網絡安全行業的大數據應用現狀研究

喬少杰+熊熙+韓楠+李斌勇

摘 要：隨著“永恒之藍”勒索病毒的爆發，全民對信息安全的認知提升了一個新高度，關注點從會不會遭受攻擊轉變為何時會遭到攻擊，運用大數據技術進行防御已從理論研究演進到實際運用階段。通過對安全要素信息的存儲、分析、和可視化，將分散的安全技術進行連通，借助機器學習和數據挖掘等大數據技術，建立基于網絡安全數據的大數據安全分析平臺，從傳統的被動防御變為主動防御。

關鍵詞：信息安全；大數據；安全分析；機器學習；數據挖掘

1 引言

“十三五”后，網絡安全建設成為國家戰略新的發展方向，中國《網絡安全法》在2017年6月1日正式施行。與此同時，我國的網絡安全形勢十分嚴峻，根據國家互聯網響應中心報道，感染病毒的主機數、被篡改網站總數、新增信息安全漏洞數量都在大幅飆升。

隨著信息安全3.0時代到來，傳統的防火墻+IDS防御思路已經不再有效，需要應對的攻擊和威脅變得日益復雜，這些威脅具有隱蔽性強、潛伏期長、持續性強等特點[1]。現有的防御思路在安全預判、威脅識別和數據處理等方面的能力有限，而新的技術將在復雜多變的網絡數據中以大數據分析架構為支撐，業務安全為導向，構建起以數據為核心的安全管理體系，更加主動、智能地對網絡安全進行管理和運營。

本文首先分析了成都地區大數據行業和網絡安全行業的現狀，依據調研結果探討了成都地區網絡安全行業應對威脅的策略，最后就大數據應用在網絡安全行業中的價值做出總結。

2 成都地區大數據行業和網絡安全行業的現狀

成都地區現有大數據相關企業300余家，從數據應用來看，主要有政府開放的數據、互聯網爬蟲數據和工業生產中的大數據。從行業應用來看，主要集中于政府、金融、醫療、運營商、交通、能源、媒體等行業[2]。2016年4月份，四川省首個大數據產業園在成都市雙流區蛟龍港開建，政策的支持下高新技術公司得以無阻礙的發展。

中國首席數據官聯盟發布的《中國大數據企業排行榜》中，來自成都高新區的成都數聯銘品科技有限公司、成都市映潮科技股份有限公司、勤智數碼科技股份有限公司、成都四方偉業軟件股份有限公司和衛士通信息產業股份有限公司5家企業入榜，充分彰顯高新區大數據產業蓬勃發展勢頭和引領性優勢[3]。

政府、金融、企業等對信息安全產品、服務的需求，拉動了信息安全產業的整體需求。我國信息安全產業自2012年來一直保持穩定增長，預測2017-2018增長額保持在23%左右。

目前信息安全按照市場可分為硬件安全、軟件安全和安全服務三大類[4]。以下一代防火墻類硬件安全產品占據市場份額最大，包含咨詢、實施、運維和培訓的安全服務次之，防病毒軟件、Web應用防火墻、數字證書身份認證等軟件安全產品占據市場份額最小。由于虛擬化及云服務等理念的滲透，信息安全盈利模式開始由軟硬件產品向安全服務傾斜[5]。

3 成都地區網絡安全行業應對威脅的策略及方法

根據四川省互聯網應急中心統計，近兩年間在互聯網安全環境方面，被篡改網站事件、網站被植入后門事件、飛客蠕蟲事件、感染僵尸木馬受控事件、網站漏洞事件等安全事件數量整體趨于下降，新增高危漏洞方面有所增幅。其中應用程序漏洞占比最高，達到42%左右，其余從高到底分別為操作系統漏洞、數據庫漏洞、網絡設備漏洞、Web應用漏洞、安全產品漏洞[6]。在此期間全球網絡安全事件可以看出，DDos攻擊規模和數量激增，勒索軟件肆無忌憚，商業郵件詐騙不斷。

