基于大數(shù)據(jù)與威脅情報的防御體系研究

黨超輝 馬志偉 邵國飛 李樹新 郭鎮(zhèn)鑫

在信息網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)風(fēng)險給使用者帶來了較大的困擾。基于大數(shù)據(jù)和威脅情報，對風(fēng)險因素予以描述和分析，能夠更好地保證網(wǎng)絡(luò)信息流轉(zhuǎn)的安全有效性。通過威脅情報來完成防御系統(tǒng)構(gòu)建，在大數(shù)據(jù)技術(shù)支持下，將安全防御做到及時、全面，是大數(shù)據(jù)時代必然的要求。

信息時代是社會發(fā)展的重要標(biāo)志，當(dāng)信息網(wǎng)絡(luò)存在不安全因素時，要積極利用技術(shù)手段予以防御，將風(fēng)險控制在一定范圍之內(nèi)，保障信息網(wǎng)絡(luò)環(huán)境的良性運行?；谕{情報的應(yīng)用廣泛、跟蹤緊密以及提供決策等特征，強化防御體系的實踐效果。

威脅情報

定義

威脅情報是基于信息技術(shù)領(lǐng)域發(fā)展出現(xiàn)的一種安全風(fēng)險情況報告，在威脅情報中包括了對不安全因素性質(zhì)的描述和指引等內(nèi)容。威脅情報屬于一種信息識別報告，威脅報告關(guān)系到信息安全防御體系的應(yīng)用，基于威脅情報的可靠分析，可以為信息網(wǎng)絡(luò)用戶提供重要的安全防御支持，威脅報告的應(yīng)對速度和效果會直接影響到信息體系的整體安全防御水平。威脅情報作為對信息風(fēng)險的一種描述，內(nèi)容必須全面、準(zhǔn)確、及時，這樣才具有信息安全價值。威脅情報的宗旨就是讓用戶能夠更好地受到保護，并基于威脅情報來采取具體的應(yīng)對措施。隨著大數(shù)據(jù)時代的到來，威脅情報基于大數(shù)據(jù)支持能夠完成威脅和防御2個層面的描述任務(wù)，對于信息數(shù)據(jù)用戶而言具有強力的安全支撐。威脅描述中要對風(fēng)險數(shù)據(jù)的來源、數(shù)量、類型等予以判斷，防御描述要對風(fēng)險數(shù)據(jù)的控制、隔離等路徑進行指導(dǎo)。

特點

1.應(yīng)用廣泛

威脅情報技術(shù)能夠適用于大多數(shù)的網(wǎng)絡(luò)信息環(huán)境，可以完成較多的防御功能，如風(fēng)險檢測、病毒隔離和漏洞彌補等。在防御體系構(gòu)建過程中，威脅情報可以參與到各個數(shù)據(jù)交互環(huán)節(jié)，同時對數(shù)據(jù)交互過程進行整體監(jiān)控，從而確保防御系統(tǒng)響應(yīng)的及時性。

2.跟蹤緊密

威脅情報能夠具體描述風(fēng)險因素，一個非常關(guān)鍵的點就是對這些風(fēng)險因素進行緊密跟蹤。利用威脅情報的跟蹤特點，可以結(jié)合防御系統(tǒng)來確定風(fēng)險來源的IP地址和實時動態(tài)等，使網(wǎng)絡(luò)用戶能夠全面有效地掌握信息環(huán)境的情況。

3.提供決策

威脅情報在提供防御決策方面具有極大的優(yōu)勢，基于對網(wǎng)絡(luò)信息環(huán)境的數(shù)據(jù)采集和分析，可以識別和判斷風(fēng)險類型，并基于大數(shù)據(jù)支持從數(shù)據(jù)庫中完成決策構(gòu)建，使系統(tǒng)防御體系具備更加智能和全面的應(yīng)對能力。

利用大數(shù)據(jù)分析威脅情報的技術(shù)

數(shù)據(jù)關(guān)聯(lián)技術(shù)

在威脅情報技術(shù)的應(yīng)用過程中，要加強與數(shù)據(jù)關(guān)聯(lián)技術(shù)的結(jié)合。通過數(shù)據(jù)關(guān)聯(lián)技術(shù)，可以在威脅情報描述的不同數(shù)據(jù)點之間建立關(guān)系，從而使威脅因素的特點和趨勢能夠被更好地獲悉。由于防御體系會覆蓋不同的硬件設(shè)備，不同的硬件設(shè)備中，數(shù)據(jù)存儲和記錄方式也存在差異?；跀?shù)據(jù)關(guān)聯(lián)技術(shù)，能夠?qū)⒉煌布O(shè)備進行數(shù)據(jù)風(fēng)險描述上的統(tǒng)一，這對于提高威脅情報描述的準(zhǔn)確性和高效性具有積極的價值。

