曹 晨

開封市科學技術(shù)情報研究所，河南 開封 475000

如今，大數(shù)據(jù)技術(shù)呈現(xiàn)出噴射式的發(fā)展，是推動整個社會發(fā)展與創(chuàng)新的關(guān)鍵之所在，任何人、任何地點、任何時間都可以借助網(wǎng)絡(luò)平臺來發(fā)表自己的言論，這就使得網(wǎng)絡(luò)安全與情報分析備受關(guān)注。然而，網(wǎng)絡(luò)攻擊頻發(fā)，在一定程度上對人們的財產(chǎn)安全、信息安全造成一定的威脅，此時就需要在大數(shù)據(jù)背景下，對網(wǎng)絡(luò)安全與情報進行全面、系統(tǒng)的分析，以此來降低安全事件的發(fā)生率。

1 網(wǎng)絡(luò)安全與情報分析現(xiàn)狀與困境

1.1 網(wǎng)絡(luò)安全與情報分析現(xiàn)狀

目前，科學技術(shù)的發(fā)展，極大地推動了網(wǎng)絡(luò)技術(shù)的發(fā)展，使網(wǎng)絡(luò)活動范圍和方式呈現(xiàn)出多元化的發(fā)展趨勢，為網(wǎng)絡(luò)情報的獲取提供了極大的便利。 但是，由于受到各方面因素的影響，網(wǎng)絡(luò)信息竊取和網(wǎng)絡(luò)攻擊等安全隱患層出不窮，對網(wǎng)絡(luò)安全技術(shù)提出了嚴峻的挑戰(zhàn)。因此，急需對網(wǎng)絡(luò)技術(shù)進行改進和升級，更好地發(fā)揮網(wǎng)絡(luò)安全與情報分析的重要性。

1.2 網(wǎng)絡(luò)安全分析的困境

在新應(yīng)用不斷發(fā)展和IT 架構(gòu)日趨復雜的時代背景下，現(xiàn)有網(wǎng)絡(luò)和應(yīng)用的邊界變得更加模糊不清，通過傳統(tǒng)的單邊界、控制點等網(wǎng)絡(luò)安全設(shè)備無法全面了解和掌握整個網(wǎng)絡(luò)的安全狀態(tài)，此時就需要對網(wǎng)絡(luò)安全和應(yīng)用進行優(yōu)化和調(diào)整，使其具備更高的機動性，為網(wǎng)絡(luò)安全發(fā)展奠定良好的基礎(chǔ)。

在傳統(tǒng)網(wǎng)絡(luò)安全分析中，更多側(cè)重于對各種網(wǎng)絡(luò)流量及日志進行緩存，然而該過程需要投入大量的時間和成本作為支撐，同時會受到空間、時間等因素的限制，要定時清除日志和數(shù)據(jù)信息。實際上，為了實現(xiàn)對云計算或網(wǎng)絡(luò)系統(tǒng)的安全分析，要構(gòu)建一套系統(tǒng)、完善的全局數(shù)據(jù)，具體內(nèi)容包括用戶身份信息、行為信息、訪問信息、漏洞信息、日志信息、網(wǎng)絡(luò)數(shù)據(jù)信息以及配置信息等，除此之外還需要對互聯(lián)網(wǎng)外部情報信息進行收集。如今，隨著信息化的快速發(fā)展以及5G 時代的到來，這些數(shù)據(jù)信息產(chǎn)生的速度將會變得越來越快，在增加處理成本的同時，也增加了網(wǎng)絡(luò)安全監(jiān)測的難度，以往的網(wǎng)絡(luò)安全監(jiān)測手段不能有效覆蓋如此龐大的大數(shù)據(jù)信息。同時，網(wǎng)絡(luò)的不斷升級也會使網(wǎng)絡(luò)攻擊方式呈現(xiàn)出多元化的特點，加之各類特種病毒蠕蟲、木馬、僵尸網(wǎng)絡(luò)、高級持續(xù)威脅（APT）等的影響，使得網(wǎng)絡(luò)攻擊的趨利性和目標性不斷增強，并具備了隱蔽性、長期性和復合性的特點。傳統(tǒng)網(wǎng)絡(luò)攻擊檢測技術(shù)或多或少受到了數(shù)據(jù)收集與存儲的局限，無法對新型網(wǎng)絡(luò)攻擊進行有效檢測，致使網(wǎng)絡(luò)安全受到一定威脅。

