信息化觀察網(wǎng)

00、引言

伴隨著社會(huì)經(jīng)濟(jì)和科學(xué)技術(shù)的高速發(fā)展，我國(guó)已邁入信息化時(shí)代，“大數(shù)據(jù)”也從一個(gè)概念性詞匯轉(zhuǎn)化為對(duì)經(jīng)濟(jì)社會(huì)各領(lǐng)域具有滲透性影響的事物，給各行各業(yè)帶來(lái)了諸多的變革動(dòng)力和商業(yè)價(jià)值，例如淘寶、京東、支付寶、滴滴打車(chē)、新浪微博這些建立在大數(shù)據(jù)技術(shù)基礎(chǔ)之上的應(yīng)用軟件給人們生活帶來(lái)便利的同時(shí)也給商業(yè)帶來(lái)了巨大的發(fā)展契機(jī)。

但必須注意的是，在信息化與大數(shù)據(jù)持續(xù)發(fā)展的今天，伴隨互聯(lián)網(wǎng)發(fā)展而生的公共信息安全問(wèn)題也更加突出，越來(lái)越多的高價(jià)值、敏感的文件資料依托網(wǎng)絡(luò)進(jìn)行傳播，一旦計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題造成數(shù)據(jù)泄露，將會(huì)對(duì)用戶(hù)和企業(yè)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失，甚至?xí)?duì)公共利益和國(guó)家安全帶來(lái)重大打擊，造成難以估量的損失。因此，如何將大數(shù)據(jù)技術(shù)應(yīng)用到公共信息安全維護(hù)當(dāng)中，讓信息存儲(chǔ)、應(yīng)用和傳輸更加安全可靠、助力企業(yè)增值增效成為大數(shù)據(jù)發(fā)展需要面臨的重點(diǎn)問(wèn)題。

01、大數(shù)據(jù)時(shí)代下的公共信息安全現(xiàn)狀

1.1大數(shù)據(jù)時(shí)代信息安全存在的隱患

大數(shù)據(jù)在造福人類(lèi)的同時(shí)，由于不法分子的利用也會(huì)對(duì)社會(huì)和人民的利益造成損害。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)攻擊的種類(lèi)和數(shù)量呈現(xiàn)爆發(fā)式增長(zhǎng)，特別是在大數(shù)據(jù)時(shí)代，由于網(wǎng)絡(luò)攻擊，隱私數(shù)據(jù)丟失、情報(bào)線(xiàn)索泄密、網(wǎng)絡(luò)設(shè)備故障等危害公共信息安全的事件頻發(fā)，進(jìn)而導(dǎo)致網(wǎng)絡(luò)詐騙、黑客攻擊、網(wǎng)絡(luò)盜竊等犯罪事件層出不窮。

在科技信息技術(shù)不斷發(fā)展的狀態(tài)下，網(wǎng)絡(luò)攻擊的手段種類(lèi)和作案方式越來(lái)越多元化、高級(jí)化，預(yù)防網(wǎng)絡(luò)入侵也變得更加困難。在互聯(lián)網(wǎng)乃至物聯(lián)網(wǎng)時(shí)代，信息安全系統(tǒng)更新速度越來(lái)越快，信息安全成為公眾最為關(guān)注的問(wèn)題之一，傳統(tǒng)的信息安全思路已無(wú)法保障大數(shù)據(jù)時(shí)代的信息安全。因此將大數(shù)據(jù)技術(shù)引入信息安全防護(hù)領(lǐng)域，推動(dòng)網(wǎng)絡(luò)信息安全的穩(wěn)定性與可靠性，讓數(shù)據(jù)更加安全，助力企業(yè)經(jīng)營(yíng)決策，為企業(yè)發(fā)展增值增效。

1.2大數(shù)據(jù)時(shí)代公共信息安全獲得的機(jī)遇

在大數(shù)據(jù)時(shí)代，維護(hù)公共信息安全的技術(shù)、工具得以快速發(fā)展，讓公共信息安全的監(jiān)管更為精細(xì)、高效和及時(shí)。與傳統(tǒng)數(shù)據(jù)信息存儲(chǔ)模式不同，大數(shù)據(jù)技術(shù)實(shí)現(xiàn)了一個(gè)具有流動(dòng)性、信息共享與連接互動(dòng)的數(shù)據(jù)資源池構(gòu)建，有助于數(shù)據(jù)在全球范圍內(nèi)的實(shí)時(shí)共享，推動(dòng)數(shù)據(jù)信息的及時(shí)共享實(shí)現(xiàn)企業(yè)的高效運(yùn)營(yíng)。

除了大數(shù)據(jù)的存儲(chǔ)和傳輸技術(shù)，大數(shù)據(jù)挖掘和應(yīng)用技術(shù)也帶動(dòng)了傳統(tǒng)商業(yè)模式的變革。以往大數(shù)據(jù)的關(guān)注重點(diǎn)主要是數(shù)據(jù)的存儲(chǔ)和傳輸，如今大數(shù)據(jù)的挖掘應(yīng)用成為重點(diǎn)關(guān)注領(lǐng)域。將大數(shù)據(jù)挖掘技術(shù)應(yīng)用到企業(yè)發(fā)展領(lǐng)域，不僅能直接為企業(yè)帶來(lái)經(jīng)濟(jì)效益，也能推動(dòng)企業(yè)發(fā)展變革，增強(qiáng)企業(yè)在市場(chǎng)上的競(jìng)爭(zhēng)力。

