曹 晨

開(kāi)封市科學(xué)技術(shù)情報(bào)研究所，河南 開(kāi)封 475000

如今，大數(shù)據(jù)技術(shù)呈現(xiàn)出噴射式的發(fā)展，是推動(dòng)整個(gè)社會(huì)發(fā)展與創(chuàng)新的關(guān)鍵之所在，任何人、任何地點(diǎn)、任何時(shí)間都可以借助網(wǎng)絡(luò)平臺(tái)來(lái)發(fā)表自己的言論，這就使得網(wǎng)絡(luò)安全與情報(bào)分析備受關(guān)注。然而，網(wǎng)絡(luò)攻擊頻發(fā)，在一定程度上對(duì)人們的財(cái)產(chǎn)安全、信息安全造成一定的威脅，此時(shí)就需要在大數(shù)據(jù)背景下，對(duì)網(wǎng)絡(luò)安全與情報(bào)進(jìn)行全面、系統(tǒng)的分析，以此來(lái)降低安全事件的發(fā)生率。

1 網(wǎng)絡(luò)安全與情報(bào)分析現(xiàn)狀與困境

1.1 網(wǎng)絡(luò)安全與情報(bào)分析現(xiàn)狀

目前，科學(xué)技術(shù)的發(fā)展，極大地推動(dòng)了網(wǎng)絡(luò)技術(shù)的發(fā)展，使網(wǎng)絡(luò)活動(dòng)范圍和方式呈現(xiàn)出多元化的發(fā)展趨勢(shì)，為網(wǎng)絡(luò)情報(bào)的獲取提供了極大的便利。 但是，由于受到各方面因素的影響，網(wǎng)絡(luò)信息竊取和網(wǎng)絡(luò)攻擊等安全隱患層出不窮，對(duì)網(wǎng)絡(luò)安全技術(shù)提出了嚴(yán)峻的挑戰(zhàn)。因此，急需對(duì)網(wǎng)絡(luò)技術(shù)進(jìn)行改進(jìn)和升級(jí)，更好地發(fā)揮網(wǎng)絡(luò)安全與情報(bào)分析的重要性。

1.2 網(wǎng)絡(luò)安全分析的困境

在新應(yīng)用不斷發(fā)展和IT 架構(gòu)日趨復(fù)雜的時(shí)代背景下，現(xiàn)有網(wǎng)絡(luò)和應(yīng)用的邊界變得更加模糊不清，通過(guò)傳統(tǒng)的單邊界、控制點(diǎn)等網(wǎng)絡(luò)安全設(shè)備無(wú)法全面了解和掌握整個(gè)網(wǎng)絡(luò)的安全狀態(tài)，此時(shí)就需要對(duì)網(wǎng)絡(luò)安全和應(yīng)用進(jìn)行優(yōu)化和調(diào)整，使其具備更高的機(jī)動(dòng)性，為網(wǎng)絡(luò)安全發(fā)展奠定良好的基礎(chǔ)。

在傳統(tǒng)網(wǎng)絡(luò)安全分析中，更多側(cè)重于對(duì)各種網(wǎng)絡(luò)流量及日志進(jìn)行緩存，然而該過(guò)程需要投入大量的時(shí)間和成本作為支撐，同時(shí)會(huì)受到空間、時(shí)間等因素的限制，要定時(shí)清除日志和數(shù)據(jù)信息。實(shí)際上，為了實(shí)現(xiàn)對(duì)云計(jì)算或網(wǎng)絡(luò)系統(tǒng)的安全分析，要構(gòu)建一套系統(tǒng)、完善的全局?jǐn)?shù)據(jù)，具體內(nèi)容包括用戶身份信息、行為信息、訪問(wèn)信息、漏洞信息、日志信息、網(wǎng)絡(luò)數(shù)據(jù)信息以及配置信息等，除此之外還需要對(duì)互聯(lián)網(wǎng)外部情報(bào)信息進(jìn)行收集。如今，隨著信息化的快速發(fā)展以及5G 時(shí)代的到來(lái)，這些數(shù)據(jù)信息產(chǎn)生的速度將會(huì)變得越來(lái)越快，在增加處理成本的同時(shí)，也增加了網(wǎng)絡(luò)安全監(jiān)測(cè)的難度，以往的網(wǎng)絡(luò)安全監(jiān)測(cè)手段不能有效覆蓋如此龐大的大數(shù)據(jù)信息。同時(shí)，網(wǎng)絡(luò)的不斷升級(jí)也會(huì)使網(wǎng)絡(luò)攻擊方式呈現(xiàn)出多元化的特點(diǎn)，加之各類特種病毒蠕蟲(chóng)、木馬、僵尸網(wǎng)絡(luò)、高級(jí)持續(xù)威脅（APT）等的影響，使得網(wǎng)絡(luò)攻擊的趨利性和目標(biāo)性不斷增強(qiáng)，并具備了隱蔽性、長(zhǎng)期性和復(fù)合性的特點(diǎn)。傳統(tǒng)網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)或多或少受到了數(shù)據(jù)收集與存儲(chǔ)的局限，無(wú)法對(duì)新型網(wǎng)絡(luò)攻擊進(jìn)行有效檢測(cè)，致使網(wǎng)絡(luò)安全受到一定威脅。

