金山信息港

当前位置:

大数据让网络攻击无所遁形

2019/04/25 来源:金山信息港

导读

通讯世界讯(CWW) 在2013中国互联安全大会上,绕不开的一个热点话题就是APT攻击。这类被称为高级持续性威逼(Advanced Pers

通讯世界讯(CWW) 在2013中国互联安全大会上,绕不开的一个热点话题就是APT攻击。这类被称为高级持续性威逼(Advanced Persistent Threat,APT)的络攻击手法已成为信息安全保障领域的巨大威逼。

APT攻击通常是经过周密策划和实行,针对特定对象进行长时间的、有计划的攻击,具有高度的隐蔽性。传统的安全措施对APT攻击往往很难防御,中国有句老话叫“不怕被贼偷,就怕贼惦记”正是这类行动的真实写照。

在大会上,有的专家明确表示APT攻击是不可能被有效防范的,但是也有更多的专家提出了一些创新性的解决方案。来自知道创宇科技的高级安全研究员林峰给安全界描绘了1幅美好的蓝图:利用大数据技术,防范APT攻击。

知道创宇科技高级安全研究员林峰在中国互联安全大会高峰论坛中发表演讲

从2009年开始,大数据就成为IT领域的热词。大数据乃至被认为是继信息化和互联后全部信息革命的又一次高峰。今天,大数据已经取代云计算、物联,成为当下络上火热的技术趋势,各种关于大数据的讨论层见叠出。

有专家指出,大数据带来了两个重要的变化:首先是数据量的爆炸式增长,近两年所产生的数据量相当于2010年之前全部人类文明产生的数据量总和;其次是数据来源的极大丰富,其中包括语音、视频、图像等非结构化数据所占比例逐渐增大。

事实上,大数据已经与我们的生活如影随形。微博上的社交关系,淘宝上的购物记录,GPS导航的移动数据,快递的物流信息……这些五花八门的数据包括了人们的各种行动细节,也同时记录了人们的大量的个人隐私。

不难看出,大数据时期的到来,给传统的络与信息安全带来了新的问题。大数据将安全带入了一个全新、复杂和综合的时期,不安全的那些蛛丝马迹在浩大数据的掩护下,正在地发起一次又一次的攻击。但是,凡事都有两面,人们常常耽忧的是大数据所带来的不安全性,但在林峰看来,大数据技术也是保障信息安全的利器。那么,究竟如何利用大数据来防御汹涌而至的络攻击?

众所周知,大数据有其四个特性,也就是4个V,分别是数据量(Volume)大,数据类型(Variety)复杂,数据处理速度(Valocity)快,以及数据价值(Value)高。林峰指出,很多人主要关注大数据的复杂和海量上,考虑大数据如何去存储、调度等。其实,大数据重要的一个纬度和特性是价值,大数据的价值在于分析,如果有几百T的数据仅仅是放在硬盘里,那这就是垃圾,没有任何价值。针对大数据需要做分析,分析才能产生价值。

美国《纽约时报》2012年的一篇专栏对大数据评论道:大数据时期已经降临。之所以成为大数据时期,不单是指数据量之大,更主要是指数据正在成为一种资产或生产资料。任何行业任何领域都会产生有价值的数据,而对这些数据的统计、分析、发掘则会创造意想不到的价值和财富。

知道创宇科技高级安全研究员林峰

林峰介绍说,基于这类大数据技术的发掘和分析,知道创宇科技已从攻击和防御两个维度做了6年多的积累。正是有了这些年的潜心研究,才能及时准确地捕捉到隐藏在络世界那一丝丝若隐若现的威逼。

黑客的嗅觉是极为灵敏的,反应也极其快速。根据林峰介绍的案例,当一个漏洞被发现,当天就会有攻击产生,当天就会有针对这个漏洞所开发的工具,大范围的攻击很快就会到达一个高峰,留给安全界的反应时间非常短。传统的监测方式,有限的保护人员,使得对这类攻击的防御常常是力不从心,常常是错失良机,只能事后亡羊补牢。

在会上林峰公布了一组数据:据知道创宇科技的统计, 2013年1月至6月,全国有190597个站被篡改,其中仅北京地区就有13075个,而另一方面,平均每天发现北京地区有2300多个站存在WebShell。

在这样一组数字眼前,人们可以真实的感受到络攻击的巨大压力。这个时候,大数据分析就开始展现出它的强大优势。

“络战争中,反恐贵。”林峰着重展示了这样一张图片。“我们不知道对手在哪里,用的什么样的武器,用的什么样的方法,在这类未知的情况下,络反恐的成本高昂。但是现在有了大数据,我们就可以摆脱被动等待的局面,可以对隐藏的敌人进行预测,可以守株待兔,乃至瓮中捉鳖。”

林峰强调,利用大数据技术可以做到真正的APT防御。

工欲善其事,必先利其器,林峰对此做了详细的解释。知道创宇科技多年专注于Web安全和大数据,依托自有的云平台,针对站和运用所存在的漏洞进行捕获、发掘、修复,同时对全球已产生的和正在产生的站攻击进行记录,包括黑客在什么样的时间,攻击什么样的站,乃至是使用什么样的攻击工具,有着什么样的配合。这些海量的数据经过多维度的自动整合与输出,生成了漏洞的支持库、比较库,还有黑客们的行动特点、全球被黑站等数据库。

这些数据库会构成规则,可以横向和纵向去匹配关联分析,这些规则会被输出到预警团队,构成了一整套防御系统。这样一来,对络中看似不关联的蛛丝马迹,就可以通过综合分析和特点比较,匹配出这是不是是攻击行为,乃至锁定攻击者,做到有效、准确的预警。

林峰举了一个真实的案例。在2012年他曾经处理过一次来自国外的攻击事件。攻击者使用了国外的代理,没有办法根据IP地址做更多的判断。但是通过防御系统的数据库,匹配到了黑客攻击团队的一些典型信息,如常常使用的攻击代码,接着匹配到了攻击者的经常使用ID,进而就可以进一步锁定攻击者的更多真实信息。

对基于特点的传统IDS(入侵检测)防御和目前流行的白名单方式,林峰也指出了潜伏的问题。对基于特点的入侵防御,由于现在攻击者常常使用的是0day漏洞,可能在出现以后短短几个小时利用完就灭亡了,这个时候常常抓不到它的攻击特点,防御也无从谈起。使用白名单的防御策略,又很容易被黑客们通过种种方法绕过和伪装,风险也很大。所以,对这类没有特点的伪装性很强的攻击,只有放在大数据中进行分析,进行纵向横向的各种关联,才能肯定它的真实行动,从而采取针对性的应对措施。

不难看出,如大数据这样的新兴技术趋势,如果利用得当,给安全产业带来的是不仅是更大的挑战,也是更多的机会。

正如在大会开幕式上邬贺铨院士所说的那样,“互联的发展越来越深入,新兴安全的挑战与日俱增,安全与发展相伴,互联的发展跟新兴安全相关,新兴安全又首创了新的领域,道高一尺魔高一丈,只有创新才能真正的解决问题。”信息安全已成为保障国民经济健康发展的重要推手,解决安全问题,我们还需要信息安全产业界更多、更好地创新。

小儿发烧惊厥怎么办
散寒除湿方法大全
如何降低糖化血红蛋白
标签