DDos攻擊有4大特點：（1）物聯網設備成為新的攻擊源；（2）黑客手段多樣化，混合攻擊難以防御[7]；（3）基礎設施和云服務商是主要攻擊源；（4）頻率和規模增長快。針對DDos攻擊，360安全企業提出了HTTP/HTTPS網站常規防護方案。企業防護策略是通過建立云防護平臺，將原來域名指向服務器IP地址，從而引流向云防護平臺，在企業網站遭受大流量DDos攻擊時，云防護平臺將流量調度到全國幾十個高防護節點機房進行清洗工作，之后把正常流量返回給企業網站。

遭受勒索軟件攻擊主要因為終端主機沒有將操作系統補丁升級。面對勒索軟件，安全企業提出終端主機接入控制設備方案，將沒有安裝殺毒軟件或沒有進行操作系統補丁升級的終端主機進行網絡隔離，避免交叉感染，并及時提醒終端主機進行防御。

4 挖掘基于大數據的威脅檢測手段

大數據針對信息安全領域內的數據分析，主要基于日志與流量的兩大方式，同時關聯系統配置、用戶行為、應用行為 、業務行為等數據進行分析，達到感知威脅，攻擊取證的目的。目前存在兩種方式感知異常行為：基于特征與行為的檢測和機器學習鑒定。傳統的檢測機制依靠黑名單分析建模，缺陷是對0day未知漏洞不可感知。機器學習鑒定通過白名單，可通過行為日志感知未知漏洞。

基于行為檢測方式下，以日志分析為例，利用足夠詳細的用戶行為日志區分正常行為和異常行為。發現異常的方式在傳統的關聯技巧規則關聯、漏洞關聯、關聯列表關聯、環境關聯等進行數據分析，對異常行為中的攻擊者畫像，列出定點攻擊、有明確攻擊目標的攻擊者、自動化攻擊和無目標的攻擊對象[8]。針對行為描述進行合理建設滲透、攻擊模型。

機器學習能夠基于大數據進行自動化學習和訓練，已經在圖像、語音、自然語言處理方面廣泛應用[9]。機器學習鑒定方式應用于Web入侵防護中監測用戶流量，針對大量正常日志建立Profile模型，檢測過程中不符合Profile模型的被視為異常流量。Profile模型的建立主要基于統計學習模型、基于文本分析的機器學習模型、基于單分類模型、基于聚類模型等幾種建模思想，從海量日志數據中建立正常行為模型，少量的異常流量訪問行為將被重點監控，在對抗過程中更難被繞過。

5 結論

本文闡述了成都地區大數據行業和安全行業應對威脅的方法，而面對海量的網絡信息數據，傳統的防御思路已經不再奏效。大數據時代下的安全分析有助于企業實時監控網絡行為異常，從而更好的把控風險。但大數據機器學習和數據挖掘技術應用于信息安全行業正處于初步階段，沒有相對成熟的產品，如何在建模后減少誤報率是大數據的發展方向。

參考文獻

[1]孫景民，崔金生，曹美琴.軍事網絡中APT攻擊的防御方法研究[J].信息安全與通信保密，2014（8）：130-132.

[2]洪毅.支持金融產品交叉營銷的數據挖掘研究[D].浙江工業大學，2010.

[3]佚名.信息安全企業祝賀烏鎮峰會召開[J].中國信息安全，2015（12）：94-95.

[4]佚名.國家信息安全成果產業化（東部）基地已具雛形[J].計算機安全，2002（22）：36-38.

[5]趙偉華.大數據時代信息安全行業的專利解析[J].中國發明與專利，2015（12）：17-18.

[6]韋濤，彭武，王冬海.基于漏洞屬性分析的軟件安全評估方法[J].電光與控制，2015，22（8）：66-70.

[7]趙兵，孫梅.分布式防火墻技術的分析與研究[J].軟件導刊，2010，09（3）.

[8]姜偉.基于攻防博弈模型的主動防御關鍵技術研究[D].哈爾濱工業大學，2010.

[9]高強，靳其兵，程勇.基于卷積神經網絡探討深度學習算法與應用[J].電腦知識與技術：學術交流，2015（5）：169-170.endprint