1.3 情報(bào)分析的困境

通常情況下，傳統(tǒng)情報(bào)分析所采用的工具具有相對(duì)比較單一的數(shù)據(jù)源，而目前大數(shù)據(jù)已經(jīng)成為未來(lái)科學(xué)技術(shù)發(fā)展的必然趨勢(shì)，云計(jì)算技術(shù)與移動(dòng)互聯(lián)信息技術(shù)的發(fā)展使得情報(bào)信息的信息源呈現(xiàn)出多元化的發(fā)展趨勢(shì)，再加上大規(guī)模數(shù)據(jù)互相關(guān)聯(lián)技術(shù)的缺失，不能對(duì)網(wǎng)絡(luò)情報(bào)進(jìn)行有效的挖掘。因此，在現(xiàn)有環(huán)境下，要想對(duì)網(wǎng)絡(luò)情報(bào)進(jìn)行更好的分析，就需要根據(jù)最新的處理技術(shù)來(lái)對(duì)情報(bào)信息進(jìn)行挖掘、采集和處理，這樣既可以實(shí)現(xiàn)對(duì)外部和內(nèi)部非結(jié)構(gòu)化數(shù)據(jù)的有效采集、處理和存儲(chǔ)，而且還可實(shí)現(xiàn)對(duì)復(fù)雜、多源數(shù)據(jù)的有效處理、分類和實(shí)時(shí)跟蹤。

2 基于大數(shù)據(jù)背景下網(wǎng)絡(luò)安全與情報(bào)分析

2.1 APT 攻擊檢測(cè)

在大數(shù)據(jù)時(shí)代背景下，網(wǎng)絡(luò)APT 攻擊具有明顯的隱蔽性及滲透性特征，在一定程度上威脅著國(guó)家和企業(yè)的網(wǎng)絡(luò)安全，不利于國(guó)家和企業(yè)的健康發(fā)展。例如，2010 年震網(wǎng)病毒的出現(xiàn)；2012 年火焰病毒的出現(xiàn)；2015 年黑暗力量入侵烏克蘭鐵路系統(tǒng)和礦業(yè)系統(tǒng)事件的出現(xiàn)，均是APT 攻擊的范疇。實(shí)際上，在網(wǎng)絡(luò)攻擊過(guò)程中，APT 攻擊一般面臨著攻擊路徑和渠道無(wú)法明確且隱蔽性強(qiáng)的問(wèn)題，這就導(dǎo)致傳統(tǒng)的安全方案無(wú)法有效地抵御APT 攻擊，增加了網(wǎng)絡(luò)安全事件的發(fā)生率。

