淺析大數(shù)據(jù)技術(shù)在公共信息安全領(lǐng)域的應(yīng)用與發(fā)展趨勢(shì)

大數(shù)據(jù)在造福人類的同時(shí),由于不法分子的利用也會(huì)對(duì)社會(huì)和人民的利益造成損害。隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)攻擊的種類和數(shù)量呈現(xiàn)爆發(fā)式增長(zhǎng),特別是在大數(shù)據(jù)時(shí)代,由于網(wǎng)絡(luò)攻擊,隱私數(shù)據(jù)丟失、情報(bào)線索泄密、網(wǎng)絡(luò)設(shè)備故障等危害公共信息安全的事件頻發(fā),進(jìn)而導(dǎo)致網(wǎng)絡(luò)詐騙、黑客攻擊、網(wǎng)絡(luò)盜竊等犯罪事件層出不窮。

00、引言

伴隨著社會(huì)經(jīng)濟(jì)和科學(xué)技術(shù)的高速發(fā)展,我國(guó)已邁入信息化時(shí)代,“大數(shù)據(jù)”也從一個(gè)概念性詞匯轉(zhuǎn)化為對(duì)經(jīng)濟(jì)社會(huì)各領(lǐng)域具有滲透性影響的事物,給各行各業(yè)帶來(lái)了諸多的變革動(dòng)力和商業(yè)價(jià)值,例如淘寶、京東、支付寶、滴滴打車、新浪微博這些建立在大數(shù)據(jù)技術(shù)基礎(chǔ)之上的應(yīng)用軟件給人們生活帶來(lái)便利的同時(shí)也給商業(yè)帶來(lái)了巨大的發(fā)展契機(jī)。

但必須注意的是,在信息化與大數(shù)據(jù)持續(xù)發(fā)展的今天,伴隨互聯(lián)網(wǎng)發(fā)展而生的公共信息安全問題也更加突出,越來(lái)越多的高價(jià)值、敏感的文件資料依托網(wǎng)絡(luò)進(jìn)行傳播,一旦計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)安全問題造成數(shù)據(jù)泄露,將會(huì)對(duì)用戶和企業(yè)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失,甚至?xí)?duì)公共利益和國(guó)家安全帶來(lái)重大打擊,造成難以估量的損失。因此,如何將大數(shù)據(jù)技術(shù)應(yīng)用到公共信息安全維護(hù)當(dāng)中,讓信息存儲(chǔ)、應(yīng)用和傳輸更加安全可靠、助力企業(yè)增值增效成為大數(shù)據(jù)發(fā)展需要面臨的重點(diǎn)問題。

01、大數(shù)據(jù)時(shí)代下的公共信息安全現(xiàn)狀

1.1大數(shù)據(jù)時(shí)代信息安全存在的隱患

大數(shù)據(jù)在造福人類的同時(shí),由于不法分子的利用也會(huì)對(duì)社會(huì)和人民的利益造成損害。隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)攻擊的種類和數(shù)量呈現(xiàn)爆發(fā)式增長(zhǎng),特別是在大數(shù)據(jù)時(shí)代,由于網(wǎng)絡(luò)攻擊,隱私數(shù)據(jù)丟失、情報(bào)線索泄密、網(wǎng)絡(luò)設(shè)備故障等危害公共信息安全的事件頻發(fā),進(jìn)而導(dǎo)致網(wǎng)絡(luò)詐騙、黑客攻擊、網(wǎng)絡(luò)盜竊等犯罪事件層出不窮。

在科技信息技術(shù)不斷發(fā)展的狀態(tài)下,網(wǎng)絡(luò)攻擊的手段種類和作案方式越來(lái)越多元化、高級(jí)化,預(yù)防網(wǎng)絡(luò)入侵也變得更加困難。在互聯(lián)網(wǎng)乃至物聯(lián)網(wǎng)時(shí)代,信息安全系統(tǒng)更新速度越來(lái)越快,信息安全成為公眾最為關(guān)注的問題之一,傳統(tǒng)的信息安全思路已無(wú)法保障大數(shù)據(jù)時(shí)代的信息安全。因此將大數(shù)據(jù)技術(shù)引入信息安全防護(hù)領(lǐng)域,推動(dòng)網(wǎng)絡(luò)信息安全的穩(wěn)定性與可靠性,讓數(shù)據(jù)更加安全,助力企業(yè)經(jīng)營(yíng)決策,為企業(yè)發(fā)展增值增效。

1.2大數(shù)據(jù)時(shí)代公共信息安全獲得的機(jī)遇

在大數(shù)據(jù)時(shí)代,維護(hù)公共信息安全的技術(shù)、工具得以快速發(fā)展,讓公共信息安全的監(jiān)管更為精細(xì)、高效和及時(shí)。與傳統(tǒng)數(shù)據(jù)信息存儲(chǔ)模式不同,大數(shù)據(jù)技術(shù)實(shí)現(xiàn)了一個(gè)具有流動(dòng)性、信息共享與連接互動(dòng)的數(shù)據(jù)資源池構(gòu)建,有助于數(shù)據(jù)在全球范圍內(nèi)的實(shí)時(shí)共享,推動(dòng)數(shù)據(jù)信息的及時(shí)共享實(shí)現(xiàn)企業(yè)的高效運(yùn)營(yíng)。

