǔ)設(shè)施是大數(shù)據(jù)安全運(yùn)行的基礎(chǔ)，攻擊者可以通過非授權(quán)訪問大數(shù)據(jù)的基礎(chǔ)設(shè)施，在傳輸過程中破壞數(shù)據(jù)完整性、竊取信息、發(fā)動(dòng)拒絕服務(wù)攻擊、傳播網(wǎng)絡(luò)病毒等方式對(duì)大數(shù)據(jù)基礎(chǔ)設(shè)施實(shí)施破壞。因此，大流量數(shù)據(jù)安全傳輸、非關(guān)系型數(shù)據(jù)庫存儲(chǔ)安全、非結(jié)構(gòu)數(shù)據(jù)動(dòng)態(tài)脫敏、數(shù)據(jù)防泄漏等核心關(guān)鍵技術(shù)急需突破。

3.3 大數(shù)據(jù)環(huán)境下安全監(jiān)測(cè)分析能力急需提高

大數(shù)據(jù)環(huán)境下，數(shù)據(jù)在采集、傳輸、存儲(chǔ)、處理等各環(huán)節(jié)存在大量的隱患，很多環(huán)節(jié)直接導(dǎo)致了信息的泄露，而這與我國大數(shù)據(jù)環(huán)境下的系統(tǒng)安全監(jiān)測(cè)能力不足有著直接關(guān)系?，F(xiàn)階段，安全監(jiān)測(cè)產(chǎn)品還無法滿足大數(shù)據(jù)環(huán)境下的穩(wěn)定性要求，隨著監(jiān)測(cè)系統(tǒng)規(guī)模和復(fù)雜性的增加，系統(tǒng)的不確定因素也在增加，對(duì)穩(wěn)定性帶來了更多挑戰(zhàn)。同時(shí)，監(jiān)測(cè)系統(tǒng)對(duì)可用性的要求也很高，即監(jiān)控要接近準(zhǔn)實(shí)時(shí)或?qū)崟r(shí)，這也是需要特別關(guān)注的重要方面。大數(shù)據(jù)環(huán)境下的系統(tǒng)安全監(jiān)測(cè)活動(dòng)對(duì)監(jiān)測(cè)產(chǎn)品的吞吐量要求也更高，但現(xiàn)階段產(chǎn)品的吞吐量還顯然不足，甚至在量級(jí)上還不完全適用于大數(shù)據(jù)環(huán)境。

大數(shù)據(jù)環(huán)境下的系統(tǒng)安全監(jiān)測(cè)活動(dòng)對(duì)監(jiān)測(cè)產(chǎn)品的監(jiān)測(cè)技術(shù)也提出了更新要求。目前，監(jiān)測(cè)的產(chǎn)品包括旁路監(jiān)測(cè)技術(shù)、流量監(jiān)測(cè)等，但是面對(duì)數(shù)據(jù)龐大的大數(shù)據(jù)，這些技術(shù)在應(yīng)用時(shí)可能存在網(wǎng)絡(luò)消耗大、產(chǎn)品性能不達(dá)標(biāo)等問題。因此，當(dāng)前亟需對(duì)監(jiān)測(cè)技術(shù)進(jìn)行優(yōu)化，以保證大數(shù)據(jù)環(huán)境下的監(jiān)測(cè)活動(dòng)易于實(shí)現(xiàn)。

4 對(duì)策建議

圍繞“保護(hù)大數(shù)據(jù)安全”和“提升大數(shù)據(jù)系統(tǒng)安全防護(hù)能力”兩個(gè)核心問題，建議在大數(shù)據(jù)安全保護(hù)、大數(shù)據(jù)系統(tǒng)安全評(píng)估兩個(gè)方向進(jìn)行深化研究，具體可在數(shù)據(jù)源的可信驗(yàn)證、非關(guān)系型數(shù)據(jù)庫的存儲(chǔ)安全和非結(jié)構(gòu)數(shù)據(jù)的動(dòng)態(tài)脫敏，以及大數(shù)據(jù)系統(tǒng)的安全監(jiān)測(cè)、可信免疫技術(shù)、智能攻防技術(shù)等方向展開。