目前，應(yīng)用效果最佳的APT 攻擊抵御方案為數(shù)據(jù)關(guān)聯(lián)分析方法，而大數(shù)據(jù)技術(shù)可以提升數(shù)據(jù)關(guān)聯(lián)分析方法的應(yīng)用效果，可以將其用于APT 攻擊檢測(cè)中。例如，美國(guó)RSA 實(shí)驗(yàn)室所采用的Beehive 系統(tǒng)就是借助大數(shù)據(jù)技術(shù)來(lái)采集和處理大量的日志信息，并檢測(cè)組織結(jié)構(gòu)中資源使用情況，及時(shí)挖掘該組織結(jié)構(gòu)中包含的策略違背內(nèi)容及被惡意軟件感染的內(nèi)容，并按照一定的方式將看似孤立的事件結(jié)合在一起，這樣能夠清楚地檢查出APT 是否攻擊過(guò)該組織機(jī)構(gòu)。 在2012年，Giura 提出了一項(xiàng)研究成果，其主要是在大數(shù)據(jù)技術(shù)和攻擊樹(shù)技術(shù)的基礎(chǔ)上構(gòu)建概念攻擊模型，以實(shí)現(xiàn)對(duì)APT 攻擊的有效檢測(cè)與抵御。實(shí)際上，該概念攻擊模型又被稱之為攻擊金字塔，潛在的被攻擊目標(biāo)為頂層，其包括了系統(tǒng)中的數(shù)據(jù)服務(wù)器、敏感數(shù)據(jù)以及高層職員等數(shù)據(jù)信息，并根據(jù)攻擊相關(guān)的事件環(huán)境和橫向平面標(biāo)注，來(lái)將其劃分為不同的場(chǎng)景，借助相應(yīng)的MapReduce 對(duì)不同的場(chǎng)景進(jìn)行并行處理，然后采用不同的算法來(lái)檢測(cè)處理后的信息，這樣一來(lái)就能夠完成對(duì)APT 攻擊的有效檢測(cè)。

2.2 網(wǎng)絡(luò)風(fēng)險(xiǎn)感知

通常情況下，在網(wǎng)絡(luò)環(huán)境中往往會(huì)存在不同種類的網(wǎng)絡(luò)風(fēng)險(xiǎn)，此時(shí)就需要國(guó)家和企事業(yè)單位對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)給予高度的重視，實(shí)時(shí)、動(dòng)態(tài)地了解和掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)，以便能夠第一時(shí)間感知網(wǎng)絡(luò)風(fēng)險(xiǎn)，并采取有效措施給予處理，以確保網(wǎng)絡(luò)安全、可靠、高效運(yùn)行。在網(wǎng)絡(luò)風(fēng)險(xiǎn)感知過(guò)程中，要對(duì)各類潛在的安全因素給予全面系統(tǒng)的分析與評(píng)估，以完成對(duì)網(wǎng)絡(luò)安全狀況的真實(shí)評(píng)價(jià)。實(shí)際上，大數(shù)據(jù)技術(shù)的應(yīng)用既能夠有效提升網(wǎng)絡(luò)風(fēng)險(xiǎn)感知效率，同時(shí)還可以進(jìn)一步確保網(wǎng)絡(luò)安全。

對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)感知過(guò)程中所存在的問(wèn)題，大多數(shù)企事業(yè)單位會(huì)借助大數(shù)據(jù)技術(shù)來(lái)創(chuàng)建網(wǎng)絡(luò)安全數(shù)據(jù)感知平臺(tái)，這樣就能夠確保企事業(yè)單位網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。 例如，阿里巴巴集團(tuán)借助大數(shù)據(jù)技術(shù)建設(shè)了阿里云云盾，可以通過(guò)SAAS 來(lái)有效感知網(wǎng)絡(luò)風(fēng)險(xiǎn)；360 創(chuàng)建的NGSOC 平臺(tái)，能夠借助大數(shù)據(jù)技術(shù)來(lái)完成對(duì)本地所有數(shù)據(jù)信息的有效采集和存儲(chǔ)，并以情報(bào)為核心來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)監(jiān)控，與此同時(shí)，該平臺(tái)還具備威脅溯源功能，極大地保障了網(wǎng)絡(luò)的安全運(yùn)行；四川大學(xué)創(chuàng)建的NTCI.NUBA平臺(tái)，能夠?qū)崿F(xiàn)校園網(wǎng)的實(shí)時(shí)動(dòng)態(tài)監(jiān)控，具體內(nèi)容有數(shù)據(jù)中心流量、網(wǎng)絡(luò)流量及身份認(rèn)證數(shù)據(jù)等，并借助Spark 及Hadoop 來(lái)完成對(duì)數(shù)據(jù)的分析，極大地提高了校園網(wǎng)的安全性[1]。

2.3 網(wǎng)絡(luò)異常檢測(cè)