1.3 情報分析的困境

通常情況下，傳統(tǒng)情報分析所采用的工具具有相對比較單一的數(shù)據(jù)源，而目前大數(shù)據(jù)已經(jīng)成為未來科學技術(shù)發(fā)展的必然趨勢，云計算技術(shù)與移動互聯(lián)信息技術(shù)的發(fā)展使得情報信息的信息源呈現(xiàn)出多元化的發(fā)展趨勢，再加上大規(guī)模數(shù)據(jù)互相關(guān)聯(lián)技術(shù)的缺失，不能對網(wǎng)絡(luò)情報進行有效的挖掘。因此，在現(xiàn)有環(huán)境下，要想對網(wǎng)絡(luò)情報進行更好的分析，就需要根據(jù)最新的處理技術(shù)來對情報信息進行挖掘、采集和處理，這樣既可以實現(xiàn)對外部和內(nèi)部非結(jié)構(gòu)化數(shù)據(jù)的有效采集、處理和存儲，而且還可實現(xiàn)對復雜、多源數(shù)據(jù)的有效處理、分類和實時跟蹤。

2 基于大數(shù)據(jù)背景下網(wǎng)絡(luò)安全與情報分析

2.1 APT 攻擊檢測

在大數(shù)據(jù)時代背景下，網(wǎng)絡(luò)APT 攻擊具有明顯的隱蔽性及滲透性特征，在一定程度上威脅著國家和企業(yè)的網(wǎng)絡(luò)安全，不利于國家和企業(yè)的健康發(fā)展。例如，2010 年震網(wǎng)病毒的出現(xiàn)；2012 年火焰病毒的出現(xiàn)；2015 年黑暗力量入侵烏克蘭鐵路系統(tǒng)和礦業(yè)系統(tǒng)事件的出現(xiàn)，均是APT 攻擊的范疇。實際上，在網(wǎng)絡(luò)攻擊過程中，APT 攻擊一般面臨著攻擊路徑和渠道無法明確且隱蔽性強的問題，這就導致傳統(tǒng)的安全方案無法有效地抵御APT 攻擊，增加了網(wǎng)絡(luò)安全事件的發(fā)生率。

目前，應(yīng)用效果最佳的APT 攻擊抵御方案為數(shù)據(jù)關(guān)聯(lián)分析方法，而大數(shù)據(jù)技術(shù)可以提升數(shù)據(jù)關(guān)聯(lián)分析方法的應(yīng)用效果，可以將其用于APT 攻擊檢測中。例如，美國RSA 實驗室所采用的Beehive 系統(tǒng)就是借助大數(shù)據(jù)技術(shù)來采集和處理大量的日志信息，并檢測組織結(jié)構(gòu)中資源使用情況，及時挖掘該組織結(jié)構(gòu)中包含的策略違背內(nèi)容及被惡意軟件感染的內(nèi)容，并按照一定的方式將看似孤立的事件結(jié)合在一起，這樣能夠清楚地檢查出APT 是否攻擊過該組織機構(gòu)。 在2012年，Giura 提出了一項研究成果，其主要是在大數(shù)據(jù)技術(shù)和攻擊樹技術(shù)的基礎(chǔ)上構(gòu)建概念攻擊模型，以實現(xiàn)對APT 攻擊的有效檢測與抵御。實際上，該概念攻擊模型又被稱之為攻擊金字塔，潛在的被攻擊目標為頂層，其包括了系統(tǒng)中的數(shù)據(jù)服務(wù)器、敏感數(shù)據(jù)以及高層職員等數(shù)據(jù)信息，并根據(jù)攻擊相關(guān)的事件環(huán)境和橫向平面標注，來將其劃分為不同的場景，借助相應(yīng)的MapReduce 對不同的場景進行并行處理，然后采用不同的算法來檢測處理后的信息，這樣一來就能夠完成對APT 攻擊的有效檢測。

2.2 網(wǎng)絡(luò)風險感知

通常情況下，在網(wǎng)絡(luò)環(huán)境中往往會存在不同種類的網(wǎng)絡(luò)風險，此時就需要國家和企事業(yè)單位對網(wǎng)絡(luò)風險給予高度的重視，實時、動態(tài)地了解和掌握網(wǎng)絡(luò)運行狀態(tài)，以便能夠第一時間感知網(wǎng)絡(luò)風險，并采取有效措施給予處理，以確保網(wǎng)絡(luò)安全、可靠、高效運行。在網(wǎng)絡(luò)風險感知過程中，要對各類潛在的安全因素給予全面系統(tǒng)的分析與評估，以完成對網(wǎng)絡(luò)安全狀況的真實評價。實際上，大數(shù)據(jù)技術(shù)的應(yīng)用既能夠有效提升網(wǎng)絡(luò)風險感知效率，同時還可以進一步確保網(wǎng)絡(luò)安全。