除了大數(shù)據(jù)的存儲(chǔ)和傳輸技術(shù),大數(shù)據(jù)挖掘和應(yīng)用技術(shù)也帶動(dòng)了傳統(tǒng)商業(yè)模式的變革。以往大數(shù)據(jù)的關(guān)注重點(diǎn)主要是數(shù)據(jù)的存儲(chǔ)和傳輸,如今大數(shù)據(jù)的挖掘應(yīng)用成為重點(diǎn)關(guān)注領(lǐng)域。將大數(shù)據(jù)挖掘技術(shù)應(yīng)用到企業(yè)發(fā)展領(lǐng)域,不僅能直接為企業(yè)帶來(lái)經(jīng)濟(jì)效益,也能推動(dòng)企業(yè)發(fā)展變革,增強(qiáng)企業(yè)在市場(chǎng)上的競(jìng)爭(zhēng)力。

在日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)下,維護(hù)公共信息安全的技術(shù)工具迫切需要得到改善升級(jí)。大數(shù)據(jù)技術(shù)的發(fā)展為維護(hù)公共信息安全提供了巨大的升級(jí)空間和發(fā)展可能性,在此背景下,利用大數(shù)據(jù)技術(shù)構(gòu)建公共信息安全防御體系、防范網(wǎng)絡(luò)安全攻擊顯得尤為迫在眉睫。

02、大數(shù)據(jù)技術(shù)概述

麥肯錫全球研究所將“大數(shù)據(jù)”定義為:一種規(guī)模大到在獲取、存儲(chǔ)、管理、分析方面大大超出了傳統(tǒng)數(shù)據(jù)庫(kù)軟件工具能力范圍的數(shù)據(jù)集合,具有海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉(zhuǎn)、多樣的數(shù)據(jù)類型和價(jià)值密度低四大特征。

從數(shù)據(jù)本身看,大數(shù)據(jù)是利用傳統(tǒng)數(shù)據(jù)庫(kù)軟件無(wú)法滿足該大小數(shù)據(jù)處理分析需求的數(shù)據(jù)集合;從技術(shù)角度看,大數(shù)據(jù)技術(shù)是利用非常規(guī)工具對(duì)各種結(jié)構(gòu)的數(shù)據(jù)進(jìn)行采集、挖掘、分析和預(yù)測(cè)的大數(shù)據(jù)處理技術(shù);從應(yīng)用角度看,大數(shù)據(jù)是對(duì)業(yè)務(wù)領(lǐng)域的數(shù)據(jù)進(jìn)行采集、集合運(yùn)算、分析調(diào)用和集成應(yīng)用,獲得有價(jià)值信息的應(yīng)用。多種技術(shù)組合共同構(gòu)成了大數(shù)據(jù)技術(shù),包括數(shù)據(jù)采集、存儲(chǔ)管理、分析挖掘、可視化等多個(gè)過程技術(shù)。

03、大數(shù)據(jù)下公共信息安全的防御體系

在大數(shù)據(jù)環(huán)境下,頻發(fā)的網(wǎng)絡(luò)攻擊事件對(duì)公共信息安全造成了嚴(yán)重危害,隱私數(shù)據(jù)泄露、情報(bào)數(shù)據(jù)泄密、網(wǎng)絡(luò)設(shè)備故障等問題相繼出現(xiàn),甚至引發(fā)了網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊等,維護(hù)公共信息安全的任務(wù)已經(jīng)迫在眉睫。

因此,本文構(gòu)建適應(yīng)于公共信息安全數(shù)據(jù)在信息安全風(fēng)險(xiǎn)精確感知、風(fēng)險(xiǎn)主動(dòng)防御、態(tài)勢(shì)智能監(jiān)測(cè)和風(fēng)險(xiǎn)信息回溯升級(jí)四個(gè)方面的應(yīng)用技術(shù)展開介紹,如圖1所示,形成覆蓋事前、事中和事后的持續(xù)監(jiān)測(cè)和防護(hù)能力,協(xié)助企業(yè)判斷各種潛在威脅,更好地做出商業(yè)決策,力求將大數(shù)據(jù)在信息安全領(lǐng)域的應(yīng)用演化為IT商業(yè)智能發(fā)展趨勢(shì)中的重要組成部分。

2345截圖20200908083720.png

圖1全生命周期下的公共信息安全防御體系建設(shè)

3.1信息安全風(fēng)險(xiǎn)精確感知

由于信息存儲(chǔ)系統(tǒng)存在漏洞、數(shù)據(jù)安全策略仍需完善、信息處理過程中的流程失誤以及各種非法入侵和病毒感染等因素,均會(huì)導(dǎo)致當(dāng)前的信息安全面臨各種來(lái)自未知渠道的異常行為危險(xiǎn)威脅。本文結(jié)合大數(shù)據(jù)采集分析技術(shù)、風(fēng)險(xiǎn)指標(biāo)評(píng)估技術(shù)和軌跡追蹤溯源、可視化技術(shù)等,提出如圖2所示的信息安全風(fēng)險(xiǎn)感知計(jì)算框架,從信息采集、存儲(chǔ)、管理和使用等多個(gè)視角,多維度精準(zhǔn)感知信息安全風(fēng)險(xiǎn),逐步提升異常行為精準(zhǔn)管控能力,助力企業(yè)及時(shí)采取安全保障措施和進(jìn)行科學(xué)商業(yè)決策,避免產(chǎn)生信息泄露風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。

