基于大數(shù)據(jù)背景下網(wǎng)絡(luò)安全體系

文/暴占彪

伴隨著經(jīng)濟(jì)全球化時(shí)代的來(lái)領(lǐng)，信息傳播也實(shí)現(xiàn)了全球化發(fā)展目標(biāo)，此時(shí)，計(jì)算機(jī)的應(yīng)用已經(jīng)成為現(xiàn)代社會(huì)人們工作、生活的首要工具。與此同時(shí)，隨著的移動(dòng)智能終端機(jī)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全的保障工作越來(lái)越受到社公眾的關(guān)注和重視。在這一基礎(chǔ)上，作為網(wǎng)絡(luò)安全管理者，想要實(shí)時(shí)保障網(wǎng)絡(luò)使用者的信息安全，就必須就現(xiàn)有的安全管理技術(shù)以及手段進(jìn)行不斷的研發(fā)和更新，通過全新安全防控手段的實(shí)施，為計(jì)算機(jī)網(wǎng)絡(luò)安全管理水平提升起到促進(jìn)作用。在大數(shù)據(jù)時(shí)代背景下，構(gòu)建出更加系統(tǒng)完善的網(wǎng)絡(luò)安全體系，對(duì)于網(wǎng)絡(luò)安全的保障工作質(zhì)量提升具有關(guān)鍵性作用。鑒于此，針對(duì)大數(shù)據(jù)背景下網(wǎng)絡(luò)安全體系建設(shè)這一課題進(jìn)行深入研究具有重要現(xiàn)實(shí)意義。

1 基于大數(shù)據(jù)分析的系統(tǒng)安全框架需求

APT攻擊主要是指計(jì)算機(jī)在使用過程中面臨的高級(jí)持續(xù)性威脅，想要有效防控給類攻擊所產(chǎn)生的威脅，構(gòu)建更加全面的大數(shù)據(jù)分析系統(tǒng)安全框架十分有必要。在進(jìn)行網(wǎng)絡(luò)安全體系的框架構(gòu)建期間，應(yīng)該保證框架能夠滿足以下需求條件：

（1）在面對(duì)APT攻擊時(shí)，安全體系框架需要包括多維度的協(xié)同防御體系，該體系的構(gòu)建能夠在短時(shí)間內(nèi)從多個(gè)維度針對(duì)APT攻擊進(jìn)行防御。

（2）針對(duì)部分具有極高隱蔽性的APT攻擊方式，網(wǎng)絡(luò)安全體系中應(yīng)該具備能夠全面檢測(cè)出網(wǎng)絡(luò)系統(tǒng)異常行為的計(jì)算機(jī)運(yùn)行流程，尤其是計(jì)算機(jī)內(nèi)通過密文進(jìn)行傳輸?shù)漠惓Ａ髁课募?，高效預(yù)防信息竊取行為。

（3）針對(duì)APT攻擊的長(zhǎng)期潛伏能力進(jìn)行破壞和挖掘。在這一過程中，計(jì)算機(jī)網(wǎng)絡(luò)安全體系框架的需求設(shè)定，需要集中在客戶虛擬機(jī)的不同層次監(jiān)視工作方面，如此才能在長(zhǎng)期潛伏APT攻擊出現(xiàn)時(shí)一擊致命將其解決。

2 大數(shù)據(jù)背景下的網(wǎng)絡(luò)系統(tǒng)安全框架設(shè)計(jì)

2.1 應(yīng)對(duì)APT攻擊的系統(tǒng)安全防護(hù)設(shè)計(jì)