在日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)下，維護(hù)公共信息安全的技術(shù)工具迫切需要得到改善升級(jí)。大數(shù)據(jù)技術(shù)的發(fā)展為維護(hù)公共信息安全提供了巨大的升級(jí)空間和發(fā)展可能性，在此背景下，利用大數(shù)據(jù)技術(shù)構(gòu)建公共信息安全防御體系、防范網(wǎng)絡(luò)安全攻擊顯得尤為迫在眉睫。

02、大數(shù)據(jù)技術(shù)概述

麥肯錫全球研究所將“大數(shù)據(jù)”定義為：一種規(guī)模大到在獲取、存儲(chǔ)、管理、分析方面大大超出了傳統(tǒng)數(shù)據(jù)庫(kù)軟件工具能力范圍的數(shù)據(jù)集合，具有海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉(zhuǎn)、多樣的數(shù)據(jù)類(lèi)型和價(jià)值密度低四大特征。

從數(shù)據(jù)本身看，大數(shù)據(jù)是利用傳統(tǒng)數(shù)據(jù)庫(kù)軟件無(wú)法滿(mǎn)足該大小數(shù)據(jù)處理分析需求的數(shù)據(jù)集合；從技術(shù)角度看，大數(shù)據(jù)技術(shù)是利用非常規(guī)工具對(duì)各種結(jié)構(gòu)的數(shù)據(jù)進(jìn)行采集、挖掘、分析和預(yù)測(cè)的大數(shù)據(jù)處理技術(shù)；從應(yīng)用角度看，大數(shù)據(jù)是對(duì)業(yè)務(wù)領(lǐng)域的數(shù)據(jù)進(jìn)行采集、集合運(yùn)算、分析調(diào)用和集成應(yīng)用，獲得有價(jià)值信息的應(yīng)用。多種技術(shù)組合共同構(gòu)成了大數(shù)據(jù)技術(shù)，包括數(shù)據(jù)采集、存儲(chǔ)管理、分析挖掘、可視化等多個(gè)過(guò)程技術(shù)。

03、大數(shù)據(jù)下公共信息安全的防御體系

在大數(shù)據(jù)環(huán)境下，頻發(fā)的網(wǎng)絡(luò)攻擊事件對(duì)公共信息安全造成了嚴(yán)重危害，隱私數(shù)據(jù)泄露、情報(bào)數(shù)據(jù)泄密、網(wǎng)絡(luò)設(shè)備故障等問(wèn)題相繼出現(xiàn)，甚至引發(fā)了網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊等，維護(hù)公共信息安全的任務(wù)已經(jīng)迫在眉睫。

因此，本文構(gòu)建適應(yīng)于公共信息安全數(shù)據(jù)在信息安全風(fēng)險(xiǎn)精確感知、風(fēng)險(xiǎn)主動(dòng)防御、態(tài)勢(shì)智能監(jiān)測(cè)和風(fēng)險(xiǎn)信息回溯升級(jí)四個(gè)方面的應(yīng)用技術(shù)展開(kāi)介紹，如圖1所示，形成覆蓋事前、事中和事后的持續(xù)監(jiān)測(cè)和防護(hù)能力，協(xié)助企業(yè)判斷各種潛在威脅，更好地做出商業(yè)決策，力求將大數(shù)據(jù)在信息安全領(lǐng)域的應(yīng)用演化為IT商業(yè)智能發(fā)展趨勢(shì)中的重要組成部分。

圖1全生命周期下的公共信息安全防御體系建設(shè)

3.1信息安全風(fēng)險(xiǎn)精確感知

由于信息存儲(chǔ)系統(tǒng)存在漏洞、數(shù)據(jù)安全策略仍需完善、信息處理過(guò)程中的流程失誤以及各種非法入侵和病毒感染等因素，均會(huì)導(dǎo)致當(dāng)前的信息安全面臨各種來(lái)自未知渠道的異常行為危險(xiǎn)威脅。本文結(jié)合大數(shù)據(jù)采集分析技術(shù)、風(fēng)險(xiǎn)指標(biāo)評(píng)估技術(shù)和軌跡追蹤溯源、可視化技術(shù)等，提出如圖2所示的信息安全風(fēng)險(xiǎn)感知計(jì)算框架，從信息采集、存儲(chǔ)、管理和使用等多個(gè)視角，多維度精準(zhǔn)感知信息安全風(fēng)險(xiǎn)，逐步提升異常行為精準(zhǔn)管控能力，助力企業(yè)及時(shí)采取安全保障措施和進(jìn)行科學(xué)商業(yè)決策，避免產(chǎn)生信息泄露風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。

