乔少杰+熊熙+韩楠+李斌勇

摘 要：随着“永恒之蓝”勒索病毒的爆发，全民对信息安全的认知提升了一个新高度，关注点从会不会遭受攻击转变为何时会遭到攻击，运用大数据技术进行防御已从理論研究演进到实际运用阶段。通过对安全要素信息的存储、分析、和可视化，将分散的安全技术进行连通，借助机器学习和数据挖掘等大数据技术，建立基于网络安全数据的大数据安全分析平台，从传统的被动防御变为主动防御。

关键词：信息安全；大数据；安全分析；机器学习；数据挖掘

1 引言

“十三五”后，网络安全建设成为国家战略新的发展方向，中国《网络安全法》在2017年6月1日正式施行。与此同时，我国的网络安全形势十分严峻，根据国家互联网响应中心报道，感染病毒的主机数、被篡改网站总数、新增信息安全漏洞数量都在大幅飙升。

随着信息安全3.0时代到来，传统的防火墙+IDS防御思路已经不再有效，需要应对的攻击和威胁变得日益复杂，这些威胁具有隐蔽性强、潜伏期长、持续性强等特点[1]。现有的防御思路在安全预判、威胁识别和数据处理等方面的能力有限，而新的技术将在复杂多变的网络数据中以大数据分析架构为支撑，业务安全为导向，构建起以数据为核心的安全管理体系，更加主动、智能地对网络安全进行管理和运营。

本文首先分析了成都地区大数据行业和网络安全行业的现状，依据调研结果探讨了成都地区网络安全行业应对威胁的策略，最后就大数据应用在网络安全行业中的价值做出总结。

2 成都地区大数据行业和网络安全行业的现状

成都地区现有大数据相关企业300余家，从数据应用来看，主要有政府开放的数据、互联网爬虫数据和工业生产中的大数据。从行业应用来看，主要集中于政府、金融、医疗、运营商、交通、能源、媒体等行业[2]。2016年4月份，四川省首个大数据产业园在成都市双流区蛟龙港开建，政策的支持下高新技术公司得以无阻碍的发展。

中国首席数据官联盟发布的《中国大数据企业排行榜》中，来自成都高新区的成都数联铭品科技有限公司、成都市映潮科技股份有限公司、勤智数码科技股份有限公司、成都四方伟业软件股份有限公司和卫士通信息产业股份有限公司5家企业入榜，充分彰显高新区大数据产业蓬勃发展势头和引领性优势[3]。

政府、金融、企业等对信息安全产品、服务的需求，拉动了信息安全产业的整体需求。我国信息安全产业自2012年来一直保持稳定增长，预测2017-2018增长额保持在23%左右。

目前信息安全按照市场可分为硬件安全、软件安全和安全服务三大类[4]。以下一代防火墙类硬件安全产品占据市场份额最大，包含咨询、实施、运维和培训的安全服务次之，防病毒软件、Web应用防火墙、数字证书身份认证等软件安全产品占据市场份额最小。由于虚拟化及云服务等理念的渗透，信息安全盈利模式开始由软硬件产品向安全服务倾斜[5]。

3 成都地区网络安全行业应对威胁的策略及方法

根据四川省互联网应急中心统计，近两年间在互联网安全环境方面，被篡改网站事件、网站被植入后门事件、飞客蠕虫事件、感染僵尸木马受控事件、网站漏洞事件等安全事件数量整体趋于下降，新增高危漏洞方面有所增幅。其中应用程序漏洞占比最高，达到42%左右，其余从高到底分别为操作系统漏洞、数据库漏洞、网络设备漏洞、Web应用漏洞、安全产品漏洞[6]。在此期间全球网络安全事件可以看出，DDos攻击规模和数量激增，勒索软件肆无忌惮，商业邮件诈骗不断。

