行业大数据有哪些安全风险

一、安全大数据

行业大数据有哪些安全风险

文章插图
 
网际空间安全面临的威胁越来越多样化 。移动网络、云和虚拟化、物 联网、工控系统等技术领域的快速发展,使得保护对象和攻击路径都变得 更加复杂 。而攻击来源也从早期的个人黑客变为犯罪团伙、政治势力、网 络部队等更严密的组织 。甚至大数据技术本身也被攻击者所利用 。能够应 对核威慑的,只有核威慑本身;能够应对大数据攻击技术的,也只有大数据安全技术 。目前安全行业的大数据应用场景主要包括:网络安全态势感知、高级持续威胁检测、伪基站发现与追踪、反钓鱼攻击 。
1、网络安全态势感知 。近年来,网络安全事件层出不穷,传统安全防御措施很难及时、有效的发现安全威胁 。这就需要依靠互联网的海量安全数据,解决网络安全监控的问题,通过大数据技术对这些安全要素信息进行分析,全面、精准的掌握网络安全状态,并以可视化的方式,向网络安全监管单位提供所属管辖范围内的实时感知,同时针对安全隐患提供通报等手段帮助监管单位完 成安全监控的闭环,从而改变当前“黑客主动攻击、企业被动防御”的局面 。
态势感知技术这一概念源于美国空军的研究,此后在核反应控制、 空中交通监管及医疗应急调度等领域被广泛应用 。在安全领域,该技术是指广泛采集和收集广域网中的安全状态和事件信息,并加以处理、分析和展现,从而明确当前网络的总体安全状况,为大范围的预警和响应提供决 策支持的技术 。态势感知技术主要是应对大范围广谱威胁,相关的技术包 大数据安全标准化 38 括海量异构数据分析、深度学习、网络综合度量指标、网络测绘、威胁情 报、知识图谱、安全可视化等 。
2、高级持续威胁检测 。高级持续性威胁具有精心伪装、定点攻击、长期潜伏、持续渗透等特 点,已经成为网络犯罪和间谍活动的首选攻击方式 。过去针对特定网络APT 定向攻击的发现有两个难点:一是未知威胁分析过程缺少对历史数据的支 持,难以进行回溯关联,遗漏了很多关键信息;二是缺少外部情报的来源,只依赖于自有的黑域名/黑IP库,检测的精度和效率都难以满足需求 。
采用大数据技术,从两方面搜集数据:一是来自于互联网威胁情报 云平台的威胁情报数据,二是来自于本地运营商互联网出口监控到的网络 流量数据 。基于上述的海量安全数据,可以通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编 码风格和不同攻击原理的同源木马程序,恶意服务器等,通过全貌特征跟踪攻击者,持续地发现未知威胁 。
行业大数据有哪些安全风险

文章插图
 
通过对云端大数据中提取的恶意域名、IP、主防库、样本库等信息进行关联分析,发现传统规则检测手段无法发 现的未知威胁,实现攻击早期的快速发现 。根据样本外连行为识别免杀木 马,实现早期的快速发现 。对未知威胁的网络行为,攻击源头进行精准定 位,对远控木马等行为进行威胁的识别,最终达到对入侵途径及攻击者背 景的研判与溯源 。
3、伪基站发现与追踪 。伪基站是一种小型或微型的信号收发装置,和运营商的真实基站类似,能够获取周围的手机与基站的设备信息,通过模拟真实基站通信机制,迫使周围的手机连接到该仿冒的基站上,向普通用户发送垃圾短信,甚至冒用号码,群发诈骗信息 。采用大数据技术,则可以极大提高发现伪基站的能力和效率,并可以及时阻断诈骗短信中的钓鱼链接,打破诈骗链条 。具体包括以下步骤:第 白皮书 (2017)一,通过手机用户举报垃圾短信,或者通过手机专业软件主动拦截并上报 垃圾短信,大量收集伪基站短信中包含的时间、地点、内容、仿冒的基站 号等各种信息 。
第二,在大数据处理平台中,运用自然语言处理与机器学习的方法,去掉大量的噪声点,从海量的垃圾短信中以较高的精度识别出 伪基站短信;第三,将伪基站短信与经纬度信息结合,就可以发现并定位伪基站;结合伪基站的历史数据,可以进一步找到伪基站的活动规律,并以此对其运动轨迹进行预判;第四,与地理信息系统联动,展现伪基站位置、伪基站的行为、历史运行路径、数量分布等等信息,从而帮助执法部 门的抓捕活动 。
行业大数据有哪些安全风险


推荐阅读