網(wǎng)絡(luò)異常檢測(cè)是網(wǎng)絡(luò)信息安全管理中比較關(guān)鍵的工作內(nèi)容，能夠完成對(duì)網(wǎng)絡(luò)運(yùn)行中出現(xiàn)的設(shè)備失效、流量異?；蛟綑?quán)資源訪問(wèn)等問(wèn)題給予有效監(jiān)測(cè)和分析。從本質(zhì)上來(lái)講，網(wǎng)絡(luò)異常檢測(cè)主要是結(jié)合表征目標(biāo)狀態(tài)變化及對(duì)象屬性清單來(lái)構(gòu)建與之相匹配的檢測(cè)模型，進(jìn)而對(duì)網(wǎng)絡(luò)中存在的非正常行為或策略違背行為進(jìn)行監(jiān)測(cè)與分析。實(shí)際上，在網(wǎng)絡(luò)異常檢測(cè)過(guò)程中，大數(shù)據(jù)技術(shù)更多地被應(yīng)用在網(wǎng)絡(luò)用戶行為方面，從而有效提升網(wǎng)絡(luò)異常檢測(cè)的有效性。 通常情況下，大數(shù)據(jù)背景下所開(kāi)展的網(wǎng)絡(luò)異常檢測(cè)行為，主要是通過(guò)機(jī)器學(xué)習(xí)和行為特征分析，來(lái)獲取網(wǎng)絡(luò)數(shù)據(jù)特征，以確保網(wǎng)絡(luò)異常檢測(cè)工作的順利進(jìn)行。例如，王占作為360 企業(yè)工程師，在黑帽大會(huì)演講中提出：在進(jìn)行網(wǎng)絡(luò)流量異常檢測(cè)工作中，借助深度學(xué)習(xí)方法能夠使異常檢測(cè)的準(zhǔn)確率超過(guò)90%。同時(shí)，在不確定協(xié)議是否加密的同時(shí)，通過(guò)深度學(xué)習(xí)的異常檢測(cè)過(guò)程，可以完成對(duì)網(wǎng)絡(luò)中所有網(wǎng)絡(luò)流的有效識(shí)別，且可識(shí)別率達(dá)到了55%。

2.4 網(wǎng)絡(luò)情報(bào)分析

網(wǎng)絡(luò)安全與情報(bào)工作，主要是借助分布式系統(tǒng)、大數(shù)據(jù)技術(shù)來(lái)完成對(duì)網(wǎng)絡(luò)威脅情報(bào)的有效收集，該階段收集的網(wǎng)絡(luò)威脅情報(bào)一般是指包括威脅、漏洞、行為及特征等證據(jù)的知識(shí)集合體。實(shí)際上，網(wǎng)絡(luò)威脅情報(bào)的收集和處理既能夠提升防御技術(shù)的防御效果，而且還可以避免網(wǎng)絡(luò)系統(tǒng)遭受攻擊。在對(duì)網(wǎng)絡(luò)威脅情報(bào)進(jìn)行收集的過(guò)程中，還可以進(jìn)一步提高系統(tǒng)用戶對(duì)網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)知，以保證系統(tǒng)用戶能夠選擇更加科學(xué)、合理的方式來(lái)完成對(duì)網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)風(fēng)險(xiǎn)的抵御，進(jìn)而將危害程度降到最低?？傊?，一套系統(tǒng)完善的網(wǎng)絡(luò)威脅情報(bào)主要涵蓋了情報(bào)源、事件響應(yīng)、融合與分析三個(gè)部分[2]。

在廣大民眾網(wǎng)絡(luò)安全意識(shí)不斷提升的基礎(chǔ)上，國(guó)內(nèi)外越來(lái)越多的企業(yè)開(kāi)始提供網(wǎng)絡(luò)安全威脅情報(bào)工作，包括Fire Eye、微步在線、Symantec 等企業(yè)，他們能夠?yàn)橛脩籼峁┒嘣?、全方位的網(wǎng)絡(luò)威脅情報(bào)服務(wù)和產(chǎn)品，涉及網(wǎng)絡(luò)犯罪防范、惡意軟件清理以及漏洞檢測(cè)等內(nèi)容，以確保用戶的網(wǎng)絡(luò)安全。如今，越來(lái)越多的研究學(xué)者和機(jī)構(gòu)創(chuàng)建了網(wǎng)絡(luò)數(shù)據(jù)管理與采集平臺(tái)，來(lái)對(duì)網(wǎng)絡(luò)威脅情報(bào)進(jìn)行有效篩選，進(jìn)而為系統(tǒng)用戶提供所需要的借鑒和幫助[3]。

