大數(shù)據(jù)在網(wǎng)絡(luò)安全中應(yīng)用

自我介紹覃健誠(chéng)北京郵電大學(xué)信息安全中心博士畢業(yè)

目前在：華南理工大學(xué)電子與信息學(xué)院研究方向：網(wǎng)絡(luò)安全，云計(jì)算著作

《網(wǎng)絡(luò)安全基礎(chǔ)》，科學(xué)出版社，2011第一頁(yè)，共28頁(yè)。內(nèi)容列表網(wǎng)絡(luò)空間安全中的大數(shù)據(jù)價(jià)值攻：大數(shù)據(jù)信息的獲取與利用防：大數(shù)據(jù)保護(hù)與安全檢測(cè)華南理工大學(xué)的相關(guān)研究工作第二頁(yè)，共28頁(yè)。日新月異的網(wǎng)絡(luò)空間安全網(wǎng)絡(luò)安全領(lǐng)域一直在快速發(fā)展云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、SDN等新技術(shù)涌現(xiàn)

安全問題同樣不會(huì)停留在過去傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)不足夠防火墻、入侵檢測(cè)等仍然有用，但顯然不夠

APT、零日攻擊等新威脅難以發(fā)現(xiàn)

云計(jì)算等也使得安全環(huán)境更為復(fù)雜第三頁(yè)，共28頁(yè)。先理解網(wǎng)絡(luò)空間——CyberSpaceCyberSpace是存放各種思維信息產(chǎn)物的空間云計(jì)算、軟件定義網(wǎng)絡(luò)、大數(shù)據(jù)包含在其中發(fā)揮出想象力，這個(gè)虛擬空間可以包羅萬象

空間中的安全問題事關(guān)重大兩個(gè)世界的概念原子世界（實(shí)體）

比特世界（虛構(gòu)）

能夠互相影響第四頁(yè)，共28頁(yè)。網(wǎng)絡(luò)空間安全直接影響現(xiàn)實(shí)世界2010年震網(wǎng)病毒Stuxnet摧毀了伊朗核設(shè)施的離心機(jī)疑似美國(guó)發(fā)動(dòng)的攻擊2010年紐約股市一次莫名暴跌數(shù)分鐘內(nèi)暴跌近9%，找不到“胖手指”

疑似自動(dòng)交易軟件觸發(fā)條件的連鎖反應(yīng)2013年“棱鏡門”事件監(jiān)控?cái)?shù)據(jù)挖掘敏感信息被曝光第五頁(yè)，共28頁(yè)。網(wǎng)絡(luò)空間安全的新威脅舉例零日攻擊：防不勝防利用最新技術(shù)，發(fā)起針對(duì)未知漏洞的攻擊高級(jí)持續(xù)威脅（APT）長(zhǎng)期、持續(xù)性、隱蔽攻擊，針對(duì)性強(qiáng)云計(jì)算平臺(tái)內(nèi)部安全攻擊：虛擬機(jī)之間在服務(wù)器之間的網(wǎng)絡(luò)流量中根本檢測(cè)不到以上都是傳統(tǒng)安全技術(shù)難以抵御的如何應(yīng)對(duì)未知的網(wǎng)絡(luò)安全威脅？

第六頁(yè)，共28頁(yè)。安全競(jìng)爭(zhēng)：挖掘大數(shù)據(jù)蘊(yùn)含的信息安全首先是技術(shù)上的比拼通過大數(shù)據(jù)尋找各種可能的網(wǎng)絡(luò)安全信息

猶如兩個(gè)狙擊手對(duì)決，看誰先發(fā)現(xiàn)對(duì)方涉及數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)分析、數(shù)據(jù)挖掘等技術(shù)象提煉稀土礦一樣提取大數(shù)據(jù)中的價(jià)值有價(jià)值的信息量密度很低，但蘊(yùn)藏總量很大要有足夠的技術(shù)條件才能提取出來第七頁(yè)，共28頁(yè)。防病毒：大數(shù)據(jù)價(jià)值實(shí)例從美鈔軌跡到流感預(yù)測(cè)趣味網(wǎng)站：讓大家輸入手上美鈔的序列號(hào)積累了十年數(shù)據(jù)，能跟蹤美鈔流通軌跡大量數(shù)據(jù)積累的意義形成美鈔在世界各地流動(dòng)的規(guī)律

也就是世界上人群、病毒流動(dòng)的規(guī)律2009年利用數(shù)據(jù)來預(yù)測(cè)H1N1流感傳播趨勢(shì)成功預(yù)測(cè)首要爆發(fā)熱點(diǎn)在紐約、加州、德州第八頁(yè)，共28頁(yè)。大數(shù)據(jù)體現(xiàn)的價(jià)值高低與數(shù)據(jù)源有關(guān)，也和信息提煉水平有關(guān)要把有價(jià)值的信息從大量數(shù)據(jù)中分離出來信息提煉水平不夠，大數(shù)據(jù)只是無用的垃圾提煉水平越高，能夠提取出的價(jià)值越高類比：鈾礦濃縮技術(shù)天然鈾礦：約0.7%

