黨超輝 馬志偉 邵國飛 李樹新 郭鎮(zhèn)鑫

在信息網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)風(fēng)險(xiǎn)給使用者帶來了較大的困擾?；诖髷?shù)據(jù)和威脅情報(bào)，對風(fēng)險(xiǎn)因素予以描述和分析，能夠更好地保證網(wǎng)絡(luò)信息流轉(zhuǎn)的安全有效性。通過威脅情報(bào)來完成防御系統(tǒng)構(gòu)建，在大數(shù)據(jù)技術(shù)支持下，將安全防御做到及時(shí)、全面，是大數(shù)據(jù)時(shí)代必然的要求。

信息時(shí)代是社會發(fā)展的重要標(biāo)志，當(dāng)信息網(wǎng)絡(luò)存在不安全因素時(shí)，要積極利用技術(shù)手段予以防御，將風(fēng)險(xiǎn)控制在一定范圍之內(nèi)，保障信息網(wǎng)絡(luò)環(huán)境的良性運(yùn)行?；谕{情報(bào)的應(yīng)用廣泛、跟蹤緊密以及提供決策等特征，強(qiáng)化防御體系的實(shí)踐效果。

威脅情報(bào)

定義

威脅情報(bào)是基于信息技術(shù)領(lǐng)域發(fā)展出現(xiàn)的一種安全風(fēng)險(xiǎn)情況報(bào)告，在威脅情報(bào)中包括了對不安全因素性質(zhì)的描述和指引等內(nèi)容。威脅情報(bào)屬于一種信息識別報(bào)告，威脅報(bào)告關(guān)系到信息安全防御體系的應(yīng)用，基于威脅情報(bào)的可靠分析，可以為信息網(wǎng)絡(luò)用戶提供重要的安全防御支持，威脅報(bào)告的應(yīng)對速度和效果會直接影響到信息體系的整體安全防御水平。威脅情報(bào)作為對信息風(fēng)險(xiǎn)的一種描述，內(nèi)容必須全面、準(zhǔn)確、及時(shí)，這樣才具有信息安全價(jià)值。威脅情報(bào)的宗旨就是讓用戶能夠更好地受到保護(hù)，并基于威脅情報(bào)來采取具體的應(yīng)對措施。隨著大數(shù)據(jù)時(shí)代的到來，威脅情報(bào)基于大數(shù)據(jù)支持能夠完成威脅和防御2個(gè)層面的描述任務(wù)，對于信息數(shù)據(jù)用戶而言具有強(qiáng)力的安全支撐。威脅描述中要對風(fēng)險(xiǎn)數(shù)據(jù)的來源、數(shù)量、類型等予以判斷，防御描述要對風(fēng)險(xiǎn)數(shù)據(jù)的控制、隔離等路徑進(jìn)行指導(dǎo)。

特點(diǎn)

1.應(yīng)用廣泛

威脅情報(bào)技術(shù)能夠適用于大多數(shù)的網(wǎng)絡(luò)信息環(huán)境，可以完成較多的防御功能，如風(fēng)險(xiǎn)檢測、病毒隔離和漏洞彌補(bǔ)等。在防御體系構(gòu)建過程中，威脅情報(bào)可以參與到各個(gè)數(shù)據(jù)交互環(huán)節(jié)，同時(shí)對數(shù)據(jù)交互過程進(jìn)行整體監(jiān)控，從而確保防御系統(tǒng)響應(yīng)的及時(shí)性。

2.跟蹤緊密

威脅情報(bào)能夠具體描述風(fēng)險(xiǎn)因素，一個(gè)非常關(guān)鍵的點(diǎn)就是對這些風(fēng)險(xiǎn)因素進(jìn)行緊密跟蹤。利用威脅情報(bào)的跟蹤特點(diǎn)，可以結(jié)合防御系統(tǒng)來確定風(fēng)險(xiǎn)來源的IP地址和實(shí)時(shí)動態(tài)等，使網(wǎng)絡(luò)用戶能夠全面有效地掌握信息環(huán)境的情況。

3.提供決策

威脅情報(bào)在提供防御決策方面具有極大的優(yōu)勢，基于對網(wǎng)絡(luò)信息環(huán)境的數(shù)據(jù)采集和分析，可以識別和判斷風(fēng)險(xiǎn)類型，并基于大數(shù)據(jù)支持從數(shù)據(jù)庫中完成決策構(gòu)建，使系統(tǒng)防御體系具備更加智能和全面的應(yīng)對能力。

利用大數(shù)據(jù)分析威脅情報(bào)的技術(shù)

數(shù)據(jù)關(guān)聯(lián)技術(shù)

在威脅情報(bào)技術(shù)的應(yīng)用過程中，要加強(qiáng)與數(shù)據(jù)關(guān)聯(lián)技術(shù)的結(jié)合。通過數(shù)據(jù)關(guān)聯(lián)技術(shù)，可以在威脅情報(bào)描述的不同數(shù)據(jù)點(diǎn)之間建立關(guān)系，從而使威脅因素的特點(diǎn)和趨勢能夠被更好地獲悉。由于防御體系會覆蓋不同的硬件設(shè)備，不同的硬件設(shè)備中，數(shù)據(jù)存儲和記錄方式也存在差異?；跀?shù)據(jù)關(guān)聯(lián)技術(shù)，能夠?qū)⒉煌布O(shè)備進(jìn)行數(shù)據(jù)風(fēng)險(xiǎn)描述上的統(tǒng)一，這對于提高威脅情報(bào)描述的準(zhǔn)確性和高效性具有積極的價(jià)值。

