摘要：随着近些年智慧机场的发展，旅客从购票、安检、托运、登机、落地等各个环节都实现了智能化，同时也大大增加了信息安全风险的概率。在“永恒之蓝”勒索病毒爆发后，民航人对信息安全的认知提升了一个新高度，从会不会遭受攻击转变为何时会遭到攻击，运用大数据技术进行防御已从理论研究演进到实际运用阶段。通过对民用航空信息的存储、分析、和可视化，借助机器学习和数据挖掘等大数据技术，建立基于网络安全数据的大数据安全分析平台，从传统的被动防御变为主动防御。

关键词：智慧机场;信息安全;大数据;机器学习;数据挖掘;

1引言

IBM在2008年提出“智慧地球”概念，2009年8月IBM发布的《智慧地球赢在中国》计划书指出“智慧城市”，民用机场作为城市交通的重要组成部分，“智慧机场”的提出得到认可和发展[1]。在“十三五”期间，我国将新建机场33座，并完成51座枢纽机场的扩建。2018年我国民航旅客的运输量达到6.1亿人次，在旅客量增长的同时，也面临着海量信息保护日趋严格的挑战。2017年6月1日中国《网络安全法》正式实施，网络安全建设成为国家战略新的发展方向，与此同时，我国民航的网络安全形势十分严峻。

信息安全3.0时代到来，传统的防火墙+IDS防御思路已经不再有效，需要应对的攻击和威胁变得日益复杂，这些威胁具有隐蔽性强、潜伏期长、持续性强等特点[2]。现有的防御思路在安全预判、威胁识别和数据处理等方面的能力有限，而新的技术将在复杂多变的网络数据中以大数据分析架构为支撑，业务安全为导向，构建起以数据为核心的安全管理体系，更加主动、智能地对网络安全进行管理和运营。

本文首先分析了机场大数据应用和网络安全应用的现状，依据调研结果探讨了机场网络安全应对威胁的策略，最后就大数据应用在机场网络安全运用中的价值做出总结。

2机场大数据应用和网络安全应用的现状

2017年9月在成都召开的“加快推进民航基础设施建设工作会议”上，中国民用航空局党组书记、局长冯正霖出席会议并强调，要加快民航基础设施建设，推进建设平安机场、绿色机场、智慧机场、人文机场，大力推进民航强国发展战略，为国家和地方经济社会发展做出新的更大贡献。

随着民航信息化建设高速发展，大数据应用也非常广泛，从机场业务来看，主要有个性化航显系统、安检区人流引导、航班延误预测、机位只能分配、服务机器人、身份识别等大数據应用[3]。运用大数据技术，使得航班保障的各个环节都能无缝衔接，并能够根据突发情况做精确的动态调整，最大化利用资源。

机场、航空公司等企业对信息安全产品、服务的需求，拉动了信息安全产业的整体需求。我国信息安全产业自2012年来一直保持稳定增长，预测2017-2018增长额保持在23%左右。

目前信息安全按照市场可分为硬件安全、软件安全和安全服务三大类[4]。以下一代防火墙类硬件安全产品占据民用航空市场份额最大，包含咨询、实施、运维和培训的安全服务次之，防病毒软件、Web应用防火墙、数字证书身份认证等软件安全产品占据市场份额最小。由于虚拟化及云服务等理念的渗透，信息安全盈利模式开始由软硬件产品向安全服务倾斜[5]。

3机场网络安全应对威胁的策略及方法

根据国家互联网应急中心统计，2016年-2017年6月间在互联网安全环境方面，被篡改网站事件、网站被植入后门事件、飞客蠕虫事件、感染僵尸木马受控事件、网站漏洞事件等安全事件数量整体趋于下降，新增高危漏洞方面有所增幅。其中应用程序漏洞占比最高，达到42%左右，其余从高到底分别为操作系统漏洞、数据库漏洞、网络设备漏洞、Web应用漏洞、安全产品漏洞[6]。在此期间全球网络安全事件可以看出，DDos攻击规模和数量激增，勒索软件肆无忌惮，商业邮件诈骗不断。