2345截圖20200908083720.png

圖2信息安全風(fēng)險(xiǎn)感知計(jì)算框架

(1)異常行為數(shù)據(jù)采集分析

網(wǎng)絡(luò)異常行為數(shù)據(jù)的獲取主要是在分布式架構(gòu)的系統(tǒng)上組件HBase集群,使用專門的設(shè)備進(jìn)行采集,這種方式有助于獲取穩(wěn)定的數(shù)據(jù)傳輸和進(jìn)行可靠的計(jì)算。在采集的數(shù)據(jù)存在大量冗余且數(shù)據(jù)之間關(guān)聯(lián)性模糊時(shí),可采用歸一化、數(shù)據(jù)降維等算法對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理,協(xié)助發(fā)現(xiàn)數(shù)據(jù)之間的隱含特征和關(guān)聯(lián)關(guān)系。同時(shí)利用常用的大數(shù)據(jù)挖掘算法(貝葉斯、神經(jīng)網(wǎng)絡(luò)、關(guān)系網(wǎng)絡(luò)等)挖掘數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系,該方法可在不需要任何先驗(yàn)知識(shí)的情況下提高異常檢測(cè)效率,可協(xié)助管理人員發(fā)現(xiàn)異常行為數(shù)據(jù)之間的關(guān)聯(lián),提高信息安全風(fēng)險(xiǎn)識(shí)別效率和效果。

(2)安全風(fēng)險(xiǎn)值計(jì)算與等級(jí)劃分

信息安全風(fēng)險(xiǎn)管控主要是對(duì)風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)值大小、影響程度等進(jìn)行管控。因此提出一種信息資產(chǎn)安全風(fēng)險(xiǎn)值計(jì)算法,定性與定量相結(jié)合進(jìn)行統(tǒng)計(jì)計(jì)算安全事件發(fā)生的可能性、損失度和風(fēng)險(xiǎn)值,并對(duì)風(fēng)險(xiǎn)值對(duì)應(yīng)的風(fēng)險(xiǎn)程度進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分,依據(jù)正比關(guān)系確定網(wǎng)絡(luò)威脅出現(xiàn)頻率。本方法作為信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的方法嘗試,其結(jié)果能夠反映信息系統(tǒng)資產(chǎn)當(dāng)前風(fēng)險(xiǎn)狀況,協(xié)助管理人員較快識(shí)別出信息系統(tǒng)存在的風(fēng)險(xiǎn)點(diǎn)。

(3)風(fēng)險(xiǎn)實(shí)時(shí)定位和智能感知

在信息存儲(chǔ)系統(tǒng)中,采用全文檢索方式,基于索引復(fù)制技術(shù)提高索引查詢可靠性,基于索引分片與假設(shè)推理模型提高信息查詢的及時(shí)響應(yīng)能力,靈活展示檢索結(jié)果。采用GIS快速定位和UML時(shí)序場(chǎng)景分析技術(shù),實(shí)時(shí)定位信息安全風(fēng)險(xiǎn)發(fā)生位置以及系統(tǒng)存在的漏洞位置。信息風(fēng)險(xiǎn)智能感知是對(duì)影響信息安全的諸多要素進(jìn)行獲取、理解、評(píng)估及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì),是對(duì)信息安全定量分析的一種精細(xì)度量手段。在風(fēng)險(xiǎn)智能感知的各個(gè)階段,可采用數(shù)據(jù)融合、循環(huán)對(duì)抗與假設(shè)推理模型進(jìn)行風(fēng)險(xiǎn)的感知、理解與預(yù)測(cè)。

(4)異常風(fēng)險(xiǎn)的可視化與動(dòng)態(tài)交互

為了實(shí)現(xiàn)異常信息風(fēng)險(xiǎn)的可視化動(dòng)態(tài)展示和實(shí)時(shí)交互,直觀展示信息安全態(tài)勢(shì)和了解信息安全狀況,以及為風(fēng)險(xiǎn)阻斷和策略制定提供輔助,在異常風(fēng)險(xiǎn)可視化展示過程中,充分運(yùn)用大數(shù)據(jù)分析和可視化展示技術(shù),利用信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)與網(wǎng)絡(luò)環(huán)境下的風(fēng)險(xiǎn)融合技術(shù),研究網(wǎng)絡(luò)環(huán)境下的信息安全風(fēng)險(xiǎn)態(tài)勢(shì)可視化。

研究基于縮放設(shè)置、視點(diǎn)控制、視覺焦點(diǎn)、上下文調(diào)整、動(dòng)態(tài)查找、關(guān)聯(lián)更新等交互技術(shù),實(shí)現(xiàn)異常風(fēng)險(xiǎn)可視化大屏的動(dòng)態(tài)交互管理;研究基于圖形化的氣泡圖、軌跡圖、地形圖的映射追蹤技術(shù)應(yīng)用于異常風(fēng)險(xiǎn)特征、系統(tǒng)風(fēng)險(xiǎn)漏洞和安全保護(hù)措施等方面之間的映射關(guān)系發(fā)現(xiàn);研究基于層次關(guān)系的樹形圖、維嵌套技術(shù)等應(yīng)用于異常信息風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)、響應(yīng)和處置過程的層次化管理。

