中國科學(xué)院計算技術(shù)研究所副總工、網(wǎng)絡(luò )科學(xué)與技術(shù)重點(diǎn)實(shí)驗室主任 程學(xué)旗
大數據時(shí)代,由于數據體量巨大、分布廣泛給安全問(wèn)題帶來(lái)了新的挑戰。在真實(shí)空間和數據空間之間存在著(zhù)相對應的、平行的關(guān)系,在真實(shí)空間里的任何一個(gè)活動(dòng)、交互和行為,在數據空間里都有著(zhù)相對應的表現。因此,數據空間里存在的手段和解決辦法都能夠影響到真實(shí)空間。數據空間可以發(fā)揮的作用是無(wú)所不在的,這也是大數據價(jià)值所在。然而,現實(shí)中企業(yè)、個(gè)人乃至物體的信息,比如移動(dòng)互聯(lián)網(wǎng)、云計算和物聯(lián)網(wǎng)等,都是產(chǎn)生大數據的載體,也真正存在著(zhù)大數據,同時(shí)它們也成為攻擊的載體。
APT攻擊是一種有組織、有特定目標、隱蔽性強、破壞力大、持續時(shí)間長(cháng)的新型攻擊和威脅。它的主要特點(diǎn)是手段多樣、目標明確和持續時(shí)間長(cháng)。當前,APT攻擊已經(jīng)成為互聯(lián)網(wǎng)安全領(lǐng)域關(guān)注的一個(gè)大熱點(diǎn),并且持續升溫。
防不勝防的APTAPT是高級持續威脅,所謂的“高級”體現在其攻擊行為特征的難以提取、攻擊渠道的多元化和攻擊空間的不確定性上。首先,APT獲取權限是通過(guò)零日攻擊實(shí)現的,然而通過(guò)獲取和分析相應攻擊的指紋特征來(lái)識別攻擊具有明顯的滯后性,這導致通過(guò)實(shí)時(shí)監測發(fā)現APT攻擊不可行。APT注重對動(dòng)態(tài)行為和靜態(tài)文件的隱蔽,比如隱蔽通道、加密通道等,幾乎所有的APT都具有這樣的特點(diǎn);其次,APT攻擊渠道的多元化導致很難使用技術(shù)手段建立一張防護網(wǎng)來(lái)防止攻擊;最后是APT攻擊空間的不確定性,即任何一個(gè)階段、任何一個(gè)網(wǎng)絡(luò )都有可能成為攻擊的目標,包括邊緣性的、非核心的節點(diǎn)。
如果把網(wǎng)絡(luò )上的安全威脅看成是人體的一些疾病或者腫瘤,那么APT攻擊則相當于一種慢性的、分階段的侵蝕,是“慢性疾病”,而慢性疾病往往是最難治愈的。大數據的特點(diǎn)是數據規模大、數據分布無(wú)所不在,這使得數據的價(jià)值密度變得更小、更分散,從而導致很難聚焦于高價(jià)值的數據,這是大數據本身所帶來(lái)的攻擊檢測難點(diǎn)。據統計,攻擊從產(chǎn)生到被發(fā)現平均耗時(shí)5年,而我們是否能夠保證在5年的時(shí)間內一直關(guān)注某些數據?這在物理世界都很難堅持,更何況是在數據無(wú)所不在的網(wǎng)絡(luò )空間。然而,攻擊者則可能一直持續關(guān)注著(zhù)這些敏感數據,這就造成APT攻擊防不勝防。
大數據與APT攻擊檢測目前,APT攻擊檢測圍繞著(zhù)3個(gè)方面:惡意代碼檢測、主機應用保護、網(wǎng)絡(luò )入侵檢測。
孤立地進(jìn)行惡意代碼的檢測和主機應用保護,對防御APT攻擊來(lái)說(shuō)是很難奏效的。簡(jiǎn)單來(lái)說(shuō),解決思路主要有以下幾方面:首先,雖然APT的載體存在于大數據中,給APT檢測和對抗帶來(lái)了一系列困難,但是也可以利用大數據對APT進(jìn)行一些檢測和應對。如果有各層面、各階段的全方位信息數據,即對任何交互行為都進(jìn)行檢測,可以利用不同的數據找到不同的階段進(jìn)行APT分析;其次是全流量分析,其核心是對全年的數據進(jìn)行存儲,在此基礎上做宏觀(guān)的分析、微觀(guān)特定事件的檢測。由于很多流量行為存在統計意義上的普適性規律,因此,要在大數據的情況下進(jìn)行小樣本的異常檢測;最后要解決大數據空間的不確定性問(wèn)題。APT攻擊是以分布式方式進(jìn)行的,利用大數據組織、整理相關(guān)信息,提高截獲攻擊者攻擊路徑的概率。另一種可能是攻擊目標是確定的,這種情況下將數據進(jìn)行存儲,形成所謂的歷史模式數據,利用對歷史模式數據進(jìn)行重放來(lái)發(fā)現攻擊線(xiàn)索。