交叉關(guān)聯(lián)技術(shù)

威脅情報(bào)防御體系構(gòu)建時(shí)，對于不同的安全風(fēng)險(xiǎn)要素進(jìn)行交叉分析，從而提煉風(fēng)險(xiǎn)的特征。交叉關(guān)聯(lián)技術(shù)基于大數(shù)據(jù)技術(shù)角度，對于風(fēng)險(xiǎn)要素之間的共通性予以總結(jié)，從而在完成風(fēng)險(xiǎn)防御時(shí)，采用一種普遍有效的方式去應(yīng)對惡意攻擊或者安全漏洞。交叉關(guān)聯(lián)技術(shù)使得安全事件的描述不再獨(dú)立于一個(gè)方面，可以通過交叉關(guān)聯(lián)將系統(tǒng)運(yùn)行的所有環(huán)節(jié)加以關(guān)聯(lián)，從而使風(fēng)險(xiǎn)因素難以隱藏于大量的數(shù)據(jù)中，提高了防御體系對風(fēng)險(xiǎn)數(shù)據(jù)的定位和捕捉。

統(tǒng)計(jì)關(guān)聯(lián)技術(shù)

統(tǒng)計(jì)關(guān)聯(lián)技術(shù)在安全防御中，可以強(qiáng)化威脅情報(bào)對風(fēng)險(xiǎn)因素的檢測和判斷。統(tǒng)計(jì)關(guān)聯(lián)技術(shù)實(shí)施中，通過大數(shù)據(jù)調(diào)取和匯集各類數(shù)據(jù)內(nèi)容，將所有數(shù)據(jù)納入到一個(gè)統(tǒng)計(jì)層面予以分析，可以更好地發(fā)現(xiàn)風(fēng)險(xiǎn)因素的規(guī)律。

時(shí)序關(guān)聯(lián)技術(shù)

威脅情報(bào)防御體系中，數(shù)據(jù)具有時(shí)序性特點(diǎn)，時(shí)序關(guān)聯(lián)技術(shù)能夠在風(fēng)險(xiǎn)分析時(shí)，使大量的數(shù)據(jù)保持在一個(gè)序列中，這對于提高防御階段的控制具有重要作用。安全防御按照時(shí)序可以分為事前、事中和事后階段，時(shí)序關(guān)聯(lián)讓各個(gè)防御階段可以有機(jī)整合在一起，從而保證防御規(guī)則能夠被更好地落實(shí)在每個(gè)信息環(huán)節(jié)。

基于威脅情報(bào)的防御模型構(gòu)建

威脅情報(bào)防御體系模型構(gòu)建中，要做好模型動態(tài)分析。防御模型應(yīng)當(dāng)基于大數(shù)據(jù)技術(shù)和威脅情報(bào)技術(shù)，建立防御響應(yīng)機(jī)制。防御響應(yīng)機(jī)制能夠調(diào)動信息網(wǎng)絡(luò)系統(tǒng)的各個(gè)功能，當(dāng)防御模型識別到風(fēng)險(xiǎn)因素后，會在系統(tǒng)功能模塊之間建立統(tǒng)一的處理方案，實(shí)現(xiàn)功能協(xié)同運(yùn)作狀態(tài)，從而保證對風(fēng)險(xiǎn)因素的防御全面有效，避免風(fēng)險(xiǎn)漏洞的存在。

威脅情報(bào)防御體系中，要調(diào)動起所有的安全防御功能，如防火墻系統(tǒng)、殺毒軟件等，并通過技術(shù)關(guān)聯(lián)來強(qiáng)化安全實(shí)踐能力，在信息網(wǎng)絡(luò)環(huán)境中，保護(hù)安全數(shù)據(jù)不受干擾，阻截非法訪問或者惡意攻擊行為。在防御模型中發(fā)揮數(shù)據(jù)掃描作用，實(shí)時(shí)動態(tài)掃描可以在風(fēng)險(xiǎn)描述中形成連續(xù)的記錄，對調(diào)整防御策略提供依據(jù)。對于非法訪問與惡意攻擊的防御，還要作出有效的預(yù)警，基于威脅情報(bào)體系，對存在侵害性威脅的程序內(nèi)容進(jìn)行預(yù)警，提示系統(tǒng)各個(gè)功能進(jìn)入防御狀態(tài)，可以降低對信息網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)。在威脅防御模型中，還要建立事后彌補(bǔ)措施，如將被刪改的數(shù)據(jù)文件進(jìn)行快速準(zhǔn)確地恢復(fù)，對丟失的數(shù)據(jù)文件進(jìn)行找回等，盡最大可能降低安全事件造成的損失。

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，在帶給人們便捷的同時(shí)，安全問題也集中凸顯。通過利用大數(shù)據(jù)與威脅情報(bào)技術(shù)構(gòu)建防御體系，能夠較好地應(yīng)對各種風(fēng)險(xiǎn)侵害，保證信息網(wǎng)絡(luò)用戶的數(shù)據(jù)應(yīng)用安全。