DDos攻击有4大特点：（1）物联网设备成为新的攻击源；（2）黑客手段多样化，混合攻击难以防御[7]；（3）基础设施和云服务商是主要攻击源；（4）频率和规模增长快。针对DDos攻击，360安全企业提出了HTTP/HTTPS网站常规防护方案。企业防护策略是通过建立云防护平台，将原来域名指向服务器IP地址，从而引流向云防护平台，在企业网站遭受大流量DDos攻击时，云防护平台将流量调度到全国几十个高防护节点机房进行清洗工作，之后把正常流量返回给企业网站。

遭受勒索软件攻击主要因为终端主机没有将操作系统补丁升级。面对勒索软件，安全企业提出终端主机接入控制设备方案，将没有安装杀毒软件或没有进行操作系统补丁升级的终端主机进行网络隔离，避免交叉感染，并及时提醒终端主机进行防御。

4 挖掘基于大数据的威胁检测手段

大数据针对信息安全领域内的数据分析，主要基于日志与流量的两大方式，同时关联系统配置、用户行为、应用行为 、业务行为等数据进行分析，达到感知威胁，攻击取证的目的。目前存在两种方式感知异常行为：基于特征与行为的检测和机器学习鉴定。传统的检测机制依靠黑名单分析建模，缺陷是对0day未知漏洞不可感知。机器学习鉴定通过白名单，可通过行为日志感知未知漏洞。

基于行为检测方式下，以日志分析为例，利用足够详细的用户行为日志区分正常行为和异常行为。发现异常的方式在传统的关联技巧规则关联、漏洞关联、关联列表关联、环境关联等进行数据分析，对异常行为中的攻击者画像，列出定点攻击、有明确攻击目标的攻击者、自动化攻击和无目标的攻击对象[8]。针对行为描述进行合理建设渗透、攻击模型。

机器学习能够基于大数据进行自动化学习和训练，已经在图像、语音、自然语言处理方面广泛应用[9]。机器学习鉴定方式应用于Web入侵防护中监测用户流量，针对大量正常日志建立Profile模型，检测过程中不符合Profile模型的被视为异常流量。Profile模型的建立主要基于统计学习模型、基于文本分析的机器学习模型、基于单分类模型、基于聚类模型等几种建模思想，从海量日志数据中建立正常行为模型，少量的异常流量访问行为将被重点监控，在对抗过程中更难被绕过。

5 结论

本文阐述了成都地区大数据行业和安全行业应对威胁的方法，而面对海量的网络信息数据，传统的防御思路已经不再奏效。大数据时代下的安全分析有助于企业实时监控网络行为异常，从而更好的把控风险。但大数据机器学习和数据挖掘技术应用于信息安全行业正处于初步阶段，没有相对成熟的产品，如何在建模后减少误报率是大数据的发展方向。

参考文献

[1]孙景民，崔金生，曹美琴.军事网络中APT攻击的防御方法研究[J].信息安全与通信保密，2014（8）：130-132.

[2]洪毅.支持金融产品交叉营销的数据挖掘研究[D].浙江工业大学，2010.

[3]佚名.信息安全企业祝贺乌镇峰会召开[J].中国信息安全，2015（12）：94-95.

[4]佚名.国家信息安全成果产业化（东部）基地已具雏形[J].计算机安全，2002（22）：36-38.

[5]赵伟华.大数据时代信息安全行业的专利解析[J].中国发明与专利，2015（12）：17-18.

[6]韦涛，彭武，王冬海.基于漏洞属性分析的软件安全评估方法[J].电光与控制，2015，22（8）：66-70.

[7]赵兵，孙梅.分布式防火墙技术的分析与研究[J].软件导刊，2010，09（3）.

[8]姜伟.基于攻防博弈模型的主动防御关键技术研究[D].哈尔滨工业大学，2010.

[9]高强，靳其兵，程勇.基于卷积神经网络探讨深度学习算法与应用[J].电脑知识与技术：学术交流，2015（5）：169-170.endprint