一種隱私數(shù)據(jù)主動防御的研究

1、一種隱私數(shù)據(jù)主動防御的研究摘 要：隨著互聯(lián)網(wǎng)由1.0向2.0演進(jìn)，互聯(lián)網(wǎng)以前所未有的速度滲透到人們的日常生活?；ヂ?lián)網(wǎng)快速開展所積累的龐大數(shù)據(jù)，為大數(shù)據(jù)分析和人工智能創(chuàng)造了絕好的條件，另一方面，針對數(shù)據(jù)攻擊、數(shù)據(jù)泄露、數(shù)據(jù)濫用變得日益嚴(yán)重，甚至滋生非法活動。對于個體而言，數(shù)據(jù)隱私意識也在不斷增強(qiáng)。數(shù)據(jù)隱私保護(hù)問題成為廣受關(guān)注的網(wǎng)絡(luò)空間治理問題，因此要求數(shù)據(jù)運(yùn)營者要積極、主動地進(jìn)行數(shù)據(jù)防御。關(guān)鍵詞：數(shù)據(jù)隱私 網(wǎng)絡(luò)空間治理 主動、數(shù)據(jù)防御中圖分類號：TP309         &#

2、160;      文獻(xiàn)標(biāo)識碼：A            文章編號：1674-098X202102a-0159-05Abstract：WiththeevolutionoftheInternetfrom1.0to2.0，theInternethaspenetratedintopeople'sdailylivesatanunprecedentedrate.Thehugeamountofdataaccumulate

3、dbytherapiddevelopmentoftheInternethascreatedexcellentconditionsforbigdataanalysisandartificialintelligence.Ontheotherhand，dataattacks，databreaches，anddataabusearebecomingmoreseriousandevenbreedillegalactivities.Forindividuals，awarenessofdataprivacyisalsogrowing.Dataprivacyprotectionhasbecomeawidely

4、concernedissueofcyberspacegovernance.Therefore，dataoperatorsarerequiredtoactivelyandproactivelyperformdatadefense.KeyWords：DataPrivacy;Cyberspacegovernance;Initiative;Datadefense隨著數(shù)字經(jīng)濟(jì)時代的到來，數(shù)據(jù)已成為關(guān)鍵的生產(chǎn)要素。數(shù)據(jù)賦權(quán)的意義不僅僅在于保護(hù)個人隱私，同時還有助于清晰產(chǎn)權(quán)，從而發(fā)揮出數(shù)據(jù)的最大經(jīng)濟(jì)效能，各國目前正加快數(shù)據(jù)隱私保護(hù)的立法和相關(guān)制度建設(shè)。歐盟于2021年5月正式實(shí)施的?通用數(shù)據(jù)保護(hù)條例?GDP

5、R規(guī)定數(shù)據(jù)主體享有知情同意權(quán)、訪問權(quán)、拒絕權(quán)、可攜權(quán)、刪除權(quán)被遺忘權(quán)、更正權(quán)、持續(xù)控制權(quán)等多項(xiàng)權(quán)利。其中一些權(quán)利在我國于2021年11月通過的?網(wǎng)絡(luò)平安法?中也得到了表達(dá)。數(shù)據(jù)隱私保護(hù)的相關(guān)立法對數(shù)據(jù)的處理和應(yīng)用施加了約束，極大增強(qiáng)了數(shù)據(jù)主體對個人數(shù)據(jù)的控制能力和保護(hù)能力，因此，數(shù)據(jù)運(yùn)營者主動對數(shù)據(jù)進(jìn)行防御就尤其重要。既然是主動防御，那么肯定對應(yīng)“被動防御。被動防御的經(jīng)典應(yīng)用就是傳統(tǒng)事后被動審計(jì)、被動應(yīng)急。傳統(tǒng)的數(shù)據(jù)攻擊檢測都是攻擊出現(xiàn)后，先被動處置，平安廠商再提取特征碼放入特征庫，這種做法顯然不能在主動、積極地進(jìn)行數(shù)據(jù)防護(hù)。主動防御理念的平安策略不再依賴于特征，而是根據(jù)行為做出預(yù)先判斷并實(shí)時

