王學(xué)周 萊蕪職業(yè)技術(shù)學(xué)院

引言

隨著信息技術(shù)的應(yīng)用范圍和深度不斷加強，信息安全變的越來越重要。當(dāng)前存在很多由于信息安全問題造成的個人或企業(yè)信息泄露或其他問題的發(fā)生，如2016 年孟加拉國央行就收到黑客的攻擊而造成銀行中1 億美元被轉(zhuǎn)移。這足以說明加強信息安全的重要性。當(dāng)前傳統(tǒng)的信息安全分析技術(shù)主要針對惡意代碼檢測、入侵檢測等方面進(jìn)行信息保護(hù)，但是隨著信息數(shù)據(jù)數(shù)量、種類的不斷增加，加之一些新型的入侵手段出現(xiàn)，給傳統(tǒng)的信息安全分析帶來巨大的挑戰(zhàn)。2012 年Gartner 曾指出大數(shù)據(jù)分析是信息安全的重要發(fā)展方向。以大數(shù)據(jù)為基礎(chǔ)的信息安全分析技術(shù)能夠有效解決傳統(tǒng)方法難以對海量數(shù)據(jù)進(jìn)行采集和存儲的問題，并且此方法以機(jī)器學(xué)習(xí)以及數(shù)據(jù)挖掘方法等為基礎(chǔ)，在處理信息安全時間是更加的主動和高效，并且能夠有效的應(yīng)對一些新型的信息安全事件發(fā)生。

1 大數(shù)據(jù)分析技術(shù)應(yīng)用于信息安全領(lǐng)域的意義

大數(shù)據(jù)具有大量化、多樣性、高速化和價值化等特點，將其應(yīng)用于信息安全分析當(dāng)中能夠有效降低分析成本，提高分析效率并增大分析容量，對此將大數(shù)據(jù)分析技術(shù)在信息安全領(lǐng)域進(jìn)行應(yīng)用能夠有效的催動此領(lǐng)域的進(jìn)一步發(fā)展。隨著企業(yè)規(guī)模不斷提升，精細(xì)化程度不斷加強以及安全設(shè)備數(shù)量的增加，有關(guān)信息安全的數(shù)據(jù)的類別越來越多，范圍越來越廣，數(shù)據(jù)量呈現(xiàn)指數(shù)增長，并且增長速度也越來越快，這對安全分析的應(yīng)答能力提出更高的要求，給傳統(tǒng)安全分析帶來巨大挑戰(zhàn)。信息安全分析的傳統(tǒng)方式是以流量和日志等數(shù)據(jù)信息為基礎(chǔ)，并結(jié)合相應(yīng)的資產(chǎn)信息、業(yè)務(wù)行為信息和外部情報信息實施分析，從而找出信息當(dāng)中存在的信息安全問題，這種分析的數(shù)據(jù)信息比較單一，難以對一些新型和深層次的安全問題進(jìn)行分析。大數(shù)據(jù)應(yīng)用到信息安全當(dāng)中，其能夠?qū)⒁恍┓稚⒌臄?shù)據(jù)進(jìn)行整合，通過相應(yīng)的技術(shù)手段采集和存儲安全相關(guān)數(shù)據(jù)，將這些數(shù)據(jù)進(jìn)行檢索和分析，并通過預(yù)測模型實施不同階段和層面的關(guān)聯(lián)分析及其異常行為分類，從而能夠有效的發(fā)現(xiàn)存在的APT 攻擊、騷擾詐騙等信息安全問題，讓信息安全防御更加的主動和有效。與傳統(tǒng)分析相比，大數(shù)據(jù)分析的數(shù)據(jù)內(nèi)容更加全面，其不僅可以對應(yīng)用情景產(chǎn)生的數(shù)據(jù)進(jìn)行分析，能夠?qū)δ承┗顒又兴a(chǎn)生的數(shù)據(jù)進(jìn)行分析，并且也能夠有效的對相關(guān)的背景數(shù)據(jù)和上下文關(guān)聯(lián)數(shù)據(jù)進(jìn)行分析。對此大數(shù)據(jù)分析技術(shù)在信息安全領(lǐng)域具有較好的應(yīng)用價值，如何將其應(yīng)用是值得探討的問題。

2 安全大數(shù)據(jù)分析技術(shù)在安全領(lǐng)域中的應(yīng)用策略

2.1 以用戶行為為基礎(chǔ)的大數(shù)據(jù)安全分析

此策略在中國移動的信息安全管理中具有廣泛的應(yīng)用，主要用于對垃圾短信和騷擾詐騙電話等進(jìn)行查找和治理。在大數(shù)據(jù)分析當(dāng)中，通過開源工具如MLlib、Hive、Pig、Hadoop 等，進(jìn)行大數(shù)據(jù)平臺的搭建，通過平臺對使用者的行為數(shù)據(jù)進(jìn)行采集，并建立用戶行為分析模型，具體包含異常行為分類預(yù)測模型、統(tǒng)計預(yù)測分析模型、社交網(wǎng)絡(luò)分析模型等。在這些模型當(dāng)中，當(dāng)用戶的行為數(shù)據(jù)輸入其中，可以準(zhǔn)確并且快速的找出存在異常的電話號碼，并且能夠有效分析出這些號碼與正常號碼之間存在的大量不同的行為特征。此應(yīng)用當(dāng)中可以依據(jù)使用者的行為進(jìn)行不同維度用戶數(shù)據(jù)庫的構(gòu)建，從而能夠更加全面為不良信息的處理提供給服務(wù)，智能識別一些不良內(nèi)容。中國移動在此策略進(jìn)行信息安全分析，與傳統(tǒng)分析方法，其能夠更大范圍找出一些違規(guī)號碼，從而有效彌補當(dāng)前安全分析中的不足。

