大数据环境下的信息安全检测技术

成建宏 潘积文 郑少波 杨玉龙 朱义杰

(贵州航天计量测试技术研究所 贵阳 550009) (中国航天科工集团第十研究院网络信息安全技术中心 贵阳 550009)

(chengjianhong0228@163.com)

随着大数据技术的飞速发展，信息安全问题显得愈加突出，大数据安全事件频繁发生.上海社会科学院互联网研究中心发布《大数据安全风险与对策研究报告》显示，相当部分数据安全事件发生在企业或社会组织，数据泄露量动辄过亿条[1].2017年5月12日，全球100多个国家数十万用户遭受勒索软件攻击，给国内高等院校、企业、医院、银行等多个行业造成不同程度的影响.阿里巴巴数据安全专家在2017年中国国际大数据产业博览会上揭露，各行各业、企业、社会组织间数据交互频繁，任何一家企业数据发生泄露，随时会危及到其他组织.IBM Security 和Ponemon Institute于2017年6月联合发布了“2017 Cost of Data Breach Study: Global Overview”，文中针对全球13个国家的419家公司进行了调研，分析结果显示，虽然2017年平均每家企业数据泄露成本和平均每次数据泄露或记录被盗的成本分别为362万美元和141美元，较2016年分别减少了10%和11.4%，但是未来2年内再次发生数据泄露的可能性是27.7%，同比2016年增长了2.1%[2].2017年10月3日，美国电信巨头Verizon公司发布声明称，雅虎在2013年遭黑客攻击造成30亿账户的用户姓名、邮箱、密码、电话、生日等个人隐私信息泄露，该数字量级是2016年12月份公布的3倍.因此，大数据安全威胁已渗透在数据产生、流通和消费等大数据全生命周期的各个环节，其对应的数据源、大数据加工平台和大数据分析服务等各类主题都是威胁源.对各类企业来说，防止敏感数据泄露给未授权方是最为急迫的安全问题之一.

1 大数据环境下的信息安全特征及挑战

大数据时代，数据信息是继劳动力、土地、资本、技术、管理之后的一种新型生产要素，日益成为全球经济社会创新发展驱动源泉.基于大数据的共享与开发促进了行业之间、组织之间和地域之间的协同创新，催生出新的商业模式和产业新形态，促进各企业、公司二次创业和转型升级.大数据在为企业或公司带来经济效益的同时，也面临着更为严峻的安全风险，并使得信息安全在大数据环境下呈现出新的特征.综合近年来国内外重大信息安全事件，大数据环境下信息安全特征主要有综合安全、规模安全、泛在安全和跨域安全等[3-6].

1.1 综合安全

大数据环境下，信息安全围绕共建、共享、融合、协同、互联、共生、跨界、智能等热词构建主题，大数据正向“智慧城市”、“智慧交通”、“移动医疗”、“云上政务”等诸多领域不断深入渗透，使得信息安全问题愈演愈烈.2017年首届中国数据安全峰会以“共建数据安全·共享数据安全”为主题；2017年第四届世界互联网大会·乌镇峰会以“发展数据经济促进开放共享——携手共建网络安全命运共同体”为主题；2018年中国国际大数据产业博览会将以“数化万物，智在融合”为年度主题，围绕人工智能、数据安全、万物互联、共享经济、精准扶贫5个主题，邀请全球顶级大数据企业和大数据领军人物同台论道，同时围绕数据经济发展、大数据国家治理、区块链等技术产业创新、数据安全保障、大数据与民生、区域合作与交流六大板块深入探讨大数据与经济、文化、社会、生态融合应用的发展方向.这些主题峰会正体现了我国信息安全在大数据环境下综合安全的新特征.党的十八大以来，以习近平同志为核心的党中央站在战略高度和长远角度，将大数据和信息安全提升至国家战略.习近平总书记提出：“没有网络安全就没有国家安全”，“要维护网络安全以及网络数据的完整性、安全性、可靠性，提高维护网络空间安全能力”以及“实施国家大数据战略，加快建设数字中国”等.

