基于大数据的工业信息安全情报分析框架

2019-09-30 01:16李敏孙军张哲宇
网络空间安全 2019年4期
关键词:大数据

李敏 孙军 张哲宇

摘要:随着“互联网+”“两化融合”等国家战略的深入推进,工业信息安全上升到了一个新高度,引发了来自各方的持续关注。情报研究作为企业竞争、行业管理及军事竞争等领域的重要手段,是工业信息安全领域的重点工作之一。文章基于大数据技术,列出了工业信息安全情报研究的六大类别多源数据,分析了工业信息安全情报分析的难点,给出了基于大数据的工业信息安全情报分析模型,并提出了基于大数据的工业信息安全情报分析平台架构。

关键词:大数据;情报分析;工业信息安全;平台架构

中图分类号:TP311.13;TP393.08          文献标识码:A

1 引言

随着工业数字化、网络化、智能化快速发展,工业信息安全的重要性和紧迫性日渐凸显,工业信息安全情报研究作为工业信息安全领域的重要工作之一,大力开展该项工作的基础研究及关键、共性、应用技术的创新性突破,能够帮助解决工业信息安全风险监测预警、应急处置、安全保障、政策研究、教育培训等诸多难点,从而提高我国工业信息安全的支撑和保障能力。而大数据、云计算、移动互联网等新技术的兴起,尤其是大数据技术创新应用,提高了对海量数据的处理和分析能力,数据挖掘、数据利用的时代已經来临[1]。对于基于信息分析的工业信息安全情报研究来说,大数据分析方法带来了新的机遇和挑战。本文将基于大数据技术,针对工业信息安全情报研究领域的多源数据类型、面对的情报分析难点、采用的分析方法和模型以及构建的情报分析平台架构等进行研究。

2 大数据技术为工业信息安全情报研究带来机遇和挑战

麦肯锡全球研究所(Mc Kinsey Global Institute,MGI)将大数据定义为“一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集集合”。这个定义得到普遍的认同。大数据具有“4V”的特征,即数据量巨大(Volume)、数据具有多样性(Variety)、价值密度小(Value)、处理速度快(Velocity)[2]。从全球范围来看,对于大数据的研究已成为世界主要发达国家的国家战略。2012年美国联邦政府发布《大数据研发计划》,在国防、安全、能源、医疗等领域推动大数据研发与应用,并于2014年和2016年又分别发布了《大数据:把握机遇,守护价值》白皮书及《联邦大数据研究与发展战略规划》,为大数据研发的发展和扩张提供指导。

在我国,党中央、国务院高度重视大数据的发展,党的十八届五中全会正式提出“实施国家大数据战略”。随后,国务院于2015年印发了《促进大数据发展行动纲要》,工业和信息化部于2016年印发了《大数据产业发展规划(2016-2020年)》,提出了我国大数据发展的顶层设计。党的十九大明确提出“推动互联网、大数据、人工智能和实体经济深度融合”,从国家大数据发展战略全局的高度,进一步推动大数据产业的建设与发展。

在情报研究领域,大数据已成为影响科技情报领域的一个重要外部因素。在大数据时代,可以“看到”情报对象的全景,即全息化,使科技情报走过情报匮乏和情报大众化时代,进入情报全息化时代[3]。鉴于此,研究人员在该领域已经开展了部分研究工作。李广建等人将大数据时代情报研究发展趋势概括为单一领域情报研究转向全领域情报研究、情报研究的智能化等五个方面[4],并通过梳理竞争情报、军事情报等五个领域对情报分析的概念与实践现况,揭示了不同领域在大数据环境下的情报分析特征和发展,指出了大数据对情报分析的影响[5]。化柏林等人从数据环境、业务需求以及流程对比三个角度剖析了大数据环境下竞争情报的特点,提出大数据环境下的多源融合型竞争情报[6]。