6、進(jìn)行自動閉環(huán)阻止。從技術(shù)角度來說，可分為四個方面：身份認(rèn)證，即確保數(shù)據(jù)訪問的全流程身份正常。攻擊預(yù)測，不依賴特征，實(shí)時預(yù)判各種針對數(shù)據(jù)的攻擊行為并告警。路徑復(fù)原，能夠精準(zhǔn)復(fù)原攻擊的整個路徑，提供處置依據(jù)。實(shí)時封堵，能夠?qū)赡軐?dǎo)致數(shù)據(jù)泄露的行為進(jìn)行自動閉環(huán)封堵。1 基于有向圖的持續(xù)身份認(rèn)證1.1生成數(shù)據(jù)訪問行為圖譜基線首先從數(shù)據(jù)訪問日志中提取時間、源目的IP、來源URL、訪問URL等字段，并過濾出目的IP位于受保護(hù)站點(diǎn)列表的訪問日志，使用目的IP加上目的端口作為站點(diǎn)的唯一標(biāo)志。對于指定時間段內(nèi)同一個源IP訪問同一個站點(diǎn)的訪問日志進(jìn)行提取，我們就可以得到此源IP訪問站點(diǎn)的URL訪問序列。

7、為了躲避URL序列中摻雜的靜態(tài)資源的干擾，我們需要對URL序列進(jìn)行去噪，去噪方式如下：1對于UPL，去掉其問號后的所有內(nèi)容，即去掉參數(shù)局部。2得到已經(jīng)去掉參數(shù)的URL后，我們對其后綴進(jìn)行判斷，如果其后綴屬于jsJavascript腳本、css樣式文件、png/jpg/gif/jpeg圖片文件等，那么認(rèn)為是頁面的靜態(tài)資源請求，不屬于URL路徑分析的范疇，將其過濾掉。經(jīng)過過濾步驟后，我們就得到了一個源IP對于一個站點(diǎn)的所有動態(tài)請求的URL序列。我們將每一個URL作為圖的一個節(jié)點(diǎn)，而將一個URL到另一個URL的跳轉(zhuǎn)關(guān)系，作為圖的一條有向邊，這樣我們就可以得到一個源IP對于一個站點(diǎn)的訪問行為圖譜。如圖

8、1所示。另外，我們還可以基于源IP對于目的站點(diǎn)各個URL對應(yīng)模塊的訪問時間間隔，生成用戶訪問時間序列圖譜，對于用戶在站點(diǎn)各個模塊停留時間的行為特征進(jìn)行刻畫。如圖2所示。由于歷史數(shù)據(jù)訪問日志中，有非常多的源IP訪問站點(diǎn)對，為了提高行為圖譜基線的生成性能，我們可以使用Spark的分布式算子并行的生成源IP訪問站點(diǎn)序列行為圖譜，在生成行為圖譜之后，我們將每一個行為圖譜對象序列化為二進(jìn)制對象，存儲在HDFS上，供后續(xù)的實(shí)時URL比對模塊讀取。每一個序列化的圖譜對象，使用源IP加目的IP加目的端口作為它的標(biāo)志。1.2異常身份檢測1基于訪問行為圖譜的異常身份檢測。根據(jù)URL的先后訪問關(guān)系從元素為N的URL

9、集合中，提取出N-1個子序列，例如對于的URL集合，得到的子序列為。對于每一個子序列與行為圖譜進(jìn)行比對，如果子序列中含有行為圖譜中不含有的節(jié)點(diǎn)，或者子序列對應(yīng)的行為圖譜中不存在邊，那么判定為該用戶的此次訪問行為異于歷史訪問行為，觸發(fā)身份驗(yàn)證失敗訪問異常告警。2基于訪問時間序列圖譜的異常身份檢測。對于源IP訪問URL的時間間隔，與訪問時間序列圖譜進(jìn)行比對，如果發(fā)現(xiàn)兩個URL之間的訪問時間間隔明顯異于訪問時間序列圖譜的時間間隔例如與歷史停留時間間隔的均值相比超過了3倍的標(biāo)準(zhǔn)差，那么判定為該用戶的此次訪問行為異于歷史訪問行為，觸發(fā)身份驗(yàn)證失敗訪問異常告警。2 基于機(jī)器學(xué)習(xí)分析的主動預(yù)測1數(shù)

