利用大數(shù)據(jù)技術(shù)，防范APT攻擊

互聯(lián)網(wǎng)的發(fā)展越來越深入，新興安全的挑戰(zhàn)與日俱增，安全與發(fā)展相伴，互聯(lián)網(wǎng)的發(fā)展跟新興安全相關(guān)，新興安全又開創(chuàng)了新的領(lǐng)域，道高一尺魔高一丈，只有創(chuàng)新才能真正的解決問題。信息安全已經(jīng)成為保障國民經(jīng)濟(jì)健康發(fā)展的重要推手，解決安全問題，我們還需要信息安全產(chǎn)業(yè)界更多、更好地創(chuàng)新。
    9月26日消息，在2013中國互聯(lián)網(wǎng)安全大會上，繞不開的一個熱點話題就是APT攻擊。這種被稱為高級持續(xù)性威脅（Advanced Persistent Threat，APT）的網(wǎng)絡(luò)攻擊手法已經(jīng)成為信息安全保障領(lǐng)域的巨大威脅。
   APT攻擊通常是經(jīng)過周密策劃和實施，針對特定對象進(jìn)行長期的、有計劃的攻擊，具有高度的隱蔽性。傳統(tǒng)的安全措施對APT攻擊往往很難防御，中國有句老話叫“不怕被賊偷，就怕賊惦記”正是這種行為的真實寫照。
    在大會上，有的專家明確表示APT攻擊是不可能被有效防范的，但是也有更多的專家提出了一些創(chuàng)新性的解決方案。
   利用大數(shù)據(jù)技術(shù)，防范APT攻擊
    從2009年開始，大數(shù)據(jù)就成為IT領(lǐng)域的熱詞。大數(shù)據(jù)甚至被認(rèn)為是繼信息化和互聯(lián)網(wǎng)后整個信息革命的又一次高峰。今天，大數(shù)據(jù)已經(jīng)取代云計算、物聯(lián)網(wǎng)，成為當(dāng)下網(wǎng)絡(luò)上最火熱的技術(shù)趨勢，各種關(guān)于大數(shù)據(jù)的討論層出不窮。
    有專家指出，大數(shù)據(jù)帶來了兩個重要的變化：首先是數(shù)據(jù)量的爆炸式增長，近兩年所產(chǎn)生的數(shù)據(jù)量相當(dāng)于2010年以前整個人類文明產(chǎn)生的數(shù)據(jù)量總和；其次是數(shù)據(jù)來源的極大豐富，其中包括語音、視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大。
    事實上，大數(shù)據(jù)已經(jīng)與我們的生活如影隨形。微博上的社交關(guān)系，淘寶上的購物記錄，GPS導(dǎo)航的移動數(shù)據(jù)，快遞的物流信息……這些形形色色的數(shù)據(jù)囊括了人們的各種行為細(xì)節(jié)，也同時記錄了人們的大量的個人隱私。
    不難看出，大數(shù)據(jù)時代的到來，給傳統(tǒng)的網(wǎng)絡(luò)與信息安全帶來了新的問題。大數(shù)據(jù)將安全帶入了一個全新、復(fù)雜和綜合的時代，不安全的那些蛛絲馬跡在浩瀚數(shù)據(jù)的掩護(hù)下，正在精準(zhǔn)地發(fā)起一次又一次的攻擊。但是，凡事都有兩面，人們往往擔(dān)憂的是大數(shù)據(jù)所帶來的不安全性，但在林峰看來，大數(shù)據(jù)技術(shù)也是保障信息安全的利器。那么，究竟如何利用大數(shù)據(jù)來防御洶涌而至的網(wǎng)絡(luò)攻擊？
    眾所周知，大數(shù)據(jù)有其四個特性，也就是4個V，分別是數(shù)據(jù)量（Volume）大，數(shù)據(jù)類型（Variety）復(fù)雜，數(shù)據(jù)處理速度（Valocity）快，以及數(shù)據(jù)價值（Value）高。林峰指出，很多人主要關(guān)注大數(shù)據(jù)的復(fù)雜和海量上，考慮大數(shù)據(jù)如何去存儲、調(diào)度等。其實，大數(shù)據(jù)最重要的一個緯度和特性是價值，大數(shù)據(jù)的價值在于分析，如果有幾百T的數(shù)據(jù)僅僅是放在硬盤里，那這就是垃圾，沒有任何價值。針對大數(shù)據(jù)需要做分析，分析才能產(chǎn)生價值。