1.2 规模安全

大数据时代以互联互通、数据共享为主要特征，促使大数据环境下物与物、物与人、人与物以及人与人之间互联互通的新形态.随着互联网通信技术及硬件技术的高速发展，我国移动互联网用户急剧增加.据工信部统计，截至2018年2月底，我国移动互联网用户总数达到12.8亿，2018年1月至2月净增达1 008万，同比增长14.8%.使用手机上网的用户数为11.9亿，对移动电话用户的渗透率为82.3%.《2018年全球数字报告》表明[7]，2018年全球互联网用户增加到40.21亿，同比增长7%；全球社交媒体用户数为31.96亿，同比增长13%；全球用户手机数量51.35亿，同比增长4%；活跃移动设备社交媒体用户数为29.58亿.海量数据汇集在云端和数据中心，使得信息安全风险规模巨增和风险程度加剧，信息安全焦点从国家政治、军事、外交领域延伸至个人隐私.近年来，数十万至数亿条个人隐私泄露事件频发，成为全球大数据环境下的信息安全新常态和新特征.例如，2016年京东内部员工窃取涉及银行卡、社交账号、医疗、物流、交通等个人信息50亿条，在网络黑市进行贩卖；2018年《观察家报》和《纽约时报》报道，一款名为“this is your digital life”的应用非法收集了5 000万Facebook用户信息数据，并将该数据转移给伦敦的政治分析公司Cambridge Analytica.5 000万的用户数据泄露，使得公众对Facebook隐私失去了信心，这无疑给Facebook带来了“灭顶之灾”.

1.3 泛在安全

在信息技术高速发展的今天，人们利用互联网、移动设备及智能终端可快速建立联系，实现视频、语音、图片、文字等信息实时交互.信息流和数据流如同光芒照射，无声无息并快速渗透到各国家、各领域、各行业、各部门及个人，打破了传统时间和空间上的限制.与此同时，数据驱动时代颠覆了传统信息安全管理模式，从静态、年月日时为单位的信息安全管理向动态、争分夺秒实时管控和泛在化治理的方式转变.在大数据环境下信息安全已进入无时不在、无处不在环境，即铸就了无缝、普适的泛在安全新特征.

1.4 跨域安全

随着信息化、市场化、社会化及国际化的发展，带动了能源、资金、人才、技术及知识的跨境交易和传递.例如，较为代表性的海尔、奇瑞、联想及华为等跨国公司，阿里巴巴、亚马逊、国美电器等跨境电商，纽约时报、环球时报、新华网、路透社等全球传媒使得全球数据在互联网上相互传输.传统以国家为概念的信息管理和法律正在被跨域国家为概念的组织机构所替代，传统陆海空三维一体的信息交易边界已向陆海空天电网各领域深度渗透.由此，网络空间安全正遭受跨域安全的新威胁，“棱镜门”和“邮件门”事件所揭露的惊人内幕从侧面反映出大数据环境下数据跨域传输给国家信息安全带来前所未有的威胁.

信息安全新隐患伴随着大数据应用而生，随着云计算、物联网、移动互联网等新技术的快速发展，给大数据环境下的信息安全带来了诸多挑战和更高的安全要求，在数据收集、传输、存储、管理、风险、分析、发布、使用、销毁的大数据全生命周期各个环节中，都面临着新的安全威胁和挑战.因此，大数据环境下数据信息需要构建总体协调、精准治理的信息安全管理新模式，构建去伪存真、自主可信的信息安全管理新路径和构建数据开发、安全共享的信息安全管理新理念.

2 大数据环境下的信息安全检测技术及发展趋势

在全球网络信息化程度高速发展的背景下，具备针对性、伪装性和阶段性的高级持续性威胁(advance persistent threat, APT)对大数据环境下的信息安全造成的威胁愈加严重[8].要防止数据信息非授权访问、使用、泄露、修改和破坏，保证数据的保密性、完整性、可用性、可控性和不可否认性，传统的数据安全检测技术已满足不了大数据时代下的数据安全新需求.随着大数据应用高速发展，在信息安全攻击技术日渐增长的同时，基于大数据分析的检测技术也受到国内外众多研究学者们的青睐[9-14].本节归纳基于APT攻击的检测技术所面临的挑战，并论述其发展趋势.