10、據(jù)源采集。網(wǎng)絡(luò)平安領(lǐng)域的數(shù)據(jù)源根據(jù)類型的不同，包括結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)采集方式主要通過Syslog、SNMP、JDBC/ODBC、FTP/SFTP、TCP/UDP、File、Webservice等主流的數(shù)據(jù)采集方式進(jìn)行采集，對于大量多源異構(gòu)數(shù)據(jù)源，采用前置探針，對數(shù)據(jù)進(jìn)行集中收集、標(biāo)準(zhǔn)化等工作，將數(shù)據(jù)整合后統(tǒng)一發(fā)送到大數(shù)據(jù)應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)將根據(jù)平安事件之間的相關(guān)性，進(jìn)行關(guān)聯(lián)分析，得到更為準(zhǔn)確的監(jiān)測信息，發(fā)現(xiàn)攻擊源。2數(shù)據(jù)預(yù)處理。在對數(shù)據(jù)挖掘算法執(zhí)行之前，必須對收集到的原始數(shù)據(jù)進(jìn)行預(yù)處理，從而改進(jìn)數(shù)據(jù)的質(zhì)量，提高數(shù)據(jù)挖掘過程的效率、精度和性能。大數(shù)據(jù)預(yù)處理利用數(shù)據(jù)切片，

11、數(shù)據(jù)分類，數(shù)據(jù)聚合，數(shù)據(jù)索引標(biāo)記等技術(shù)對原始數(shù)據(jù)進(jìn)行層級化的聚合、重組、清洗、提取、轉(zhuǎn)換、管理、切分等預(yù)處理操作，統(tǒng)一標(biāo)準(zhǔn)接口，統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)，并通過分布式存儲管理技術(shù)，在滿足一致性要求的根底上，實(shí)現(xiàn)平安、可靠、快速、有效地對多類型、多格式的數(shù)據(jù)統(tǒng)一存儲管理。3分布式計(jì)算。大數(shù)據(jù)分布式計(jì)算通過兩個或多個計(jì)算機(jī)互相共享信息，將需要進(jìn)行大量計(jì)算的數(shù)據(jù)分割成小塊，由多臺計(jì)算機(jī)分別計(jì)算，再對運(yùn)算結(jié)果進(jìn)行統(tǒng)一合并。采用分布式任務(wù)調(diào)度機(jī)制，動態(tài)靈活的將計(jì)算資源進(jìn)行分配和調(diào)度，從而到達(dá)資源利用最大化，計(jì)算節(jié)點(diǎn)不會出現(xiàn)閑置和過載的情況，采用分布式實(shí)時計(jì)算框架和分布式離線計(jì)算框架相結(jié)合的分布式計(jì)算框架和模塊化設(shè)計(jì)

12、，構(gòu)建一個支持多種分布式計(jì)算模型的統(tǒng)一動態(tài)調(diào)度、管理和計(jì)算的大數(shù)據(jù)分布式計(jì)算平臺，有效地支撐大數(shù)據(jù)挖掘分析。4行為預(yù)測。通過上述數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分布式計(jì)算等過程，大數(shù)據(jù)已納入分布式存儲管理中，這些數(shù)據(jù)信息已可以用于查詢、統(tǒng)計(jì)、分析，得到大量對業(yè)務(wù)有用的信息，然而，隱藏和淹沒在這些大數(shù)據(jù)之中更重要的信息，如關(guān)聯(lián)分析、精細(xì)化分類、模式識別等，是無法用傳統(tǒng)查詢統(tǒng)計(jì)方法來獲取的。為了得到這些有用的信息，需要采用數(shù)據(jù)挖掘分析技術(shù)，自動智能地對大數(shù)據(jù)分析、探索、挖掘，探尋數(shù)據(jù)的模式及特征，實(shí)現(xiàn)對異常行為的主動預(yù)測。3 基于時序關(guān)聯(lián)的攻擊路徑復(fù)原傳統(tǒng)針對敏感數(shù)據(jù)算法模型流量分析，發(fā)現(xiàn)的根

