一種隱私數(shù)據(jù)主動(dòng)防御的研究

李映壯

摘 ? 要：隨著互聯(lián)網(wǎng)由1.0向2.0演進(jìn)，互聯(lián)網(wǎng)以前所未有的速度滲透到人們的日常生活?；ヂ?lián)網(wǎng)快速發(fā)展所積累的龐大數(shù)據(jù)，為大數(shù)據(jù)分析和人工智能創(chuàng)造了絕好的條件，另一方面，針對(duì)數(shù)據(jù)攻擊、數(shù)據(jù)泄露、數(shù)據(jù)濫用變得日益嚴(yán)重，甚至滋生非法活動(dòng)。對(duì)于個(gè)體而言，數(shù)據(jù)隱私意識(shí)也在不斷增強(qiáng)。數(shù)據(jù)隱私保護(hù)問(wèn)題成為廣受關(guān)注的網(wǎng)絡(luò)空間治理問(wèn)題，因此要求數(shù)據(jù)運(yùn)營(yíng)者要積極、主動(dòng)地進(jìn)行數(shù)據(jù)防御。

關(guān)鍵詞：數(shù)據(jù)隱私 ?網(wǎng)絡(luò)空間治理 ?主動(dòng)、數(shù)據(jù)防御

中圖分類號(hào)：TP309 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1674-098X（2019）02（a）-0159-05

Abstract： With the evolution of the Internet from 1.0 to 2.0， the Internet has penetrated into people's daily lives at an unprecedented rate. The huge amount of data accumulated by the rapid development of the Internet has created excellent conditions for big data analysis and artificial intelligence. On the other hand， data attacks， data breaches， and data abuse are becoming more serious and even breed illegal activities. For individuals， awareness of data privacy is also growing. Data privacy protection has become a widely concerned issue of cyberspace governance. Therefore， data operators are required to actively and proactively perform data defense.

Key Words： Data Privacy; Cyberspace governance; Initiative; Data defense

隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來(lái)，數(shù)據(jù)已成為關(guān)鍵的生產(chǎn)要素。數(shù)據(jù)賦權(quán)的意義不僅僅在于保護(hù)個(gè)人隱私，同時(shí)還有助于清晰產(chǎn)權(quán)，從而發(fā)揮出數(shù)據(jù)的最大經(jīng)濟(jì)效能，各國(guó)目前正加快數(shù)據(jù)隱私保護(hù)的立法和相關(guān)制度建設(shè)。歐盟于2018年5月正式實(shí)施的《通用數(shù)據(jù)保護(hù)條例》（GDPR）規(guī)定數(shù)據(jù)主體享有知情同意權(quán)、訪問(wèn)權(quán)、拒絕權(quán)、可攜權(quán)、刪除權(quán)（被遺忘權(quán)）、更正權(quán)、持續(xù)控制權(quán)等多項(xiàng)權(quán)利。其中一些權(quán)利在我國(guó)于2016年11月通過(guò)的《網(wǎng)絡(luò)安全法》中也得到了體現(xiàn)。數(shù)據(jù)隱私保護(hù)的相關(guān)立法對(duì)數(shù)據(jù)的處理和應(yīng)用施加了約束，極大增強(qiáng)了數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制能力和保護(hù)能力，因此，數(shù)據(jù)運(yùn)營(yíng)者主動(dòng)對(duì)數(shù)據(jù)進(jìn)行防御就尤其重要。

