摘要：隨著近些年智慧機(jī)場(chǎng)的發(fā)展，旅客從購(gòu)票、安檢、托運(yùn)、登機(jī)、落地等各個(gè)環(huán)節(jié)都實(shí)現(xiàn)了智能化，同時(shí)也大大增加了信息安全風(fēng)險(xiǎn)的概率。在“永恒之藍(lán)”勒索病毒爆發(fā)后，民航人對(duì)信息安全的認(rèn)知提升了一個(gè)新高度，從會(huì)不會(huì)遭受攻擊轉(zhuǎn)變?yōu)楹螘r(shí)會(huì)遭到攻擊，運(yùn)用大數(shù)據(jù)技術(shù)進(jìn)行防御已從理論研究演進(jìn)到實(shí)際運(yùn)用階段。通過對(duì)民用航空信息的存儲(chǔ)、分析、和可視化，借助機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘等大數(shù)據(jù)技術(shù)，建立基于網(wǎng)絡(luò)安全數(shù)據(jù)的大數(shù)據(jù)安全分析平臺(tái)，從傳統(tǒng)的被動(dòng)防御變?yōu)橹鲃?dòng)防御。

關(guān)鍵詞：智慧機(jī)場(chǎng);信息安全;大數(shù)據(jù);機(jī)器學(xué)習(xí);數(shù)據(jù)挖掘;

1引言

IBM在2008年提出“智慧地球”概念，2009年8月IBM發(fā)布的《智慧地球贏在中國(guó)》計(jì)劃書指出“智慧城市”，民用機(jī)場(chǎng)作為城市交通的重要組成部分，“智慧機(jī)場(chǎng)”的提出得到認(rèn)可和發(fā)展[1]。在“十三五”期間，我國(guó)將新建機(jī)場(chǎng)33座，并完成51座樞紐機(jī)場(chǎng)的擴(kuò)建。2018年我國(guó)民航旅客的運(yùn)輸量達(dá)到6.1億人次，在旅客量增長(zhǎng)的同時(shí)，也面臨著海量信息保護(hù)日趨嚴(yán)格的挑戰(zhàn)。2017年6月1日中國(guó)《網(wǎng)絡(luò)安全法》正式實(shí)施，網(wǎng)絡(luò)安全建設(shè)成為國(guó)家戰(zhàn)略新的發(fā)展方向，與此同時(shí)，我國(guó)民航的網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻。

信息安全3.0時(shí)代到來，傳統(tǒng)的防火墻+IDS防御思路已經(jīng)不再有效，需要應(yīng)對(duì)的攻擊和威脅變得日益復(fù)雜，這些威脅具有隱蔽性強(qiáng)、潛伏期長(zhǎng)、持續(xù)性強(qiáng)等特點(diǎn)[2]?，F(xiàn)有的防御思路在安全預(yù)判、威脅識(shí)別和數(shù)據(jù)處理等方面的能力有限，而新的技術(shù)將在復(fù)雜多變的網(wǎng)絡(luò)數(shù)據(jù)中以大數(shù)據(jù)分析架構(gòu)為支撐，業(yè)務(wù)安全為導(dǎo)向，構(gòu)建起以數(shù)據(jù)為核心的安全管理體系，更加主動(dòng)、智能地對(duì)網(wǎng)絡(luò)安全進(jìn)行管理和運(yùn)營(yíng)。

本文首先分析了機(jī)場(chǎng)大數(shù)據(jù)應(yīng)用和網(wǎng)絡(luò)安全應(yīng)用的現(xiàn)狀，依據(jù)調(diào)研結(jié)果探討了機(jī)場(chǎng)網(wǎng)絡(luò)安全應(yīng)對(duì)威脅的策略，最后就大數(shù)據(jù)應(yīng)用在機(jī)場(chǎng)網(wǎng)絡(luò)安全運(yùn)用中的價(jià)值做出總結(jié)。

2機(jī)場(chǎng)大數(shù)據(jù)應(yīng)用和網(wǎng)絡(luò)安全應(yīng)用的現(xiàn)狀

2017年9月在成都召開的“加快推進(jìn)民航基礎(chǔ)設(shè)施建設(shè)工作會(huì)議”上，中國(guó)民用航空局黨組書記、局長(zhǎng)馮正霖出席會(huì)議并強(qiáng)調(diào)，要加快民航基礎(chǔ)設(shè)施建設(shè)，推進(jìn)建設(shè)平安機(jī)場(chǎng)、綠色機(jī)場(chǎng)、智慧機(jī)場(chǎng)、人文機(jī)場(chǎng)，大力推進(jìn)民航強(qiáng)國(guó)發(fā)展戰(zhàn)略，為國(guó)家和地方經(jīng)濟(jì)社會(huì)發(fā)展做出新的更大貢獻(xiàn)。