4.1 大數(shù)據(jù)安全保護(hù)技術(shù)

大數(shù)據(jù)安全保護(hù)技術(shù)主要可以從數(shù)據(jù)源可信驗(yàn)證、非關(guān)系型數(shù)據(jù)庫存儲(chǔ)安全和非結(jié)構(gòu)數(shù)據(jù)動(dòng)態(tài)脫敏三個(gè)方面來考慮。

（1）研究數(shù)據(jù)源可信驗(yàn)證技術(shù)，從數(shù)據(jù)源頭上實(shí)現(xiàn)安全防控

一是進(jìn)行數(shù)據(jù)源共享安全脆弱性分析。研究數(shù)字簽名和校驗(yàn)、異構(gòu)網(wǎng)絡(luò)傳輸所帶來的數(shù)據(jù)源可信驗(yàn)證開銷問題；研究各數(shù)據(jù)源不同的安全機(jī)制之間的互聯(lián)互操作問題；研究不同服務(wù)之間的協(xié)作帶來的新的安全問題。二是建立數(shù)據(jù)源可信驗(yàn)證模型。建立數(shù)據(jù)源可信驗(yàn)證模型，設(shè)計(jì)可行、可靠的源驗(yàn)證方案，滿足數(shù)據(jù)源訪問者身份合法性、消息傳遞路徑可靠性等驗(yàn)證需求。三是研究身份認(rèn)證技術(shù)。研究大數(shù)據(jù)環(huán)境下的身份認(rèn)證技術(shù)，設(shè)計(jì)滿足大數(shù)據(jù)環(huán)境認(rèn)證需求的身份認(rèn)證框架以及高效身份認(rèn)證協(xié)議，提高身份認(rèn)證效率，實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)、跨數(shù)據(jù)中心的身份認(rèn)證。四是開展服務(wù)調(diào)用認(rèn)證技術(shù)研究。開展研究服務(wù)調(diào)用認(rèn)證技術(shù)，設(shè)計(jì)服務(wù)調(diào)用認(rèn)證框架和服務(wù)調(diào)用認(rèn)證協(xié)議，滿足數(shù)據(jù)源共享實(shí)體認(rèn)證、消息源不可偽造、傳遞路徑可鑒別、傳遞信息不可篡改等要求。五是發(fā)展數(shù)據(jù)源異常檢測(cè)技術(shù)。建立數(shù)據(jù)源異常檢測(cè)模型，實(shí)現(xiàn)數(shù)據(jù)源訪問用戶身份仿冒、數(shù)據(jù)內(nèi)容篡改、通信傳輸劫持、訪問權(quán)限變更、服務(wù)調(diào)用失常等異常情況的快速檢測(cè)和溯源跟蹤。

（2）研究非關(guān)系型數(shù)據(jù)庫存儲(chǔ)安全技術(shù)，打造安全的數(shù)據(jù)港灣

一是研究敏感數(shù)據(jù)分級(jí)保護(hù)與加解密技術(shù)。根據(jù)數(shù)據(jù)的不同敏感等級(jí)及保護(hù)粒度要求，研究對(duì)用戶透明的文件系統(tǒng)加解密、數(shù)據(jù)管理系統(tǒng)加解密及客戶端加解密三種數(shù)據(jù)保護(hù)技術(shù)。研究面向非關(guān)系型數(shù)據(jù)的高效加解密算法，滿足海量非關(guān)系型數(shù)據(jù)存儲(chǔ)安全性與可用性的需求。二是研究細(xì)粒度的一體化數(shù)據(jù)安全訪問技術(shù)。重點(diǎn)研究一體化的數(shù)據(jù)安全訪問技術(shù)，實(shí)現(xiàn)上層應(yīng)用和下層存儲(chǔ)的解耦，以提供跨組件的可復(fù)用數(shù)據(jù)模型為研究手段，來支持行和列級(jí)別細(xì)粒度的角色訪問控制。