既然是主動(dòng)防御，則肯定對(duì)應(yīng)“被動(dòng)防御”。被動(dòng)防御的經(jīng)典應(yīng)用就是傳統(tǒng)事后被動(dòng)審計(jì)、被動(dòng)應(yīng)急。傳統(tǒng)的數(shù)據(jù)攻擊檢測(cè)都是攻擊出現(xiàn)后，先被動(dòng)處置，安全廠商再提取特征碼放入特征庫(kù)，這種做法顯然不能在主動(dòng)、積極地進(jìn)行數(shù)據(jù)防護(hù)。主動(dòng)防御理念的安全策略不再依賴于特征，而是根據(jù)行為做出預(yù)先判斷并實(shí)時(shí)進(jìn)行自動(dòng)閉環(huán)阻止。從技術(shù)角度來(lái)說(shuō)，可分為四個(gè)方面：身份認(rèn)證，即確保數(shù)據(jù)訪問(wèn)的全流程身份正常。攻擊預(yù)測(cè)，不依賴特征，實(shí)時(shí)預(yù)判各種針對(duì)數(shù)據(jù)的攻擊行為并告警。路徑還原，能夠精準(zhǔn)還原攻擊的整個(gè)路徑，提供處置依據(jù)。實(shí)時(shí)封堵，能夠?qū)赡軐?dǎo)致數(shù)據(jù)泄露的行為進(jìn)行自動(dòng)閉環(huán)封堵。

1 ?基于有向圖的持續(xù)身份認(rèn)證

1.1 生成數(shù)據(jù)訪問(wèn)行為圖譜基線

首先從數(shù)據(jù)訪問(wèn)日志中提取時(shí)間、源目的IP、來(lái)源URL、訪問(wèn)URL等字段，并過(guò)濾出目的IP位于受保護(hù)站點(diǎn)列表的訪問(wèn)日志，使用目的IP加上目的端口作為站點(diǎn)的唯一標(biāo)志。對(duì)于指定時(shí)間段內(nèi)同一個(gè)源IP訪問(wèn)同一個(gè)站點(diǎn)的訪問(wèn)日志進(jìn)行提取，我們就可以得到此源IP訪問(wèn)站點(diǎn)的URL訪問(wèn)序列。為了規(guī)避URL序列中摻雜的靜態(tài)資源的干擾，我們需要對(duì)URL序列進(jìn)行去噪，去噪方式如下：

（1）對(duì)于UPL，去掉其問(wèn)號(hào)后的所有內(nèi)容，即去掉參數(shù)部分。

（2）得到已經(jīng)去掉參數(shù)的URL后，我們對(duì)其后綴進(jìn)行判斷，如果其后綴屬于js（Javascript腳本）、css（樣式文件）、png/jpg/gif/jpeg（圖片文件）等，則認(rèn)為是頁(yè)面的靜態(tài)資源請(qǐng)求，不屬于URL路徑分析的范疇，將其過(guò)濾掉。

經(jīng)過(guò)過(guò)濾步驟后，我們就得到了一個(gè)源IP對(duì)于一個(gè)站點(diǎn)的所有動(dòng)態(tài)請(qǐng)求的URL序列。我們將每一個(gè)URL作為圖的一個(gè)節(jié)點(diǎn)，而將一個(gè)URL到另一個(gè)URL的跳轉(zhuǎn)關(guān)系，作為圖的一條有向邊，這樣我們就可以得到一個(gè)源IP對(duì)于一個(gè)站點(diǎn)的訪問(wèn)行為圖譜。如圖1所示。

另外，我們還可以基于源IP對(duì)于目的站點(diǎn)各個(gè)URL對(duì)應(yīng)模塊的訪問(wèn)時(shí)間間隔，生成用戶訪問(wèn)時(shí)間序列圖譜，對(duì)于用戶在站點(diǎn)各個(gè)模塊停留時(shí)間的行為特征進(jìn)行刻畫。如圖2所示。

由于歷史數(shù)據(jù)訪問(wèn)日志中，有非常多的源IP訪問(wèn)站點(diǎn)對(duì)，為了提高行為圖譜基線的生成性能，我們可以使用Spark的分布式算子并行的生成源IP訪問(wèn)站點(diǎn)序列行為圖譜，在生成行為圖譜之后，我們將每一個(gè)行為圖譜對(duì)象序列化為二進(jìn)制對(duì)象，存儲(chǔ)在HDFS上，供后續(xù)的實(shí)時(shí)URL比對(duì)模塊讀取。每一個(gè)序列化的圖譜對(duì)象，使用源IP加目的IP加目的端口作為它的標(biāo)志。