3.2信息安全風(fēng)險(xiǎn)主動(dòng)防御

隨著科學(xué)技術(shù)的發(fā)展,網(wǎng)絡(luò)黑客的非法攻擊和入侵手段越來(lái)越趨向高級(jí)化、隱蔽化、精細(xì)化、定制化,其危害性也非常大,嚴(yán)重?fù)p害經(jīng)濟(jì)發(fā)展和破壞社會(huì)穩(wěn)定。如果能夠建立如圖3所示的大數(shù)據(jù)在風(fēng)險(xiǎn)主動(dòng)防御上的應(yīng)用框架,通過實(shí)時(shí)跟蹤網(wǎng)上數(shù)據(jù)來(lái)檢測(cè)各種類型的非法入侵活動(dòng),提前采取主動(dòng)防御措施,對(duì)黑客實(shí)施的攻擊進(jìn)行主動(dòng)識(shí)別、報(bào)警和響應(yīng),能夠及時(shí)發(fā)現(xiàn)潛在的威脅,提供安全分析與趨勢(shì)預(yù)測(cè),加強(qiáng)應(yīng)對(duì)信息安全威脅的處理能力,達(dá)到對(duì)網(wǎng)絡(luò)攻擊進(jìn)行提前預(yù)警和精準(zhǔn)防控的效果。

2345截圖20200908083720.png

圖3大數(shù)據(jù)在風(fēng)險(xiǎn)主動(dòng)防御上的應(yīng)用框架

(1)網(wǎng)絡(luò)異常攻擊行為檢測(cè)

一般來(lái)說,網(wǎng)絡(luò)設(shè)備故障、流量異常突變、可疑訪問行為等都屬于網(wǎng)絡(luò)異常行為,不同程度上危害著公共信息安全。網(wǎng)絡(luò)異常行為攻擊檢測(cè)主要是通過建立網(wǎng)絡(luò)異常行為檢測(cè)模型以檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中偏離正常行為模式的行為和違背規(guī)則制度的行為。大數(shù)據(jù)技術(shù)為異常行為檢測(cè)的精確性、及時(shí)性和自動(dòng)化性能提供了保障,例如利用數(shù)據(jù)采集引擎可實(shí)現(xiàn)海量網(wǎng)絡(luò)日志與行為等數(shù)據(jù)的實(shí)時(shí)采集,采用統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)等方法可自動(dòng)進(jìn)行異常行為建模與檢測(cè),利用深度學(xué)習(xí)技術(shù)可自動(dòng)準(zhǔn)確提煉異常行為數(shù)據(jù)特征等,極大地降低了對(duì)人工操作的依賴程度。

(2)信息安全威脅協(xié)同檢測(cè)

由于現(xiàn)在的信息安全威脅技術(shù)越來(lái)越復(fù)雜、高級(jí)且呈現(xiàn)低頻率特征,導(dǎo)致現(xiàn)有利用機(jī)器學(xué)習(xí)與深度學(xué)習(xí)技術(shù)建立的信息安全威脅檢測(cè)模型無(wú)法獲得足夠的數(shù)據(jù)樣本進(jìn)行學(xué)習(xí)訓(xùn)練與特征提取,因此提出信息安全威脅協(xié)同檢測(cè)技術(shù),提煉信息安全威脅情報(bào)中的多維度信息,結(jié)合每個(gè)維度的信息結(jié)構(gòu)和含義,實(shí)現(xiàn)海量多源易購(gòu)數(shù)據(jù)的關(guān)聯(lián)和融合,并在此基礎(chǔ)上構(gòu)建信息安全威脅行為聚類模型,將與實(shí)際威脅具有較高相似程度的威脅行為進(jìn)行推薦,該方法的應(yīng)用使得網(wǎng)絡(luò)威脅檢測(cè)準(zhǔn)確度和及時(shí)性得到極大提高。

(3)信息安全實(shí)時(shí)審計(jì)追蹤

網(wǎng)絡(luò)審計(jì)追蹤主要是由網(wǎng)絡(luò)安全管理員來(lái)記錄和分析由于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和用戶活動(dòng)中所產(chǎn)生的信息安全事件,從而協(xié)助及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患問題。由于傳統(tǒng)審計(jì)追蹤技術(shù)通常是在離線狀態(tài)下進(jìn)行,且技術(shù)更新較慢,無(wú)法滿足當(dāng)前安全防護(hù)需要,因此考慮用大數(shù)據(jù)技術(shù)協(xié)助進(jìn)行追蹤檢測(cè)。通過搜集用戶歷史行為數(shù)據(jù)進(jìn)行建模分析,可實(shí)現(xiàn)用戶對(duì)系統(tǒng)使用情況、使用行為和使用特征的實(shí)時(shí)智能監(jiān)測(cè),并且在觀測(cè)到異常行為數(shù)據(jù)時(shí),能夠發(fā)起報(bào)警并保持跟蹤監(jiān)測(cè)狀態(tài)。

(4)復(fù)雜網(wǎng)絡(luò)威脅精準(zhǔn)預(yù)測(cè)