核電站用低濃縮鈾：3%

核武器用高濃縮鈾：90%第九頁(yè)，共28頁(yè)。內(nèi)容列表網(wǎng)絡(luò)空間安全中的大數(shù)據(jù)價(jià)值攻：大數(shù)據(jù)信息的獲取與利用防：大數(shù)據(jù)保護(hù)與安全檢測(cè)華南理工大學(xué)的相關(guān)研究工作第十頁(yè)，共28頁(yè)。虛擬案例：利用大數(shù)據(jù)的網(wǎng)絡(luò)詐騙股票走勢(shì)預(yù)測(cè)：發(fā)送大量垃圾郵件、短信

8萬郵件，4萬說升，4萬說跌，總有一半對(duì)說對(duì)的繼續(xù)下一輪：2萬說升，2萬說跌

有1250人連續(xù)收到6次郵件，次次猜中收網(wǎng)：針對(duì)剩下的1250人聲稱有內(nèi)幕消息，要求付費(fèi)購(gòu)買

部分人信以為真，付款

類似手法可用在球賽結(jié)果預(yù)測(cè)等其他方面第十一頁(yè)，共28頁(yè)。有效利用大數(shù)據(jù)中的價(jià)值棱鏡門：監(jiān)聽有價(jià)值的信息數(shù)據(jù)來源：電信部門、網(wǎng)絡(luò)設(shè)備關(guān)鍵問題：如何篩選出有價(jià)值的信息

背景噪音：大量無關(guān)的數(shù)據(jù)相關(guān)技術(shù)舉例：要求速度快模式匹配算法：找出敏感詞、句之類概率分析算法：發(fā)現(xiàn)異常（小概率事件）

相關(guān)性分析算法：找到高度相關(guān)情況第十二頁(yè)，共28頁(yè)。棱鏡門的延伸：網(wǎng)絡(luò)信息監(jiān)控高級(jí)持續(xù)威脅（APT）潛伏、監(jiān)聽數(shù)據(jù)流，逐步勾畫網(wǎng)絡(luò)秘密輪廓

通過大數(shù)據(jù)分析發(fā)現(xiàn)系統(tǒng)潛在弱點(diǎn)有目的地滲透、收集有價(jià)值的信息

不主動(dòng)破壞，難以察覺為特定目的監(jiān)測(cè)網(wǎng)絡(luò)信息反恐、防侵略：監(jiān)控異常動(dòng)向

防腐敗、反洗錢：監(jiān)控賬務(wù)

防欺詐、防盜刷：監(jiān)控交易第十三頁(yè)，共28頁(yè)。信息安全監(jiān)控：利用大數(shù)據(jù)跟蹤現(xiàn)金鈔票流動(dòng)情況：記錄鈔票序號(hào)利用大量收銀臺(tái)驗(yàn)鈔機(jī)、ATM機(jī)發(fā)現(xiàn)現(xiàn)金異常流動(dòng)情況

追查洗錢源頭分析原因時(shí)注意：沉默的大多數(shù)大數(shù)據(jù)分析只告訴你相關(guān)性，不會(huì)講出原因二戰(zhàn)實(shí)例：轟炸機(jī)加固機(jī)身，還是機(jī)翼

數(shù)據(jù)統(tǒng)計(jì)：飛回來的轟炸機(jī)多數(shù)是機(jī)翼中彈第十四頁(yè)，共28頁(yè)。內(nèi)容列表網(wǎng)絡(luò)空間安全中的大數(shù)據(jù)價(jià)值攻：大數(shù)據(jù)信息的獲取與利用防：大數(shù)據(jù)保護(hù)與安全檢測(cè)華南理工大學(xué)的相關(guān)研究工作第十五頁(yè)，共28頁(yè)。由大數(shù)據(jù)發(fā)現(xiàn)網(wǎng)絡(luò)安全問題盡量收集、統(tǒng)計(jì)全局性網(wǎng)絡(luò)數(shù)據(jù)目的：防范零日攻擊、APT等未知威脅

深入到云計(jì)算平臺(tái)內(nèi)部采集從統(tǒng)計(jì)分析中發(fā)現(xiàn)異常統(tǒng)計(jì)可以找出規(guī)律，有各種不同的統(tǒng)計(jì)分析法

異常（小概率事件）往往意味著有問題

未知威脅的線索可能蘊(yùn)含在這些異常中

這比傳統(tǒng)安全技術(shù)挖掘的信息更多第十六頁(yè)，共28頁(yè)。大數(shù)據(jù)的信息安全保護(hù)大數(shù)據(jù)本身的安全大數(shù)據(jù)存儲(chǔ)、計(jì)算、傳輸過程中的安全

防止故障，防止數(shù)據(jù)差錯(cuò)設(shè)備可靠性：技術(shù)保障信息內(nèi)容的安全防范大數(shù)據(jù)中可能蘊(yùn)含的敏感信息泄露