圖2信息安全風(fēng)險(xiǎn)感知計(jì)算框架

（1）異常行為數(shù)據(jù)采集分析

網(wǎng)絡(luò)異常行為數(shù)據(jù)的獲取主要是在分布式架構(gòu)的系統(tǒng)上組件HBase集群，使用專(zhuān)門(mén)的設(shè)備進(jìn)行采集，這種方式有助于獲取穩(wěn)定的數(shù)據(jù)傳輸和進(jìn)行可靠的計(jì)算。在采集的數(shù)據(jù)存在大量冗余且數(shù)據(jù)之間關(guān)聯(lián)性模糊時(shí)，可采用歸一化、數(shù)據(jù)降維等算法對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，協(xié)助發(fā)現(xiàn)數(shù)據(jù)之間的隱含特征和關(guān)聯(lián)關(guān)系。同時(shí)利用常用的大數(shù)據(jù)挖掘算法（貝葉斯、神經(jīng)網(wǎng)絡(luò)、關(guān)系網(wǎng)絡(luò)等）挖掘數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，該方法可在不需要任何先驗(yàn)知識(shí)的情況下提高異常檢測(cè)效率，可協(xié)助管理人員發(fā)現(xiàn)異常行為數(shù)據(jù)之間的關(guān)聯(lián)，提高信息安全風(fēng)險(xiǎn)識(shí)別效率和效果。

（2）安全風(fēng)險(xiǎn)值計(jì)算與等級(jí)劃分

信息安全風(fēng)險(xiǎn)管控主要是對(duì)風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)值大小、影響程度等進(jìn)行管控。因此提出一種信息資產(chǎn)安全風(fēng)險(xiǎn)值計(jì)算法，定性與定量相結(jié)合進(jìn)行統(tǒng)計(jì)計(jì)算安全事件發(fā)生的可能性、損失度和風(fēng)險(xiǎn)值，并對(duì)風(fēng)險(xiǎn)值對(duì)應(yīng)的風(fēng)險(xiǎn)程度進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分，依據(jù)正比關(guān)系確定網(wǎng)絡(luò)威脅出現(xiàn)頻率。本方法作為信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的方法嘗試，其結(jié)果能夠反映信息系統(tǒng)資產(chǎn)當(dāng)前風(fēng)險(xiǎn)狀況，協(xié)助管理人員較快識(shí)別出信息系統(tǒng)存在的風(fēng)險(xiǎn)點(diǎn)。

（3）風(fēng)險(xiǎn)實(shí)時(shí)定位和智能感知

在信息存儲(chǔ)系統(tǒng)中，采用全文檢索方式，基于索引復(fù)制技術(shù)提高索引查詢(xún)可靠性，基于索引分片與假設(shè)推理模型提高信息查詢(xún)的及時(shí)響應(yīng)能力，靈活展示檢索結(jié)果。采用GIS快速定位和UML時(shí)序場(chǎng)景分析技術(shù)，實(shí)時(shí)定位信息安全風(fēng)險(xiǎn)發(fā)生位置以及系統(tǒng)存在的漏洞位置。信息風(fēng)險(xiǎn)智能感知是對(duì)影響信息安全的諸多要素進(jìn)行獲取、理解、評(píng)估及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)，是對(duì)信息安全定量分析的一種精細(xì)度量手段。在風(fēng)險(xiǎn)智能感知的各個(gè)階段，可采用數(shù)據(jù)融合、循環(huán)對(duì)抗與假設(shè)推理模型進(jìn)行風(fēng)險(xiǎn)的感知、理解與預(yù)測(cè)。

（4）異常風(fēng)險(xiǎn)的可視化與動(dòng)態(tài)交互

為了實(shí)現(xiàn)異常信息風(fēng)險(xiǎn)的可視化動(dòng)態(tài)展示和實(shí)時(shí)交互，直觀展示信息安全態(tài)勢(shì)和了解信息安全狀況，以及為風(fēng)險(xiǎn)阻斷和策略制定提供輔助，在異常風(fēng)險(xiǎn)可視化展示過(guò)程中，充分運(yùn)用大數(shù)據(jù)分析和可視化展示技術(shù)，利用信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)與網(wǎng)絡(luò)環(huán)境下的風(fēng)險(xiǎn)融合技術(shù)，研究網(wǎng)絡(luò)環(huán)境下的信息安全風(fēng)險(xiǎn)態(tài)勢(shì)可視化。

研究基于縮放設(shè)置、視點(diǎn)控制、視覺(jué)焦點(diǎn)、上下文調(diào)整、動(dòng)態(tài)查找、關(guān)聯(lián)更新等交互技術(shù)，實(shí)現(xiàn)異常風(fēng)險(xiǎn)可視化大屏的動(dòng)態(tài)交互管理；研究基于圖形化的氣泡圖、軌跡圖、地形圖的映射追蹤技術(shù)應(yīng)用于異常風(fēng)險(xiǎn)特征、系統(tǒng)風(fēng)險(xiǎn)漏洞和安全保護(hù)措施等方面之間的映射關(guān)系發(fā)現(xiàn)；研究基于層次關(guān)系的樹(shù)形圖、維嵌套技術(shù)等應(yīng)用于異常信息風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)、響應(yīng)和處置過(guò)程的層次化管理。

