網(wǎng)絡安全行業(yè)的大數(shù)據(jù)應用現(xiàn)狀研究

喬少杰+熊熙+韓楠+李斌勇

摘 要：隨著“永恒之藍”勒索病毒的爆發(fā)，全民對信息安全的認知提升了一個新高度，關(guān)注點從會不會遭受攻擊轉(zhuǎn)變?yōu)楹螘r會遭到攻擊，運用大數(shù)據(jù)技術(shù)進行防御已從理論研究演進到實際運用階段。通過對安全要素信息的存儲、分析、和可視化，將分散的安全技術(shù)進行連通，借助機器學習和數(shù)據(jù)挖掘等大數(shù)據(jù)技術(shù)，建立基于網(wǎng)絡安全數(shù)據(jù)的大數(shù)據(jù)安全分析平臺，從傳統(tǒng)的被動防御變?yōu)橹鲃臃烙?/p>

關(guān)鍵詞：信息安全；大數(shù)據(jù)；安全分析；機器學習；數(shù)據(jù)挖掘

1 引言

“十三五”后，網(wǎng)絡安全建設成為國家戰(zhàn)略新的發(fā)展方向，中國《網(wǎng)絡安全法》在2017年6月1日正式施行。與此同時，我國的網(wǎng)絡安全形勢十分嚴峻，根據(jù)國家互聯(lián)網(wǎng)響應中心報道，感染病毒的主機數(shù)、被篡改網(wǎng)站總數(shù)、新增信息安全漏洞數(shù)量都在大幅飆升。

隨著信息安全3.0時代到來，傳統(tǒng)的防火墻+IDS防御思路已經(jīng)不再有效，需要應對的攻擊和威脅變得日益復雜，這些威脅具有隱蔽性強、潛伏期長、持續(xù)性強等特點[1]?，F(xiàn)有的防御思路在安全預判、威脅識別和數(shù)據(jù)處理等方面的能力有限，而新的技術(shù)將在復雜多變的網(wǎng)絡數(shù)據(jù)中以大數(shù)據(jù)分析架構(gòu)為支撐，業(yè)務安全為導向，構(gòu)建起以數(shù)據(jù)為核心的安全管理體系，更加主動、智能地對網(wǎng)絡安全進行管理和運營。

本文首先分析了成都地區(qū)大數(shù)據(jù)行業(yè)和網(wǎng)絡安全行業(yè)的現(xiàn)狀，依據(jù)調(diào)研結(jié)果探討了成都地區(qū)網(wǎng)絡安全行業(yè)應對威脅的策略，最后就大數(shù)據(jù)應用在網(wǎng)絡安全行業(yè)中的價值做出總結(jié)。

2 成都地區(qū)大數(shù)據(jù)行業(yè)和網(wǎng)絡安全行業(yè)的現(xiàn)狀

成都地區(qū)現(xiàn)有大數(shù)據(jù)相關(guān)企業(yè)300余家，從數(shù)據(jù)應用來看，主要有政府開放的數(shù)據(jù)、互聯(lián)網(wǎng)爬蟲數(shù)據(jù)和工業(yè)生產(chǎn)中的大數(shù)據(jù)。從行業(yè)應用來看，主要集中于政府、金融、醫(yī)療、運營商、交通、能源、媒體等行業(yè)[2]。2016年4月份，四川省首個大數(shù)據(jù)產(chǎn)業(yè)園在成都市雙流區(qū)蛟龍港開建，政策的支持下高新技術(shù)公司得以無阻礙的發(fā)展。

中國首席數(shù)據(jù)官聯(lián)盟發(fā)布的《中國大數(shù)據(jù)企業(yè)排行榜》中，來自成都高新區(qū)的成都數(shù)聯(lián)銘品科技有限公司、成都市映潮科技股份有限公司、勤智數(shù)碼科技股份有限公司、成都四方偉業(yè)軟件股份有限公司和衛(wèi)士通信息產(chǎn)業(yè)股份有限公司5家企業(yè)入榜，充分彰顯高新區(qū)大數(shù)據(jù)產(chǎn)業(yè)蓬勃發(fā)展勢頭和引領性優(yōu)勢[3]。

政府、金融、企業(yè)等對信息安全產(chǎn)品、服務的需求，拉動了信息安全產(chǎn)業(yè)的整體需求。我國信息安全產(chǎn)業(yè)自2012年來一直保持穩(wěn)定增長，預測2017-2018增長額保持在23%左右。

目前信息安全按照市場可分為硬件安全、軟件安全和安全服務三大類[4]。以下一代防火墻類硬件安全產(chǎn)品占據(jù)市場份額最大，包含咨詢、實施、運維和培訓的安全服務次之，防病毒軟件、Web應用防火墻、數(shù)字證書身份認證等軟件安全產(chǎn)品占據(jù)市場份額最小。由于虛擬化及云服務等理念的滲透，信息安全盈利模式開始由軟硬件產(chǎn)品向安全服務傾斜[5]。

3 成都地區(qū)網(wǎng)絡安全行業(yè)應對威脅的策略及方法

根據(jù)四川省互聯(lián)網(wǎng)應急中心統(tǒng)計，近兩年間在互聯(lián)網(wǎng)安全環(huán)境方面，被篡改網(wǎng)站事件、網(wǎng)站被植入后門事件、飛客蠕蟲事件、感染僵尸木馬受控事件、網(wǎng)站漏洞事件等安全事件數(shù)量整體趨于下降，新增高危漏洞方面有所增幅。其中應用程序漏洞占比最高，達到42%左右，其余從高到底分別為操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、網(wǎng)絡設備漏洞、Web應用漏洞、安全產(chǎn)品漏洞[6]。在此期間全球網(wǎng)絡安全事件可以看出，DDos攻擊規(guī)模和數(shù)量激增，勒索軟件肆無忌憚，商業(yè)郵件詐騙不斷。

