統問題之外,網絡攻擊手段更加豐富。其中,終端惡意軟件、惡意代碼是黑客或敵對勢力攻擊大數據平臺、竊取數據的主要手段之一。目前網絡攻擊越來越多地是從終端發起的。終端滲透攻擊也已成爲國家間網絡戰的主要方式。例如著名的攻擊伊朗核設施的“震網病毒”,就是利用了 Windows 操作系統的漏洞入侵了特定終端,滲透到伊朗核電站內部局域網對伊朗核設施進行破壞。另外,針對大數據平臺的高級持續性威脅(Advanced Persistent Threat,簡稱 APT)攻擊非常常見,這是一種可以繞過各種傳統安全檢測防護措施、伺機竊取網絡信息系統核心資料和各類情報的攻擊方式。例如針對 Google 等三十多個高科技公司的極光攻擊便屬此列。APT 攻擊結合了社會工程學、掛馬、0day 漏洞、深層滲透、長期潛伏、隱蔽等特點,非常具有破壞性,是未來網絡戰的主要手段,也是對我國網絡空間安全危害最大的一種攻擊方式。近年來,具備國家和組織背景的 APT 攻擊日益增多,毫無疑問,大數據平臺也將成爲 APT 攻擊的主要目標。
以大數據技術對抗大數據平臺安全威脅
由上述分析可知,針對大數據平臺這種重要目標的網絡攻擊,其技術手段的先進性、複雜度、隱蔽性和持續性,以及背後的支持力量,都已經超出了傳統網絡安全技術的應對能力。全球網絡安全行業都在研究探討應對這種高級威脅的新型技術體系,大數據技術成爲其中重要的方面。國內以 360 公司爲代表的網絡安全公司,已經在利用大數據技術提供各種網絡安全服務,這會爲提升大數據平臺的安全保障,增強國家網絡安全空間的安全防衛能力提供有力的支持。
利用大數據技術應對 DNS 安全威脅,積極推動基礎軟硬件自主控制。以 DNS 爲例,作爲互聯網基礎設施,我國首先應積極爭取獲得域名服務器的運營管理權,構築完整的安全防範體系。包括 360 公司在內的國內互聯網安全企業應積極承擔社會責任、積極推動下一代域名服務安全。另外,我們應該積極利用大數據技術,研發高性能、抗攻擊的安全 DNS 系統。依託大數據技術建立 DNS 應急災備系統,緩存全球 DNS 系統的各級數據。同時還可以利用 DNS 解析的大數據來分析網絡攻擊。
儘管在國家推動和產業參與下,我國在自主可控的基礎軟硬件產品的研發方面取得了一定成效。如復旦大學成功研發出半浮柵晶體管的新型基礎微電子器、2011 年我國成功自主研發 8 核 CPU 龍芯 3B 流片。但由於我國在該領域起步較晚,在大數據時代,以操作系統等基礎軟硬件的國有化和自主知識產權化,仍然需要政府的推動、企業的投入和科研院校的參與,更有必要依託大數據技術實現研發數據的共享。
利用大數據技術防護網站攻擊,定位攻擊來源。一方面,開發並優化網站衛士服務。我國安全公司已針對網站漏洞、後門等威脅推出了相應的網站安全衛士服務,能夠利用大數據平臺資源,幫助網站實現針對各類應用層入侵、DDoS/CC 流量型攻擊、DNS 攻擊的安全防護,同時向網站提供加速、緩存、數據分析等功能。同時通過對海量日誌大數據的分析,可以挖掘發現大量新的網站攻擊特徵、網站漏洞等。另一方面,通過對日誌大數據進行分析,還能進一步幫助我們溯源定位網站攻擊的來源、獲取黑客信息,爲公安部門提供有價值的線索。
利用大數據技術防範終端惡意軟件和特種木馬、檢測和防禦 APT 攻擊。基於大數據和雲計算技術實現的雲安全系統,可以爲防範終端特種木馬攻擊起到有力的支持。目前我國的安全公司已經在爲安全部、國家保密局等有關部門提供支持,利用其雲安全系統的大數據資源,幫助有關部門分析定位終端特種木馬的分佈、感染的目標終端,以及分析同源的特種木馬,爲有關部門工作提供了有力的支持。
爲了對抗 APT 攻擊,我們可以採用了大數據分析技術研發 APT 攻擊檢測和防禦產品。此類產品可以在大時間窗口下對企業內部網絡進行全流量鏡像偵聽,對所有網絡訪問請求實現大數據存儲,並對企業內部網絡訪問行爲進行建模、關聯分析及可視化,自動發現異常的網絡訪問請求行爲,溯源並定位 APT 攻擊過程。
另外,我國還應建立國家級的 APT 防護聯動平臺。當前,針對我國政治、經濟、軍事、民生等重點行業的信息系統,各種有組織、系統性的 APT 攻擊正日益加劇,我國的網絡空間安全面臨巨大的威脅。但與此同時, 我國重要信息系統具有相互隔離、孤立的特點,針對 APT 攻擊難以形成關聯協同、綜合防禦的效應,容易被各個擊破。因此,在各個重要信息系統單位部署 APT 攻擊檢測產品的基礎上,非常有必要建立國家級的 APT 防護聯動平臺,匯聚不同政府部門、重要信息系統中部署的 APT 防護產品所檢測的安全事件及攻擊行爲數據,對其進行大數據分析挖掘,從而形成國家級針對 APT 攻擊的全面偵測、防護能力。