交叉關(guān)聯(lián)技術(shù)

威脅情報防御體系構(gòu)建時，對于不同的安全風(fēng)險要素進行交叉分析，從而提煉風(fēng)險的特征。交叉關(guān)聯(lián)技術(shù)基于大數(shù)據(jù)技術(shù)角度，對于風(fēng)險要素之間的共通性予以總結(jié)，從而在完成風(fēng)險防御時，采用一種普遍有效的方式去應(yīng)對惡意攻擊或者安全漏洞。交叉關(guān)聯(lián)技術(shù)使得安全事件的描述不再獨立于一個方面，可以通過交叉關(guān)聯(lián)將系統(tǒng)運行的所有環(huán)節(jié)加以關(guān)聯(lián)，從而使風(fēng)險因素難以隱藏于大量的數(shù)據(jù)中，提高了防御體系對風(fēng)險數(shù)據(jù)的定位和捕捉。

統(tǒng)計關(guān)聯(lián)技術(shù)

統(tǒng)計關(guān)聯(lián)技術(shù)在安全防御中，可以強化威脅情報對風(fēng)險因素的檢測和判斷。統(tǒng)計關(guān)聯(lián)技術(shù)實施中，通過大數(shù)據(jù)調(diào)取和匯集各類數(shù)據(jù)內(nèi)容，將所有數(shù)據(jù)納入到一個統(tǒng)計層面予以分析，可以更好地發(fā)現(xiàn)風(fēng)險因素的規(guī)律。

時序關(guān)聯(lián)技術(shù)

威脅情報防御體系中，數(shù)據(jù)具有時序性特點，時序關(guān)聯(lián)技術(shù)能夠在風(fēng)險分析時，使大量的數(shù)據(jù)保持在一個序列中，這對于提高防御階段的控制具有重要作用。安全防御按照時序可以分為事前、事中和事后階段，時序關(guān)聯(lián)讓各個防御階段可以有機整合在一起，從而保證防御規(guī)則能夠被更好地落實在每個信息環(huán)節(jié)。

基于威脅情報的防御模型構(gòu)建

威脅情報防御體系模型構(gòu)建中，要做好模型動態(tài)分析。防御模型應(yīng)當(dāng)基于大數(shù)據(jù)技術(shù)和威脅情報技術(shù)，建立防御響應(yīng)機制。防御響應(yīng)機制能夠調(diào)動信息網(wǎng)絡(luò)系統(tǒng)的各個功能，當(dāng)防御模型識別到風(fēng)險因素后，會在系統(tǒng)功能模塊之間建立統(tǒng)一的處理方案，實現(xiàn)功能協(xié)同運作狀態(tài)，從而保證對風(fēng)險因素的防御全面有效，避免風(fēng)險漏洞的存在。

威脅情報防御體系中，要調(diào)動起所有的安全防御功能，如防火墻系統(tǒng)、殺毒軟件等，并通過技術(shù)關(guān)聯(lián)來強化安全實踐能力，在信息網(wǎng)絡(luò)環(huán)境中，保護安全數(shù)據(jù)不受干擾，阻截非法訪問或者惡意攻擊行為。在防御模型中發(fā)揮數(shù)據(jù)掃描作用，實時動態(tài)掃描可以在風(fēng)險描述中形成連續(xù)的記錄，對調(diào)整防御策略提供依據(jù)。對于非法訪問與惡意攻擊的防御，還要作出有效的預(yù)警，基于威脅情報體系，對存在侵害性威脅的程序內(nèi)容進行預(yù)警，提示系統(tǒng)各個功能進入防御狀態(tài)，可以降低對信息網(wǎng)絡(luò)環(huán)境的風(fēng)險。在威脅防御模型中，還要建立事后彌補措施，如將被刪改的數(shù)據(jù)文件進行快速準(zhǔn)確地恢復(fù)，對丟失的數(shù)據(jù)文件進行找回等，盡最大可能降低安全事件造成的損失。

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，在帶給人們便捷的同時，安全問題也集中凸顯。通過利用大數(shù)據(jù)與威脅情報技術(shù)構(gòu)建防御體系，能夠較好地應(yīng)對各種風(fēng)險侵害，保證信息網(wǎng)絡(luò)用戶的數(shù)據(jù)應(yīng)用安全。