同时,范佳佳梳理了大数据时代信息安全威胁情报的主要特点、基础性技术、实践现状与趋势、重要意义和未来研究方向,对国家信息安全管理和国家情报要素研究均具有重要意义,与其相关的数据管辖与隐私保护、情报共享等问题将成为未来的研究重点[7]。余波等人构建了大数据环境下情报研究方法论的体系框架,分析归纳了主要的情报研究方法,并提出对这个体系框架科学性和实用性的评价指标[8]。管磊等人提出了一种集安全数据采集、处理、分析和安全风险发现、监测、报警、预判于一体的安全态势感知平台,将安全日志、报警数据转化成可视化安全事件信息,从海量数据中挖掘威胁情报,从而实现风险发现、安全预警和态势感知[9]。

还有,韩伟红等人对分布异构网络安全数据集成技术、面向重大网络安全事件发现的关联分析技术、基于数据流和多维分析的网络安全数据实时分析技术等进行了介绍[10]。陈兴蜀等人以大数据技术给网络安全与情报分析研究带来的挑战与机遇为线索,分析当前网络安全与情报分析面临的困境,梳理大数据和网络安全与情报分析的关系,并围绕高级网络威胁与攻击的有效检测方法缺乏、未知复杂网络攻击与威胁预测能力不足及缺乏度量网络安全态势评估结果的评价体系等问题,开展了高级网络威胁发现方法、复杂网络攻击预测方法及大规模网络安全态势感知技术等方面的研究[1]。

3 工业信息安全多源数据类别及内容

工业信息安全大数据涵盖海量的数据资源内容,既包括结构化数据,也包括非结构化数据,其数据来源类别主要分为几类。

3.1 态势感知数据

态势感知数据主要包括全网工业信息安全暴露数据和全网工业信息安全威胁监测数据两大类。其中,全网工业信息安全暴露数据是指接入互联网的工控设备软硬件的IP数据,包含工控设备软硬件的版本、模块、型号、IP地理位置等;全网工业信息安全威胁监测数据是指扫描、攻击工控设备软硬件的IP数据,包含攻击动作行为、攻击时间、攻击的协议类型、攻击者所属的组织、IP地理位置等。

3.2 威胁情报共享数据

威胁情报共享数据主要包括工业信息安全漏洞数据及实时事件数据(即工业信息安全舆情)、信息安全企业威胁情报平台共享数据等。其中,工业信息安全漏洞数据是指工控软硬件设备的漏洞信息数据,包含漏洞编号、发布日期、更新日期、数据来源、漏洞描述、危害评分、利用复杂度评分、攻击途径、危害类型、参考资源、受影响的软件及版本等。实时事件数据是指关于工业信息安全的新闻事件数据,包括工业信息安全新闻/事件、发布时间等;信息安全企业威胁情报平台共享数据是指第三方信息安全厂商提供的威胁情报数据,包括全球网站主机信息、URL信息、DNS信息、E-mail泄漏信息、互联网泄漏数据信息、IP信誉信息、文件HASH安全性、文件沙箱运行信息、IP地理位置等。

3.3 工业信息安全技术/研究类数据

工业信息安全技术/研究类数据主要包括研究成果跟踪数据、工业信息安全研究人员数据、工业信息安全管理人员数据、安全培训记录数据、国家调研数据、工控领域产品数据及工业信息安全标准数据等。其中,研究成果跟踪数据是指互联网电子文献库和专利库中工业信息安全技术/研究类数据,包括研究成果的文件资源、发布时间、发布作者、成果题目等。工业信息安全研究人员数据是指工业信息安全行业研究者及从业者人员数据,包括常用信息(ID/姓名、电子邮箱)、性别、关注方向、最近一次存活时间等;工业信息安全管理人员数据是指工控及生产企业管理层人员数据,包括姓名、电子邮箱、性别等;安全培训记录数据是指工业信息安全方面的安全培训记录数据,包含培训时间、参与人员信息、培训内容等;国家调研数据是指国内生产、工控企业的检查调研数据,包含企业资产台账、工控软硬件信息、网络拓扑等;工控领域产品数据是指已通过信息安全产品销售许可认证的工控安全产品数据,包含产品型号、版本、认证通过及过期时间等;工业信息安全标准数据是指全球范围内的工业信息安全标准数据,包含标准资源文件、组织信息、标准内容等。