（3）研究非結(jié)構(gòu)數(shù)據(jù)動(dòng)態(tài)脫敏技術(shù)，保障數(shù)據(jù)的合規(guī)使用

首先，根據(jù)數(shù)據(jù)的特點(diǎn)、敏感特征以及敏感等級(jí)等要求，研究非結(jié)構(gòu)化數(shù)據(jù)文件類型特點(diǎn)、敏感特征類型以及敏感等級(jí)，深入研究脫敏規(guī)則形成技術(shù)。一是對(duì)文本類別進(jìn)行聚類和分類處理。二是基于音視頻關(guān)鍵幀匹配發(fā)現(xiàn)技術(shù)，對(duì)音視頻數(shù)據(jù)進(jìn)行分類和敏感數(shù)據(jù)發(fā)現(xiàn)處理。在敏感信息的特性基礎(chǔ)上，對(duì)分類后的數(shù)據(jù)形成一定結(jié)構(gòu)的脫敏規(guī)則。

其次，根據(jù)敏感特征以及相互組合關(guān)系，研究海量數(shù)據(jù)中如何高速匹配檢索的全文檢索技術(shù)。以一定算法為基礎(chǔ)，結(jié)合特定的脫敏規(guī)則，對(duì)全文進(jìn)行關(guān)鍵詞匹配，尋找敏感信息。結(jié)合關(guān)鍵詞規(guī)則表達(dá)式的處理方式體現(xiàn)了脫敏規(guī)則，可構(gòu)建高速全文搜索引擎。

再次，根據(jù)敏感特征以及需要保留的耦合關(guān)系，研究屏蔽加密敏感特征數(shù)據(jù)技術(shù)。以一定加密算法為基礎(chǔ)，結(jié)合需要屏蔽的加密數(shù)據(jù)本身，以及相關(guān)的位置信息、耦合關(guān)系等，生成相關(guān)的加密屏蔽的隱含信息，用以覆蓋原始的敏感數(shù)據(jù)。

4.2 大數(shù)據(jù)系統(tǒng)安全評(píng)估技術(shù)

大數(shù)據(jù)的安全主要由數(shù)據(jù)本身的安全和數(shù)據(jù)所處的系統(tǒng)平臺(tái)兩個(gè)方面安全構(gòu)成，本節(jié)將主要闡述大數(shù)據(jù)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估技術(shù)。建議主要從軟件系統(tǒng)漏洞分析、大數(shù)據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、大數(shù)據(jù)系統(tǒng)安全監(jiān)測(cè)、智能攻防、可信免疫五個(gè)方面的技術(shù)來考慮。

（1）研究軟件系統(tǒng)漏洞分析技術(shù)，發(fā)現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全隱患

從正面的漏洞分析和逆向的后門檢測(cè)兩個(gè)方面來研究軟件系統(tǒng)漏洞分析技術(shù)。一是研究面向大數(shù)據(jù)系統(tǒng)及應(yīng)用軟件的代碼預(yù)處理技術(shù)、面向大數(shù)據(jù)的靜態(tài)缺陷分析技術(shù)和面向大數(shù)據(jù)的動(dòng)態(tài)漏洞分析技術(shù)。二是開展針對(duì)大數(shù)據(jù)產(chǎn)品的深度檢測(cè)和后門分析研究，構(gòu)建接近于真實(shí)的網(wǎng)絡(luò)流量和攻擊特征，用于激發(fā)潛在的未聲明功能，通過安全測(cè)試發(fā)現(xiàn)產(chǎn)品在面對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境時(shí)可能出現(xiàn)的安全隱患。

（2）研究大數(shù)據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)，建設(shè)完備的安全風(fēng)險(xiǎn)評(píng)估體系