3.2信息安全風(fēng)險(xiǎn)主動(dòng)防御

隨著科學(xué)技術(shù)的發(fā)展，網(wǎng)絡(luò)黑客的非法攻擊和入侵手段越來(lái)越趨向高級(jí)化、隱蔽化、精細(xì)化、定制化，其危害性也非常大，嚴(yán)重?fù)p害經(jīng)濟(jì)發(fā)展和破壞社會(huì)穩(wěn)定。如果能夠建立如圖3所示的大數(shù)據(jù)在風(fēng)險(xiǎn)主動(dòng)防御上的應(yīng)用框架，通過(guò)實(shí)時(shí)跟蹤網(wǎng)上數(shù)據(jù)來(lái)檢測(cè)各種類(lèi)型的非法入侵活動(dòng)，提前采取主動(dòng)防御措施，對(duì)黑客實(shí)施的攻擊進(jìn)行主動(dòng)識(shí)別、報(bào)警和響應(yīng)，能夠及時(shí)發(fā)現(xiàn)潛在的威脅，提供安全分析與趨勢(shì)預(yù)測(cè)，加強(qiáng)應(yīng)對(duì)信息安全威脅的處理能力，達(dá)到對(duì)網(wǎng)絡(luò)攻擊進(jìn)行提前預(yù)警和精準(zhǔn)防控的效果。

圖3大數(shù)據(jù)在風(fēng)險(xiǎn)主動(dòng)防御上的應(yīng)用框架

（1）網(wǎng)絡(luò)異常攻擊行為檢測(cè)

一般來(lái)說(shuō)，網(wǎng)絡(luò)設(shè)備故障、流量異常突變、可疑訪(fǎng)問(wèn)行為等都屬于網(wǎng)絡(luò)異常行為，不同程度上危害著公共信息安全。網(wǎng)絡(luò)異常行為攻擊檢測(cè)主要是通過(guò)建立網(wǎng)絡(luò)異常行為檢測(cè)模型以檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中偏離正常行為模式的行為和違背規(guī)則制度的行為。大數(shù)據(jù)技術(shù)為異常行為檢測(cè)的精確性、及時(shí)性和自動(dòng)化性能提供了保障，例如利用數(shù)據(jù)采集引擎可實(shí)現(xiàn)海量網(wǎng)絡(luò)日志與行為等數(shù)據(jù)的實(shí)時(shí)采集，采用統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)等方法可自動(dòng)進(jìn)行異常行為建模與檢測(cè)，利用深度學(xué)習(xí)技術(shù)可自動(dòng)準(zhǔn)確提煉異常行為數(shù)據(jù)特征等，極大地降低了對(duì)人工操作的依賴(lài)程度。

（2）信息安全威脅協(xié)同檢測(cè)

由于現(xiàn)在的信息安全威脅技術(shù)越來(lái)越復(fù)雜、高級(jí)且呈現(xiàn)低頻率特征，導(dǎo)致現(xiàn)有利用機(jī)器學(xué)習(xí)與深度學(xué)習(xí)技術(shù)建立的信息安全威脅檢測(cè)模型無(wú)法獲得足夠的數(shù)據(jù)樣本進(jìn)行學(xué)習(xí)訓(xùn)練與特征提取，因此提出信息安全威脅協(xié)同檢測(cè)技術(shù)，提煉信息安全威脅情報(bào)中的多維度信息，結(jié)合每個(gè)維度的信息結(jié)構(gòu)和含義，實(shí)現(xiàn)海量多源易購(gòu)數(shù)據(jù)的關(guān)聯(lián)和融合，并在此基礎(chǔ)上構(gòu)建信息安全威脅行為聚類(lèi)模型，將與實(shí)際威脅具有較高相似程度的威脅行為進(jìn)行推薦，該方法的應(yīng)用使得網(wǎng)絡(luò)威脅檢測(cè)準(zhǔn)確度和及時(shí)性得到極大提高。

（3）信息安全實(shí)時(shí)審計(jì)追蹤

網(wǎng)絡(luò)審計(jì)追蹤主要是由網(wǎng)絡(luò)安全管理員來(lái)記錄和分析由于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和用戶(hù)活動(dòng)中所產(chǎn)生的信息安全事件，從而協(xié)助及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患問(wèn)題。由于傳統(tǒng)審計(jì)追蹤技術(shù)通常是在離線(xiàn)狀態(tài)下進(jìn)行，且技術(shù)更新較慢，無(wú)法滿(mǎn)足當(dāng)前安全防護(hù)需要，因此考慮用大數(shù)據(jù)技術(shù)協(xié)助進(jìn)行追蹤檢測(cè)。通過(guò)搜集用戶(hù)歷史行為數(shù)據(jù)進(jìn)行建模分析，可實(shí)現(xiàn)用戶(hù)對(duì)系統(tǒng)使用情況、使用行為和使用特征的實(shí)時(shí)智能監(jiān)測(cè)，并且在觀測(cè)到異常行為數(shù)據(jù)時(shí)，能夠發(fā)起報(bào)警并保持跟蹤監(jiān)測(cè)狀態(tài)。

（4）復(fù)雜網(wǎng)絡(luò)威脅精準(zhǔn)預(yù)測(cè)

