云時代下的大數(shù)據(jù)安全技術(shù)

1、云時代下的大數(shù)據(jù)安全技術(shù)摘要：認(rèn)為云計算結(jié)合大數(shù)據(jù)，是時代發(fā)展的必然趨 勢。提出了保障大數(shù)據(jù)安全的方法和技術(shù)，方法包括：構(gòu)建 云環(huán)境下的大數(shù)據(jù)信息安全體系，建立并研究基于 Hadoop 的大數(shù)據(jù)安全架構(gòu)等；技術(shù)包括：基于大數(shù)據(jù)的威脅發(fā)現(xiàn)技 術(shù)、大數(shù)據(jù)真實性分析技術(shù)、基于大數(shù)據(jù)的認(rèn)證技術(shù)、基于 大數(shù)據(jù)的安全規(guī)則挖掘技術(shù)， 以及防范高級持續(xù)性威脅 ( APT) 攻擊的技術(shù)。認(rèn)為大數(shù)據(jù)帶來許多新的安全問題和挑戰(zhàn)，但 它本身也是解決問題的重要手段，需要進(jìn)一步地研究。關(guān)鍵詞：大數(shù)據(jù)；云計算；大數(shù)據(jù)安全；APT 攻擊；數(shù)據(jù)挖掘隨著云時代的來臨，大數(shù)據(jù)也吸引了越來越多學(xué)術(shù)界和 工業(yè)界的關(guān)注。 從 20 世紀(jì)

2、 90 年代“數(shù)據(jù)倉庫之父” Bill Inmon 率先提出“大數(shù)據(jù)”的概念，到 2011 年麥肯錫全球研究院(MGI)發(fā)布了關(guān)于大數(shù)據(jù)的詳盡報告，直至2012年美國奧巴馬政府公布了“大數(shù)據(jù)研發(fā)計劃” ，才使得大數(shù)據(jù)真正成 為許多學(xué)科的重點研究課題。大數(shù)據(jù)科學(xué)的基礎(chǔ)研究已經(jīng)成 為當(dāng)今社會的研究熱點。英國牛津大學(xué)教授維克托?邁爾?舍恩伯格， 在他的大數(shù)據(jù)時代： 生活、工作與思維的大變革 一書中，深刻地闡述了大數(shù)據(jù)所帶來的三大變革，即思維變革、商業(yè)變革和管理變革。大數(shù)據(jù)帶來更多的是思維變革一一樣本數(shù)據(jù)或局部數(shù)據(jù)向全體數(shù)據(jù)的變革，結(jié)果數(shù)據(jù)向 過程數(shù)據(jù)的變革，靜態(tài)存儲數(shù)據(jù)向動態(tài)流處理數(shù)據(jù)的變革。隨著大

3、數(shù)據(jù)技術(shù)的不斷發(fā)展，許多傳統(tǒng)的信息安全技術(shù) 也受到了挑戰(zhàn)。在大量數(shù)據(jù)產(chǎn)生、收集、存儲和分析的過程 中，既會涉及一些傳統(tǒng)安全問題，也會涉及一些新的安全問 題，并且這兩類問題會隨著數(shù)據(jù)規(guī)模、處理過程、安全要求 等因素而被不斷放大。而大數(shù)據(jù)的 4V （大量、高速、多樣、 真實性）+1C （復(fù)雜）特征，也使得大數(shù)據(jù)在安全技術(shù)、管 理等方面面臨新的安全威脅與挑戰(zhàn) 1。1 大數(shù)據(jù)安全技術(shù)發(fā)展現(xiàn)狀談到大數(shù)據(jù)，不可避免地就要提及云計算技術(shù)，它們就 像一枚硬幣的正反面一樣密不可分。云計算結(jié)合大數(shù)據(jù)，是 時代發(fā)展的必然趨勢。云計算為大數(shù)據(jù)提供了存儲場所、訪 問渠道、虛擬化的數(shù)據(jù)處理空間，具有盤活數(shù)據(jù)資產(chǎn)價值的 能