3.4 工业企业监控中心共享数据

工业企业监控中心共享数据主要包括资产数据、脆弱性数据、威胁预警数据、安全防护数据等。其中,资产数据是指工业企业网络中资产信息数据,包含厂商信息、服务开放信息、IP、MAC、OS版本信息等;脆弱性数据是指工业企业的资产脆弱性安全隐患数据,包含资产漏洞信息、严重程度、解决方案等;威胁预警数据是指工业企业网络威胁预警数据,包含威胁风险等级、类型、解决方案、出现时间及具体信息等;安全防护数据是指工业企业工业信息安全防护设备运行数据,包括防护产品运行情况、日志、行为告警信息等。

3.5 行业信息安全监管数据

行业信息安全监管数据是指行业主管部门安全生产监管数据,包含关键网络设备运行信息、安全防护产品的运行信息、行业生产、监测、报警数据等。

3.6 区域性安全监测数据

区域性安全监测数据主要包括大流量探针捕获数据及企业探针捕获数据。其中,大流量探针捕获数据是指电信运营商级别的基于旁路探针的实时监控数据,内容为网络的即时流量数据;企业探针捕获数据是指企业级别的基于旁路探针的实时监控数据,内容为网络的即时流量数据。

4 工业信息安全大数据情报分析模型

分析上述六大类工业信息安全多源数据,可以看出工业信息安全情报分析面临着海量数据、多源数据、多样化数据、实时流数据等情报分析的难点,要达到理想的工业信息安全情报分析效果,需引入大数据技术,采用合理多样的情报分析方法,构建完善的情报分析模型,从而为企业竞争、行业管理及军事竞争等领域提供及时、全面、可靠的情报输出。

文本挖掘、数据挖掘、多源数据融合方法等是情报分析中的常用方法。在工业信息安全大数据情报分析中,文本挖掘主要用于梳理分析工业信息安全技术/研究类数据及威胁情报共享数据等内容;数据挖掘主要用于态势感知数据、工业企业监控中心共享数据及区域性安全监测数据等数据类别的情报分析;多源数据融合方法是解决大数据环境下异构数据整合而提出的方法。对工业信息安全情报研究来说,所采集的情报数据呈现多样、复杂、动态的特征,需要对多种数据来源信息字段进行映射、拆分、去重、加权等,才能较为准确地反映出信息的潜在价值,有效地支撑工业信息安全情报分析工作。

工业信息安全大数据情报分析模型主要包括情报数据多源采集、情报数据分布式存储、情报数据多元化分析、情报数据定制化服务及工业信息安全大数据情报分析协调机制五大模块,各模块间连接关系如图1所示。

情报数据多源采集模块针对上述态势感知数据、威胁情报共享数据、工业信息安全技术/研究类数据等六大类多源工业信息安全数据,采用丰富多样的技术手段实现情报数据的采集功能。情报数据分布式存储模块构建国家级、省级、市级和行业领域等分布式、绿色大数据存储系统,实现工业信息安全各类数据的分级、分布式存储,并实现数据可视化清洗、元数据提取溯源、集群监控、安全访问控制等功能。情报数据多元化分析模块,是大数据情报分析模型中的核心。该模块利用并行计算、分布式数据库系统、节点式计算模型等先进的云计算技术,利用多元化的情报数据分析方法实现情报数据的处理分析;情报数据定制化服务模块,是根据不断变化和涌现的多样化情报应用需求,实现提供定制化情报服务的模块,是使用者与整个工业信息安全大数据情报分析模型的交互界面。