對于網(wǎng)絡(luò)風險感知過程中所存在的問題，大多數(shù)企事業(yè)單位會借助大數(shù)據(jù)技術(shù)來創(chuàng)建網(wǎng)絡(luò)安全數(shù)據(jù)感知平臺，這樣就能夠確保企事業(yè)單位網(wǎng)絡(luò)系統(tǒng)的安全運行。 例如，阿里巴巴集團借助大數(shù)據(jù)技術(shù)建設(shè)了阿里云云盾，可以通過SAAS 來有效感知網(wǎng)絡(luò)風險；360 創(chuàng)建的NGSOC 平臺，能夠借助大數(shù)據(jù)技術(shù)來完成對本地所有數(shù)據(jù)信息的有效采集和存儲，并以情報為核心來實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的實時監(jiān)控，與此同時，該平臺還具備威脅溯源功能，極大地保障了網(wǎng)絡(luò)的安全運行；四川大學創(chuàng)建的NTCI.NUBA平臺，能夠?qū)崿F(xiàn)校園網(wǎng)的實時動態(tài)監(jiān)控，具體內(nèi)容有數(shù)據(jù)中心流量、網(wǎng)絡(luò)流量及身份認證數(shù)據(jù)等，并借助Spark 及Hadoop 來完成對數(shù)據(jù)的分析，極大地提高了校園網(wǎng)的安全性[1]。

2.3 網(wǎng)絡(luò)異常檢測

網(wǎng)絡(luò)異常檢測是網(wǎng)絡(luò)信息安全管理中比較關(guān)鍵的工作內(nèi)容，能夠完成對網(wǎng)絡(luò)運行中出現(xiàn)的設(shè)備失效、流量異常或越權(quán)資源訪問等問題給予有效監(jiān)測和分析。從本質(zhì)上來講，網(wǎng)絡(luò)異常檢測主要是結(jié)合表征目標狀態(tài)變化及對象屬性清單來構(gòu)建與之相匹配的檢測模型，進而對網(wǎng)絡(luò)中存在的非正常行為或策略違背行為進行監(jiān)測與分析。實際上，在網(wǎng)絡(luò)異常檢測過程中，大數(shù)據(jù)技術(shù)更多地被應(yīng)用在網(wǎng)絡(luò)用戶行為方面，從而有效提升網(wǎng)絡(luò)異常檢測的有效性。 通常情況下，大數(shù)據(jù)背景下所開展的網(wǎng)絡(luò)異常檢測行為，主要是通過機器學習和行為特征分析，來獲取網(wǎng)絡(luò)數(shù)據(jù)特征，以確保網(wǎng)絡(luò)異常檢測工作的順利進行。例如，王占作為360 企業(yè)工程師，在黑帽大會演講中提出：在進行網(wǎng)絡(luò)流量異常檢測工作中，借助深度學習方法能夠使異常檢測的準確率超過90%。同時，在不確定協(xié)議是否加密的同時，通過深度學習的異常檢測過程，可以完成對網(wǎng)絡(luò)中所有網(wǎng)絡(luò)流的有效識別，且可識別率達到了55%。

2.4 網(wǎng)絡(luò)情報分析

網(wǎng)絡(luò)安全與情報工作，主要是借助分布式系統(tǒng)、大數(shù)據(jù)技術(shù)來完成對網(wǎng)絡(luò)威脅情報的有效收集，該階段收集的網(wǎng)絡(luò)威脅情報一般是指包括威脅、漏洞、行為及特征等證據(jù)的知識集合體。實際上，網(wǎng)絡(luò)威脅情報的收集和處理既能夠提升防御技術(shù)的防御效果，而且還可以避免網(wǎng)絡(luò)系統(tǒng)遭受攻擊。在對網(wǎng)絡(luò)威脅情報進行收集的過程中，還可以進一步提高系統(tǒng)用戶對網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)風險的認知，以保證系統(tǒng)用戶能夠選擇更加科學、合理的方式來完成對網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)風險的抵御，進而將危害程度降到最低?？傊?，一套系統(tǒng)完善的網(wǎng)絡(luò)威脅情報主要涵蓋了情報源、事件響應(yīng)、融合與分析三個部分[2]。