大數(shù)據(jù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的第一步就是要形成面向大數(shù)據(jù)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估方法、流程、核心技術(shù)，建設(shè)完備的大數(shù)據(jù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估體系。大數(shù)據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的一個(gè)重要內(nèi)容是大數(shù)據(jù)環(huán)境下公民個(gè)人信息泄露風(fēng)險(xiǎn)評(píng)估技術(shù)，涵蓋大數(shù)據(jù)環(huán)境下多類型數(shù)據(jù)融合、多源數(shù)據(jù)支撐的目標(biāo)對(duì)象跟蹤、公民個(gè)人信息泄露風(fēng)險(xiǎn)評(píng)估體系等內(nèi)容。而基于威脅大數(shù)據(jù)的網(wǎng)絡(luò)威脅交換聯(lián)動(dòng)技術(shù)作為大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估體系的技術(shù)基礎(chǔ)，旨在形成具有安全威脅數(shù)據(jù)交換聯(lián)動(dòng)機(jī)制的動(dòng)態(tài)安全監(jiān)測(cè)體系，為大數(shù)據(jù)平臺(tái)和信息系統(tǒng)的動(dòng)態(tài)安全防護(hù)提供支撐。

（3）研究大數(shù)據(jù)系統(tǒng)安全監(jiān)測(cè)技術(shù)，利用大數(shù)據(jù)自身的特點(diǎn)實(shí)現(xiàn)對(duì)行為和現(xiàn)象的多重分析

大數(shù)據(jù)環(huán)境下系統(tǒng)的安全監(jiān)測(cè)，需要利用大數(shù)據(jù)技術(shù)進(jìn)行分析和利用，因此大數(shù)據(jù)管理能力成為了安全感知的基礎(chǔ)，大數(shù)據(jù)分析能力成為了安全感知的關(guān)鍵?？芍赜谖宸矫娴难芯?。第一，專用的虛擬化系統(tǒng)和網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)；第二，可編排的安全大數(shù)據(jù)自動(dòng)匯聚技術(shù)；第三，威脅信息的自動(dòng)化畫像技術(shù)，實(shí)現(xiàn)對(duì)多文件（載荷）、網(wǎng)絡(luò)行為、C2和其他IOC信標(biāo)的深度分析和多向量提?。坏谒?，可編排的處置策略統(tǒng)一生成、及自動(dòng)定向下發(fā)技術(shù)。基于威脅畫像信息和匯聚的安全大數(shù)據(jù)，研究快速生產(chǎn)增強(qiáng)檢測(cè)策略的技術(shù)，實(shí)現(xiàn)對(duì)流量行為、系統(tǒng)行為、文件對(duì)象等檢測(cè)和識(shí)別策略的統(tǒng)一生產(chǎn)；第五，基于大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)。累積惡意代碼畫像的數(shù)據(jù)，通過大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)的方法，實(shí)現(xiàn)對(duì)未知代碼樣本的檢測(cè)和判定方法，研究在海量流量行為和系統(tǒng)行為中發(fā)現(xiàn)異常行為和潛在威脅的方法。

（4） 研究智能攻防技術(shù)，提升網(wǎng)絡(luò)防御工作的基礎(chǔ)能力

隨著大數(shù)據(jù)和人工智能技術(shù)的發(fā)展，入侵技術(shù)自動(dòng)化、智能化和多樣化程度越來越高，嚴(yán)重影響了信息安全，做好網(wǎng)絡(luò)安全防御工作刻不容緩。建議重點(diǎn)研究三方向技術(shù)。

一是基于人工智能的漏洞分析和修正推理算法研究，通過分析人工的漏洞和修正的工作過程，提煉出共性的工作流程，并推導(dǎo)出人工智能的推理算法和邏輯從而形成推理知識(shí)庫，以便于實(shí)現(xiàn)自動(dòng)化攻防工具的設(shè)計(jì)和開發(fā)。二是基于人工智能的攻防自動(dòng)化分析工具原型研制。建議通過持續(xù)跟蹤國際最先進(jìn)的自動(dòng)化攻防技術(shù)的發(fā)展，參考主流的漏洞分析開源工具和逆向分析工具，開發(fā)出攻防自動(dòng)化分析工具原型，一方面實(shí)現(xiàn)攻防過程的自動(dòng)化，另一方面實(shí)現(xiàn)攻防自動(dòng)化技術(shù)的實(shí)訓(xùn)，以培養(yǎng)出更多的從業(yè)人員。三是基于攻防過程數(shù)據(jù)采集的攻防過程可視化平臺(tái)研制，基于虛擬化技術(shù)的模擬仿真平臺(tái)，實(shí)現(xiàn)對(duì)攻防過程數(shù)據(jù)的實(shí)時(shí)采集，并在此基礎(chǔ)上實(shí)現(xiàn)對(duì)搜采集數(shù)據(jù)的分析或過濾，沉淀出可疑的行為和網(wǎng)絡(luò)流量，將攻防過程中所產(chǎn)生的相關(guān)行為以可視化方式展現(xiàn)到大屏幕上，實(shí)現(xiàn)攻防過程的可視化。