2.1 恶意代码异常检测技术

大数据环境下基于特征提取的恶意代码异常检测方法要求自动、快速、有效，由于动态提取时特征提取速度慢和样本覆盖率较低，因此静态分析方法更加适合于大数据环境下的特征表示；由于APT攻击普遍使用零日漏洞、社交攻击、物理摆渡等多样化攻击方式，并且大多数APT恶意代码均运用了代码混淆、加密等隐蔽手段，使得静态的分析方法也难以提取攻击行为特征.因此如何解决动态特征提取的时效性和静态特征提取难以识别隐蔽代码的问题具有较大的挑战.目前，应对APT恶意代码攻击的通常特征提取方法是沙箱分析技术，但遗憾的是，沙箱分析技术大量消耗资源，所以如何结合代码的静态特征降低沙箱分析的时间和空间成本是恶意代码特征提取研究的发展趋势.

2.2 网络流量异常检测技术

网络流量异常检测技术的实施依赖于对网络流量数据的科学采集，但是APT攻击具有高度针对性.攻击者通常选择的是安全级别极强的信息系统.获取信息系统中网络流量历史数据，再通过建模与实时流量数据进行比对，以此应对APT网络流量攻击.因此历史安全数据建模的可信度和网络流量检测的覆盖面是该方法的关键所在.文献[15]根据网络流量数据间的相似性，利用小波分析对网络流量进行分解，采用灰色模型和马尔科夫模型分别对高频和低频分量进行网络流量异常检测，提出基于时间序列分析的网络流量异常检测模型.钟志琛[16]通过设计数据采集方式、网络流量特征属性量化以及优化K-means聚类算法等，提出适合电网工控系统的网络流量异常检测、安全检测预警平台架构及检测方法，该方法可为电网企业的工控系统的安全防护提供科学方法指导.因此，利用机器学习和深度学习等方法不断提高模型的可信度是网络流量异常检测研究的发展趋势.

2.3 社交网络安全事件挖掘技术

社交网络已成为人们把一个真实世界里的社交放在虚拟世界里进行交流沟通、传播信息的承载平台.据中国互联网络信息中心(CNNIC)于2018年1月31日发布的第41次《中国互联网络状况统计报告》显示，截至2017年12月，我国社交网络网民规模达到7.53亿，占网名数量的97.5%[17]，可见社交网络在国内的风靡程度.尽管社交网络中数据源是非敏感数据，但仍可能通过关联分析技术，针对用户社交网络行为、浏览日志等挖掘出个人隐私[18-19],这会对安全行为分析者带来法律纠纷，不利于网络安全检测工作正常开展.虽然隐私保护数据挖掘方法可解决该类问题，但是基于噪声的隐私保护数据挖掘方法会降低算法使用效率，从而检测准确率受到一定的影响；另外基于数据加密的隐私保护挖掘方法代价太高，不易部署在社交网络中[20].因此，充分利用各类安全事件的内在联系和可疑攻击者的信息，构建网络安全检测反馈机制，是社交网络安全行为挖掘研究的发展趋势.

3 大数据安全检测技术创新实践

贵州航天计量测试技术研究所(以下简称“航天测试”)隶属于中国航天科工集团第十研究院(以下简称“航天十院”)，依托国家保密科技测评中心(贵州省)分中心、贵州省大数据信息安全产业计量测试中心、贵州省大数据信息安全产品检验检测中心、中国航天科工集团第十研究院网络信息安全技术中心以及贵州航天计量测试技术研究所院士工作站等头衔，开展大数据安全检测相关工作，具体为大数据安全测评、网络信息安全技术、电磁兼容试验以及大数据信息安全产品检验检测等.

3.1 大数据安全测评

自2012年起，航天测试作为国家保密科技测评中心(贵州省)分中心的依托单位，从人力、物力、财力等方面全面支持和保障分中心的工作，建立了一支技术精湛、素质优良的卓越人才队伍.截至2017年12月，分中心累计派出测评人员1 500多人次，足迹遍布贵州省并支援西藏自治区、广西壮族自治区、云南省、湖南省、新疆生产建设兵团、福建省等，完成国家保密科技测评中心和贵州省保密局下达的测评任务，出具各类高质量报告，并从未发生过失泄密事件.测评工作获得上级单位及被测单位的表扬和感谢，现已成为国家保密科技测评的一支重要力量.与此同时，航天测试在信息安全产业相关设备和产品计量及检测技术、大数据网络异常行为分析技术、大数据的软件行为分析技术上积累了一定技术基础，并形成相关知识产权.依照现有基础和技术实力，拟建立国家级大数据安全测评中心，开展大数据环境下的涉密信息系统分级保护测评、信息系统风险评估、软件安全性测试及信息安全产品检验检测等服务.