3 大數(shù)據(jù)背景下網(wǎng)絡(luò)安全與情報(bào)分析的發(fā)展前景

3.1 高級(jí)網(wǎng)絡(luò)威脅挖掘方法的研究

通常情況下，高級(jí)的APT 攻擊、僵尸網(wǎng)絡(luò)及新型木馬等都存在持續(xù)性和隱蔽性的特點(diǎn)，如果能夠及時(shí)發(fā)現(xiàn)這些高級(jí)網(wǎng)絡(luò)威脅，就可以有效降低損失，這就需要對(duì)高級(jí)網(wǎng)絡(luò)威脅常用的檢測(cè)方法進(jìn)行研究，以此來(lái)進(jìn)一步提高網(wǎng)絡(luò)監(jiān)測(cè)方法的準(zhǔn)確性。實(shí)際上，針對(duì)網(wǎng)絡(luò)持續(xù)性和隱蔽性的攻擊，需要研發(fā)出在海量網(wǎng)絡(luò)數(shù)據(jù)信息流中可以對(duì)持續(xù)性、隱蔽性的異常通信行為和正常通信行為進(jìn)行區(qū)分。與此同時(shí)，還需要在構(gòu)建檢測(cè)模型的基礎(chǔ)上，從多個(gè)維度進(jìn)行分析，使多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)問(wèn)題得到有效解決。

3.2 網(wǎng)絡(luò)安全威脅態(tài)勢(shì)感知技術(shù)研究

這里所提及的態(tài)勢(shì)一般是指狀態(tài)和形勢(shì)，而感知網(wǎng)絡(luò)安全態(tài)勢(shì)屬于最基礎(chǔ)、最基本的工作，此時(shí)就需要構(gòu)建一套科學(xué)、合理、系統(tǒng)完善的NSSA 指標(biāo)體系，以便能夠更好地面向網(wǎng)絡(luò)整體，同時(shí)還能夠根據(jù)具體的方法和問(wèn)題來(lái)實(shí)現(xiàn)對(duì)NSSA 評(píng)估對(duì)象的有效評(píng)估。

3.3 復(fù)雜網(wǎng)絡(luò)攻擊預(yù)測(cè)研究

任何一位網(wǎng)絡(luò)管理者都是通過(guò)基于攻擊樹(shù)、攻擊圖等方式來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的有效預(yù)測(cè)，然而上述方法始終偏于靜態(tài)，無(wú)法完成對(duì)復(fù)雜網(wǎng)絡(luò)攻擊的有效預(yù)測(cè)。實(shí)際上，在大數(shù)據(jù)背景下，可以借助海量信息的獲取與存儲(chǔ)來(lái)完成對(duì)復(fù)雜網(wǎng)絡(luò)攻擊的有效預(yù)測(cè)[4]。

3.4 威脅情報(bào)相關(guān)問(wèn)題研究

大數(shù)據(jù)背景下，網(wǎng)絡(luò)情報(bào)具有非常豐富的獲取來(lái)源，這就需要相關(guān)人員能夠全方位立體地對(duì)其進(jìn)行搜集與處理，并從中感知威脅情報(bào)。在融合和存儲(chǔ)海量情報(bào)的過(guò)程中，還需要根據(jù)用戶的具體需求，來(lái)從海量情報(bào)信息中挖掘威脅情報(bào)，并采取有效措施給予解決。

4 結(jié)語(yǔ)

綜上所述，大數(shù)據(jù)技術(shù)具有非常強(qiáng)大的數(shù)據(jù)處理分析能力，將其應(yīng)用到網(wǎng)絡(luò)安全與情報(bào)工作中可以發(fā)揮巨大的作用?；诖髷?shù)據(jù)背景下的APT 攻擊檢測(cè)、網(wǎng)絡(luò)風(fēng)險(xiǎn)感知、網(wǎng)絡(luò)異常檢測(cè)、網(wǎng)絡(luò)情報(bào)分析等技術(shù)不僅可以確保情報(bào)工作的順利進(jìn)行，而且還可以降低網(wǎng)絡(luò)安全事件的發(fā)生率，在確保網(wǎng)絡(luò)安全運(yùn)行的同時(shí)，為用戶提供更加優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。