2.2 以網(wǎng)絡(luò)流量為基礎(chǔ)的大數(shù)據(jù)分析策略

此應(yīng)用是采用旁路流量監(jiān)控的方式，于互聯(lián)網(wǎng)出口應(yīng)用Storm、Spark 流分析技術(shù)等對相應(yīng)的業(yè)務(wù)數(shù)據(jù)進(jìn)行梳理和分析，從而找出其中存在的安全風(fēng)險問題。主要分析的信息內(nèi)容包含惡意UR 事件、路由器配置數(shù)據(jù)、Netflow 原始數(shù)據(jù)等多種數(shù)據(jù)信息，采用的大數(shù)據(jù)分析方法包含孤立點分析方法、指紋分析方法、多維度分析等。通過此應(yīng)用策略能夠有效挖掘Web 漏洞，實現(xiàn)CC 攻擊的檢測，找出其中存在的可疑掃描、異常Bot 行為等。

2.3 以安全日志為基礎(chǔ)的大數(shù)據(jù)安全分析

此應(yīng)用主要是將各種安全日志的數(shù)據(jù)進(jìn)行融合并進(jìn)行關(guān)聯(lián)分析，通過異常行為模型的構(gòu)建，找出其中存在的安全問題。其中涉及的安全日志包含DNS 日志、Web 日志、IDC日志、防火墻日志、數(shù)據(jù)庫日志、Web 攻擊日志、網(wǎng)管日志、IDS 設(shè)備日志和主機(jī)服務(wù)器日志等。其中常用的大數(shù)據(jù)分析方法包含情景關(guān)聯(lián)分析法、規(guī)則關(guān)聯(lián)分析、歷史溯源和攻擊行為挖掘等。使用此策略能夠有效的找出跨站漏洞、Web 攻擊行為、敏感信息泄露、Sql 注入等信息安全問題。其中此策略在很多實際的案例中得到較好的應(yīng)用。如IBM QRadar 就是將廣泛在網(wǎng)絡(luò)中分布的大量設(shè)備端點中和應(yīng)用中的日志源事件數(shù)據(jù)進(jìn)行有效的整合分析，并將其標(biāo)準(zhǔn)化，從而能夠通過對比找出錯誤的信息和威脅安全的信息，并且其還能夠與IBM Threat Intelligence 等技術(shù)聯(lián)合進(jìn)行應(yīng)用，為用戶提供惡意主機(jī)等威脅的IP 地址，而且還可以將網(wǎng)絡(luò)數(shù)據(jù)與相關(guān)的系統(tǒng)安全事件聯(lián)系到一起，確定相關(guān)安全事件的優(yōu)先級。

2.4 以DNS 為基礎(chǔ)的大數(shù)據(jù)安全分析

此應(yīng)用是利用大數(shù)據(jù)分析技術(shù)對DNS 系統(tǒng)中的實時流量和日志等數(shù)據(jù)進(jìn)行整合和分析，并依據(jù)DNS 流量的特征構(gòu)建模型，進(jìn)而有效提取出域名生存周期、解析IP 離散度、DNS 分組長、遞歸路徑、發(fā)送頻率等DNS 報文特征。隨后以DNS 報文特征作為基礎(chǔ)進(jìn)行異常行為模型的構(gòu)建，從而有效實現(xiàn)DNS 系統(tǒng)中DNS 分組異常、DNS劫持等流量攻擊的針對性檢測，并且有效找出存在的一些惡意域名，及其一些釣魚網(wǎng)站域名。

2.5 APT 攻擊的大數(shù)據(jù)安全分析

APT 攻擊是針對一些特定的對象，經(jīng)過精密的計劃和安排所實施的信息攻擊，這種信息安全問題具有潛伏時間較長，隱秘性較高，攻擊渠道難以確定等特點。如“震網(wǎng)病毒”，其在經(jīng)過3 年的潛伏后才發(fā)動攻擊，并導(dǎo)致伊朗納坦茲核電站上千臺鈾濃縮離心機(jī)出現(xiàn)嚴(yán)重的故障。針對此類信息安全問題，應(yīng)用大數(shù)據(jù)分析技術(shù)通過將數(shù)據(jù)日志、業(yè)務(wù)系統(tǒng)流量、Web 滲透知識庫、Web 訪問日志和資產(chǎn)庫等信息進(jìn)行收集，從這些信息中對黑客關(guān)注度、系統(tǒng)指紋、行為歷史、攻擊時間、攻擊手段類型和提取攻擊種類等事件的特征進(jìn)行提取，再在以大數(shù)據(jù)機(jī)器學(xué)習(xí)方法為基礎(chǔ)，對系統(tǒng)的脆弱性進(jìn)行分析，并找出其中Web 滲透行為，對攻擊源進(jìn)行追溯，從而有效提升信息系統(tǒng)運行中對相應(yīng)安全問題的感知能力，并且對調(diào)查取證予以有效的支持。

3 結(jié)束語

綜上所述，大數(shù)據(jù)分析技術(shù)的發(fā)展對于信息安全的提升具有積極的促進(jìn)作用，將其應(yīng)用于信息安全領(lǐng)域具有重要的意義。對此在信息安全方面應(yīng)積極結(jié)合實際情況將大數(shù)據(jù)分析技術(shù)應(yīng)用其中，從而有效提升信息安全程度，其中既可以基于用戶行為、網(wǎng)絡(luò)流量、安全日志、DNS 等進(jìn)行大數(shù)據(jù)分析技術(shù)的應(yīng)用，也可以針對APT 攻擊等高層次的信息安全問題進(jìn)行有效的應(yīng)用。