在進(jìn)行網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)時(shí)，首先需要思考的就是計(jì)算機(jī)安全級(jí)別的設(shè)定工作。通常情況下，計(jì)算機(jī)安全的防護(hù)級(jí)別提升，能夠更加全方位的針對(duì)計(jì)算機(jī)內(nèi)現(xiàn)有資源進(jìn)行安全等級(jí)劃分，同時(shí)按照計(jì)算使用用戶的實(shí)際需求構(gòu)建完善的可信虛擬域，在該網(wǎng)絡(luò)區(qū)域內(nèi)能夠?qū)⒂?jì)算機(jī)用戶的高級(jí)資源進(jìn)行通過高安全等級(jí)的設(shè)定進(jìn)行隔離。在此期間，安全防護(hù)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)，還能夠針對(duì)重要信息資料進(jìn)行再次加密和儲(chǔ)存，當(dāng)用戶進(jìn)行訪問時(shí)，可以通過密文訪問的限制對(duì)APT攻擊進(jìn)行由外至內(nèi)的防滲透攻擊。另一方面，應(yīng)對(duì)APT攻擊的系統(tǒng)安全防護(hù)設(shè)計(jì)完成后，還能夠更好的保障計(jì)算機(jī)用戶使用數(shù)據(jù)在動(dòng)態(tài)中的安全性，為虛擬機(jī)相關(guān)數(shù)據(jù)的安全遷徙提供保障。

2.2 應(yīng)對(duì)APT攻擊的網(wǎng)絡(luò)系統(tǒng)安全檢測(cè)設(shè)計(jì)

在進(jìn)行大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全檢測(cè)體系構(gòu)建和設(shè)計(jì)時(shí)，網(wǎng)絡(luò)安全系統(tǒng)中的集成入侵檢測(cè)系統(tǒng)必須實(shí)時(shí)運(yùn)行，針對(duì)計(jì)算機(jī)核心服務(wù)器的檢測(cè)，時(shí)刻監(jiān)控旁路誘騙機(jī)制，例如蜜罐技術(shù)的應(yīng)用。通過此種形式，實(shí)現(xiàn)對(duì)計(jì)算機(jī)內(nèi)可能存在的潛在攻擊進(jìn)行誘惑捕捉。此種虛擬的蜜罐防御形式主要是為在計(jì)算機(jī)內(nèi)全面搜集更為詳細(xì)的情報(bào)信息，該系統(tǒng)的存在，能夠?qū)粜袨檫M(jìn)行快速取證和捕獲，從而提升檢測(cè)質(zhì)量。具體而言，應(yīng)對(duì)APT攻擊的網(wǎng)絡(luò)系統(tǒng)安全檢測(cè)設(shè)計(jì)主要從以下兩方面著手開展設(shè)計(jì)工作：

2.2.1 寬時(shí)間域數(shù)據(jù)關(guān)聯(lián)分析

在網(wǎng)絡(luò)安全體系構(gòu)建過程中，由于APT攻擊的時(shí)間跨度一般具有比較長(zhǎng)的特點(diǎn)，所以在進(jìn)行攻擊預(yù)防時(shí)，僅從單一時(shí)間段進(jìn)行處理無(wú)法真正識(shí)別攻擊的真正目的，唯有長(zhǎng)時(shí)間就APT攻擊可疑行為進(jìn)行全面記錄，才能夠提升攻擊檢測(cè)效率。另一方面，為了能夠更加有效的與APT攻擊進(jìn)行正面對(duì)抗，應(yīng)該就傳統(tǒng)的單獨(dú)時(shí)間點(diǎn)不間斷檢測(cè)方式進(jìn)行優(yōu)化，開展寬時(shí)間域的一步檢測(cè)工作，即將所有與攻擊數(shù)據(jù)向相關(guān)聯(lián)的計(jì)算機(jī)數(shù)據(jù)檢測(cè)時(shí)間期限延長(zhǎng)至數(shù)月或是數(shù)年，而針對(duì)已經(jīng)搜集到的數(shù)據(jù)，則應(yīng)該予以保存，為后續(xù)檢測(cè)提供信息數(shù)據(jù)依據(jù)。