DDos攻擊有4大特點：（1）物聯(lián)網(wǎng)設備成為新的攻擊源；（2）黑客手段多樣化，混合攻擊難以防御[7]；（3）基礎設施和云服務商是主要攻擊源；（4）頻率和規(guī)模增長快。針對DDos攻擊，360安全企業(yè)提出了HTTP/HTTPS網(wǎng)站常規(guī)防護方案。企業(yè)防護策略是通過建立云防護平臺，將原來域名指向服務器IP地址，從而引流向云防護平臺，在企業(yè)網(wǎng)站遭受大流量DDos攻擊時，云防護平臺將流量調(diào)度到全國幾十個高防護節(jié)點機房進行清洗工作，之后把正常流量返回給企業(yè)網(wǎng)站。

遭受勒索軟件攻擊主要因為終端主機沒有將操作系統(tǒng)補丁升級。面對勒索軟件，安全企業(yè)提出終端主機接入控制設備方案，將沒有安裝殺毒軟件或沒有進行操作系統(tǒng)補丁升級的終端主機進行網(wǎng)絡隔離，避免交叉感染，并及時提醒終端主機進行防御。

4 挖掘基于大數(shù)據(jù)的威脅檢測手段

大數(shù)據(jù)針對信息安全領域內(nèi)的數(shù)據(jù)分析，主要基于日志與流量的兩大方式，同時關(guān)聯(lián)系統(tǒng)配置、用戶行為、應用行為 、業(yè)務行為等數(shù)據(jù)進行分析，達到感知威脅，攻擊取證的目的。目前存在兩種方式感知異常行為：基于特征與行為的檢測和機器學習鑒定。傳統(tǒng)的檢測機制依靠黑名單分析建模，缺陷是對0day未知漏洞不可感知。機器學習鑒定通過白名單，可通過行為日志感知未知漏洞。

基于行為檢測方式下，以日志分析為例，利用足夠詳細的用戶行為日志區(qū)分正常行為和異常行為。發(fā)現(xiàn)異常的方式在傳統(tǒng)的關(guān)聯(lián)技巧規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、關(guān)聯(lián)列表關(guān)聯(lián)、環(huán)境關(guān)聯(lián)等進行數(shù)據(jù)分析，對異常行為中的攻擊者畫像，列出定點攻擊、有明確攻擊目標的攻擊者、自動化攻擊和無目標的攻擊對象[8]。針對行為描述進行合理建設滲透、攻擊模型。

機器學習能夠基于大數(shù)據(jù)進行自動化學習和訓練，已經(jīng)在圖像、語音、自然語言處理方面廣泛應用[9]。機器學習鑒定方式應用于Web入侵防護中監(jiān)測用戶流量，針對大量正常日志建立Profile模型，檢測過程中不符合Profile模型的被視為異常流量。Profile模型的建立主要基于統(tǒng)計學習模型、基于文本分析的機器學習模型、基于單分類模型、基于聚類模型等幾種建模思想，從海量日志數(shù)據(jù)中建立正常行為模型，少量的異常流量訪問行為將被重點監(jiān)控，在對抗過程中更難被繞過。

5 結(jié)論

本文闡述了成都地區(qū)大數(shù)據(jù)行業(yè)和安全行業(yè)應對威脅的方法，而面對海量的網(wǎng)絡信息數(shù)據(jù)，傳統(tǒng)的防御思路已經(jīng)不再奏效。大數(shù)據(jù)時代下的安全分析有助于企業(yè)實時監(jiān)控網(wǎng)絡行為異常，從而更好的把控風險。但大數(shù)據(jù)機器學習和數(shù)據(jù)挖掘技術(shù)應用于信息安全行業(yè)正處于初步階段，沒有相對成熟的產(chǎn)品，如何在建模后減少誤報率是大數(shù)據(jù)的發(fā)展方向。

參考文獻

[1]孫景民，崔金生，曹美琴.軍事網(wǎng)絡中APT攻擊的防御方法研究[J].信息安全與通信保密，2014（8）：130-132.

[2]洪毅.支持金融產(chǎn)品交叉營銷的數(shù)據(jù)挖掘研究[D].浙江工業(yè)大學，2010.

[3]佚名.信息安全企業(yè)祝賀烏鎮(zhèn)峰會召開[J].中國信息安全，2015（12）：94-95.

[4]佚名.國家信息安全成果產(chǎn)業(yè)化（東部）基地已具雛形[J].計算機安全，2002（22）：36-38.

[5]趙偉華.大數(shù)據(jù)時代信息安全行業(yè)的專利解析[J].中國發(fā)明與專利，2015（12）：17-18.

[6]韋濤，彭武，王冬海.基于漏洞屬性分析的軟件安全評估方法[J].電光與控制，2015，22（8）：66-70.

[7]趙兵，孫梅.分布式防火墻技術(shù)的分析與研究[J].軟件導刊，2010，09（3）.

[8]姜偉.基于攻防博弈模型的主動防御關(guān)鍵技術(shù)研究[D].哈爾濱工業(yè)大學，2010.

[9]高強，靳其兵，程勇.基于卷積神經(jīng)網(wǎng)絡探討深度學習算法與應用[J].電腦知識與技術(shù)：學術(shù)交流，2015（5）：169-170.endprint