3.2 网络信息安全技术

自贵州启动大数据安全战略以来，航天测试积极投身于网络安全战略之中，作为中国航天科工集团第十研究院网络信息安全技术中心的支撑机构，开展网络安全、信息安全及安全产品研发等一系列工作.2016年与贵阳市经开区联合共建了贵阳大数据安全产业园，成为国内首个以大数据安全为主题的产业园区，引进了国内10余家大数据安全企业，建立了大数据攻防靶场，在公安部的指导下，以贵阳市为中心，开展了以真实网络为对象的攻防演练，取得了丰硕成果，推动了大数据产业的发展，集中力量攻破了技术瓶颈，形成了系列规范的技术服务标准，促进了大数据安全产业健康快速发展.2017年国务院副总理马凯视察航天十院网络信息安全技术中心，对中心继续坚持“自主创新、二次创业”提出殷切期望(如图1所示).为了加快航天测试转型升级，二次创业，以及不负领导厚望，正筹建虚实结合，集攻防实训、攻防仿真、攻防对抗于一体的大数据网络攻防靶场；并以靶场为牵引，建立网络信息安全培训中心，针对贵州省党政机关人员开展网络信息安全轮训工作；最后联合国内知名院校，建立工控安全研究中心，开展有针对性的基础科研与产品研发工作.

图1 马凯视察航天十院网络信息安全技术中心

图2 标准3 m法半电波暗室

3.3 电磁兼容试验

航天测试作为中国航天科工集团第十研究院电磁兼容试验中心的依托单位，于2011年建成并投入使用.中心拥有标准3 m法半电波暗室(如图2所示)、传导屏蔽室、控制屏蔽室、功放屏蔽室各1间，测试设备及测试系统100余台套，检测能力涵盖GJB151A152A—97，GJB151B—2013，GJB 3590—99，GJB 181A—2003等标准的87个测试项目，检测范围覆盖航空、航天、船舶、兵器、民用机载、信息技术设备、医疗电子、汽车电子、家用电器等领域产品的电磁兼容试验与供电兼容(电源特性)试验.先后通过了中国国家实验室(CNAS)、中国国防实验室(DILAC)及贵阳市国家经济技术开发区(CMA)等认可.致力于电磁兼容试验技术与电磁兼容设计技术的研究，先后承担了国家重点型号的电磁兼容试验与供电兼容试验，以及医疗电子产品、汽车电子产品、信息技术产品的电磁兼容试验与整改.具有较强的技术优势，规模和能力名列西南地区前列.中心以诚信、合作为理念，以高水平的技术和优质的服务为宗旨，竭诚与国内外同行和用户合作.

3.4 大数据信息安全产品检验检测

2018年，航天测试获得贵州省科技厅的批复,筹建贵州航天计量测试技术研究所院士工作站，引进中国工程院倪光南院士、刘永才院士作为合作院士，拟在自主可控信息技术和大数据安全领域展开合作，建设贵州省大数据信息安全产业计量测试中心和贵州省大数据信息安全产品检验检测中心，在大数据信息安全产品、大数据信息安全技术、大数据信息安全服务领域和大数据信息安全密切关联的其他产业领域开展重点项目，为大数据信息安全产业的发展提供更加有效的安全保障体系.为了积极推进军民融合产业发展，航天测试多次组织专家开展“大数据安全产业技术发展研究院”论证工作，结合《军民融合关键基础件产业化基础建设规划纲要》相关要求，聚焦大数据安全服务和大数据安全产品，以安全咨询服务、安全评估、安全集成、安全运维、军民融合大数据安全技术、大数据安全网络攻防靶场、工控安全、智能制造及智能检测为研究方向，发挥技术牵引效应，推动大数据安全领域前沿技术研发及相关产业化发展.