4、力。另一方面，大數(shù)據(jù)技術(shù)通過挖掘價值信息 2 進(jìn)行預(yù)測 分析、策略決斷，為國家、企業(yè)甚至個人提供決策和服務(wù)。作為一個云化的大數(shù)據(jù)架構(gòu)平臺， Hadoop 自身也存在 著云計算面臨的安全風(fēng)險，企業(yè)需要實施基于身份驗證的安 全訪問機制，而 Hadoop 派生的新數(shù)據(jù)集也同樣面臨著數(shù)據(jù) 加密問題。云端大數(shù)據(jù)從使用頻率上有靜態(tài)數(shù)據(jù)加密機制和 動態(tài)數(shù)據(jù)加密機制兩種 3 。靜態(tài)數(shù)據(jù)加密機制與傳統(tǒng)加密一樣，有對稱加密算法和非對稱加密算法兩種。而動態(tài)數(shù)據(jù)加 密機制方面近年來則有較多的論述，較為常用的是同態(tài)加密 機制4 。對加法同態(tài)的加密算法有Paillier 算法5 ，對乘法同態(tài)的加密算法有 RSA算法，還有

5、對加法和簡單標(biāo)量乘法同 態(tài)的加密算法，如 IHC和MRS算法。Craig Gentry提出一 種基于理想格的全同態(tài)加密算法 7 ，實現(xiàn)了全同態(tài)加密所有 屬性的解決方案。同樣，大數(shù)據(jù)依托的非關(guān)系型數(shù)據(jù)庫（NoSQL）技術(shù)沒有經(jīng)過長期發(fā)展和完善，在維護(hù)數(shù)據(jù)安全方面也未設(shè)置嚴(yán)格 的訪問控制和隱私管理，缺乏保密性和完整性特質(zhì)。另一方 面，NoSQL對來自不同系統(tǒng)、不同應(yīng)用程序及不同活動的數(shù) 據(jù)進(jìn)行關(guān)聯(lián)，也加大了隱私泄露的風(fēng)險。大數(shù)據(jù)時代，想屏 蔽外部數(shù)據(jù)商挖掘個人信息是不可能的，大數(shù)據(jù)隱私問題堪 憂。 Itani 提出的協(xié)議能夠在云計算環(huán)境下保證用戶的隱私 8， Creese的方案有效地解決了企業(yè)云部

6、署中的隱私安全問題 9。除了常見的基于加密體制的數(shù)據(jù)存儲和數(shù)據(jù)處理的隱私 性保護(hù)方案外，A. Parakh等于2011年和2013年分別提出了 基于空間有效性的機密共享隱式機制10及運用隱式機制的云端計算機制 11 。針對非結(jié)構(gòu)化數(shù)據(jù)（比如社交網(wǎng)絡(luò)產(chǎn)生 的大量數(shù)據(jù)）的隱私保護(hù)技術(shù)也是云時代下大數(shù)據(jù)安全隱私 保護(hù)的重大挑戰(zhàn)，典型的匿名保護(hù)需求為用戶標(biāo)識匿名、屬 性匿名（也稱點匿名）及邊匿名（用戶間關(guān)系匿名） 。目前邊匿名方案大多是基于邊的增刪 12 ，還有一個重要思路是基于超級節(jié)點對圖結(jié)構(gòu)進(jìn)行分割和聚集操作13 。2 基于大數(shù)據(jù)的安全技術(shù)及發(fā)展趨勢 新形勢下的大數(shù)據(jù)安全也面臨諸多新的挑戰(zhàn)，在大數(shù)

