張然 夏晨 鄭航堅(jiān)

摘要：我國(guó)高校當(dāng)前的發(fā)展和運(yùn)行中，由于網(wǎng)絡(luò)通信系統(tǒng)中含有大量的研究成果，并且一些成果具有較高的保密等級(jí)，要嚴(yán)格防范出現(xiàn)數(shù)據(jù)泄露以及被惡意竊取問(wèn)題。大數(shù)據(jù)時(shí)代出現(xiàn)網(wǎng)絡(luò)攻擊現(xiàn)象的概率提高，并且以APT攻擊手段為首的攻擊形式具有較高的隱蔽性，并且數(shù)據(jù)隱蔽信道檢查難度也較高，新時(shí)期要采用合適方法落實(shí)安全防護(hù)工作。

關(guān)鍵詞：大數(shù)據(jù)技術(shù);高校網(wǎng)絡(luò)系統(tǒng);安全防護(hù);APT攻擊

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）05-0043-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

大數(shù)據(jù)時(shí)期最常見(jiàn)的攻擊手段是APT攻擊，這種攻擊形式具有隱蔽性高、潛伏性好以及可以在硬件中存在很長(zhǎng)時(shí)間等特點(diǎn)，導(dǎo)致目前采用的安全防護(hù)手段難以直接發(fā)現(xiàn)在系統(tǒng)中存在的故障。在大數(shù)據(jù)時(shí)代，可借助該技術(shù)對(duì)互聯(lián)網(wǎng)節(jié)點(diǎn)、硬件設(shè)施等逐個(gè)掃描，從中找到系統(tǒng)中存在的問(wèn)題，通過(guò)輸出攻擊圖的方式提高安全防護(hù)效果。

1 大數(shù)據(jù)時(shí)代高校網(wǎng)絡(luò)安全防護(hù)工作的分析重點(diǎn)

1.1隱蔽信道檢測(cè)

大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)攻擊中，APT攻擊會(huì)通過(guò)建成的隱蔽信道完成信息的傳遞工作，但是這一技術(shù)在使用中，容易出現(xiàn)長(zhǎng)期的信息泄露問(wèn)題，從而讓這一系統(tǒng)的運(yùn)行質(zhì)量無(wú)法滿足要求[1]。此外在當(dāng)前的網(wǎng)絡(luò)系統(tǒng)運(yùn)行中，APT攻擊也會(huì)針對(duì)高校中建成的通信節(jié)點(diǎn)獲取信息，出現(xiàn)可以研究成果的泄密問(wèn)題，從而讓這一系統(tǒng)的安全防護(hù)質(zhì)量不足。

對(duì)于隱蔽信道來(lái)說(shuō)，雖然硬軟件防火墻能夠檢測(cè)到流量發(fā)生一定的波動(dòng)情況，但是無(wú)法識(shí)別其中含有的信息類(lèi)型，導(dǎo)致這一系統(tǒng)的運(yùn)行質(zhì)量無(wú)法滿足要求。

1.2攻擊節(jié)點(diǎn)查找

攻擊節(jié)點(diǎn)的查找中，要完成對(duì)于已經(jīng)被攻擊節(jié)點(diǎn)的全面找到，其中對(duì)于系統(tǒng)的運(yùn)行過(guò)程來(lái)說(shuō)，使用大數(shù)據(jù)技術(shù)可以實(shí)現(xiàn)對(duì)各個(gè)節(jié)點(diǎn)的檢測(cè)工作，從而讓這一系統(tǒng)可以更好運(yùn)行。此外節(jié)點(diǎn)的檢測(cè)過(guò)程中，也要分析當(dāng)前這一系統(tǒng)是否能夠更好運(yùn)行，要分析節(jié)點(diǎn)之間的連接性。在實(shí)際的檢測(cè)過(guò)程中，在檢測(cè)其中的一個(gè)節(jié)點(diǎn)時(shí)，則要分析與之連接其余節(jié)點(diǎn)的作用水平和工作效果，并且生成當(dāng)前APT攻擊已經(jīng)覆蓋的范圍，從中分析當(dāng)前和今后需要做好的故障排除方式。