13、本是大量的單點(diǎn)、單一時刻的威脅，無法感知APT攻擊問題，本文提出一種基于洛克希德·馬丁LockheedMartin公司的平安專家提出來的網(wǎng)絡(luò)攻擊按開展時間和程度統(tǒng)一分為七個階段，分別是偵查、工具制作、投送、攻擊滲透、安裝工具、命令控制和惡意活動，以用戶視角的行為時序圖，構(gòu)建時序關(guān)聯(lián)的攻擊路徑復(fù)原模型，同時結(jié)合威脅情報(bào)關(guān)聯(lián)分析，推理形成用戶維度的數(shù)據(jù)泄露攻擊行為復(fù)原鏈。這種數(shù)據(jù)泄露路徑復(fù)原模型是一種多維度的攻擊推理算法，維度包含攻擊事件標(biāo)記的危險程度、資產(chǎn)的重要等級、事件發(fā)生時間以及事件所處攻擊階段等。通過將設(shè)備或算法檢測生成的告警數(shù)據(jù)，從資產(chǎn)的角度，使用泄露階段、時序關(guān)聯(lián)、攻擊的危險

14、程度和資產(chǎn)重要程度，復(fù)原出數(shù)據(jù)泄露的路徑，能夠有效發(fā)現(xiàn)基于局域網(wǎng)資產(chǎn)的樹狀威脅拓?fù)?，?fù)原了資產(chǎn)被入侵的歷史痕跡，有效提高了威脅感知和預(yù)測能力。4 分類分級的實(shí)時閉環(huán)封堵當(dāng)前出現(xiàn)攻擊時，如果經(jīng)過人工審核確認(rèn)后通過封堵IP的方式進(jìn)行，該種方式過于簡單粗暴，極易造成因操作不當(dāng)導(dǎo)致大面積業(yè)務(wù)故障。本方法將基于TCP會話重置和基于賬號的封堵方式引入敏感數(shù)據(jù)防泄漏處置，實(shí)現(xiàn)高危風(fēng)險自動化封堵，無需人工干預(yù)且封堵影響范圍小。根據(jù)泄露的場景定制化制定封堵策略，能夠從三方面進(jìn)行有效的封堵，第一類賬號異常，跟資源管理系統(tǒng)進(jìn)行聯(lián)動封堵惡意賬號的活動;第二種通過調(diào)動一鍵封堵平臺下發(fā)黑洞路由實(shí)現(xiàn)IP封堵;第三

15、種高危探測活動，通過TCP會話重置來實(shí)現(xiàn)精準(zhǔn)級會話封堵。從數(shù)據(jù)防御出發(fā)，針對9個高危場景分別實(shí)現(xiàn)分類分級自動封堵，最大限度降低封堵影響，提高業(yè)務(wù)連續(xù)性。5 結(jié)語雖然我們大多只聽說新聞報(bào)道的大公司數(shù)據(jù)泄露事件，但并非只有大公司才面臨數(shù)據(jù)泄露的風(fēng)險。事實(shí)上，中小企業(yè)的敏感數(shù)據(jù)泄露問題也不小。攻擊者對中小企業(yè)下手的回報(bào)可能沒有對大公司的大，但小企業(yè)也不太可能具備能夠主動檢測、預(yù)防和緩解平安漏洞的策略。為防止敏感數(shù)據(jù)泄露，無論是大公司還是中小企業(yè)都需要關(guān)注網(wǎng)絡(luò)平安，積極利用主動防御的思路進(jìn)行數(shù)據(jù)防護(hù)。同時，數(shù)據(jù)保護(hù)不是某一個部門的職責(zé)，而是所有數(shù)據(jù)運(yùn)營者和使用者的事情，進(jìn)行敏感數(shù)據(jù)的業(yè)務(wù)流程設(shè)計(jì)時，一定要回歸到業(yè)務(wù)的本質(zhì)上去，回頭看看業(yè)務(wù)的本質(zhì)是什么，需不需要這些敏感數(shù)據(jù)。參考文