隨著民航信息化建設(shè)高速發(fā)展，大數(shù)據(jù)應(yīng)用也非常廣泛，從機(jī)場(chǎng)業(yè)務(wù)來看，主要有個(gè)性化航顯系統(tǒng)、安檢區(qū)人流引導(dǎo)、航班延誤預(yù)測(cè)、機(jī)位只能分配、服務(wù)機(jī)器人、身份識(shí)別等大數(shù)據(jù)應(yīng)用[3]。運(yùn)用大數(shù)據(jù)技術(shù)，使得航班保障的各個(gè)環(huán)節(jié)都能無縫銜接，并能夠根據(jù)突發(fā)情況做精確的動(dòng)態(tài)調(diào)整，最大化利用資源。

機(jī)場(chǎng)、航空公司等企業(yè)對(duì)信息安全產(chǎn)品、服務(wù)的需求，拉動(dòng)了信息安全產(chǎn)業(yè)的整體需求。我國(guó)信息安全產(chǎn)業(yè)自2012年來一直保持穩(wěn)定增長(zhǎng)，預(yù)測(cè)2017-2018增長(zhǎng)額保持在23%左右。

目前信息安全按照市場(chǎng)可分為硬件安全、軟件安全和安全服務(wù)三大類[4]。以下一代防火墻類硬件安全產(chǎn)品占據(jù)民用航空市場(chǎng)份額最大，包含咨詢、實(shí)施、運(yùn)維和培訓(xùn)的安全服務(wù)次之，防病毒軟件、Web應(yīng)用防火墻、數(shù)字證書身份認(rèn)證等軟件安全產(chǎn)品占據(jù)市場(chǎng)份額最小。由于虛擬化及云服務(wù)等理念的滲透，信息安全盈利模式開始由軟硬件產(chǎn)品向安全服務(wù)傾斜[5]。

3機(jī)場(chǎng)網(wǎng)絡(luò)安全應(yīng)對(duì)威脅的策略及方法

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計(jì)，2016年-2017年6月間在互聯(lián)網(wǎng)安全環(huán)境方面，被篡改網(wǎng)站事件、網(wǎng)站被植入后門事件、飛客蠕蟲事件、感染僵尸木馬受控事件、網(wǎng)站漏洞事件等安全事件數(shù)量整體趨于下降，新增高危漏洞方面有所增幅。其中應(yīng)用程序漏洞占比最高，達(dá)到42%左右，其余從高到底分別為操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、Web應(yīng)用漏洞、安全產(chǎn)品漏洞[6]。在此期間全球網(wǎng)絡(luò)安全事件可以看出，DDos攻擊規(guī)模和數(shù)量激增，勒索軟件肆無忌憚，商業(yè)郵件詐騙不斷。

DDos攻擊有4大特點(diǎn)：（1）物聯(lián)網(wǎng)設(shè)備成為新的攻擊源;（2）黑客手段多樣化，混合攻擊難以防御[7];（3）IDC在基礎(chǔ)設(shè)施和云服務(wù)商是主要攻擊源;（4）頻率和規(guī)模增長(zhǎng)快特點(diǎn)。針對(duì)DDos攻擊360安全企業(yè)提出了HTTP/HTTPS網(wǎng)站常規(guī)防護(hù)方案。防護(hù)策略是通過建立云防護(hù)平臺(tái)，企業(yè)將原來域名指向服務(wù)器IP地址的方式引流向云防護(hù)平臺(tái)，在企業(yè)網(wǎng)站遭受大流量DDos攻擊時(shí)，云防護(hù)平臺(tái)將流量調(diào)度到全國(guó)幾十個(gè)高防護(hù)節(jié)點(diǎn)機(jī)房進(jìn)行清洗工作防護(hù)，清洗后把正常流量返回給企業(yè)網(wǎng)站。

遭受勒索軟件攻擊主要因?yàn)榻K端主機(jī)沒有將操作系統(tǒng)補(bǔ)丁升級(jí)，面對(duì)勒索軟件，安全企業(yè)提出終端主機(jī)接入控制設(shè)備方案，將沒有安裝殺毒軟件或沒有進(jìn)行操作系統(tǒng)補(bǔ)丁升級(jí)的終端主機(jī)進(jìn)行網(wǎng)絡(luò)隔離，避免交叉感染，并對(duì)終端主機(jī)及時(shí)提醒的方法進(jìn)行防御。

4挖掘基于大數(shù)據(jù)的威脅檢測(cè)手段

大數(shù)據(jù)針對(duì)信息安全領(lǐng)域內(nèi)的數(shù)據(jù)分析，主要基于日志與流量的兩大方式，同時(shí)關(guān)聯(lián)系統(tǒng)配置、用戶行為、應(yīng)用行為、業(yè)務(wù)行為等數(shù)據(jù)進(jìn)行分析，達(dá)到感知威脅，攻擊取證的目的。目前存在兩種方式感知異常行為：基于特征與行為的檢測(cè)和機(jī)械學(xué)習(xí)鑒定。傳統(tǒng)的檢測(cè)機(jī)制依靠黑名單分析建模，缺陷是對(duì)0day未知漏洞不可感知。機(jī)械學(xué)習(xí)鑒定通過白名單，可通過行為日志感知未知漏洞。

