安全大数据
网际空间安全面临的威胁越来越多样化。移动网络、云和虚拟化、物联网、工控系统等技术领域的快速发展,使得保护对象和攻击路径都变得更加复杂。而攻击来源也从早期的个人黑客变为犯罪团伙、政治势力、网络部队等更严密的组织。甚至大数据技术本身也被攻击者所利用。能够应对核威慑的,只有核威慑本身;能够应对大数据攻击技术的,也只有大数 据安全技术。目前安全行业的大数据应用场景主要包括等几类:
(一)网络安全态势感知
近年来,网络安全事件层出不穷,传统安全防御措施很难及时、有效的发现安全威胁。这就需要依靠互联网的海量安全数据,解决网络安全监控的问题,通过大数据技术对这些安全要素信息进行分析,全面、精准的掌握网络安全状态,并以可视化的方式,向网络安全监管单位提供所属管辖范围内的实时感知,同时针对安全隐患提供通报等手段帮助监管单位完成安全监控的闭环,从而改变当前“黑客主动攻击、企业被动防御”的局面。
态势感知技术这一概念源于美国空军的研究,此后在核反应控制、空中交通监管及医疗应急调度等领域被广泛应用。在安全领域,该技术是指广泛采集和收集广域网中的安全状态和事件信息,并加以处理、分析和展现,从而明确当前网络的总体安全状况,为大范围的预警和响应提供决策支持的技术。态势感知技术主要是应对大范围广谱威胁,相关的技术包括海量异构数据分析、深度学习、网络综合度量指标、网络测绘、威胁情 报、知识图谱、安全可视化等。
(二)高级持续威胁检测
高级持续性威胁具有精心伪装、定点攻击、长期潜伏、持续渗透等特点,已经成为网络犯罪和间谍活动的首选攻击方式。过去针对特定网络APT定向攻击的发现有两个难点:一是未知威胁分析过程缺少对历史数据的支持,难以进行回溯关联,遗漏了很多关键信息;二是缺少外部情报的来源,只依赖于自有的黑域名/黑IP库,检测的精度和效率都难以满足需求。采用大数据技术,从两方面搜集数据:一是来自于互联网威胁情报云平台的威胁情报数据,二是来自于本地运营商互联网出口监控到的网络流量数据。基于上述的海量安全数据,可以通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器等,通过全貌特征跟踪攻击者,持续地发现未知威胁。通过对云端大数据中提取的恶意域名、IP、主防库、样本库等信息进行关联分析,发现传统规则检测手段无法发现的未知威胁,实现攻击早期的快速发现。根据样本外连行为识别免杀木马,实现早期的快速发现。对未知威胁的网络行为,攻击源头进行精准定位,对远控木马等行为进行威胁的识别,最终达到对入侵途径及攻击者背景的研判与溯源。
(三)伪基站发现与追踪
伪基站是一种小型或微型的信号收发装置,和运营商的真实基站类似,能够获取周围的手机与基站的设备信息,通过模拟真实基站通信机制,迫使周围的手机连接到该仿冒的基站上,向普通用户发送垃圾短信,甚至冒用号码,群发诈骗信息。
采用大数据技术,则可以极大提高发现伪基站的能力和效率,并可以及时阻断诈骗短信中的钓鱼链接,打破诈骗链条。具体包括以下步骤:第一,通过手机用户举报垃圾短信,或者通过手机专业软件主动拦截并上报垃圾短信,大量收集伪基站短信中包含的时间、地点、内容、仿冒的基站号等各种信息;第二,在大数据处理平台中,运用自然语言处理与机器学习的方法,去掉大量的噪声点,从海量的垃圾短信中以较高的精度识别出伪基站短信;第三,将伪基站短信与经纬度信息结合,就可以发现并定位伪基站;结合伪基站的历史数据,可以进一步找到伪基站的活动规律,并以此对其运动轨迹进行预判;第四,与地理信息系统联动,展现伪基站位置、伪基站的行为、历史运行路径、数量分布等等信息,从而帮助执法部 门的抓捕活动。
(四)反钓鱼攻击
钓鱼攻击是一种利用社会工程学手段,伪装在线金融或交易平台的网站,针对客户个人身份数据和金融账号进行盗窃的犯罪行为。近些年来,钓鱼攻击相关的网银欺诈案件使得用户蒙受巨大的经济损失,也严重影响了银行业金融机构的声誉。据中国反钓鱼网站联盟发布的统计数据,在 2015 年 9 月,处理的钓鱼网站达 1531 个,涉及淘宝网、
最低0.47元/天 解锁文章
269
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
