基于大數據與威脅情報的防御體系研究

黨超輝 馬志偉 邵國飛 李樹新 郭鎮鑫

在信息網絡環境中，網絡風險給使用者帶來了較大的困擾。基于大數據和威脅情報，對風險因素予以描述和分析，能夠更好地保證網絡信息流轉的安全有效性。通過威脅情報來完成防御系統構建，在大數據技術支持下，將安全防御做到及時、全面，是大數據時代必然的要求。

信息時代是社會發展的重要標志，當信息網絡存在不安全因素時，要積極利用技術手段予以防御，將風險控制在一定范圍之內，保障信息網絡環境的良性運行。基于威脅情報的應用廣泛、跟蹤緊密以及提供決策等特征，強化防御體系的實踐效果。

威脅情報

定義

威脅情報是基于信息技術領域發展出現的一種安全風險情況報告，在威脅情報中包括了對不安全因素性質的描述和指引等內容。威脅情報屬于一種信息識別報告，威脅報告關系到信息安全防御體系的應用，基于威脅情報的可靠分析，可以為信息網絡用戶提供重要的安全防御支持，威脅報告的應對速度和效果會直接影響到信息體系的整體安全防御水平。威脅情報作為對信息風險的一種描述，內容必須全面、準確、及時，這樣才具有信息安全價值。威脅情報的宗旨就是讓用戶能夠更好地受到保護，并基于威脅情報來采取具體的應對措施。隨著大數據時代的到來，威脅情報基于大數據支持能夠完成威脅和防御2個層面的描述任務，對于信息數據用戶而言具有強力的安全支撐。威脅描述中要對風險數據的來源、數量、類型等予以判斷，防御描述要對風險數據的控制、隔離等路徑進行指導。

特點

1.應用廣泛

威脅情報技術能夠適用于大多數的網絡信息環境，可以完成較多的防御功能，如風險檢測、病毒隔離和漏洞彌補等。在防御體系構建過程中，威脅情報可以參與到各個數據交互環節，同時對數據交互過程進行整體監控，從而確保防御系統響應的及時性。

2.跟蹤緊密

威脅情報能夠具體描述風險因素，一個非常關鍵的點就是對這些風險因素進行緊密跟蹤。利用威脅情報的跟蹤特點，可以結合防御系統來確定風險來源的IP地址和實時動態等，使網絡用戶能夠全面有效地掌握信息環境的情況。

3.提供決策

威脅情報在提供防御決策方面具有極大的優勢，基于對網絡信息環境的數據采集和分析，可以識別和判斷風險類型，并基于大數據支持從數據庫中完成決策構建，使系統防御體系具備更加智能和全面的應對能力。

利用大數據分析威脅情報的技術

數據關聯技術

在威脅情報技術的應用過程中，要加強與數據關聯技術的結合。通過數據關聯技術，可以在威脅情報描述的不同數據點之間建立關系，從而使威脅因素的特點和趨勢能夠被更好地獲悉。由于防御體系會覆蓋不同的硬件設備，不同的硬件設備中，數據存儲和記錄方式也存在差異。基于數據關聯技術，能夠將不同硬件設備進行數據風險描述上的統一，這對于提高威脅情報描述的準確性和高效性具有積極的價值。

交叉關聯技術

威脅情報防御體系構建時，對于不同的安全風險要素進行交叉分析，從而提煉風險的特征。交叉關聯技術基于大數據技術角度，對于風險要素之間的共通性予以總結，從而在完成風險防御時，采用一種普遍有效的方式去應對惡意攻擊或者安全漏洞。交叉關聯技術使得安全事件的描述不再獨立于一個方面，可以通過交叉關聯將系統運行的所有環節加以關聯，從而使風險因素難以隱藏于大量的數據中，提高了防御體系對風險數據的定位和捕捉。

統計關聯技術

統計關聯技術在安全防御中，可以強化威脅情報對風險因素的檢測和判斷。統計關聯技術實施中，通過大數據調取和匯集各類數據內容，將所有數據納入到一個統計層面予以分析，可以更好地發現風險因素的規律。

時序關聯技術

威脅情報防御體系中，數據具有時序性特點，時序關聯技術能夠在風險分析時，使大量的數據保持在一個序列中，這對于提高防御階段的控制具有重要作用。安全防御按照時序可以分為事前、事中和事后階段，時序關聯讓各個防御階段可以有機整合在一起，從而保證防御規則能夠被更好地落實在每個信息環節。

基于威脅情報的防御模型構建

威脅情報防御體系模型構建中，要做好模型動態分析。防御模型應當基于大數據技術和威脅情報技術，建立防御響應機制。防御響應機制能夠調動信息網絡系統的各個功能，當防御模型識別到風險因素后，會在系統功能模塊之間建立統一的處理方案，實現功能協同運作狀態，從而保證對風險因素的防御全面有效，避免風險漏洞的存在。

威脅情報防御體系中，要調動起所有的安全防御功能，如防火墻系統、殺毒軟件等，并通過技術關聯來強化安全實踐能力，在信息網絡環境中，保護安全數據不受干擾，阻截非法訪問或者惡意攻擊行為。在防御模型中發揮數據掃描作用，實時動態掃描可以在風險描述中形成連續的記錄，對調整防御策略提供依據。對于非法訪問與惡意攻擊的防御，還要作出有效的預警，基于威脅情報體系，對存在侵害性威脅的程序內容進行預警，提示系統各個功能進入防御狀態，可以降低對信息網絡環境的風險。在威脅防御模型中，還要建立事后彌補措施，如將被刪改的數據文件進行快速準確地恢復，對丟失的數據文件進行找回等，盡最大可能降低安全事件造成的損失。

隨著信息網絡技術的發展，在帶給人們便捷的同時，安全問題也集中凸顯。通過利用大數據與威脅情報技術構建防御體系，能夠較好地應對各種風險侵害，保證信息網絡用戶的數據應用安全。