■ 云南 王军峰

编者按：现有的网络安全防御思路在安全预判、威胁识别和数据处理等方面的能力有限，而新的技术将以大数据分析架为支撑，业务安全为导向，构建起以数据为核心的安全管理体系，更加主动、智能地对网络安全进行管理和运营。

目前，企业赖以生存的网络环境非常恶劣，APT攻击、病毒、钓鱼软件随时威胁着正常的网络秩序。但在云计算和移动互联网业务被委以重任的当下，各种网络终端和安全设备又产生出了令人震撼的日志数据，这使得日志管理与安全审计工作变得越来越复杂。

在茫无边际的日志档案面前，要发现异常行为的源头，或是找出可以支撑决策的数据依据，都会让企业IT 人员付出极大的时间和人力成本，更不可能定位那些威胁企业核心机密的源头。这些都使得安全评估、威胁源头追踪，以及法规遵从工作都难以再从日志入手。

网络安全不容乐观

更多软硬件漏洞给网络安全带来极大威胁，根据2018 年中国互联网网络安全报告，当年收录的安全漏洞中，“零日”漏洞收录数量占比37.9%，高达5 381 个，同比增长39.6%。给互联网用户和设备带来无法估量的危险。

攻击技术和手段不断提升，主动、定制化的精准攻击开始出现。攻击者利用大数据、人工智能等新技术可以对受害对象发起更加精准的个体打击，大大提高攻击效果。

物联网让社会生活的方方面面都更深入的智能化，但是物联网设备内置的安全性薄弱，很多设备存在漏洞和弱口令，致使很多物联网设备成为攻击者的肉鸡。

传统安全技术无法应对网络攻击

传统的边界隔离主要是依靠防火墙、路由器ACL 等对不同安全等级的网络区域进行划分，但是客观上总要存在外部接入内部的网络渠道。攻击和探测程序就可以通过防火墙开放的端口穿越防火墙，使得传统防火墙的端口过滤功能对他们无能为力。

传统的安全架构中，较多依赖特征匹配的模式。在这种模式中，防护设备需要先将某个攻击事件写入特征库，然后才能防御这个攻击。但是由于安全设备特征库的滞后性和局限性，无法有效应对恶意代码变形、加壳等隐蔽手段。

突破边界后的内部网络防护能力不足。由于传统的防御体系侧重于互联网、第三方等边界的网络安全防护，认为只要构筑了企业的数字护城河，通过防火墙、WAF 和IPS等边界安全产品或方案，就能实现企业的网络安全。对于突破边界后在内网埋伏、感染、操控内部服务器及数据的恶意行为识别和监测缺乏有效手段。

单打独斗式的防御无法面对有组织有计划的针对性攻击。外部攻击越来越呈现组织化、系统化、规模化以及智能化甚至国家化的特点，依靠一己之力无法防御此类攻击。

基于大数据、人工智能的网络安全防护

1.安全信息的深度检测分析

大数据针对信息安全领域内的数据分析，主要基于日志与流量的两大方式，通过建模分析，从海量日志中检测异常行为，可对网络流量、网络行为及安全事件等进行自动化和全面的采集及分析。同时，关联系统配置、用户行为、应用行为和业务行为等数据进行分析，达到感知威胁以及攻击取证的目的。

基于行为检测方式，以日志分析为例，利用足够详细的用户行为日志区分正常行为和异常行为。发现异常的方式在传统的关联技巧规则关联、漏洞关联、关联列表关联、环境关联等进行数据分析，对异常行为中的攻击者画像，列出定点攻击、有明确攻击目标的攻击者、自动化攻击和无目标的攻击对象，针对行为描述进行合理建设渗透、攻击模型。系统可根据所建立的模型有效感知系统安全态势，从而进行针对性的主动防御，增加入侵攻击的难度，提高系统的安全性。

2.网络空间的主动信息探测

可以通过在网络的各个关键节点处（包括安全防护设备、流量采集设备、关键资源服务器、交换路由设备等）部署传感器，或通过数据采集接口，实时采集各节点的运行数据，包括系统告警、资源占用等，将其发送到系统的全局监控中心，进行实时分析、感知系统的当前安全态势。

以提供运行环境的动态性、非确定性、异构性和非持续性为目的，通过网络系统中的环境、软件、数据等主动重构或迁移实现动态环境，以防御者可控的方式进行主动变化，对攻击者则表现为难以观察和预测的动态目标，从而大幅增加攻击难度和成本，大幅降低系统安全风险。

3.人工智能技术安全智能分析

网络安全态势感知技术利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示、预测网络安全态势，为网络安全预警防护提供保护，可在不断的自学习过程中提高系统的防御水平。人工智能技术基于统计学习模型、文本分析的机器学习模型、单分类模型、聚类模型等几种建模思想，对各种网络安全要素和百千级维度的安全风险数据进行归并融合、关联分析，再经过深度学习的综合理解、评估后对安全威胁的发展趋势做出预测，自主设立安全基线并达到精细度量网络安全性的效果，从而构建立体、动态、精准和自适应的网络安全威胁态势感知体系。

例如，如果遇到突发大流量的情况，人工智能系统可以推测网络中存在DDoS 攻击，并立即分析软件包特性，然后协调探针协作任务，将具有同类特征的所有软件包丢弃，从而最大限度地避免对其他网络业务造成损失。

4.安全态势的可视化呈现

设备的网络应用情况和安全事件信息进行准确的定位和实时跟踪，包括对历史精确还原与对各种数据智能的统计分析，使得管理者清晰的认知网络运行状态。从应用和用户视角多层面地将网络应用的状态展现出来，对于全网产生的海量安全事件信息内容，通过深入的数据挖掘，能够形成安全趋势的分析与各种图形化的统计分析报告。

从一系列安全事件来看，从植入没有明显恶意特征的代码到服务器，以及利用各种机会下发病毒软件，再到利用现有的网络端口进行外部远程控制通信，单独看每一个步骤可能无法准确判断单个行为是否是恶意攻击，但是如果将整个路径上的行为串起来看是很有可能发现异常行为的。所以必须建立一种基于外部连接的异常分析模型，当发现用户主机与外部通讯时，分析通讯的进程、相关程序文件的安装时间、来源以及传播路径，检查用户主机通讯流量情况，并通过可视化手段可以直观的还原出，可以及时发现用户主机的异常连接。

当然，这一方面需要大量的信息安全日志数据作为支撑，包括内外网边界及关键路径上的网络流量情况、服务器设备的异常行为检测情况、恶意远程通讯IP 地址等外部威胁情报等，另一方面需要有实时快速处理海量数据和建模关联分析的能力，以及可视化展现能力，毕竟可疑事件最终还是需要人工准确判断。

结语

攻击与防御将是伴随网络发展得必然产物，世界上不存在绝对安全的网络系统。随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等，才能在网络的对抗中取得先机。