5 基于大数据的工业信息安全情报分析平台架构

按照本文提出的工业信息安全大数据情报分析模型,考虑工业信息安全大数据涵盖的六大类多源数据资源及主要情报分析方法,构建了基于大数据的工业信息安全情报分析平台架构,如图2所示。该架构的主体由大数据智能感知系统(负责多源数据采集)、大数据分布式存储系统、大数据智能分析系统及应用支撑系统组成。此外,为了使整个平台功能更加完善、安全,整体架构中还设计了工业信息安全大数据测试体系和自动化测试技术、工業信息安全大数据安全保障技术及工业信息安全大数据基础技术支撑系统三部分内容。其中,工业信息安全大数据测试体系和自动化测试技术建设面向数据、平台、应用等各个层面,以工业控制系统大数据应用及服务在实际运行过程中的各种应用场景为基础,对其功能、性能、可靠性、安全性和兼容性等测试进行研究,深入研究工业控制系统大数据测试关键技术,研发测评工具,制定测评标准规范,建设工业信息安全大数据全生命周期的测评体系;工业信息安全大数据安全保障技术从物理安全、环境控制、网络与系统安全、数据安全及灾难恢复与业务连续性等多个方面,为平台提供全面、完善的安全保障;工业信息安全大数据基础技术支撑系统则通过构建典型工业控制系统仿真测试平台、工业网络靶场及安全分析中心等,从数据采集到数据存储分析再到应用的全流程,为平台提供全方位的技术支撑。

6 结束语

大数据时代为工业信息安全领域的情报分析工作带来了机遇和挑战。如何更好地利用大數据相关技术,支撑工业信息安全领域的情报分析工作是研究人员关注的重点。这就需要研究人员不断地修正大数据情报分析模型并根据需要引入新的模块,不断地丰富大数据分析方法并将不同的方法恰到好处地用于合适的场景中,不断地修正和完善大数据情报分析平台的整体架构并持续构建相关辅助系统,从而将大数据技术切实应用到工业信息安全领域的情报分析工作中。以期能够有效改善工业信息安全领域情报分析工作,同时为该领域理论和技术的发展添砖加瓦。

基金项目:

1. 工业和信息化部工业转型升级重点项目“面向工业控制系统的安全可靠公共技术服务平台”(项目编号:ZB1514003);

2. 工业和信息化部财务司专项“工业控制系统信息安全技术测试和风险验证平台”(项目编号:ZB1714003)。

参考文献

[1]  陈兴蜀,曾雪梅,王文贤,邵国林.基于大数据的网络安全与情报分析[J].工程科学与技术,2017,49(3):1-12.

[2]  Mc Kinsey Global Institute. Big data: the next frontier for innovation,competition,and produ-ctivity[EB/OL].http://www.mckinsey.com/insights/mgi/research/technology_and_innovation/big_data_the_next_frontier_for_innovation,2012.

[3]  赵芳,吴晨生,刘彦君.自建大数据工具在情报领域的应用实践及对大数据理论的新认识[J].情报理论与实践,2015,38(1):76-80.

[4]  李广建,杨林.大数据视角下的情报研究与情报研究技术[J].图书与情报,2012,(6):1-8.

[5]  李广建,江信昱.不同领域的情报分析及其在大数据环境下的发展[J].图书与情报,2014,(5):7-19.

[6]  化柏林,李广建.大数据环境下的多源融合型竞争情报研究[J].情报理论与实践,2015,38(4):1-5.

[7] 范佳佳.论大数据时代的威胁情报[J].图书情报工作,2016,60(6):15-20.

[8]  余波,温亮明,张妍妍.大数据环境下情报研究方法论体系研究[J].情报科学,2016,34(9):7-12.

[9]  管磊,胡光俊,王专.基于大数据的网络安全态势感知技术研究[J].信息网络安全,2016(9):45-50.

[10]  韩伟红,隋品波,贾焰.大规模网络安全态势分析与预测系统YHSAS[J].信息网络安全,2012(8):11–14.

猜你喜欢
大数据
基于在线教育的大数据研究
“互联网+”农产品物流业的大数据策略研究
大数据时代新闻的新变化探究
浅谈大数据在出版业的应用
“互联网+”对传统图书出版的影响和推动作用
大数据环境下基于移动客户端的传统媒体转型思路
基于大数据背景下的智慧城市建设研究
数据+舆情:南方报业创新转型提高服务能力的探索