復(fù)雜網(wǎng)絡(luò)威脅通常指由多個(gè)單獨(dú)威脅組合成系統(tǒng)威脅的過(guò)程，這些威脅之間存在選擇關(guān)系、依賴(lài)關(guān)系和并列關(guān)系，預(yù)測(cè)復(fù)雜網(wǎng)絡(luò)威脅具有非常大的挑戰(zhàn)。在網(wǎng)絡(luò)威脅態(tài)勢(shì)日益嚴(yán)峻且更加隱蔽、難以監(jiān)測(cè)的背景之下，迫切需要使用更加精確、高效的方法來(lái)預(yù)測(cè)復(fù)雜網(wǎng)絡(luò)威脅。依托于大數(shù)據(jù)和云計(jì)算技術(shù)的快速發(fā)展，獲取和存儲(chǔ)來(lái)自不同領(lǐng)域與不同類(lèi)型的大量網(wǎng)絡(luò)威脅信息，基于機(jī)器學(xué)習(xí)、關(guān)系網(wǎng)絡(luò)、NLP等技術(shù)，結(jié)合網(wǎng)絡(luò)協(xié)議反向分析和數(shù)據(jù)流處理技術(shù)，聯(lián)合分析各類(lèi)威脅行為、威脅情報(bào)、告警信息等，提高對(duì)未來(lái)網(wǎng)絡(luò)威脅的精準(zhǔn)預(yù)測(cè)率。

3.3信息安全態(tài)勢(shì)智能監(jiān)測(cè)

信息安全態(tài)勢(shì)感知是當(dāng)前保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的重要手段和重點(diǎn)發(fā)展方向，促進(jìn)網(wǎng)絡(luò)安全維護(hù)由“被動(dòng)修護(hù)”向“主動(dòng)防御”變革。信息安全態(tài)勢(shì)感知主要是從網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、安全設(shè)備等機(jī)器設(shè)備中采集各類(lèi)網(wǎng)絡(luò)安全事件數(shù)據(jù)及關(guān)聯(lián)數(shù)據(jù)，例如安全日志、監(jiān)控報(bào)警、網(wǎng)絡(luò)流量、威脅情報(bào)等，通過(guò)處理、挖掘、可視化，評(píng)估當(dāng)前網(wǎng)絡(luò)信息安全狀態(tài)、主要威脅并預(yù)測(cè)發(fā)展趨勢(shì)，為網(wǎng)絡(luò)信息安全的防護(hù)提供指導(dǎo)和決策意見(jiàn)。

（1）海量多源異構(gòu)數(shù)據(jù)匯聚融合

在多種網(wǎng)絡(luò)安全設(shè)備和應(yīng)用系統(tǒng)中會(huì)產(chǎn)生多種不同類(lèi)型的流量數(shù)據(jù)、日志數(shù)據(jù)等，這些數(shù)據(jù)一般缺乏統(tǒng)一的數(shù)據(jù)處理標(biāo)準(zhǔn)，數(shù)據(jù)之間的孤立特性導(dǎo)致挖掘數(shù)據(jù)之間的關(guān)聯(lián)性和價(jià)值存在一定的困難。海量多源異構(gòu)數(shù)據(jù)的關(guān)聯(lián)融合是信息安全態(tài)勢(shì)感知的基礎(chǔ)，通過(guò)對(duì)PB量級(jí)數(shù)據(jù)的采集匯聚、深度融合與格式化存儲(chǔ)管理，并采用關(guān)系拓展、群體聚類(lèi)等大數(shù)據(jù)技術(shù)挖掘數(shù)據(jù)間的關(guān)聯(lián)特性和潛在價(jià)值，為網(wǎng)絡(luò)安全分析、態(tài)勢(shì)感知與決策提供靈活可靠、高效穩(wěn)定的數(shù)據(jù)支撐。

（2）多類(lèi)型信息安全威脅評(píng)估

多類(lèi)型信息安全威脅評(píng)估主要是對(duì)網(wǎng)絡(luò)中的流量、代碼、報(bào)文、域名等進(jìn)行多層次檢測(cè)評(píng)估，挖掘各種網(wǎng)絡(luò)威脅和異常攻擊行為。大數(shù)據(jù)一方面提供可用于協(xié)助精確評(píng)估各種威脅的方法技術(shù)，例如利用關(guān)聯(lián)分析、聚類(lèi)分析法協(xié)助發(fā)現(xiàn)其它類(lèi)型的關(guān)聯(lián)網(wǎng)絡(luò)威脅，通過(guò)相關(guān)性檢驗(yàn)補(bǔ)充各類(lèi)網(wǎng)絡(luò)威脅源，并基于對(duì)歷史數(shù)據(jù)的統(tǒng)計(jì)建模實(shí)現(xiàn)對(duì)未知威脅和漏洞的檢測(cè)。另一方面，大數(shù)據(jù)可支持構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)畫(huà)像，在準(zhǔn)確評(píng)估當(dāng)前安全態(tài)勢(shì)的同時(shí)全面刻畫(huà)各種網(wǎng)絡(luò)攻擊者的身份、行為、意圖信息等，協(xié)助進(jìn)行各種網(wǎng)絡(luò)攻擊事件的追蹤溯源。

（3）安全態(tài)勢(shì)評(píng)估與決策支撐

以保障網(wǎng)絡(luò)信息數(shù)據(jù)的安全穩(wěn)定為目標(biāo)，采集融合各類(lèi)網(wǎng)絡(luò)威脅情報(bào)和攻擊事件等安全數(shù)據(jù)信息來(lái)為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與決策服務(wù)。為了挖掘信息安全事件之間的關(guān)聯(lián)關(guān)系，在全網(wǎng)信息安全數(shù)據(jù)融合后采用知識(shí)圖譜技術(shù)構(gòu)建人—物—地—事—關(guān)系的多維網(wǎng)絡(luò)安全態(tài)勢(shì)圖譜：以“人”的視角分析網(wǎng)絡(luò)攻擊者的真實(shí)身份、行為意圖、心理特征與團(tuán)伙關(guān)系等；以“物”的視角分析網(wǎng)絡(luò)攻擊的主要過(guò)程、工具、被攻擊目標(biāo)等；以“地”的視角挖掘攻擊者的行蹤軌跡、活動(dòng)區(qū)域等；以“事”的視角分析攻擊事件、事件類(lèi)型、事件狀態(tài)等；基于“關(guān)系”的角度評(píng)估攻擊事件之間的相似關(guān)系、同源關(guān)系等。

