大數(shù)據(jù)在信息安全方面的應(yīng)用
用大數(shù)據(jù)的方法做信息安全的背景在于��,傳統(tǒng)的“見招拆招”的安全措施面對(duì)靈活多變的攻擊手段
有些捉襟見肘�����,但各種攻擊手段大多會(huì)表現(xiàn)出一定的共性����。所以當(dāng)樣本(malware樣本,server log��,traffic pattern
等等)足夠多的時(shí)候,只要能正確提取出數(shù)據(jù)中的feature�,就可能找到這些靈活多變的adversary的一些共性行為,以此來作為防御�����。
下面結(jié)合幾篇論文結(jié)說一下:
1. Malware detection (惡意軟件偵測)
惡
意軟件偵測除了傳統(tǒng)的對(duì)可執(zhí)行文件進(jìn)行分析以外�����,還可以根據(jù)其行為進(jìn)行偵測�����。比如賽門鐵克(Symantec)搞了一個(gè)項(xiàng)目[1]��,它的idea就是:你
在網(wǎng)上瀏(kan)覽(pian)時(shí)下載了一個(gè)惡意軟件��,它可能會(huì)附帶一些無害的文件(比如用于偽裝)�,這種情況下這些文件和這個(gè)惡意軟件的同時(shí)出現(xiàn)
(co-occurrence)的概率就會(huì)比較高。當(dāng)我們通過傳統(tǒng)的偵測手段發(fā)現(xiàn)了這個(gè)惡意軟件的時(shí)候�,和它c(diǎn)o-occurrence概率較高的一些文
件就會(huì)被認(rèn)為有bad
reputation����。比如這時(shí)你在另一個(gè)用戶的電腦上發(fā)現(xiàn)了一些同樣的無害的文件,但沒有發(fā)現(xiàn)這個(gè)惡意軟件��,那么就認(rèn)為有可能是這個(gè)惡意軟件的變種造成
的�。賽門鐵克通過大量用戶上傳的匿名文件集合(file
collection)樣本(1億多臺(tái)機(jī)器上的100多億個(gè)文件)����,對(duì)文件進(jìn)行標(biāo)記(labeling)���,訓(xùn)練出了這樣一個(gè)偵測惡意軟件的模型,識(shí)別率很
高(True Positive在0.99以上)��,而且能做到比現(xiàn)有技術(shù)手段能提前一周識(shí)別。
2. 惡意鏈接預(yù)測
你
在上網(wǎng)的時(shí)候很可能遇到過釣魚網(wǎng)站����,一般是那種看上去還比較正規(guī)但是你一點(diǎn)進(jìn)去各種被騙輸入密碼或者個(gè)人信息的網(wǎng)站,比如我在知乎上也見到過:
這封「知乎團(tuán)隊(duì)」的私信可信嗎? - Sean 的回答 �,這個(gè)釣魚站的域名是zhihuemail dot
com,點(diǎn)進(jìn)去你就上當(dāng)了��。怎樣預(yù)測這樣的域名是惡意網(wǎng)站呢?當(dāng)有用戶舉報(bào)上當(dāng)受騙時(shí)候顯然已經(jīng)晚了����,而駭客們也會(huì)快速變換域名以躲避偵測�。[2]
這篇paper 用大量的DNS記錄, IP地址信息��,以及域名管理方(whois)的記錄��,來預(yù)測一個(gè)域名是否是惡意網(wǎng)站����。
3. DDoS檢測
DDoS
是各個(gè)網(wǎng)站都很頭疼的問題�����,網(wǎng)站流量突然升高�,你怎么知道是真的訪問用戶多了還是駭客通過僵尸網(wǎng)絡(luò)對(duì)你發(fā)動(dòng)的攻擊呢?在這么多訪問中�����,你怎么知道哪個(gè)是用
戶哪個(gè)是僵尸呢?[3]這篇paper 提出用流量包中的source和destination
的地址����,端口號(hào),包的類型等作為feature�,采用k-NN算法對(duì)其進(jìn)行分類,來檢測DDoS攻擊���。(當(dāng)然這個(gè)模型比較簡單���,用于在這里舉例比較方便,
然而實(shí)際上魔高一丈DDoS攻擊手段更加多樣性����,我懷疑這種相對(duì)簡單的方法能不能真正有效)
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情����;
? 想學(xué)習(xí)CDA考試教材���,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�����;
? 想加入CDA考試題庫�,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情���;
? 想了解CDA考試含金量��,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情�����;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營許可證編號(hào):京B2-20210330