7、據(jù) 產(chǎn)業(yè)鏈的各個環(huán)節(jié)，安全問題無處不在。面對一系列的安全 風(fēng)險和關(guān)鍵問題，如何保障大數(shù)據(jù)安全，并在信息安全領(lǐng)域 有效利用，是學(xué)術(shù)界和工業(yè)界都需要認(rèn)真對待和解決的問題。2.1 構(gòu)建云環(huán)境下的大數(shù)據(jù)信息安全體系 只有在正確完整的安全體系指導(dǎo)下，大數(shù)據(jù)信息安全建 設(shè)所需的技術(shù)、產(chǎn)品、人員和操作等才能真正發(fā)揮各自的效 力。大數(shù)據(jù)應(yīng)用過程通常劃分為采集、存儲、挖掘、發(fā)布 4 個環(huán)節(jié)，它們的安全性可通過下面一些技術(shù)和方法實現(xiàn)：（ 1）數(shù)據(jù)采集階段的安全問題主要是數(shù)據(jù)匯聚過程中 的傳輸安全問題，需要使用身份認(rèn)證、數(shù)據(jù)加密、完整性保 護(hù)等安全機制來保證采集過程的安全性。傳輸安全主要用到 虛擬專用網(wǎng)絡(luò)（VPN）

8、和基于安全套接層協(xié)議 VPN（ SSL VPN 技術(shù)。（ 2）數(shù)據(jù)存儲階段需要保證數(shù)據(jù)的機密性和可用性， 提供隱私保護(hù)、備份與恢復(fù)技術(shù)等。這個階段可能用到的技 術(shù)有：基于數(shù)據(jù)變換的隱私保護(hù)技術(shù)（包括隨機化、數(shù)據(jù)交 換、添加噪聲等） 、基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)、基于匿 名化的隱私保護(hù)技術(shù) （通常采用抑制、 泛化兩種基本操作） 、靜態(tài)數(shù)據(jù)加密機制（數(shù)據(jù)加密標(biāo)準(zhǔn)（DES、高級加密標(biāo)準(zhǔn)（ AES）、 IDEA、 RSA、 ElGamal 等）、動態(tài)數(shù)據(jù)加密機制（同 態(tài)加密、異地備份、磁盤陣列（RAID）、數(shù)據(jù)鏡像、Hadoop 分布式文件系統(tǒng)（HDFS等。（3）數(shù)據(jù)挖掘階段需要認(rèn)證挖掘者的身份、嚴(yán)格

9、控制 挖掘的操作權(quán)限，防止機密信息的泄露。這個階段涉及到的 技術(shù)有：基于秘密信息的身份認(rèn)證、基于信物的身份認(rèn)證技 術(shù)、基于生物特征的身份認(rèn)證技術(shù)、自主訪問控制、強制訪 問控制、基于角色的訪問控制等。（ 4）數(shù)據(jù)發(fā)布階段需要進(jìn)行安全審計，并保證可以對可能的機密泄露進(jìn)行數(shù) 據(jù)溯源。 這個階段的技術(shù)可能涉及到： 基于日志的審計技術(shù)、 基于網(wǎng)絡(luò)監(jiān)聽的審計技術(shù)、基于網(wǎng)關(guān)的審計技術(shù)、基于代理 的審計技術(shù)、數(shù)據(jù)水印技術(shù)等。2.2 基于 Hadoop 的大數(shù)據(jù)安全架構(gòu)Hadoop 是一種分布式數(shù)據(jù)和計算的框架，在全球范圍 內(nèi)已成為大數(shù)據(jù)應(yīng)用最為廣泛的技術(shù)架構(gòu)。當(dāng)前， Hadoop 已成為工業(yè)界和學(xué)術(shù)界進(jìn)行云計

10、算應(yīng)用和研究的標(biāo)準(zhǔn)平臺。 分布式文件系統(tǒng)使大規(guī)模并行計算成為可能，但堆棧各層的 集成以及數(shù)據(jù)節(jié)點與客戶端 / 資源管理機構(gòu)之間通信， 都會引 入新的安全問題。圖1是Hadoop核心HDFS的架構(gòu)，在不破 壞大數(shù)據(jù)集群的基本功能及大數(shù)據(jù)本身必要特點的前提下， 我們先來分析這種架構(gòu)下的安全問題及隱患并給出相應(yīng)安全解決建議。在高度分布式數(shù)據(jù)集群中，很難驗證異構(gòu)平臺之間安全 的一致性，即不同的數(shù)據(jù)結(jié)點的數(shù)據(jù)安全的整體性和一致性 是分布式計算的痛點。而與傳統(tǒng)集中式數(shù)據(jù)安全模型不同的 是，大數(shù)據(jù)集群內(nèi)的數(shù)據(jù)是流動的，有多個副本，在不同節(jié) 點間移動以確保冗余和彈性的機制導(dǎo)致數(shù)據(jù)很難及時、準(zhǔn)確 地定位存儲位置