復(fù)雜網(wǎng)絡(luò)威脅通常指由多個(gè)單獨(dú)威脅組合成系統(tǒng)威脅的過程,這些威脅之間存在選擇關(guān)系、依賴關(guān)系和并列關(guān)系,預(yù)測(cè)復(fù)雜網(wǎng)絡(luò)威脅具有非常大的挑戰(zhàn)。在網(wǎng)絡(luò)威脅態(tài)勢(shì)日益嚴(yán)峻且更加隱蔽、難以監(jiān)測(cè)的背景之下,迫切需要使用更加精確、高效的方法來(lái)預(yù)測(cè)復(fù)雜網(wǎng)絡(luò)威脅。依托于大數(shù)據(jù)和云計(jì)算技術(shù)的快速發(fā)展,獲取和存儲(chǔ)來(lái)自不同領(lǐng)域與不同類型的大量網(wǎng)絡(luò)威脅信息,基于機(jī)器學(xué)習(xí)、關(guān)系網(wǎng)絡(luò)、NLP等技術(shù),結(jié)合網(wǎng)絡(luò)協(xié)議反向分析和數(shù)據(jù)流處理技術(shù),聯(lián)合分析各類威脅行為、威脅情報(bào)、告警信息等,提高對(duì)未來(lái)網(wǎng)絡(luò)威脅的精準(zhǔn)預(yù)測(cè)率。

3.3信息安全態(tài)勢(shì)智能監(jiān)測(cè)

信息安全態(tài)勢(shì)感知是當(dāng)前保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的重要手段和重點(diǎn)發(fā)展方向,促進(jìn)網(wǎng)絡(luò)安全維護(hù)由“被動(dòng)修護(hù)”向“主動(dòng)防御”變革。信息安全態(tài)勢(shì)感知主要是從網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、安全設(shè)備等機(jī)器設(shè)備中采集各類網(wǎng)絡(luò)安全事件數(shù)據(jù)及關(guān)聯(lián)數(shù)據(jù),例如安全日志、監(jiān)控報(bào)警、網(wǎng)絡(luò)流量、威脅情報(bào)等,通過處理、挖掘、可視化,評(píng)估當(dāng)前網(wǎng)絡(luò)信息安全狀態(tài)、主要威脅并預(yù)測(cè)發(fā)展趨勢(shì),為網(wǎng)絡(luò)信息安全的防護(hù)提供指導(dǎo)和決策意見。

(1)海量多源異構(gòu)數(shù)據(jù)匯聚融合

在多種網(wǎng)絡(luò)安全設(shè)備和應(yīng)用系統(tǒng)中會(huì)產(chǎn)生多種不同類型的流量數(shù)據(jù)、日志數(shù)據(jù)等,這些數(shù)據(jù)一般缺乏統(tǒng)一的數(shù)據(jù)處理標(biāo)準(zhǔn),數(shù)據(jù)之間的孤立特性導(dǎo)致挖掘數(shù)據(jù)之間的關(guān)聯(lián)性和價(jià)值存在一定的困難。海量多源異構(gòu)數(shù)據(jù)的關(guān)聯(lián)融合是信息安全態(tài)勢(shì)感知的基礎(chǔ),通過對(duì)PB量級(jí)數(shù)據(jù)的采集匯聚、深度融合與格式化存儲(chǔ)管理,并采用關(guān)系拓展、群體聚類等大數(shù)據(jù)技術(shù)挖掘數(shù)據(jù)間的關(guān)聯(lián)特性和潛在價(jià)值,為網(wǎng)絡(luò)安全分析、態(tài)勢(shì)感知與決策提供靈活可靠、高效穩(wěn)定的數(shù)據(jù)支撐。

(2)多類型信息安全威脅評(píng)估

多類型信息安全威脅評(píng)估主要是對(duì)網(wǎng)絡(luò)中的流量、代碼、報(bào)文、域名等進(jìn)行多層次檢測(cè)評(píng)估,挖掘各種網(wǎng)絡(luò)威脅和異常攻擊行為。大數(shù)據(jù)一方面提供可用于協(xié)助精確評(píng)估各種威脅的方法技術(shù),例如利用關(guān)聯(lián)分析、聚類分析法協(xié)助發(fā)現(xiàn)其它類型的關(guān)聯(lián)網(wǎng)絡(luò)威脅,通過相關(guān)性檢驗(yàn)補(bǔ)充各類網(wǎng)絡(luò)威脅源,并基于對(duì)歷史數(shù)據(jù)的統(tǒng)計(jì)建模實(shí)現(xiàn)對(duì)未知威脅和漏洞的檢測(cè)。另一方面,大數(shù)據(jù)可支持構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)畫像,在準(zhǔn)確評(píng)估當(dāng)前安全態(tài)勢(shì)的同時(shí)全面刻畫各種網(wǎng)絡(luò)攻擊者的身份、行為、意圖信息等,協(xié)助進(jìn)行各種網(wǎng)絡(luò)攻擊事件的追蹤溯源。