（4）信息安全態(tài)勢(shì)可視化

信息安全態(tài)勢(shì)可視化主要分為安全數(shù)據(jù)與安全態(tài)勢(shì)可視化，主要通過(guò)態(tài)勢(shì)感知圖來(lái)體現(xiàn)。態(tài)勢(shì)可視化主要包括數(shù)據(jù)變換、圖像映射、視圖優(yōu)化：數(shù)據(jù)變換主要將信息安全數(shù)據(jù)進(jìn)行處理后存儲(chǔ)于數(shù)據(jù)表中，基于數(shù)據(jù)之間的相關(guān)性存儲(chǔ)數(shù)據(jù)關(guān)系表；圖像映射將數(shù)據(jù)表轉(zhuǎn)換為對(duì)應(yīng)圖像的結(jié)構(gòu)和屬性；視圖優(yōu)化通過(guò)調(diào)整圖像的像素大小、顏色類(lèi)型、坐標(biāo)位置等圖像參數(shù)設(shè)置來(lái)優(yōu)化視圖，最終形成信息安全態(tài)勢(shì)可視化展示圖，如圖4所示。

圖4公共信息安全可視化監(jiān)測(cè)展示

3.4安全風(fēng)險(xiǎn)信息回溯升級(jí)

信息安全風(fēng)險(xiǎn)行為路徑溯源指通過(guò)網(wǎng)絡(luò)中信息安全事件的特征還原攻擊手法并最終追溯出攻擊者的過(guò)程，其目的在于回溯攻擊者和徹查薄弱點(diǎn)。攻擊溯源主要分為過(guò)程溯源和網(wǎng)路溯源兩部分。過(guò)程溯源最后輸出的結(jié)果是攻擊的整體步驟，用于展現(xiàn)主要攻擊過(guò)程以及攻擊者是誰(shuí)、目的是什么。網(wǎng)絡(luò)溯源最后輸出的結(jié)果是網(wǎng)絡(luò)拓?fù)鋱D，用于展現(xiàn)攻擊手段和攻擊工具?；谧銐颉⑼晟频陌踩录婢敵鰯?shù)據(jù)可實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)的攻擊溯源，攻擊者的社會(huì)屬性和地理位置則依賴(lài)于異常行為信息的提取和挖掘。

（1）網(wǎng)絡(luò)攻擊推演

網(wǎng)絡(luò)攻擊推演主要為網(wǎng)絡(luò)攻擊場(chǎng)景構(gòu)建和攻擊過(guò)程的推演，包括形式化的描述刻畫(huà)網(wǎng)絡(luò)攻擊事件的推演過(guò)程，挖掘攻擊元素與被攻擊元素的相關(guān)關(guān)系，研究不同攻擊因子下受害因子的狀態(tài)變化等?；诖髷?shù)據(jù)技術(shù)進(jìn)行單一攻擊事件與多個(gè)攻擊事件的過(guò)程推演模擬，有助于為未來(lái)應(yīng)對(duì)各類(lèi)攻擊事件威脅提供實(shí)驗(yàn)數(shù)據(jù)、基礎(chǔ)策略等支撐服務(wù)，更好地凈化互聯(lián)網(wǎng)環(huán)境。

（2）網(wǎng)絡(luò)拓?fù)溥€原與挖掘

網(wǎng)絡(luò)拓?fù)溥€原技術(shù)可在網(wǎng)絡(luò)安全監(jiān)控和流量分析中得到廣泛應(yīng)用，既能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)現(xiàn)狀的清晰還原，也能支持配置分析、遠(yuǎn)程掃描、流量分析、事件分析等多種方式實(shí)現(xiàn)未知資產(chǎn)發(fā)現(xiàn)與核查等能力。網(wǎng)絡(luò)拓?fù)溥€原技術(shù)可實(shí)現(xiàn)在已知若干端系統(tǒng)節(jié)點(diǎn)的情況下，還原出對(duì)網(wǎng)絡(luò)全部節(jié)點(diǎn)和鏈路信息。在復(fù)雜、規(guī)模龐大的網(wǎng)絡(luò)中實(shí)時(shí)準(zhǔn)確測(cè)量信息系統(tǒng)的性能，可結(jié)合大數(shù)據(jù)技術(shù)進(jìn)行網(wǎng)絡(luò)性能測(cè)量，進(jìn)一步挖掘出網(wǎng)絡(luò)行為規(guī)律，以實(shí)現(xiàn)網(wǎng)絡(luò)異常檢測(cè)與分析，同時(shí)可協(xié)助進(jìn)行信息系統(tǒng)的安全運(yùn)營(yíng)管理，維護(hù)信息系統(tǒng)安全。