11、，無法獲知數(shù)據(jù)備份個數(shù)，這加大了副本安 全保護(hù)機制設(shè)計上的難度。對于數(shù)據(jù)訪問，大多數(shù)大數(shù)據(jù)環(huán) 境提供了 schema 級別的訪問控制，但沒有更細(xì)的粒度，雖 然在大數(shù)據(jù)環(huán)境中可以借鑒安全標(biāo)簽和其他高級屬性，但需 要應(yīng)用設(shè)計者將這些功能集成到應(yīng)用和數(shù)據(jù)存儲中去。對于 節(jié)點間的通信， Hadoop 和絕大多數(shù)組件之間的通信是不安 全的，它們使用傳輸控制協(xié)議（ TCP） /IP 之上的遠(yuǎn)程過程調(diào) 用協(xié)議（RPC ,并沒有嵌入安全傳輸層協(xié)議（TSL和SSL 等安全機制。另外，客戶端可以直接與資源管理者及節(jié)點進(jìn) 行交互，增加了惡意代碼或鏈接發(fā)送的概率，也難以保證客 戶端免受數(shù)據(jù)節(jié)點的攻擊。最后，最為重要的

12、是大數(shù)據(jù)棧自 身設(shè)計并沒有考慮安全機制。這些都是基于HDFS架構(gòu)的大數(shù)據(jù)環(huán)境的安全隱憂。基于 Hadoop 的大數(shù)據(jù)架構(gòu)，其安全機制可以通過下面 一些方法和技術(shù)得以保證：（1）使用Kerberos進(jìn)行節(jié)點驗證。 Kerberos是一個最 有效的安全控制措施之一，并且可以集成到 Hadoop 基礎(chǔ)設(shè) 施中。其可有效驗證服務(wù)間通信，阻斷集群中的惡意節(jié)點和 應(yīng)用程序， 保護(hù) Web 控制臺的訪問， 使得管理通道難以被攻 擊。（ 2）對于惡意客戶端發(fā)起的獲取文件請求，可以通過 使用文件層加密對數(shù)據(jù)加以保護(hù)。被惡意訪問的文件是不可 讀的磁盤映像，且文件層加密提供一致安全保護(hù)，有些產(chǎn)品 甚至提供內(nèi)存加密保

13、護(hù)。（ 3）使用密鑰管理服務(wù)分發(fā)密鑰和證書，并為每個組 應(yīng)用程序和用戶設(shè)置不同密鑰，可以提高密鑰的安全性，防 止文件加密的失效。（4）在節(jié)點之間、節(jié)點與應(yīng)用程序之間使用SSL/TLS組件實現(xiàn)安全通信，設(shè)計、集成有效的安全通信機制和現(xiàn)成組 件。2.3 基于大數(shù)據(jù)的威脅發(fā)現(xiàn)技術(shù) 由于大數(shù)據(jù)分析技術(shù)的出現(xiàn)，企業(yè)可以超越以往的“保 護(hù)一檢測一響應(yīng)一恢復(fù)” （PDDR模式，更主動地發(fā)現(xiàn)潛在 的安全威脅?！袄忡R”計劃也可以被理解為應(yīng)用大數(shù)據(jù)方法 進(jìn)行安全分析的成功故事。通過收集各個國家各種類型的數(shù) 據(jù)，利用安全威脅數(shù)據(jù)和安全分析形成系統(tǒng)方法發(fā)現(xiàn)潛在危 險局勢，在攻擊發(fā)生之前識別威脅?；诖髷?shù)據(jù)的威脅發(fā)現(xiàn)