1.2 異常身份檢測(cè)

（1）基于訪問(wèn)行為圖譜的異常身份檢測(cè)。

根據(jù)URL的先后訪問(wèn)關(guān)系從元素為N的URL集合中，提取出N-1個(gè)子序列，例如對(duì)于的URL集合，得到的子序列為。對(duì)于每一個(gè)子序列與行為圖譜進(jìn)行比對(duì)，如果子序列中含有行為圖譜中不含有的節(jié)點(diǎn)，或者子序列對(duì)應(yīng)的行為圖譜中不存在邊，則判定為該用戶的此次訪問(wèn)行為異于歷史訪問(wèn)行為，觸發(fā)身份驗(yàn)證失敗訪問(wèn)異常告警。

（2）基于訪問(wèn)時(shí)間序列圖譜的異常身份檢測(cè)。

對(duì)于源IP訪問(wèn)URL的時(shí)間間隔，與訪問(wèn)時(shí)間序列圖譜進(jìn)行比對(duì)，如果發(fā)現(xiàn)兩個(gè)URL之間的訪問(wèn)時(shí)間間隔明顯異于訪問(wèn)時(shí)間序列圖譜的時(shí)間間隔（例如與歷史停留時(shí)間間隔的均值相比超過(guò)了3倍的標(biāo)準(zhǔn)差），則判定為該用戶的此次訪問(wèn)行為異于歷史訪問(wèn)行為，觸發(fā)身份驗(yàn)證失敗訪問(wèn)異常告警。

2 ?基于機(jī)器學(xué)習(xí)分析的主動(dòng)預(yù)測(cè)

（1）數(shù)據(jù)源采集。

網(wǎng)絡(luò)安全領(lǐng)域的數(shù)據(jù)源根據(jù)類型的不同，包括結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)采集方式主要通過(guò)Syslog、SNMP、JDBC/ODBC、FTP/SFTP、TCP/UDP、File、Webservice等主流的數(shù)據(jù)采集方式進(jìn)行采集，對(duì)于大量多源異構(gòu)數(shù)據(jù)源，采用前置探針，對(duì)數(shù)據(jù)進(jìn)行集中收集、規(guī)范化等工作，將數(shù)據(jù)整合后統(tǒng)一發(fā)送到大數(shù)據(jù)應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)將根據(jù)安全事件之間的相關(guān)性，進(jìn)行關(guān)聯(lián)分析，得到更為準(zhǔn)確的監(jiān)測(cè)信息，發(fā)現(xiàn)攻擊源。

（2）數(shù)據(jù)預(yù)處理。

在對(duì)數(shù)據(jù)挖掘算法執(zhí)行之前，必須對(duì)收集到的原始數(shù)據(jù)進(jìn)行預(yù)處理，從而改進(jìn)數(shù)據(jù)的質(zhì)量，提高數(shù)據(jù)挖掘過(guò)程的效率、精度和性能。大數(shù)據(jù)預(yù)處理利用數(shù)據(jù)切片，數(shù)據(jù)分類，數(shù)據(jù)聚合，數(shù)據(jù)索引標(biāo)記等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行層級(jí)化的聚合、重組、清洗、提取、轉(zhuǎn)換、管理、切分等預(yù)處理操作，統(tǒng)一標(biāo)準(zhǔn)接口，統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)，并通過(guò)分布式存儲(chǔ)管理技術(shù)，在滿足一致性要求的基礎(chǔ)上，實(shí)現(xiàn)安全、可靠、快速、有效地對(duì)多類型、多格式的數(shù)據(jù)統(tǒng)一存儲(chǔ)管理。