2.2.2 寬應(yīng)用域事件關(guān)聯(lián)分析

在大數(shù)據(jù)背景下，APT對(duì)計(jì)算機(jī)安全進(jìn)行攻擊時(shí)，往往會(huì)借助于大數(shù)據(jù)分析手段，從目標(biāo)均是信息系統(tǒng)的低敏感數(shù)據(jù)中進(jìn)行信息挖掘，找尋出與攻擊目標(biāo)相關(guān)聯(lián)的數(shù)據(jù)信息達(dá)到信息偷竊目的。在這一基礎(chǔ)上，進(jìn)行寬應(yīng)用域事件關(guān)聯(lián)分析時(shí)，應(yīng)該將計(jì)算機(jī)代碼、信息事件以及數(shù)據(jù)統(tǒng)計(jì)三項(xiàng)工作聯(lián)合起來(lái)進(jìn)行綜合性事件關(guān)聯(lián)性的深度分析，從中精準(zhǔn)找出APT行為的痕跡，最終將網(wǎng)絡(luò)安全信息體系檢測(cè)質(zhì)量提升。

2.3 應(yīng)對(duì)APT攻擊的網(wǎng)絡(luò)安全系統(tǒng)主動(dòng)防御設(shè)計(jì)

在進(jìn)行APT攻擊應(yīng)對(duì)的網(wǎng)絡(luò)安全系統(tǒng)主動(dòng)防御設(shè)計(jì)時(shí)，應(yīng)該從以下幾方面著手：

（1）居于全局域視角上去思考APT攻擊相關(guān)問題的解決方案，促使計(jì)算機(jī)能夠在最短的時(shí)間內(nèi)形成海量網(wǎng)絡(luò)信息篩查能力，并在篩查工作中快速捕捉APT攻擊信號(hào)，并在同一時(shí)間內(nèi)構(gòu)建APT攻擊反情報(bào)體系。

（2）在計(jì)算機(jī)使用過程中，一旦發(fā)現(xiàn)APT攻擊行為，立即通過信息溯源相關(guān)技術(shù)的使用找尋攻擊來(lái)源，并將相對(duì)應(yīng)的防攻擊信息提交與網(wǎng)絡(luò)對(duì)抗部門中，借助主動(dòng)出擊的形式打斷APT攻擊的實(shí)施流程，破壞其攻擊程序，借以保障網(wǎng)絡(luò)信息安全免受系統(tǒng)侵害。

3 基于大數(shù)據(jù)背景下網(wǎng)絡(luò)安全體系構(gòu)建關(guān)鍵技術(shù)應(yīng)用

3.1 網(wǎng)絡(luò)安全攻擊溯源技術(shù)的應(yīng)用

在進(jìn)行大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全體系構(gòu)建關(guān)鍵技術(shù)應(yīng)用時(shí)，網(wǎng)絡(luò)安全攻擊溯源技術(shù)的應(yīng)用十分有必要。通常情況下，網(wǎng)絡(luò)信息安全系統(tǒng)在進(jìn)行攻擊分析時(shí)，會(huì)從關(guān)鍵內(nèi)核結(jié)構(gòu)診斷、文件、進(jìn)程等多個(gè)層面展開分析工作，同時(shí)調(diào)用系統(tǒng)以及網(wǎng)絡(luò)流量進(jìn)行輔助分析。與此同時(shí)，通過監(jiān)理統(tǒng)一的、多層次的網(wǎng)絡(luò)安全攻擊描述模型，嚴(yán)格按照相關(guān)規(guī)則進(jìn)行海量日志中攻擊信息的關(guān)聯(lián)性分析，從而更快更精準(zhǔn)的找出計(jì)算機(jī)系統(tǒng)中可能存在的攻擊問題，為后續(xù)的網(wǎng)絡(luò)攻擊溯源工作開展提供更為可靠的數(shù)據(jù)依據(jù)。但是，網(wǎng)絡(luò)安全攻擊溯源技術(shù)在應(yīng)用過程中，還存在一些不足之處亟待改進(jìn)，一方面是在異構(gòu)數(shù)據(jù)源的處理上，包括數(shù)據(jù)庫(kù)以及文檔數(shù)據(jù)庫(kù)的處理。另一方面，在海量數(shù)據(jù)的處理上，隨著經(jīng)濟(jì)全球化的發(fā)展，互聯(lián)網(wǎng)與物聯(lián)網(wǎng)之間的相互聯(lián)合，知識(shí)網(wǎng)絡(luò)數(shù)據(jù)信息量成倍增長(zhǎng)，而針對(duì)海量網(wǎng)絡(luò)數(shù)據(jù)溯源處理技術(shù)執(zhí)行效率進(jìn)行提升還有很大進(jìn)步空間。