14、技術(shù)可以使分析內(nèi)容的范圍更大，通過在威脅檢測方面引入 大數(shù)據(jù)分析技術(shù)，可以更全面地發(fā)現(xiàn)針對企業(yè)數(shù)據(jù)資產(chǎn)、軟 件資產(chǎn)、實物資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和其他為業(yè)務(wù)提供 支持的無形資產(chǎn)等各種信息資產(chǎn)的攻擊。另一方面，基于大 數(shù)據(jù)的威脅發(fā)現(xiàn)技術(shù)可以使分析內(nèi)容的時間跨度更長，現(xiàn)有 的威脅分析技術(shù)通常受限于內(nèi)存大小，無法應(yīng)對持續(xù)性和潛 伏性攻擊。而引入大數(shù)據(jù)分析技術(shù)后，威脅分析窗口可以橫 跨若干年的數(shù)據(jù)，因此威脅發(fā)現(xiàn)能力更強，可以有效應(yīng)對高 級持續(xù)性威脅（APT）類攻擊?；诖髷?shù)據(jù)的威脅分析，我 們可以對攻擊威脅進(jìn)行超前預(yù)判，能夠?qū)ふ覞撛诘陌踩{， 對未發(fā)生的攻擊行為進(jìn)行預(yù)防。而傳統(tǒng)的安全防護(hù)技術(shù)或工 具

15、大多是在攻擊發(fā)生后對攻擊行為進(jìn)行分析和歸類，并做出 響應(yīng)。傳統(tǒng)的威脅分析通常是由經(jīng)驗豐富的專業(yè)人員根據(jù)企 業(yè)需求和實際情況展開，然而這種威脅分析的結(jié)果很大程度 上依賴于個人經(jīng)驗。同時，分析所發(fā)現(xiàn)的威脅也是已知的。 大數(shù)據(jù)分析的特點是側(cè)重于普通的關(guān)聯(lián)分析，而不側(cè)重因果 分析，因此通過采用恰當(dāng)?shù)姆治瞿Ｐ涂砂l(fā)現(xiàn)未知威脅。2.4 大數(shù)據(jù)真實性分析技術(shù)目前，基于大數(shù)據(jù)的數(shù)據(jù)真實性分析被廣泛認(rèn)為是最為 有效的方法?；诖髷?shù)據(jù)的數(shù)據(jù)真實性分析技術(shù)能夠提高垃 圾信息的鑒別能力。一方面，引入大數(shù)據(jù)分析可以獲得更高 的識別準(zhǔn)確率。例如，對于點評網(wǎng)站的虛假評論，可以通過 收集評論者的大量位置信息、評論內(nèi)容、評論時間

16、等進(jìn)行分 析，鑒別其評論的可靠性。如果某評論者為某品牌多個同類 產(chǎn)品都發(fā)表了惡意評論，則其評論的真實性就值得懷疑。另 一方面，在進(jìn)行大數(shù)據(jù)分析時，通過機器學(xué)習(xí)技術(shù)可以發(fā)現(xiàn) 更多具有新特征的垃圾信息。然而該技術(shù)仍然面臨一些困難， 主要是虛假信息的定義、分析模型的構(gòu)建等。云時代的未來必將涌現(xiàn)出更多、更豐富的安全應(yīng)用和安 全服務(wù)。對于絕大多數(shù)信息安全企業(yè)來說，更為現(xiàn)實的方式 是通過某種方式獲得大數(shù)據(jù)服務(wù)，結(jié)合自己的技術(shù)特色領(lǐng)域， 對外提供安全服務(wù)。一種未來的發(fā)展前景是：以底層大數(shù)據(jù) 服務(wù)為基礎(chǔ)，各個企業(yè)之間組成相互依賴、相互支撐的信息 安全服務(wù)體系，總體上可以形成信息安全產(chǎn)業(yè)界的良好生態(tài) 環(huán)境。2.

