大数据在网络安全中应用.pptVIP

大数据在网络安全中的应用 华南理工大学 电子与信息学院 覃健诚 博士 自我介绍 覃健诚 北京邮电大学 信息安全中心 博士毕业 目前在：华南理工大学 电子与信息学院 研究方向：网络安全，云计算 著作 《网络安全基础》，科学出版社，2011 内容列表 网络空间安全中的大数据价值 攻：大数据信息的获取与利用 防：大数据保护与安全检测 华南理工大学的相关研究工作 日新月异的网络空间安全 网络安全领域一直在快速发展 云计算、移动互联网、SDN等新技术涌现 安全问题同样不会停留在过去 传统的网络安全技术已经不足够 防火墙、入侵检测等仍然有用，但显然不够 APT、零日攻击等新威胁难以发现 云计算等也使得安全环境更为复杂 先理解网络空间——Cyber Space Cyber Space是存放各种思维信息产物的空间 云计算、软件定义网络、大数据包含在其中 发挥出想象力，这个虚拟空间可以包罗万象 空间中的安全问题事关重大 两个世界的概念 原子世界（实体） 比特世界（虚构） 能够互相影响 网络空间安全直接影响现实世界 2010年震网病毒 Stuxnet 摧毁了伊朗核设施的离心机 疑似美国发动的攻击 2010年纽约股市一次莫名暴跌 数分钟内暴跌近9%，找不到“胖手指” 疑似自动交易软件触发条件的连锁反应 2013年“棱镜门”事件 监控数据挖掘敏感信息被曝光 网络空间安全的新威胁举例 零日攻击： 防不胜防 利用必威体育精装版技术，发起针对未知漏洞的攻击 高级持续威胁（APT） 长期、持续性、隐蔽攻击，针对性强 云计算平台内部安全攻击：虚拟机之间 在服务器之间的网络流量中根本检测不到 以上都是传统安全技术难以抵御的 如何应对未知的网络安全威胁？ 安全竞争：挖掘大数据蕴含的信息 安全首先是技术上的比拼 通过大数据寻找各种可能的网络安全信息 犹如两个狙击手对决，看谁先发现对方 涉及数据仓库、数据分析、数据挖掘等技术 象提炼稀土矿一样提取大数据中的价值 有价值的信息量密度很低，但蕴藏总量很大 要有足够的技术条件才能提取出来 防病毒：大数据价值实例 从美钞轨迹到流感预测 趣味网站：让大家输入手上美钞的序列号 积累了十年数据，能跟踪美钞流通轨迹 大量数据积累的意义 形成美钞在世界各地流动的规律 也就是世界上人群、病毒流动的规律 2009年利用数据来预测H1N1流感传播趋势 成功预测首要爆发热点在纽约、加州、德州 大数据体现的价值高低 与数据源有关，也和信息提炼水平有关 要把有价值的信息从大量数据中分离出来 信息提炼水平不够，大数据只是无用的垃圾 提炼水平越高，能够提取出的价值越高 类比：铀矿浓缩技术 天然铀矿：约0.7% 核电站用低浓缩铀：3% 核武器用高浓缩铀：90% 内容列表 网络空间安全中的大数据价值 攻：大数据信息的获取与利用 防：大数据保护与安全检测 华南理工大学的相关研究工作 虚拟案例：利用大数据的网络诈骗 股票走势预测：发送大量垃圾邮件、短信 8万邮件，4万说升，4万说跌，总有一半对 说对的继续下一轮：2万说升，2万说跌 有1250人连续收到6次邮件，次次猜中 收网：针对剩下的1250人 声称有内幕消息，要求付费购买 部分人信以为真，付款 类似手法可用在球赛结果预测等其他方面 有效利用大数据中的价值 棱镜门：监听有价值的信息 数据来源：电信部门、网络设备 关键问题：如何筛选出有价值的信息 背景噪音：大量无关的数据 相关技术举例：要求速度快 模式匹配算法：找出敏感词、句之类 概率分析算法：发现异常（小概率事件） 相关性分析算法：找到高度相关情况 棱镜门的延伸：网络信息监控 高级持续威胁（APT） 潜伏、监听数据流，逐步勾画网络秘密轮廓 通过大数据分析发现系统潜在弱点 有目的地渗透、收集有价值的信息 不主动破坏，难以察觉 为特定目的监测网络信息 反恐、防侵略：监控异常动向 防腐败、反洗钱：监控账务 防欺诈、防盗刷：监控交易 信息安全监控：利用大数据 跟踪现金钞票流动情况：记录钞票序号 利用大量收银台验钞机、ATM机 发现现金异常流动情况 追查洗钱源头 分析原因时注意：沉默的大多数 大数据分析只告诉你相关性，不会讲出原因 二战实例：轰炸机加固机身，还是机翼 数据统计：飞回来的轰炸机多数是机翼中弹 内容列表 网络空间安全中的大数据价值 攻：大数据信息的获取与利用 防：大数据保护与安全检测 华南理工大学的相关研究工作 由大数据发现网络安全问题 尽量收集、统计全局性网络数据 目的：防范零日攻击、APT等未知威胁 深入到云计算平台内部采集 从统计分析中发现异常 统计可以找出规律，有各种不同的统计分析法 异常（小概率事件）