（3）分布式計(jì)算。

大數(shù)據(jù)分布式計(jì)算通過(guò)兩個(gè)或多個(gè)計(jì)算機(jī)互相共享信息，將需要進(jìn)行大量計(jì)算的數(shù)據(jù)分割成小塊，由多臺(tái)計(jì)算機(jī)分別計(jì)算，再對(duì)運(yùn)算結(jié)果進(jìn)行統(tǒng)一合并。采用分布式任務(wù)調(diào)度機(jī)制，動(dòng)態(tài)靈活的將計(jì)算資源進(jìn)行分配和調(diào)度，從而達(dá)到資源利用最大化，計(jì)算節(jié)點(diǎn)不會(huì)出現(xiàn)閑置和過(guò)載的情況，采用分布式實(shí)時(shí)計(jì)算框架和分布式離線計(jì)算框架相結(jié)合的分布式計(jì)算框架和模塊化設(shè)計(jì)，構(gòu)建一個(gè)支持多種分布式計(jì)算模型的統(tǒng)一動(dòng)態(tài)調(diào)度、管理和計(jì)算的大數(shù)據(jù)分布式計(jì)算平臺(tái)，有效地支撐大數(shù)據(jù)挖掘分析。

（4）行為預(yù)測(cè)。

通過(guò)上述數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分布式計(jì)算等過(guò)程，大數(shù)據(jù)已納入分布式存儲(chǔ)管理中，這些數(shù)據(jù)信息已可以用于查詢、統(tǒng)計(jì)、分析，得到大量對(duì)業(yè)務(wù)有用的信息，然而，隱藏和淹沒(méi)在這些大數(shù)據(jù)之中更重要的信息，如關(guān)聯(lián)分析、精細(xì)化分類、模式識(shí)別等，是無(wú)法用傳統(tǒng)查詢統(tǒng)計(jì)方法來(lái)獲取的。為了得到這些有用的信息，需要采用數(shù)據(jù)挖掘分析技術(shù)，自動(dòng)智能地對(duì)大數(shù)據(jù)分析、探索、挖掘，探尋數(shù)據(jù)的模式及特征，實(shí)現(xiàn)對(duì)異常行為的主動(dòng)預(yù)測(cè)。

3 ?基于時(shí)序關(guān)聯(lián)的攻擊路徑還原

傳統(tǒng)針對(duì)敏感數(shù)據(jù)算法模型流量分析，發(fā)現(xiàn)的基本是大量的單點(diǎn)、單一時(shí)刻的威脅，無(wú)法感知APT攻擊問(wèn)題，本文提出一種基于洛克希德·馬?。↙ockheed Martin）公司的安全專家提出來(lái)的網(wǎng)絡(luò)攻擊按發(fā)展時(shí)間和程度統(tǒng)一分為七個(gè)階段，分別是偵查、工具制作、投送、攻擊滲透、安裝工具、命令控制和惡意活動(dòng)，以用戶視角的行為時(shí)序圖，構(gòu)建時(shí)序關(guān)聯(lián)的攻擊路徑還原模型，同時(shí)結(jié)合威脅情報(bào)關(guān)聯(lián)分析，推理形成用戶維度的數(shù)據(jù)泄露攻擊行為還原鏈。這種數(shù)據(jù)泄露路徑還原模型是一種多維度的攻擊推理算法，維度包含攻擊事件標(biāo)記的危險(xiǎn)程度、資產(chǎn)的重要等級(jí)、事件發(fā)生時(shí)間以及事件所處攻擊階段等。

通過(guò)將設(shè)備或算法檢測(cè)生成的告警數(shù)據(jù)，從資產(chǎn)的角度，使用泄露階段、時(shí)序關(guān)聯(lián)、攻擊的危險(xiǎn)程度和資產(chǎn)重要程度，還原出數(shù)據(jù)泄露的路徑，能夠有效發(fā)現(xiàn)基于局域網(wǎng)資產(chǎn)的樹狀威脅拓?fù)?，還原了資產(chǎn)被入侵的歷史痕跡，有效提高了威脅感知和預(yù)測(cè)能力。