17、5 基于大數(shù)據(jù)的認(rèn)證技術(shù) 傳統(tǒng)的認(rèn)證技術(shù)主要通過用戶所知的秘密（例如口令） 或者持有的憑證（例如數(shù)字證書）來鑒別。這樣就會存在問 題：首先，攻擊者總是能夠找到方法來騙取用戶所知的秘密 或竊取用戶持有的憑證，從而輕松通過認(rèn)證；其次，傳統(tǒng)認(rèn) 證技術(shù)中認(rèn)證方式越安全往往意味著用戶負(fù)擔(dān)越重（例如攜 帶硬件USBKe,如果采用先進(jìn)的生物認(rèn)證技術(shù)，又需要設(shè) 備具有生物特征識別功能，從而限制了這些先進(jìn)技術(shù)的使用。 如果在認(rèn)證技術(shù)中引入大數(shù)據(jù)分析則能夠有效地解決這兩 個問題。基于大數(shù)據(jù)的認(rèn)證技術(shù)指的是收集用戶行為和設(shè)備行為數(shù)據(jù)，并對這些數(shù)據(jù)進(jìn)行分析，獲得用戶行為和設(shè)備行為的特征，進(jìn)而通過鑒別操作者行為及其設(shè)備

18、行為來確定其身份。這與傳統(tǒng)認(rèn)證技術(shù)利用用戶所知秘密、所持有憑證或具有的生物特征來確認(rèn)其身份有很大不同。這樣，攻擊者很難模擬用戶行為特征來通過認(rèn)證，因此更加安全，同時又減 小了用戶認(rèn)證負(fù)擔(dān)，可以更好地支持各系統(tǒng)認(rèn)證機制的統(tǒng)一。2.6 基于大數(shù)據(jù)的安全規(guī)則挖掘技術(shù)在 Internet 網(wǎng)絡(luò)中，為保證網(wǎng)絡(luò)安全，會引入防火墻技 術(shù)和入侵檢測技術(shù)等。在這些技術(shù)中，通常是通過建立一套 安全規(guī)則或過濾規(guī)則達(dá)到其安全目標(biāo)，而這些規(guī)則的建立傳 統(tǒng)方法是通過專家知識系統(tǒng)。在大數(shù)據(jù)時代，這些安全規(guī)則 可以通過數(shù)據(jù)挖掘技術(shù)或方法實現(xiàn)。聚類分析是數(shù)據(jù)挖掘中的一項重要技術(shù)，根據(jù)在數(shù)據(jù)中 發(fā)現(xiàn)的描述對象及其關(guān)系的信息，將數(shù)

19、據(jù)對象分組。組內(nèi)相 似性越大，組間差別越大，聚類效果就越好。K-means 算法作為聚類分析中的一種基本方法，由J.MacQueen于1967年首次提出14,由于其容易實現(xiàn)，時間復(fù)雜度與數(shù)據(jù)規(guī)模接近線性，并且能夠快速地收斂到局部最 優(yōu)值，因此成為最廣泛應(yīng)用的聚類算法 15。然而 K-means 算法也存在較為明顯的缺陷，其中有以下兩點：(1) K-means算法需要人為確定聚類數(shù)K和選取初始質(zhì)心集，其聚類結(jié)果的好壞明顯受到初始化條件的影響 16-18， 即選取不同的 K 值和初始質(zhì)心集會得到不同的聚類結(jié)果。（2）K-means 算法僅適用于數(shù)據(jù)項全是數(shù)字的情況。對 非數(shù)字?jǐn)?shù)據(jù)進(jìn)行聚類分析是一個