（3）異常行為攻擊溯源

根據(jù)異常行為在各時(shí)期的不同特征制定不同的異常行為攻擊路徑溯源算法，攻擊區(qū)域可劃分為攻擊者、攻擊來(lái)源、內(nèi)部薄弱點(diǎn)和攻擊目標(biāo)，這些區(qū)域可分別依靠異常行為鎖定攻擊者、遞歸進(jìn)行內(nèi)外網(wǎng)分類(lèi)篩選攻擊來(lái)源、遞歸進(jìn)行攻擊范圍和攻擊類(lèi)型內(nèi)部薄弱點(diǎn)、人工或通過(guò)資產(chǎn)健康度等系統(tǒng)發(fā)現(xiàn)攻擊目標(biāo)。

（4）信息安全防護(hù)體系升級(jí)

信息安全防護(hù)體系的升級(jí)有助于極大地減少網(wǎng)絡(luò)攻擊的類(lèi)型和數(shù)量，并減少各種網(wǎng)絡(luò)攻擊的活動(dòng)時(shí)間和活動(dòng)范圍。大數(shù)據(jù)技術(shù)對(duì)信息安全防護(hù)體系的升級(jí)具有非常重要的意義，例如可基于對(duì)內(nèi)外部異常行為信息的挖掘分析各類(lèi)風(fēng)險(xiǎn)事件之間的關(guān)聯(lián)關(guān)系和共性特征，實(shí)現(xiàn)安全防護(hù)系統(tǒng)的風(fēng)險(xiǎn)自動(dòng)預(yù)警與異常告警；基于戰(zhàn)略類(lèi)、戰(zhàn)術(shù)類(lèi)信息內(nèi)容確定產(chǎn)生風(fēng)險(xiǎn)的可能性、防御必要性及防護(hù)影響，形成檢測(cè)類(lèi)、監(jiān)測(cè)類(lèi)和防護(hù)類(lèi)等安全設(shè)備自動(dòng)化升級(jí)規(guī)則。

04、公共信息安全的未來(lái)發(fā)展趨勢(shì)

目前，在基礎(chǔ)理念、技術(shù)研究和產(chǎn)品開(kāi)發(fā)等方面，公共信息安全已經(jīng)取得了卓越的進(jìn)步。從信息安全所涉及的大到國(guó)家、小到個(gè)人，無(wú)論是政治、經(jīng)濟(jì)、體制還是社會(huì)工程等范疇，公共信息安全行業(yè)都將是十分具有發(fā)展前途的行業(yè)，必將為我國(guó)社會(huì)各行業(yè)可持續(xù)發(fā)展保駕護(hù)航。展望未來(lái)，新一輪科技革命和產(chǎn)業(yè)變革加速演進(jìn)，復(fù)雜嚴(yán)峻的公共信息安全風(fēng)險(xiǎn)和威脅，使得關(guān)鍵基礎(chǔ)信息設(shè)施和公共信息安全維護(hù)面臨全新的風(fēng)險(xiǎn)和挑戰(zhàn)，為了應(yīng)對(duì)這些風(fēng)險(xiǎn)挑戰(zhàn)，大數(shù)據(jù)技術(shù)被綜合運(yùn)用到公共信息安全防護(hù)的各個(gè)領(lǐng)域當(dāng)中。

4.1人工智能助力公共信息安全新生態(tài)

“人工智能是引領(lǐng)這一輪科技革命和產(chǎn)業(yè)變革的戰(zhàn)略性技術(shù)，具有溢出帶動(dòng)性很強(qiáng)的‘頭雁’效應(yīng)。”習(xí)近平總書(shū)記強(qiáng)調(diào)，贏得全球科技競(jìng)爭(zhēng)主動(dòng)權(quán)的重要戰(zhàn)略是加快發(fā)展新一代人工智能。

在AI技術(shù)呈現(xiàn)快速升級(jí)態(tài)勢(shì)，AI產(chǎn)業(yè)也隨之爆發(fā)，以人工智能為基礎(chǔ)的信息安全防護(hù)應(yīng)用已成為我國(guó)公共信息安全產(chǎn)業(yè)發(fā)展的重點(diǎn)方向。由于網(wǎng)絡(luò)攻擊是不斷演變的，信息安全防御過(guò)程中經(jīng)常需要面臨先前未知類(lèi)型的惡意攻擊。

而人工智能技術(shù)可憑借其強(qiáng)大的大規(guī)模運(yùn)算能力迅速排查篩選數(shù)百萬(wàn)次事件，以便發(fā)現(xiàn)各種異常行為、風(fēng)險(xiǎn)和威脅的信號(hào)，進(jìn)行事前預(yù)警。特別是在發(fā)現(xiàn)和阻止黑客入侵信息系統(tǒng)、預(yù)防惡意軟件和文件被執(zhí)行、提高安全運(yùn)營(yíng)中心的運(yùn)營(yíng)效率，實(shí)時(shí)網(wǎng)絡(luò)異常監(jiān)測(cè)、檢測(cè)惡意移動(dòng)應(yīng)用等關(guān)鍵創(chuàng)新領(lǐng)域，成為AI信息安全防護(hù)的突破口。