基于行為檢測(cè)方式下，以日志分析為例，利用足夠詳細(xì)的用戶行為日志區(qū)分正常行為和異常行為。發(fā)現(xiàn)異常的方式在傳統(tǒng)的關(guān)聯(lián)技巧規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、關(guān)聯(lián)列表關(guān)聯(lián)、環(huán)境關(guān)聯(lián)等進(jìn)行數(shù)據(jù)分析，對(duì)異常行為中的攻擊者畫像，列出定點(diǎn)攻擊，有明確攻擊目標(biāo)的攻擊者和自動(dòng)化攻擊，無目標(biāo)的攻擊對(duì)象[8]。針對(duì)行為描述進(jìn)行合理建設(shè)滲透、攻擊模型。

機(jī)器學(xué)習(xí)能夠基于大數(shù)據(jù)進(jìn)行自動(dòng)化學(xué)習(xí)和訓(xùn)練，已經(jīng)在圖像、語音、自然語言處理方面廣泛應(yīng)用[9]。機(jī)器學(xué)習(xí)鑒定方式應(yīng)用于Web入侵防護(hù)中監(jiān)測(cè)用戶流量，針對(duì)大量正常日志建立Profile模型，檢測(cè)過程中不符合Profile模型的被視為異常流量。Profile模型的建立主要基于統(tǒng)計(jì)學(xué)習(xí)模型、基于文本分析的機(jī)器學(xué)習(xí)模型、基于單分類模型、基于聚類模型等幾種建模思想，從海量日志數(shù)據(jù)中建立正常行為模型，少量的異常流量訪問行為將被重點(diǎn)監(jiān)控，在對(duì)抗過程中更難被繞過。

5 結(jié)論

本文闡述了機(jī)場(chǎng)大數(shù)據(jù)應(yīng)用和信息安全應(yīng)用應(yīng)對(duì)威脅的方法，而面對(duì)海量的網(wǎng)絡(luò)信息數(shù)據(jù)，傳統(tǒng)的防御思路已經(jīng)不再奏效。大數(shù)據(jù)時(shí)代下的安全分析有助于企業(yè)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)行為異常，從而更好的把控風(fēng)險(xiǎn)。但大數(shù)據(jù)機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)應(yīng)用于信息安全行業(yè)正處于初步階段，沒有相對(duì)成熟的產(chǎn)品，如何在建模后減少誤報(bào)率是大數(shù)據(jù)的發(fā)展方向。

參考文獻(xiàn)：

[1]王勇，韓燕征，賈銳.大型樞紐機(jī)場(chǎng)信息安全監(jiān)測(cè)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].通信技術(shù)，2017，50（7）：1587-1591.

[2]陸寧.民航機(jī)場(chǎng)云架構(gòu)環(huán)境下的信息安全研究[J]. 通訊世界， 2016（10）：289-290.

[3] ?；? 大數(shù)據(jù)時(shí)代下的機(jī)場(chǎng)旅客數(shù)據(jù)價(jià)值挖掘[J]. 綜合運(yùn)輸， 2015（11）：90-93.

[4] 佚名. 國(guó)家信息安全成果產(chǎn)業(yè)化（東部）基地已具雛形[J]. 計(jì)算機(jī)安全， 2002（22）：36-38.

[5] 趙偉華. 大數(shù)據(jù)時(shí)代信息安全行業(yè)的專利解析[J]. 中國(guó)發(fā)明與專利， 2015（12）：17-18.

[6] 韋濤， 彭武， 王冬海. 基于漏洞屬性分析的軟件安全評(píng)估方法[J]. 電光與控制， 2015， 22（8）：66-70.

[7] 趙兵， 孫梅. 分布式防火墻技術(shù)的分析與研究[J]. 軟件導(dǎo)刊， 2010， 09（3）.

[8] 姜偉. 基于攻防博弈模型的主動(dòng)防御關(guān)鍵技術(shù)研究[D]. 哈爾濱工業(yè)大學(xué)， 2010.

[9] 高強(qiáng)， 靳其兵， 程勇. 基于卷積神經(jīng)網(wǎng)絡(luò)探討深度學(xué)習(xí)算法與應(yīng)用[J]. 電腦知識(shí)與技術(shù)：學(xué)術(shù)交流， 2015（5）：169-170.

作者簡(jiǎn)介：

田衡（1990—），男，碩士學(xué)位，任職于成都雙流國(guó)際機(jī)場(chǎng)股份有限公司機(jī)電設(shè)備中心，助理工程師