大數據的4個(gè)難題上述方法都是把相關(guān)的全部數據做完整的處理與分析。通常,大數據具有4個(gè)特征:體量大、速度快、數據格式和類(lèi)型不同、數據真實(shí)精確(volume、velocity、variety和veracity)。這給數據存儲帶來(lái)一系列難點(diǎn)。對于A(yíng)PT而言,更多的是針對網(wǎng)絡(luò )空間,而網(wǎng)絡(luò )空間本身具有數據類(lèi)型和數據格式不一樣,日志信息的行為、內容、結構化各異的特點(diǎn)。利用大數據進(jìn)行有效地監測,不僅可以用來(lái)解決APT攻擊問(wèn)題,也可以應用到其它相關(guān)領(lǐng)域。對于大數據來(lái)說(shuō)存在著(zhù)一些共性、普世性的東西,其中包括4個(gè)需要關(guān)注的難題:
1.數據的復雜性。大數據的規模已不再是導致復雜性的第一要素,比如連接網(wǎng)絡(luò )的關(guān)系更復雜。由于一些數據包含了某些非法的行為,使得對數據復雜性的定義已經(jīng)不能使用所謂的規模來(lái)定義,而是需要使用一些新的規則。要把數據復雜性解決好,就需要找到數據的傳播路徑。如何獲得傳播路徑呢?一個(gè)辦法就是搜索,即把所有的可能路徑都找出來(lái),然后判定哪些是異常的、有問(wèn)題的和惡意的。這種判定方法把所有的可能性存下來(lái),然后再去做判定,必然會(huì )導致規模巨大。如果從中找到穩定的結構特征,如擴散行為、攻擊行為等,就可以采取一系列步驟。利用大數據進(jìn)行這樣的計算,就是尋找結構規則性和網(wǎng)絡(luò )重合模式,進(jìn)而解決現有的難點(diǎn)。
2.計算的復雜性。當數據存在于整個(gè)空間的時(shí)候,它實(shí)際上是一個(gè)主體存在多個(gè)狀態(tài)。網(wǎng)上的攻擊行為出現后,將其存儲下來(lái)進(jìn)行分析,分析之后再獲取網(wǎng)上的攻擊行為,然后再對其進(jìn)行篩選,這是永不停機的工作過(guò)程。最原始的輸入可能是網(wǎng)絡(luò )空間里、全流量數據中與APT持續攻擊之外的某個(gè)信息,在非停機的情況下,傳統的制造方法、數據的計算以及思路都會(huì )與實(shí)際想要的結果存在偏差,甚至南轅北轍。因此,需要找到一種新的、簡(jiǎn)約式的集中計算進(jìn)行合適數量的數據分析,并不是全量數據。把所有的數據全部存儲進(jìn)行分析是不可行的。
3.系統的復雜性。由于獲取到的數據是不同的,因此,需要進(jìn)行存儲以便于做深入分析。當進(jìn)行數據管理和查詢(xún)時(shí),需要一系列的結構、非結構、半結構化處理。一般的關(guān)系查詢(xún)、網(wǎng)絡(luò )查詢(xún)和建制查詢(xún)等需要各種手段和技術(shù),不存在一種技術(shù)或手段能解決所有的問(wèn)題。利用大數據進(jìn)行APT攻擊檢測,需要一個(gè)基于相關(guān)數據生命周期的靈活的系統架構。
4.大數據的學(xué)習。所謂學(xué)習是指根據已發(fā)現的事物或知識對未知的事物或知識進(jìn)行判定。在A(yíng)PT空間里,學(xué)習是指預測和泛化,這是因為大數據環(huán)境下數據的碎片化與無(wú)邊界,使得傳統解決方法中的一些基本假設有了實(shí)現的可能。