4.2 IT和OT加速融合加強(qiáng)信息安全防護(hù)

IT與OT網(wǎng)絡(luò)的連接促進(jìn)了工業(yè)控制系統(tǒng)發(fā)展空間的拓展，但也逐漸爆發(fā)出各種信息安全問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為信息安全防護(hù)提供技術(shù)基礎(chǔ)，再與管理手段和傳統(tǒng)工業(yè)技術(shù)相結(jié)合，通過(guò)IT與OT的結(jié)合建立全方位信息防御體系，在此方式下制定的信息安全解決方案是符合實(shí)際且較為適宜的。

當(dāng)前企業(yè)一般傾向于推進(jìn)生產(chǎn)執(zhí)行系統(tǒng)，完成工業(yè)控制網(wǎng)絡(luò)和信息管理網(wǎng)絡(luò)之間的數(shù)據(jù)交換與系統(tǒng)集成，實(shí)現(xiàn)企業(yè)生產(chǎn)管理的高收益與高效率。因此，原本封閉的OT系統(tǒng)利用管理系統(tǒng)與互聯(lián)網(wǎng)互聯(lián)互通，互聯(lián)網(wǎng)側(cè)帶來(lái)的各類(lèi)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)也隨之而來(lái)。在此情況下，企業(yè)做好信息安全防護(hù)，重視IT與OT融合的安全成為重中之重。

4.3情報(bào)分析共享構(gòu)筑威脅情報(bào)生態(tài)圈

在各種新型的網(wǎng)絡(luò)安全威脅下，威脅情報(bào)的出現(xiàn)推動(dòng)了被動(dòng)響應(yīng)式的安全防護(hù)模式逐漸轉(zhuǎn)變?yōu)槿^(guò)程的主動(dòng)智能響應(yīng)。由于情報(bào)信息采集工作的分散性導(dǎo)致信息孤島的存在，搜集情報(bào)的成本隨之加大，情報(bào)數(shù)據(jù)在各組織間的流動(dòng)性也較差，健康高效的威脅情報(bào)生態(tài)系統(tǒng)構(gòu)建存在障礙。只有提高公共安全信息的連通和共享程度，推動(dòng)各信息系統(tǒng)的協(xié)同互助，才能提高各類(lèi)網(wǎng)絡(luò)安全威脅情報(bào)及時(shí)檢測(cè)與應(yīng)急響應(yīng)的實(shí)力。

為了構(gòu)建健康、高效的網(wǎng)絡(luò)威脅情報(bào)生態(tài)圈，需要考慮自身的實(shí)際安全需求與業(yè)務(wù)流程需要，積極采用大數(shù)據(jù)、人工智能、云計(jì)算等先進(jìn)前沿技術(shù)，建立網(wǎng)絡(luò)威脅和漏洞深度檢測(cè)與分析系統(tǒng)，深度挖掘和評(píng)估潛在的安全風(fēng)險(xiǎn)，針對(duì)各種預(yù)警風(fēng)險(xiǎn)提前部署高效可控的應(yīng)急響應(yīng)策略，共同構(gòu)建智能高效的威脅情報(bào)感知、共享與分析機(jī)制。

4.4以攻促防提升信息安全防護(hù)能力

在企業(yè)公共信息安全防護(hù)與應(yīng)急處置領(lǐng)域，實(shí)戰(zhàn)攻防演練是非常必要的，“以攻促防”具有非常重要的實(shí)踐價(jià)值。“攻”表現(xiàn)為采用不同手段流程對(duì)軟硬件與系統(tǒng)配置的惡意攻擊進(jìn)行模擬，以檢測(cè)目前安全防護(hù)措施的不足之處；“防”表現(xiàn)為防護(hù)網(wǎng)絡(luò)系統(tǒng)設(shè)備安全、網(wǎng)絡(luò)數(shù)據(jù)安全等，并定期修護(hù)網(wǎng)絡(luò)漏洞等措施。

日常實(shí)戰(zhàn)攻防演練可以協(xié)助防護(hù)人員及時(shí)發(fā)現(xiàn)并修護(hù)企業(yè)重要基礎(chǔ)設(shè)施存在的安全漏洞，促使企業(yè)信息安全防護(hù)、組織指揮、應(yīng)急響應(yīng)、通報(bào)預(yù)警、快速協(xié)同等能力得到提升，實(shí)現(xiàn)系統(tǒng)漏洞與故障的快速定位、快速業(yè)務(wù)系統(tǒng)恢復(fù)。

05、結(jié)語(yǔ)

在科學(xué)技術(shù)水平不斷發(fā)展的今天，信息安全系統(tǒng)日新月異，加強(qiáng)公共信息安全的維護(hù)成為社會(huì)公眾的迫切需求之一，因此加快構(gòu)建能夠有效適應(yīng)前期、中期、后期全周期的安全監(jiān)測(cè)管理體系極為必要。本文圍繞大數(shù)據(jù)在信息安全風(fēng)險(xiǎn)精確感知、風(fēng)險(xiǎn)主動(dòng)防御、態(tài)勢(shì)智能監(jiān)測(cè)和風(fēng)險(xiǎn)信息回溯升級(jí)四個(gè)方面的應(yīng)用技術(shù)，提出的“四級(jí)”信息安全監(jiān)測(cè)管理體系，具有一定的實(shí)踐意義。未來(lái)，我們將會(huì)在此基礎(chǔ)上，繼續(xù)推動(dòng)大數(shù)據(jù)在信息安全領(lǐng)域的應(yīng)用演化。