DDos攻击有4大特点：（1）物联网设备成为新的攻击源;（2）黑客手段多样化，混合攻击难以防御[7];（3）IDC在基础设施和云服务商是主要攻击源;（4）频率和规模增长快特点。针对DDos攻击360安全企业提出了HTTP/HTTPS网站常规防护方案。防护策略是通过建立云防护平台，企业将原来域名指向服务器IP地址的方式引流向云防护平台，在企业网站遭受大流量DDos攻击时，云防护平台将流量调度到全国几十个高防护节点机房进行清洗工作防护，清洗后把正常流量返回给企业网站。

遭受勒索软件攻击主要因为终端主机没有将操作系统补丁升级，面对勒索软件，安全企业提出终端主机接入控制设备方案，将没有安装杀毒软件或没有进行操作系统补丁升级的终端主机进行网络隔离，避免交叉感染，并对终端主机及时提醒的方法进行防御。

4挖掘基于大数据的威胁检测手段

大数据针对信息安全领域内的数据分析，主要基于日志与流量的两大方式，同时关联系统配置、用户行为、应用行为、业务行为等数据进行分析，达到感知威胁，攻击取证的目的。目前存在两种方式感知异常行为：基于特征与行为的检测和机械学习鉴定。传统的检测机制依靠黑名单分析建模，缺陷是对0day未知漏洞不可感知。机械学习鉴定通过白名单，可通过行为日志感知未知漏洞。

基于行为检测方式下，以日志分析为例，利用足够详细的用户行为日志区分正常行为和异常行为。发现异常的方式在传统的关联技巧规则关联、漏洞关联、关联列表关联、环境关联等进行数据分析，对异常行为中的攻击者画像，列出定点攻击，有明确攻击目标的攻击者和自动化攻击，无目标的攻击对象[8]。针对行为描述进行合理建设渗透、攻击模型。

机器学习能够基于大数据进行自动化学习和训练，已经在图像、语音、自然语言处理方面广泛应用[9]。机器学习鉴定方式应用于Web入侵防护中监测用户流量，针对大量正常日志建立Profile模型，检测过程中不符合Profile模型的被视为异常流量。Profile模型的建立主要基于统计学习模型、基于文本分析的机器学习模型、基于单分类模型、基于聚类模型等几种建模思想，从海量日志数据中建立正常行为模型，少量的异常流量访问行为将被重点监控，在对抗过程中更难被绕过。

5 结论

本文阐述了机场大数据应用和信息安全应用应对威胁的方法，而面对海量的网络信息数据，传统的防御思路已经不再奏效。大数据时代下的安全分析有助于企业实时监控网络行为异常，从而更好的把控风险。但大数据机器学习和数据挖掘技术应用于信息安全行业正处于初步阶段，没有相对成熟的产品，如何在建模后减少误报率是大数据的发展方向。

参考文献：

[1]王勇，韩燕征，贾锐.大型枢纽机场信息安全监测平台设计与实现[J].通信技术，2017，50（7）：1587-1591.

[2]陆宁.民航机场云架构环境下的信息安全研究[J]. 通讯世界， 2016（10）：289-290.

[3] 牛虎. 大数据时代下的机场旅客数据价值挖掘[J]. 综合运输， 2015（11）：90-93.

[4] 佚名. 国家信息安全成果产业化（东部）基地已具雏形[J]. 计算机安全， 2002（22）：36-38.

[5] 赵伟华. 大数据时代信息安全行业的专利解析[J]. 中国发明与专利， 2015（12）：17-18.

[6] 韦涛， 彭武， 王冬海. 基于漏洞属性分析的软件安全评估方法[J]. 电光与控制， 2015， 22（8）：66-70.

[7] 赵兵， 孙梅. 分布式防火墙技术的分析与研究[J]. 软件导刊， 2010， 09（3）.

[8] 姜伟. 基于攻防博弈模型的主动防御关键技术研究[D]. 哈尔滨工业大学， 2010.

[9] 高强， 靳其兵， 程勇. 基于卷积神经网络探讨深度学习算法与应用[J]. 电脑知识与技术：学术交流， 2015（5）：169-170.

作者简介：

田衡（1990—），男，硕士学位，任职于成都双流国际机场股份有限公司机电设备中心，助理工程师