4 结 论

现阶段的信息安全检测技术已经不能完全满足大数据环境下的信息安全防护要求，信息安全检测技术在恶意代码攻击、网络流量攻击及社交网络安全行为挖掘面临着诸多技术挑战.文本开始重点分析了大数据环境下信息安全的新特征；论述了当前信息安全检测技术及发展趋势；陈述了近几年来航天测试在大数据安全检测方面的应用实践，对贵州省发展大数据安全产业具有一定的带动力作用.

大数据安全检测技术的发展，不仅是大数据产业发展和信息安全攻击技术所驱动的结果，还是国家部署的重大战略.加强大数据安全检测技术研究，推动大数据的开放共享和数据安全，支撑数据安全产业可持续发展，增强国家网络空间安全的防御能力，对贵州省实施“万企融合”大行动、打好“数字经济”攻坚战，推动我国实施网络强国战略、国家大数据战略和国家安全战略都具有重要的理论意义和实践价值.

参考文献

[1]张衠. 大数据安全风险与对策研究——近年来大数据安全典型事件分析[J]. 信息安全与通信保密, 2017 (6): 102-107

[2]Ponemon Institute. 2017 cost of data breach study: Global overview[EB/OL]. [2018-04-15]. https://info.resilient systems.com/hubfs/IB M_Resilient_Branded_Content/White_Papers/2017_Global_CODB_R eport_Final.pdf

[3]吕欣, 韩晓露. 健全大数据安全保障体系[J]. 信息安全研究, 2015, 1(3): 211-216

[4]王世伟. 论大数据时代信息安全的新特点与新要求[J]. 图书情报工作, 2016, 60(6): 5-14

[5]陈左宁, 王广益, 胡苏太, 等. 大数据安全与自主可控[J]. 科学通报, 2015 (z1): 427-432

[6]陈兴蜀, 杨露, 罗永刚. 大数据安全保护技术[J]. 工程科学与技术, 2017, 49(5): 1-12

[7]We Are Social and Hootsuite. 2018 global digital[EB/OL]. [2018-04 -15]. https://wearesocial.com/blog/2018/01/global-digital-report-2018

[8]付钰, 李洪成, 吴晓平, 等. 基于大数据分析的APT攻击检测研究综述[J]. 通信学报, 2015, 36(11): 1-14

[9]王丹, 赵文兵, 丁治明. 大数据安全保障关键技术分析综述[J]. 北京工业大学学报, 2017, 43(3): 335-349

[10]张夏. 基于机器学习算法的网络入侵检测[J]. 现代电子技术, 2018, 41(3): 124-127

[11]贾凡, 孔令智. 基于卷积神经网络的入侵检测算法[J]. 北京理工大学学报, 2017, 37(12): 1271-1275

[12]陈继磊, 祁云嵩. 基于深度学习的入侵检测方法[J]. 江苏科技大学学报, 2017, 31(6): 795-800

[13]Wang M, Jayaraman P P, Solaiman E, et al. A multi-layered performance analysis for cloud-based topic detection and tracking in big data applications[J]. Future Generation Computer Systems, 2018 [2018-04-15]. https://www.sciencedirect.com/science/article/pii/S0167739X17315935

[14]Manogaran G, Lopez D. Spatial cumulative sum algorithm with big data analytics for climate change detection[J]. Computers & Electrical Engineering, 2017, 65: 207-221

[15]李彦. 基于时间序列分析的网络流量异常检测[J]. 现代电子技术, 2017, 40(7): 85-91

[16]钟志琛. 基于网络流量异常检测的电网工控系统安全监测技术[J]. 电力信息与通信技术, 2017,15(1): 98-102

[17]中国互联网络信息中心. 中国互联网络发展状况统计报告[EB/OL]. [2018-04-15]. http://www.cac.gov.cn/2018-01/31/c_1122347026.htm

[18]孟小峰, 张啸剑. 大数据隐私管理[J]. 计算机研究与发展, 2015, 52(2): 265-281

[19]张啸剑, 孟小峰. 面向数据发布和分析的差分隐私保护[J]. 计算机学报, 2014, 37(4): 927-949

[20]Dwork C. A firm foundation for private data analysis[J]. Communications of the ACM, 2011, 54(1): 86-95