1.3攻擊圖生成

攻擊圖在生成之后，可以讓網(wǎng)絡(luò)運(yùn)維人員分析攻擊形式和攻擊造成的損失，并制定后續(xù)的網(wǎng)絡(luò)系統(tǒng)安防方案，就實(shí)際的作用方法上來(lái)看，要分析當(dāng)前被攻擊的區(qū)域和攻擊程度，從中選擇最佳的問(wèn)題處理方案。攻擊圖的生成過(guò)程中要通過(guò)對(duì)各個(gè)邏輯關(guān)系的研究和明確，在此基礎(chǔ)上讓這一系統(tǒng)能夠更好運(yùn)行，從而讓當(dāng)前存在的問(wèn)題被有效解決。

2 大數(shù)據(jù)時(shí)代高校網(wǎng)絡(luò)安全防護(hù)工作的存在問(wèn)題

2.1 技術(shù)選用問(wèn)題

技術(shù)選用問(wèn)題表現(xiàn)為，當(dāng)前普遍采用硬件和軟件防火墻實(shí)現(xiàn)對(duì)于整個(gè)網(wǎng)絡(luò)的共同防護(hù)，但是在當(dāng)前的工作中也存在一定的問(wèn)題，其未能實(shí)現(xiàn)對(duì)于技術(shù)的合理選用，導(dǎo)致對(duì)于基于大數(shù)據(jù)技術(shù)的攻擊手段防護(hù)效果不足，無(wú)法保障網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行?？梢哉f(shuō)這一方法只能夠?qū)崿F(xiàn)最為基礎(chǔ)攻擊手段的防范和規(guī)避，對(duì)于APT攻擊無(wú)法高效規(guī)避。在目前的高校網(wǎng)絡(luò)安全防護(hù)工作中，技術(shù)選用的問(wèn)題一方面導(dǎo)致防護(hù)的對(duì)象存在缺陷，另一方面選擇的技術(shù)未能覆蓋大數(shù)據(jù)時(shí)代的多種新型攻擊手段。

2.2 參數(shù)分析問(wèn)題

參數(shù)分析要考慮隱蔽信道的檢測(cè)和分析、被攻擊節(jié)點(diǎn)的研究和剖析等。對(duì)于隱蔽信道來(lái)說(shuō)，會(huì)通過(guò)對(duì)于數(shù)據(jù)包結(jié)構(gòu)的調(diào)整，按照已經(jīng)制定的信號(hào)分析方案實(shí)現(xiàn)各類(lèi)信息的傳遞。目前已經(jīng)開(kāi)發(fā)出了多種檢測(cè)方法，主要是一段時(shí)間內(nèi)數(shù)據(jù)包報(bào)文內(nèi)字符之間的線性關(guān)系，當(dāng)發(fā)現(xiàn)線性相關(guān)時(shí)，可確定這一系統(tǒng)不屬于隱蔽信道，而當(dāng)發(fā)現(xiàn)這一系統(tǒng)中的數(shù)據(jù)處于非線性關(guān)系時(shí)，則可確定該通信信道屬于APT攻擊中的隱蔽信道。

2.3 攻擊圖生成問(wèn)題

攻擊圖的生成過(guò)程中，要明確遭受的攻擊形式，通過(guò)對(duì)于攻擊圖的使用和分析，可以探究系統(tǒng)中的故障[2]。在攻擊圖的生成中，要研究所有節(jié)點(diǎn)的連接形式，讓工作人員更好總結(jié)當(dāng)前工作體系中存在的問(wèn)題，從而讓這一系統(tǒng)能夠穩(wěn)定運(yùn)行。另外攻擊圖的生成過(guò)程中要明確這一系統(tǒng)的穩(wěn)定運(yùn)行方法，比如詳細(xì)分析攻擊圖中的告警關(guān)聯(lián)形式，以提高對(duì)于各類(lèi)參數(shù)的精確度，防止遺漏遭受攻擊的節(jié)點(diǎn)，從而讓這一系統(tǒng)的運(yùn)行質(zhì)量獲得提高。