    美國《紐約時報》2012年的一篇專欄對大數(shù)據(jù)評論道：大數(shù)據(jù)時代已經(jīng)降臨。之所以成為大數(shù)據(jù)時代，不單是指數(shù)據(jù)量之大，更主要是指數(shù)據(jù)正在成為一種資產(chǎn)或者生產(chǎn)資料。任何行業(yè)任何領(lǐng)域都會產(chǎn)生有價值的數(shù)據(jù)，而對這些數(shù)據(jù)的統(tǒng)計、分析、挖掘則會創(chuàng)造意想不到的價值和財富。
    黑客的嗅覺是極其靈敏的，反應(yīng)也極其快速。當(dāng)一個漏洞被發(fā)現(xiàn)，當(dāng)天就會有攻擊產(chǎn)生，當(dāng)天就會有針對這個漏洞所開發(fā)的工具，大范圍的攻擊很快就會達(dá)到一個高峰，留給安全界的反應(yīng)時間非常短。傳統(tǒng)的監(jiān)測方式，有限的維護(hù)人員，使得對這種攻擊的防御往往是力不從心，經(jīng)常是錯失良機(jī)，只能事后亡羊補牢。
    2013年1月至6月，全國有190597個網(wǎng)站被篡改，其中僅北京地區(qū)就有13075個網(wǎng)，而另一方面，平均每天發(fā)現(xiàn)北京地區(qū)有2300多個網(wǎng)站存在WebShell。
    在這樣一組數(shù)字面前，人們可以真實的感受到網(wǎng)絡(luò)攻擊的巨大壓力。這個時候，大數(shù)據(jù)分析就開始展現(xiàn)出它的強大優(yōu)勢。
    網(wǎng)絡(luò)戰(zhàn)爭中，反恐最貴。我們永遠(yuǎn)不知道對手在哪里，用的什么樣的武器，用的什么樣的方法，在這種未知的情況下，網(wǎng)絡(luò)反恐的成本高昂。但是現(xiàn)在有了大數(shù)據(jù)，我們就可以擺脫被動等待的局面，可以對隱藏的敵人進(jìn)行精準(zhǔn)預(yù)測，可以守株待兔，甚至甕中捉鱉。
    利用大數(shù)據(jù)技術(shù)可以做到真正的APT防御
    工欲善其事，必先利其器，針對網(wǎng)站和應(yīng)用所存在的漏洞進(jìn)行捕獲、挖掘、修復(fù)，同時對全球已經(jīng)發(fā)生的和正在發(fā)生的網(wǎng)站攻擊進(jìn)行記錄，包括黑客在什么樣的時間，攻擊什么樣的網(wǎng)站，甚至是使用什么樣的攻擊工具，有著什么樣的配合。這些海量的數(shù)據(jù)經(jīng)過多維度的自動整合與輸出，生成了漏洞的支持庫、對比庫，還有黑客們的行為特征、全球被黑網(wǎng)站等數(shù)據(jù)庫。
    這些數(shù)據(jù)庫會形成規(guī)則，可以橫向和縱向去匹配關(guān)聯(lián)分析，這些規(guī)則會被輸出到預(yù)警團(tuán)隊，形成了一整套防御系統(tǒng)。這樣一來，對網(wǎng)絡(luò)中看似不關(guān)聯(lián)的蛛絲馬跡，就可以通過綜合分析和特征對比，匹配出這是不是攻擊行為，乃至鎖定攻擊者，做到有效、準(zhǔn)確的預(yù)警。
    對于基于特征的傳統(tǒng)IDS（入侵檢測）防御和目前流行的白名單方式，對于基于特征的入侵防御，由于現(xiàn)在攻擊者經(jīng)常使用的是0day漏洞，可能在出現(xiàn)之后短短幾個小時利用完就消亡了，這個時候往往抓不到它的攻擊特征，防御也無從談起。使用白名單的防御策略，又很容易被黑客們通過種種方法繞過和偽裝，風(fēng)險也很大。所以，對這種沒有特征的偽裝性很強的攻擊，只有放在大數(shù)據(jù)中進(jìn)行分析，進(jìn)行縱向橫向的各種關(guān)聯(lián)，才能確定它的真實行為，從而采取針對性的應(yīng)對措施。
    不難看出，如大數(shù)據(jù)這樣的新興技術(shù)趨勢，如果利用得當(dāng)，給安全產(chǎn)業(yè)帶來的是不僅是更大的挑戰(zhàn)，也是更多的機(jī)會。