在廣大民眾網(wǎng)絡(luò)安全意識不斷提升的基礎(chǔ)上，國內(nèi)外越來越多的企業(yè)開始提供網(wǎng)絡(luò)安全威脅情報工作，包括Fire Eye、微步在線、Symantec 等企業(yè)，他們能夠為用戶提供多元化、全方位的網(wǎng)絡(luò)威脅情報服務(wù)和產(chǎn)品，涉及網(wǎng)絡(luò)犯罪防范、惡意軟件清理以及漏洞檢測等內(nèi)容，以確保用戶的網(wǎng)絡(luò)安全。如今，越來越多的研究學者和機構(gòu)創(chuàng)建了網(wǎng)絡(luò)數(shù)據(jù)管理與采集平臺，來對網(wǎng)絡(luò)威脅情報進行有效篩選，進而為系統(tǒng)用戶提供所需要的借鑒和幫助[3]。

3 大數(shù)據(jù)背景下網(wǎng)絡(luò)安全與情報分析的發(fā)展前景

3.1 高級網(wǎng)絡(luò)威脅挖掘方法的研究

通常情況下，高級的APT 攻擊、僵尸網(wǎng)絡(luò)及新型木馬等都存在持續(xù)性和隱蔽性的特點，如果能夠及時發(fā)現(xiàn)這些高級網(wǎng)絡(luò)威脅，就可以有效降低損失，這就需要對高級網(wǎng)絡(luò)威脅常用的檢測方法進行研究，以此來進一步提高網(wǎng)絡(luò)監(jiān)測方法的準確性。實際上，針對網(wǎng)絡(luò)持續(xù)性和隱蔽性的攻擊，需要研發(fā)出在海量網(wǎng)絡(luò)數(shù)據(jù)信息流中可以對持續(xù)性、隱蔽性的異常通信行為和正常通信行為進行區(qū)分。與此同時，還需要在構(gòu)建檢測模型的基礎(chǔ)上，從多個維度進行分析，使多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)問題得到有效解決。

3.2 網(wǎng)絡(luò)安全威脅態(tài)勢感知技術(shù)研究

這里所提及的態(tài)勢一般是指狀態(tài)和形勢，而感知網(wǎng)絡(luò)安全態(tài)勢屬于最基礎(chǔ)、最基本的工作，此時就需要構(gòu)建一套科學、合理、系統(tǒng)完善的NSSA 指標體系，以便能夠更好地面向網(wǎng)絡(luò)整體，同時還能夠根據(jù)具體的方法和問題來實現(xiàn)對NSSA 評估對象的有效評估。

3.3 復雜網(wǎng)絡(luò)攻擊預(yù)測研究

任何一位網(wǎng)絡(luò)管理者都是通過基于攻擊樹、攻擊圖等方式來實現(xiàn)對網(wǎng)絡(luò)攻擊的有效預(yù)測，然而上述方法始終偏于靜態(tài)，無法完成對復雜網(wǎng)絡(luò)攻擊的有效預(yù)測。實際上，在大數(shù)據(jù)背景下，可以借助海量信息的獲取與存儲來完成對復雜網(wǎng)絡(luò)攻擊的有效預(yù)測[4]。

3.4 威脅情報相關(guān)問題研究

大數(shù)據(jù)背景下，網(wǎng)絡(luò)情報具有非常豐富的獲取來源，這就需要相關(guān)人員能夠全方位立體地對其進行搜集與處理，并從中感知威脅情報。在融合和存儲海量情報的過程中，還需要根據(jù)用戶的具體需求，來從海量情報信息中挖掘威脅情報，并采取有效措施給予解決。

4 結(jié)語

綜上所述，大數(shù)據(jù)技術(shù)具有非常強大的數(shù)據(jù)處理分析能力，將其應(yīng)用到網(wǎng)絡(luò)安全與情報工作中可以發(fā)揮巨大的作用?；诖髷?shù)據(jù)背景下的APT 攻擊檢測、網(wǎng)絡(luò)風險感知、網(wǎng)絡(luò)異常檢測、網(wǎng)絡(luò)情報分析等技術(shù)不僅可以確保情報工作的順利進行，而且還可以降低網(wǎng)絡(luò)安全事件的發(fā)生率，在確保網(wǎng)絡(luò)安全運行的同時，為用戶提供更加優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。