3 大數(shù)據(jù)時(shí)代高校網(wǎng)絡(luò)安全防護(hù)工作的踐行方法

3.1 攻擊圖生成過(guò)程

（1）告警關(guān)聯(lián)分析

告警關(guān)聯(lián)信息的關(guān)聯(lián)過(guò)程中通常有4種關(guān)聯(lián)形式，其一是中心事件告警形式，運(yùn)行方法是在建成以中心事件為研究核心的工作體系，但是周邊事件是否處于被攻擊狀態(tài)則無(wú)法被有效確定，要自主測(cè)定周邊節(jié)點(diǎn)是否被攻擊。檢測(cè)方法包括數(shù)據(jù)包報(bào)文檢測(cè)、報(bào)文字符計(jì)數(shù)等，發(fā)現(xiàn)表現(xiàn)出符合攻擊的表現(xiàn)情況時(shí)，則要給出攻擊路徑。其二是上行事件告警方法，當(dāng)發(fā)現(xiàn)某事件能夠同時(shí)決定多個(gè)下行事件時(shí)，則可把這一事件設(shè)定成上行事件，當(dāng)上行事件存在問(wèn)題時(shí)，會(huì)導(dǎo)致整個(gè)系統(tǒng)無(wú)法運(yùn)行。其三是下行事件告警，若多個(gè)同一層級(jí)事件決定某一個(gè)事件時(shí)，這所有這類(lèi)事件稱(chēng)為下行事件，發(fā)現(xiàn)某個(gè)下行事件被攻擊時(shí)，要對(duì)同一層級(jí)的所有事件進(jìn)行檢測(cè)，并分析其上行事件是否受到了影響。其四是事件的決定因素告警方式，對(duì)于一些網(wǎng)絡(luò)事件來(lái)說(shuō)，通常其由多個(gè)因素決定，在這類(lèi)事件的檢測(cè)和分析過(guò)程中，要研究被決定的事件和決定因素的檢測(cè)，尤其是當(dāng)發(fā)現(xiàn)被決定的事件出現(xiàn)嚴(yán)重問(wèn)題時(shí)，則要確定所有的決定因素已經(jīng)遭受攻擊。

（2）流量異常分析

在網(wǎng)絡(luò)系統(tǒng)遭受了攻擊之后，則會(huì)出現(xiàn)流量異?，F(xiàn)象，通過(guò)對(duì)流量的分析，可以確定當(dāng)前這一系統(tǒng)中存在故障，從而讓這一系統(tǒng)無(wú)法穩(wěn)定運(yùn)行。

詳細(xì)的檢查過(guò)程中，可以采用的方法是研究當(dāng)前工作中存在的問(wèn)題，大數(shù)據(jù)時(shí)代使用的方法是借助大數(shù)據(jù)技術(shù)和云計(jì)算技術(shù)完成相應(yīng)的檢測(cè)工作，從而讓整個(gè)系統(tǒng)能夠更好運(yùn)行。其中大數(shù)據(jù)技術(shù)可通過(guò)對(duì)通信網(wǎng)絡(luò)系統(tǒng)中一定時(shí)間內(nèi)的流量情況進(jìn)行分析和記錄，并通過(guò)云計(jì)算技術(shù)分析這一系統(tǒng)在運(yùn)行過(guò)程中，在一定時(shí)間內(nèi)這一系統(tǒng)的詳細(xì)運(yùn)行質(zhì)量。后續(xù)的檢測(cè)過(guò)程中，也是以一定時(shí)間內(nèi)的工作形式和工作指標(biāo)為研究指標(biāo)，當(dāng)發(fā)現(xiàn)某信道的數(shù)據(jù)突然發(fā)生變更時(shí)，則可確定這一信道已經(jīng)被攻擊。