（5）研究可信免疫技術(shù)，實(shí)現(xiàn)大數(shù)據(jù)系統(tǒng)的邊計(jì)算邊防護(hù)

在大數(shù)據(jù)系統(tǒng)進(jìn)行計(jì)算、運(yùn)算的同時(shí)，安全防護(hù)工作應(yīng)當(dāng)同步進(jìn)行，安全防護(hù)的全程可測(cè)可控是非常必要的，建議開展可信免疫技術(shù)的研究。

一是主動(dòng)免疫防御安全模型及體系結(jié)構(gòu)研究。重點(diǎn)研究主動(dòng)免疫的基本模型和體系結(jié)構(gòu)，為系統(tǒng)建立內(nèi)生安全、自我免疫機(jī)制，一邊進(jìn)行服務(wù)運(yùn)算，一邊進(jìn)行可信驗(yàn)證，實(shí)現(xiàn)行為度量和智能感知相結(jié)合的動(dòng)態(tài)驗(yàn)證機(jī)制，即使系統(tǒng)存在缺陷也不會(huì)被輕易利用，為計(jì)算機(jī)建立自己的免疫系統(tǒng)，達(dá)到不裝殺毒軟件、不打補(bǔ)丁情況下的安全運(yùn)行。

二是動(dòng)態(tài)化、智能化主動(dòng)免疫防御關(guān)鍵技術(shù)研究。該項(xiàng)研究的核心在于“計(jì)算與防護(hù)并行的雙體系結(jié)構(gòu)”以及“主動(dòng)免疫與其他安全機(jī)制的合作共贏”?！坝?jì)算與防護(hù)并行的雙體系結(jié)構(gòu)”實(shí)際就是實(shí)現(xiàn)計(jì)算服務(wù)與安全防護(hù)融為一體，針對(duì)服務(wù)的計(jì)算環(huán)境和業(yè)務(wù)流程量身定制驗(yàn)證策略，即使系統(tǒng)存在缺陷也不會(huì)被輕易利用，實(shí)時(shí)阻斷攻擊鏈，為計(jì)算機(jī)建立自己的免疫系統(tǒng)，達(dá)到不裝殺毒軟件、不打補(bǔ)丁情況下的安全運(yùn)行?！爸鲃?dòng)免疫與其他安全機(jī)制的合作共贏”在于主動(dòng)免疫防御與其他安全機(jī)制的有機(jī)協(xié)作，在主動(dòng)防御機(jī)制的支撐和調(diào)度下，通過各安全機(jī)制的動(dòng)態(tài)聯(lián)動(dòng)，實(shí)現(xiàn)攻擊身份定位、入侵取證、漏洞定位、攻擊溯源等，對(duì)攻擊活動(dòng)做到既“知其然”又“知其所以然”，構(gòu)建信息系統(tǒng)縱深防御的綜合防護(hù)體系。

5 結(jié)束語

由于大數(shù)據(jù)的延展性和開放性，在數(shù)據(jù)安全保護(hù)和系統(tǒng)安全評(píng)估以及風(fēng)險(xiǎn)防范等方面存在許多技術(shù)問題。因此，建議國家對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)進(jìn)行整體布局，推進(jìn)業(yè)內(nèi)廠商分工合作，深化研究和開發(fā)工作，實(shí)現(xiàn)差異化競爭，加強(qiáng)優(yōu)勢(shì)產(chǎn)品的研發(fā)，對(duì)整個(gè)安全產(chǎn)業(yè)產(chǎn)生互補(bǔ)具有重要意義。