(3)安全態(tài)勢(shì)評(píng)估與決策支撐

以保障網(wǎng)絡(luò)信息數(shù)據(jù)的安全穩(wěn)定為目標(biāo),采集融合各類網(wǎng)絡(luò)威脅情報(bào)和攻擊事件等安全數(shù)據(jù)信息來(lái)為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與決策服務(wù)。為了挖掘信息安全事件之間的關(guān)聯(lián)關(guān)系,在全網(wǎng)信息安全數(shù)據(jù)融合后采用知識(shí)圖譜技術(shù)構(gòu)建人—物—地—事—關(guān)系的多維網(wǎng)絡(luò)安全態(tài)勢(shì)圖譜:以“人”的視角分析網(wǎng)絡(luò)攻擊者的真實(shí)身份、行為意圖、心理特征與團(tuán)伙關(guān)系等;以“物”的視角分析網(wǎng)絡(luò)攻擊的主要過程、工具、被攻擊目標(biāo)等;以“地”的視角挖掘攻擊者的行蹤軌跡、活動(dòng)區(qū)域等;以“事”的視角分析攻擊事件、事件類型、事件狀態(tài)等;基于“關(guān)系”的角度評(píng)估攻擊事件之間的相似關(guān)系、同源關(guān)系等。

(4)信息安全態(tài)勢(shì)可視化

信息安全態(tài)勢(shì)可視化主要分為安全數(shù)據(jù)與安全態(tài)勢(shì)可視化,主要通過態(tài)勢(shì)感知圖來(lái)體現(xiàn)。態(tài)勢(shì)可視化主要包括數(shù)據(jù)變換、圖像映射、視圖優(yōu)化:數(shù)據(jù)變換主要將信息安全數(shù)據(jù)進(jìn)行處理后存儲(chǔ)于數(shù)據(jù)表中,基于數(shù)據(jù)之間的相關(guān)性存儲(chǔ)數(shù)據(jù)關(guān)系表;圖像映射將數(shù)據(jù)表轉(zhuǎn)換為對(duì)應(yīng)圖像的結(jié)構(gòu)和屬性;視圖優(yōu)化通過調(diào)整圖像的像素大小、顏色類型、坐標(biāo)位置等圖像參數(shù)設(shè)置來(lái)優(yōu)化視圖,最終形成信息安全態(tài)勢(shì)可視化展示圖,如圖4所示。

2345截圖20200908083720.png

圖4公共信息安全可視化監(jiān)測(cè)展示

3.4安全風(fēng)險(xiǎn)信息回溯升級(jí)

信息安全風(fēng)險(xiǎn)行為路徑溯源指通過網(wǎng)絡(luò)中信息安全事件的特征還原攻擊手法并最終追溯出攻擊者的過程,其目的在于回溯攻擊者和徹查薄弱點(diǎn)。攻擊溯源主要分為過程溯源和網(wǎng)路溯源兩部分。過程溯源最后輸出的結(jié)果是攻擊的整體步驟,用于展現(xiàn)主要攻擊過程以及攻擊者是誰(shuí)、目的是什么。網(wǎng)絡(luò)溯源最后輸出的結(jié)果是網(wǎng)絡(luò)拓?fù)鋱D,用于展現(xiàn)攻擊手段和攻擊工具?;谧銐颉⑼晟频陌踩录婢敵鰯?shù)據(jù)可實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)的攻擊溯源,攻擊者的社會(huì)屬性和地理位置則依賴于異常行為信息的提取和挖掘。

(1)網(wǎng)絡(luò)攻擊推演

網(wǎng)絡(luò)攻擊推演主要為網(wǎng)絡(luò)攻擊場(chǎng)景構(gòu)建和攻擊過程的推演,包括形式化的描述刻畫網(wǎng)絡(luò)攻擊事件的推演過程,挖掘攻擊元素與被攻擊元素的相關(guān)關(guān)系,研究不同攻擊因子下受害因子的狀態(tài)變化等?;诖髷?shù)據(jù)技術(shù)進(jìn)行單一攻擊事件與多個(gè)攻擊事件的過程推演模擬,有助于為未來(lái)應(yīng)對(duì)各類攻擊事件威脅提供實(shí)驗(yàn)數(shù)據(jù)、基礎(chǔ)策略等支撐服務(wù),更好地凈化互聯(lián)網(wǎng)環(huán)境。

(2)網(wǎng)絡(luò)拓?fù)溥€原與挖掘

網(wǎng)絡(luò)拓?fù)溥€原技術(shù)可在網(wǎng)絡(luò)安全監(jiān)控和流量分析中得到廣泛應(yīng)用,既能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)現(xiàn)狀的清晰還原,也能支持配置分析、遠(yuǎn)程掃描、流量分析、事件分析等多種方式實(shí)現(xiàn)未知資產(chǎn)發(fā)現(xiàn)與核查等能力。網(wǎng)絡(luò)拓?fù)溥€原技術(shù)可實(shí)現(xiàn)在已知若干端系統(tǒng)節(jié)點(diǎn)的情況下,還原出對(duì)網(wǎng)絡(luò)全部節(jié)點(diǎn)和鏈路信息。在復(fù)雜、規(guī)模龐大的網(wǎng)絡(luò)中實(shí)時(shí)準(zhǔn)確測(cè)量信息系統(tǒng)的性能,可結(jié)合大數(shù)據(jù)技術(shù)進(jìn)行網(wǎng)絡(luò)性能測(cè)量,進(jìn)一步挖掘出網(wǎng)絡(luò)行為規(guī)律,以實(shí)現(xiàn)網(wǎng)絡(luò)異常檢測(cè)與分析,同時(shí)可協(xié)助進(jìn)行信息系統(tǒng)的安全運(yùn)營(yíng)管理,維護(hù)信息系統(tǒng)安全。