（3）攻擊威脅評(píng)估

攻擊威脅評(píng)估過(guò)程中，可使用cvss評(píng)價(jià)體系實(shí)現(xiàn)對(duì)于安全威脅的多步評(píng)價(jià)，從而讓這一系統(tǒng)可以正常穩(wěn)定運(yùn)行[3]。評(píng)價(jià)系統(tǒng)的使用方法是，從某功能涵蓋節(jié)點(diǎn)數(shù)量這一角度切入，分析整個(gè)系統(tǒng)的運(yùn)行水平和工作形式。當(dāng)涵蓋的節(jié)點(diǎn)數(shù)量較多時(shí)，則該功能的被攻克難度較高，而當(dāng)發(fā)現(xiàn)涵蓋的節(jié)點(diǎn)較少，但是這一功能的重要性較高時(shí)，則可確定這一功能的被攻克難度較小，要做好對(duì)其的重點(diǎn)防護(hù)工作。

3.2 隱蔽信道檢測(cè)過(guò)程

（1）隱蔽信道類(lèi)型

常見(jiàn)的隱蔽信道從整體上可以分為網(wǎng)絡(luò)存儲(chǔ)型信道、網(wǎng)絡(luò)時(shí)間型信道兩種，其中這兩類(lèi)綜合性的信道中下轄多個(gè)具體的信道類(lèi)型，比如對(duì)于網(wǎng)絡(luò)存儲(chǔ)型信道中的傳輸層隱蔽信道，攻擊手段中的常用修改協(xié)議是TCP和UDP協(xié)議，其中對(duì)于UDP協(xié)議來(lái)說(shuō)，用來(lái)攜帶信息的字段包括端口號(hào)、目的端口號(hào)和校驗(yàn)字段，通過(guò)對(duì)其中含有字符的分析，可以明確是否攜帶信息。而對(duì)于TCP協(xié)議，通常會(huì)處理數(shù)據(jù)包中的序列號(hào)和確認(rèn)號(hào)，通過(guò)對(duì)于字符的調(diào)整和排序，以攜帶意圖竊取的信息。

（2）隱蔽信道檢測(cè)

整體框架建設(shè)和相關(guān)性分析工作，可借助Web Service協(xié)議完成特征值的分析工作，首先確定特征提取模塊與檢測(cè)方案的排序模塊，通過(guò)對(duì)數(shù)據(jù)流相關(guān)特征值的研究和分析，總結(jié)這一系統(tǒng)的具體運(yùn)行水平。其次是設(shè)定基礎(chǔ)判決器，發(fā)揮的作用是各個(gè)信道中基礎(chǔ)檢測(cè)數(shù)據(jù)和后續(xù)判決器之間的溝通橋梁。最后是最終的判決器，其作用是總結(jié)當(dāng)前被檢測(cè)的信道是否是隱蔽信道。

相關(guān)性分析工作中，要把各個(gè)字符數(shù)量的相關(guān)性協(xié)調(diào)到線性相關(guān)性的檢測(cè)體系，當(dāng)不相關(guān)時(shí)，則這一通信信道是隱蔽信道。

4 結(jié)論

綜上所述，大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安防工作中存在的問(wèn)題包括大數(shù)據(jù)技術(shù)使用方法問(wèn)題、參數(shù)分析不到位等，導(dǎo)致攻擊圖的準(zhǔn)確性不足以及隱蔽信道未能測(cè)定。使用方法包括使用基于APT的攻擊圖生成和基于Web Service協(xié)議的隱蔽信道檢測(cè)。

參考文獻(xiàn)：

[1]袁琛.大數(shù)據(jù)時(shí)代下網(wǎng)絡(luò)信息安全問(wèn)題及防護(hù)對(duì)策[J].信息 記錄材料，2019，20（3）：28-29.

[2]高翔.網(wǎng)絡(luò)安全評(píng)估理論及其關(guān)鍵技術(shù)研究[Dl.鄭州：解放軍 信息工程大學(xué)，2014.

[3]韋杰.基于Web Service的數(shù)據(jù)共享交換平臺(tái)[Jl，電子技術(shù)與 軟件工程，2018（15）：149-150.

【通聯(lián)編輯：代影】

收稿日期：2019 -11-13

作者簡(jiǎn)介：張然（1986-），女，安徽靈璧人，工程師，碩士研究生，研究方向?yàn)樾畔⒓夹g(shù)。