利用大數(shù)據(jù)來隱藏秘密信息第十七頁(yè)，共28頁(yè)。信息內(nèi)容的安全防范大數(shù)據(jù)中泄露敏感信息看似無用的數(shù)據(jù)，可能蘊(yùn)藏著重要信息

甚至大數(shù)據(jù)的擁有者自己都不知道隱含了什么貌似嚴(yán)密的信息防護(hù)，可能用統(tǒng)計(jì)手段繞過典型防護(hù)技術(shù)：對(duì)水平要求比較高訪問限制：不容易應(yīng)用到大數(shù)據(jù)范圍內(nèi)

查詢限制：容易出現(xiàn)組合查詢漏洞

數(shù)據(jù)摻假、揉合：故意加入噪聲是一種辦法第十八頁(yè)，共28頁(yè)。虛擬案例：組合查詢獲取隱私查詢限制：不允許統(tǒng)計(jì)某個(gè)年齡的財(cái)富數(shù)量例如：不能單獨(dú)統(tǒng)計(jì)30歲人群的財(cái)富總數(shù)這個(gè)限制有漏洞破解：統(tǒng)計(jì)出30歲人群的財(cái)富總數(shù)先統(tǒng)計(jì)所有人群的財(cái)富總數(shù)

再統(tǒng)計(jì)29歲以下財(cái)富總數(shù)、31歲以上財(cái)富總數(shù)

第一個(gè)數(shù)減去后面兩個(gè)數(shù)，得到結(jié)果實(shí)際例子可能比這個(gè)復(fù)雜得多第十九頁(yè)，共28頁(yè)。內(nèi)容列表網(wǎng)絡(luò)空間安全中的大數(shù)據(jù)價(jià)值攻：大數(shù)據(jù)信息的獲取與利用防：大數(shù)據(jù)保護(hù)與安全檢測(cè)華南理工大學(xué)的相關(guān)研究工作第二十頁(yè)，共28頁(yè)。大數(shù)據(jù)處理的前提：高性能平臺(tái)需要在短時(shí)間內(nèi)處理大量數(shù)據(jù)，并得到結(jié)果容量、速度、帶寬，一個(gè)都不能少?gòu)?qiáng)調(diào)并行計(jì)算能力：硬件設(shè)備、軟件算法

保障信息安全云計(jì)算平臺(tái)對(duì)大數(shù)據(jù)的作用

產(chǎn)生、采集大數(shù)據(jù)：一個(gè)源頭

存儲(chǔ)、統(tǒng)計(jì)分析大數(shù)據(jù)：大量云資源

節(jié)省大數(shù)據(jù)傳輸帶寬：云端計(jì)算、數(shù)據(jù)壓縮第二十一頁(yè)，共28頁(yè)。高性能計(jì)算的技術(shù)要求：又快又好超級(jí)計(jì)算機(jī)并不是簡(jiǎn)單的硬件堆積數(shù)據(jù)帶寬要求隨著節(jié)點(diǎn)數(shù)增長(zhǎng)，帶寬以平方級(jí)增長(zhǎng)要求有先進(jìn)的高速傳輸技術(shù)系統(tǒng)可靠性要求隨著節(jié)點(diǎn)數(shù)增長(zhǎng)，故障率以指數(shù)級(jí)增長(zhǎng)要求有高超的系統(tǒng)可靠性控制技術(shù)第二十二頁(yè)，共28頁(yè)。華南理工大學(xué)的高性能計(jì)算建設(shè)廣東省教育與科研高性能與網(wǎng)格計(jì)算平臺(tái)第二十三頁(yè)，共28頁(yè)。關(guān)鍵技術(shù)研究：與大數(shù)據(jù)相關(guān)的IPv4/IPv6網(wǎng)絡(luò)數(shù)據(jù)包情報(bào)分析技術(shù)的研發(fā)大數(shù)據(jù)壓縮與混沌加密核心引擎的研制網(wǎng)絡(luò)安全自我防御智能技術(shù)的研發(fā)第二十四頁(yè)，共28頁(yè)。IPv4/IPv6網(wǎng)絡(luò)數(shù)據(jù)包情報(bào)分析從大量數(shù)據(jù)流中快速篩選出指定特征數(shù)據(jù)包

算法：PPM概率預(yù)測(cè)、模式匹配利用GPU硬件對(duì)數(shù)據(jù)處理作并行加速掌握相關(guān)核心技術(shù)，就可以防范“棱鏡門”窺探第二十五頁(yè)，共28頁(yè)。大數(shù)據(jù)壓縮與混沌加密核心引擎核心壓縮算法自主研發(fā)，支持GB級(jí)數(shù)據(jù)字典實(shí)測(cè)性能指標(biāo)達(dá)到先進(jìn)水平壓縮率、壓縮速度全面超越WinRAR壓縮速度超過7-zip，壓縮率各有千秋能夠進(jìn)行“蝴蝶效應(yīng)”加密第二十六頁(yè)，共28頁(yè)。網(wǎng)絡(luò)安全自我防御智能技術(shù)