(3)異常行為攻擊溯源

根據(jù)異常行為在各時(shí)期的不同特征制定不同的異常行為攻擊路徑溯源算法,攻擊區(qū)域可劃分為攻擊者、攻擊來(lái)源、內(nèi)部薄弱點(diǎn)和攻擊目標(biāo),這些區(qū)域可分別依靠異常行為鎖定攻擊者、遞歸進(jìn)行內(nèi)外網(wǎng)分類篩選攻擊來(lái)源、遞歸進(jìn)行攻擊范圍和攻擊類型內(nèi)部薄弱點(diǎn)、人工或通過資產(chǎn)健康度等系統(tǒng)發(fā)現(xiàn)攻擊目標(biāo)。

(4)信息安全防護(hù)體系升級(jí)

信息安全防護(hù)體系的升級(jí)有助于極大地減少網(wǎng)絡(luò)攻擊的類型和數(shù)量,并減少各種網(wǎng)絡(luò)攻擊的活動(dòng)時(shí)間和活動(dòng)范圍。大數(shù)據(jù)技術(shù)對(duì)信息安全防護(hù)體系的升級(jí)具有非常重要的意義,例如可基于對(duì)內(nèi)外部異常行為信息的挖掘分析各類風(fēng)險(xiǎn)事件之間的關(guān)聯(lián)關(guān)系和共性特征,實(shí)現(xiàn)安全防護(hù)系統(tǒng)的風(fēng)險(xiǎn)自動(dòng)預(yù)警與異常告警;基于戰(zhàn)略類、戰(zhàn)術(shù)類信息內(nèi)容確定產(chǎn)生風(fēng)險(xiǎn)的可能性、防御必要性及防護(hù)影響,形成檢測(cè)類、監(jiān)測(cè)類和防護(hù)類等安全設(shè)備自動(dòng)化升級(jí)規(guī)則。

04、公共信息安全的未來(lái)發(fā)展趨勢(shì)

目前,在基礎(chǔ)理念、技術(shù)研究和產(chǎn)品開發(fā)等方面,公共信息安全已經(jīng)取得了卓越的進(jìn)步。從信息安全所涉及的大到國(guó)家、小到個(gè)人,無(wú)論是政治、經(jīng)濟(jì)、體制還是社會(huì)工程等范疇,公共信息安全行業(yè)都將是十分具有發(fā)展前途的行業(yè),必將為我國(guó)社會(huì)各行業(yè)可持續(xù)發(fā)展保駕護(hù)航。展望未來(lái),新一輪科技革命和產(chǎn)業(yè)變革加速演進(jìn),復(fù)雜嚴(yán)峻的公共信息安全風(fēng)險(xiǎn)和威脅,使得關(guān)鍵基礎(chǔ)信息設(shè)施和公共信息安全維護(hù)面臨全新的風(fēng)險(xiǎn)和挑戰(zhàn),為了應(yīng)對(duì)這些風(fēng)險(xiǎn)挑戰(zhàn),大數(shù)據(jù)技術(shù)被綜合運(yùn)用到公共信息安全防護(hù)的各個(gè)領(lǐng)域當(dāng)中。

4.1人工智能助力公共信息安全新生態(tài)

“人工智能是引領(lǐng)這一輪科技革命和產(chǎn)業(yè)變革的戰(zhàn)略性技術(shù),具有溢出帶動(dòng)性很強(qiáng)的‘頭雁’效應(yīng)。”習(xí)近平總書記強(qiáng)調(diào),贏得全球科技競(jìng)爭(zhēng)主動(dòng)權(quán)的重要戰(zhàn)略是加快發(fā)展新一代人工智能。

在AI技術(shù)呈現(xiàn)快速升級(jí)態(tài)勢(shì),AI產(chǎn)業(yè)也隨之爆發(fā),以人工智能為基礎(chǔ)的信息安全防護(hù)應(yīng)用已成為我國(guó)公共信息安全產(chǎn)業(yè)發(fā)展的重點(diǎn)方向。由于網(wǎng)絡(luò)攻擊是不斷演變的,信息安全防御過程中經(jīng)常需要面臨先前未知類型的惡意攻擊。

而人工智能技術(shù)可憑借其強(qiáng)大的大規(guī)模運(yùn)算能力迅速排查篩選數(shù)百萬(wàn)次事件,以便發(fā)現(xiàn)各種異常行為、風(fēng)險(xiǎn)和威脅的信號(hào),進(jìn)行事前預(yù)警。特別是在發(fā)現(xiàn)和阻止黑客入侵信息系統(tǒng)、預(yù)防惡意軟件和文件被執(zhí)行、提高安全運(yùn)營(yíng)中心的運(yùn)營(yíng)效率,實(shí)時(shí)網(wǎng)絡(luò)異常監(jiān)測(cè)、檢測(cè)惡意移動(dòng)應(yīng)用等關(guān)鍵創(chuàng)新領(lǐng)域,成為AI信息安全防護(hù)的突破口。

