?

國家互聯(lián)網(wǎng)應(yīng)急中心 云曉春知識庫是網(wǎng)絡(luò)安全決勝的關(guān)鍵

1996年2月10日，IBM的超級計算機深藍首次挑戰(zhàn)國際象棋世界冠軍卡斯帕羅夫，但以2∶4落敗。比賽在2月17日結(jié)束。其后研究小組把深藍加以改良，1997年5月再度挑戰(zhàn)卡斯帕羅夫，比賽在5月11日結(jié)束，最終深藍電腦以3.5∶2.5擊敗卡斯帕羅夫，成為首個在標準比賽時限內(nèi)擊敗國際象棋世界冠軍的電腦系統(tǒng)。IBM在比賽后宣布深藍退役。

為什么深藍會贏？深藍沒有情緒，具備計算高速的能力，同時存儲無限，能存儲百萬棋局。

從上述例子可以看到，深藍有非常強大的知識儲備能力。那么對于網(wǎng)絡(luò)安全而言，什么是知識？分析員基于對數(shù)據(jù)源的理解、確定分析邏輯、挖掘數(shù)據(jù)關(guān)系、總結(jié)規(guī)律、進而形成知識。

知識在網(wǎng)絡(luò)安全的工作中，有沒有用途？答案是肯定的。美國信息安全相關(guān)部門自 1998 年到 2012 年，發(fā)布了與“安全感知”相關(guān)的 7 份重要文件。

網(wǎng)絡(luò)空間是非常大的，沒有人能夠說清楚其中到底有什么。網(wǎng)絡(luò)空間的核心還是要為人提供服務(wù)，不同的人會有不同的需求。因此，對于網(wǎng)絡(luò)安全知識庫，我們從兩個方面來考慮問題：

一是繪制網(wǎng)絡(luò)空間資源地圖，以網(wǎng)絡(luò)軟硬件資源為核心，測繪其在虛擬空間分布以及與現(xiàn)實空間的映射；

二是建立網(wǎng)絡(luò)空間人物畫像庫，以人為核心，挖掘網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)空間的行為規(guī)律。

就網(wǎng)絡(luò)空間資源地圖而言，首先要了解虛擬空間屬性，包括設(shè)備信息、承載協(xié)議、事件信息、節(jié)點重要度；其次要了解物理空間映射，包括地理位置、接入信息、使用單位。

在此過程中會有兩個非常重要的技術(shù)難點：

一是數(shù)據(jù)正確性，同一屬性（典型的如地理位置）的多個來源值有可能相互沖突或粒度不一，如何在此基礎(chǔ)上融合成一個唯一答案非常困難；

二是時效和有效性，IP地址多種屬性（地理位置、是否活躍、提供服務(wù)等）的動態(tài)變化使得知識構(gòu)建不是一勞永逸的。

下面以“.CN遭受攻擊事件”為例，這是2013年8月發(fā)生的事件，我們對此進行追查工作，針對6臺CN國家域名服務(wù)器關(guān)聯(lián)查詢流監(jiān)測數(shù)據(jù)，確認攻擊。在第一次關(guān)聯(lián)中，關(guān)聯(lián)查詢通聯(lián)關(guān)系，分析攻擊源的共同連接端，找到攻擊控制端為103.24.93.73（查詢知識庫：香港）。在第二次關(guān)聯(lián)中，關(guān)聯(lián)查詢域名監(jiān)測數(shù)據(jù)，獲得控制端IP對應(yīng)的域名。查詢IP 為103.24.93.73，對應(yīng)域名有三個，分別為 fz30000.dnscccaa.com、080622222. gm0315.com、 qfzq22221.dnscccaa.com。三個域名都曾經(jīng)被作為多個木馬程序的控制域名——進一步印證此IP為攻擊控制端。

近年來，APT成為國際對抗焦點。APT（Advanced Persistent Threat，高級持續(xù)性威脅），它是利用先進的攻擊手段對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊的形式。真正高級的攻擊，都不是由一個單線個體來完成的，往往是由一些有組織，有高水平的團隊來完成的。它所發(fā)起的攻擊，隱蔽性非常強，持續(xù)時間也很長。在這種情況下，想要找到APT的發(fā)起者，是非常困難的，這也是目前國際上非常熱點的研究課題。

通過網(wǎng)絡(luò)空間人物畫像庫，可從人物或組織特點、攻擊目標、攻擊工具和攻擊手法來鎖定這些黑客的范圍。其中也存在一定的技術(shù)難點：一是分析鏈條長，從客戶端取證、惡意特征提取、宏觀網(wǎng)絡(luò)監(jiān)測、實時竊密跟蹤、全局危害評估、定點滲透反制到形成分析報告，需要長時間、多部門協(xié)助；二是覆蓋技術(shù)點多，涉及從底層計算機技術(shù)到社交網(wǎng)絡(luò)應(yīng)用，從語法到語義的各層技術(shù)，覆蓋漏洞利用、域名變換、IP地址標注、惡意代碼分析、攻擊特點歸納、黑客習(xí)慣抽取、組織背景調(diào)查。

當然，在知識庫積累過程中，也會存在一些共性的科學(xué)問題，主要表現(xiàn)在以下幾個方面：

一是碎片化知識的重組問題。這些碎片化知識具有動態(tài)性、低質(zhì)化、無序性的特點，如何把它們進行重組，構(gòu)成完整的知識鏈，是需要人們?nèi)タ紤]的；

二是跨模態(tài)知識庫的智能決策問題；

三是領(lǐng)域知識的集成實踐問題。

知識庫是網(wǎng)絡(luò)安全決勝的關(guān)鍵，知識就是力量，正確使用知識事半功倍，同時知識需要日積月累，恒者無敵！

（本文整理自國家互聯(lián)網(wǎng)應(yīng)急中心副主任云曉春在第四屆中國科研信息化發(fā)展研討會上的演講“網(wǎng)絡(luò)安全知識庫的實踐與思考”）