3.2 大數(shù)據(jù)分析技術(shù)的應(yīng)用

在大數(shù)據(jù)背景下，網(wǎng)絡(luò)數(shù)據(jù)安全的保障工作開展，時(shí)刻離不開網(wǎng)絡(luò)安全大數(shù)據(jù)分析技術(shù)的應(yīng)用。在計(jì)算機(jī)使用的過程中，系統(tǒng)在運(yùn)行過程中通常會(huì)產(chǎn)生大量的系統(tǒng)日志，尤其是在各類網(wǎng)站平臺(tái)的訪問中國(guó)，也會(huì)隨之產(chǎn)生大量的系統(tǒng)日志。此時(shí)，針對(duì)該類日志進(jìn)行系統(tǒng)安全分析時(shí)，就可以充分利用大數(shù)據(jù)分析技術(shù)進(jìn)行數(shù)據(jù)再分析處理。期間，通過充分應(yīng)用數(shù)據(jù)統(tǒng)計(jì)、挖掘技術(shù)，同時(shí)輔以數(shù)據(jù)的關(guān)聯(lián)性和態(tài)勢(shì)發(fā)展分析工作，意在從計(jì)算機(jī)網(wǎng)絡(luò)瀏覽記錄中全面性搜索APT攻擊痕跡，并就攻擊所留下的信息進(jìn)行防御方案的制定，另一方面，應(yīng)用大數(shù)據(jù)分析還有一項(xiàng)比較苛刻的要求，就是需要從強(qiáng)大的數(shù)據(jù)采集系統(tǒng)對(duì)大數(shù)據(jù)分析技術(shù)因公進(jìn)行平臺(tái)支持，同時(shí)與大規(guī)模的統(tǒng)一監(jiān)控額全自動(dòng)響應(yīng)系統(tǒng)集結(jié)合，才能高效的將信息孤島所帶來(lái)的問題解決。

4 總結(jié)

綜上所述，在當(dāng)前的大數(shù)據(jù)時(shí)代背景下，APT類型的網(wǎng)絡(luò)安全攻擊對(duì)網(wǎng)絡(luò)空間的秩序維護(hù)以及信息安全造成了極大的威脅，同時(shí)也為網(wǎng)絡(luò)安全管控工作帶來(lái)了巨大的挑戰(zhàn)。APT攻擊的出現(xiàn)，與傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)木馬病毒以及病毒類攻擊具有很大的區(qū)別性，其具有十分隱蔽的攻擊能力，一旦計(jì)算機(jī)使用者安全防范意識(shí)不足，很容易造成重要信息資產(chǎn)遭受損失。目前，國(guó)內(nèi)大多數(shù)針對(duì)APT攻擊進(jìn)行防護(hù)體系均是基于攻擊鏈接的防護(hù)，在技術(shù)本質(zhì)環(huán)節(jié)上并未取得足夠顯著的突破，因此構(gòu)建文中所研究的網(wǎng)絡(luò)安全防御體系架構(gòu)十分重要，也唯有如此，才能夠真正對(duì)網(wǎng)路安全保障工作質(zhì)量階段性提升起到促進(jìn)作用。