4 ?分類分級(jí)的實(shí)時(shí)閉環(huán)封堵

當(dāng)前出現(xiàn)攻擊時(shí)，如果經(jīng)過(guò)人工審核確認(rèn)后通過(guò)封堵IP的方式進(jìn)行，該種方式過(guò)于簡(jiǎn)單粗暴，極易造成因操作不當(dāng)導(dǎo)致大面積業(yè)務(wù)故障。本方法將基于TCP會(huì)話重置和基于賬號(hào)的封堵方式引入敏感數(shù)據(jù)防泄漏處置，實(shí)現(xiàn)高危風(fēng)險(xiǎn)自動(dòng)化封堵，無(wú)需人工干預(yù)且封堵影響范圍小。根據(jù)泄露的場(chǎng)景定制化制定封堵策略，能夠從三方面進(jìn)行有效的封堵，第一類賬號(hào)異常，跟資源管理系統(tǒng)進(jìn)行聯(lián)動(dòng)封堵惡意賬號(hào)的活動(dòng);第二種通過(guò)調(diào)動(dòng)一鍵封堵平臺(tái)下發(fā)黑洞路由實(shí)現(xiàn)IP封堵;第三種高危探測(cè)活動(dòng)，通過(guò)TCP會(huì)話重置來(lái)實(shí)現(xiàn)精準(zhǔn)級(jí)會(huì)話封堵。

從數(shù)據(jù)防御出發(fā)，針對(duì)9個(gè)高危場(chǎng)景分別實(shí)現(xiàn)分類分級(jí)自動(dòng)封堵，最大限度降低封堵影響，提高業(yè)務(wù)連續(xù)性。

5 ?結(jié)語(yǔ)

雖然我們大多只聽(tīng)說(shuō)新聞報(bào)道的大公司數(shù)據(jù)泄露事件，但并非只有大公司才面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。事實(shí)上，中小企業(yè)的敏感數(shù)據(jù)泄露問(wèn)題也不小。攻擊者對(duì)中小企業(yè)下手的回報(bào)可能沒(méi)有對(duì)大公司的大，但小企業(yè)也不太可能具備能夠主動(dòng)檢測(cè)、預(yù)防和緩解安全漏洞的策略。為避免敏感數(shù)據(jù)泄露，無(wú)論是大公司還是中小企業(yè)都需要關(guān)注網(wǎng)絡(luò)安全，積極利用主動(dòng)防御的思路進(jìn)行數(shù)據(jù)防護(hù)。同時(shí)，數(shù)據(jù)保護(hù)不是某一個(gè)部門的職責(zé)，而是所有數(shù)據(jù)運(yùn)營(yíng)者和使用者的事情，進(jìn)行敏感數(shù)據(jù)的業(yè)務(wù)流程設(shè)計(jì)時(shí)，一定要回歸到業(yè)務(wù)的本質(zhì)上去，回頭看看業(yè)務(wù)的本質(zhì)是什么，需不需要這些敏感數(shù)據(jù)。

參考文獻(xiàn)

[1] 謝邦昌，蔣葉飛.大數(shù)據(jù)時(shí)代隱私如何保護(hù)[J].中國(guó)統(tǒng)計(jì)，2013（6）：1-4.

[2] 陳明奇，姜禾，張娟，等.大數(shù)據(jù)時(shí)代的美國(guó)信息網(wǎng)絡(luò)安全新戰(zhàn)略分析[J].信息網(wǎng)絡(luò)安全，2012（8）.

[3] 霍崢，孟小峰，黃毅.一種移動(dòng)社交網(wǎng)絡(luò)中的軌跡隱私保護(hù)方法[J].計(jì)算機(jī)學(xué)報(bào)，2013（4）：716-726.

[4] 周水庚，李豐，陶宇飛，等.面向數(shù)據(jù)庫(kù)應(yīng)用的隱私保護(hù)研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2009（5）：847-861.

[5] 馮登國(guó)，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014（1）：33-35.