4.2 IT和OT加速融合加強(qiáng)信息安全防護(hù)

IT與OT網(wǎng)絡(luò)的連接促進(jìn)了工業(yè)控制系統(tǒng)發(fā)展空間的拓展,但也逐漸爆發(fā)出各種信息安全問題。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為信息安全防護(hù)提供技術(shù)基礎(chǔ),再與管理手段和傳統(tǒng)工業(yè)技術(shù)相結(jié)合,通過IT與OT的結(jié)合建立全方位信息防御體系,在此方式下制定的信息安全解決方案是符合實(shí)際且較為適宜的。

當(dāng)前企業(yè)一般傾向于推進(jìn)生產(chǎn)執(zhí)行系統(tǒng),完成工業(yè)控制網(wǎng)絡(luò)和信息管理網(wǎng)絡(luò)之間的數(shù)據(jù)交換與系統(tǒng)集成,實(shí)現(xiàn)企業(yè)生產(chǎn)管理的高收益與高效率。因此,原本封閉的OT系統(tǒng)利用管理系統(tǒng)與互聯(lián)網(wǎng)互聯(lián)互通,互聯(lián)網(wǎng)側(cè)帶來(lái)的各類網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)也隨之而來(lái)。在此情況下,企業(yè)做好信息安全防護(hù),重視IT與OT融合的安全成為重中之重。

4.3情報(bào)分析共享構(gòu)筑威脅情報(bào)生態(tài)圈

在各種新型的網(wǎng)絡(luò)安全威脅下,威脅情報(bào)的出現(xiàn)推動(dòng)了被動(dòng)響應(yīng)式的安全防護(hù)模式逐漸轉(zhuǎn)變?yōu)槿^程的主動(dòng)智能響應(yīng)。由于情報(bào)信息采集工作的分散性導(dǎo)致信息孤島的存在,搜集情報(bào)的成本隨之加大,情報(bào)數(shù)據(jù)在各組織間的流動(dòng)性也較差,健康高效的威脅情報(bào)生態(tài)系統(tǒng)構(gòu)建存在障礙。只有提高公共安全信息的連通和共享程度,推動(dòng)各信息系統(tǒng)的協(xié)同互助,才能提高各類網(wǎng)絡(luò)安全威脅情報(bào)及時(shí)檢測(cè)與應(yīng)急響應(yīng)的實(shí)力。

為了構(gòu)建健康、高效的網(wǎng)絡(luò)威脅情報(bào)生態(tài)圈,需要考慮自身的實(shí)際安全需求與業(yè)務(wù)流程需要,積極采用大數(shù)據(jù)、人工智能、云計(jì)算等先進(jìn)前沿技術(shù),建立網(wǎng)絡(luò)威脅和漏洞深度檢測(cè)與分析系統(tǒng),深度挖掘和評(píng)估潛在的安全風(fēng)險(xiǎn),針對(duì)各種預(yù)警風(fēng)險(xiǎn)提前部署高效可控的應(yīng)急響應(yīng)策略,共同構(gòu)建智能高效的威脅情報(bào)感知、共享與分析機(jī)制。

4.4以攻促防提升信息安全防護(hù)能力

在企業(yè)公共信息安全防護(hù)與應(yīng)急處置領(lǐng)域,實(shí)戰(zhàn)攻防演練是非常必要的,“以攻促防”具有非常重要的實(shí)踐價(jià)值。“攻”表現(xiàn)為采用不同手段流程對(duì)軟硬件與系統(tǒng)配置的惡意攻擊進(jìn)行模擬,以檢測(cè)目前安全防護(hù)措施的不足之處;“防”表現(xiàn)為防護(hù)網(wǎng)絡(luò)系統(tǒng)設(shè)備安全、網(wǎng)絡(luò)數(shù)據(jù)安全等,并定期修護(hù)網(wǎng)絡(luò)漏洞等措施。

日常實(shí)戰(zhàn)攻防演練可以協(xié)助防護(hù)人員及時(shí)發(fā)現(xiàn)并修護(hù)企業(yè)重要基礎(chǔ)設(shè)施存在的安全漏洞,促使企業(yè)信息安全防護(hù)、組織指揮、應(yīng)急響應(yīng)、通報(bào)預(yù)警、快速協(xié)同等能力得到提升,實(shí)現(xiàn)系統(tǒng)漏洞與故障的快速定位、快速業(yè)務(wù)系統(tǒng)恢復(fù)。

05、結(jié)語(yǔ)

在科學(xué)技術(shù)水平不斷發(fā)展的今天,信息安全系統(tǒng)日新月異,加強(qiáng)公共信息安全的維護(hù)成為社會(huì)公眾的迫切需求之一,因此加快構(gòu)建能夠有效適應(yīng)前期、中期、后期全周期的安全監(jiān)測(cè)管理體系極為必要。本文圍繞大數(shù)據(jù)在信息安全風(fēng)險(xiǎn)精確感知、風(fēng)險(xiǎn)主動(dòng)防御、態(tài)勢(shì)智能監(jiān)測(cè)和風(fēng)險(xiǎn)信息回溯升級(jí)四個(gè)方面的應(yīng)用技術(shù),提出的“四級(jí)”信息安全監(jiān)測(cè)管理體系,具有一定的實(shí)踐意義。未來(lái),我們將會(huì)在此基礎(chǔ)上,繼續(xù)推動(dòng)大數(shù)據(jù)在信息安全領(lǐng)域的應(yīng)用演化。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論