20、特別棘手的問題19 ，這在很大程度上限制了 K-means 算法的應(yīng)用范圍。針對問題（ 1），Ester M 等提出了基于密度的聚類方法DBSCAN20,該算法以及以此為基礎(chǔ)的一些改進(jìn)算法17-18采用基于密度的自動聚類，避免了對初始條件的隨機選取， 在一定程度上解決了 K-means 算法對初始條件敏感的問題。然而，由于基于密度的聚類算法時間復(fù)雜度通常較高，在處 理大規(guī)模數(shù)據(jù)集時會出現(xiàn)瓶頸；同時在對于非數(shù)字?jǐn)?shù)據(jù)集的 聚類過程中，采用傳統(tǒng)的基于密度的聚類算法往往會造成聚 類失效問題。針對以上問題，在借鑒 K-means算法框架的基礎(chǔ)上，文 獻(xiàn)21提出一種基于“預(yù)抽樣 -次質(zhì)心”的密度聚類算法，

21、采 用預(yù)抽樣的方法將算法時間復(fù)雜度控制為線性，同時通過引 入次質(zhì)心的概念，解決聚類失效問題。分析表明該算法能很 好地克服K-means算法的初始條件敏感性和一般密度聚類算 法的聚類失效問題，實現(xiàn)較為理想的聚類結(jié)果。2.7防范APT攻擊的技術(shù)APT攻擊是大數(shù)據(jù)時代面臨的最復(fù)雜的信息安全問題之一，而大數(shù)據(jù)分析技術(shù)又為對抗APT攻擊提供了新的解決手段。APT具有極強的隱蔽性，且潛伏期長、持續(xù)性和目標(biāo)性 強，技術(shù)高級，威脅性也大。 APT 攻擊檢測方案通常有沙箱 方案、異常檢測、全流量審計、基于深層協(xié)議解析的異常識 別、攻擊溯源等。在 APT 攻擊檢測中，存在的問題包括：攻 擊過程包含路徑和時序；攻擊

22、過程的大部分貌似正常操作； 不是所有的異常操作都能立即檢測；不能保證被檢測到的異 常在 APT 過程的開始或早期。 基于早期記憶的檢測可以有效 緩解上述問題，既然 APT 是在很長時間發(fā)生的，我們的對抗 也要在一個時間窗內(nèi)來進(jìn)行，并對長時間、全流量數(shù)據(jù)進(jìn)行 深度分析。 APT 攻擊防范策略包括防范社會工程、通過全面 采集行為記錄避免內(nèi)部監(jiān)控盲點、 IT 系統(tǒng)異常行為檢測等。3 結(jié)束語 大數(shù)據(jù)帶來許多新的安全問題和挑戰(zhàn)，但大數(shù)據(jù)本身也 是解決問題的重要手段，它就像一把雙刃劍，既需要研究合 適的“盾”來保護(hù)大數(shù)據(jù)，也需要研究如何用好大數(shù)據(jù)這根 “矛”。戰(zhàn)略資詢公司麥肯錫認(rèn)為：大數(shù)據(jù)將會是帶動未來

23、生產(chǎn)力發(fā)展、科技創(chuàng)新及消費需求增長的指向標(biāo)，它以前所 未有的速度，顛覆人們探索世界的方法，驅(qū)動產(chǎn)業(yè)間的融合 與分立。大數(shù)據(jù)已成為各個國家和領(lǐng)域關(guān)注的重要戰(zhàn)略資源， 可能對國家治理模式、企業(yè)決策、組織業(yè)務(wù)流程、個人生活 方式都將產(chǎn)生一系列長遠(yuǎn)、巨大的影響。參考文獻(xiàn)1 MANADHATA P K. Big Data for Security： Challenges， Opportunities ， and Examples C/Proceedings of the 2012 ACM Workshop on Building Analysis Datasets and Gathering Exper

24、ience Returns for Security ， Raleigh， North Carolina ， USA， 20122 YU S C， WANG C， REN K， et al. Achieving Secure， Scalable， and Fine-grained Data Access Control in Cloud Computing C/ Proceedings of the INFOCOM10 ， the 29th conference on Information communication ， Piscataway， USA， 2010： 534-5423 BEL

25、ARE M and ROGAWAY. PIntroduction to Modern Cryptography J. Ucsd Cse， 2005： 2074 GENTRY C， HALEVI S， SMART N P. Homomorphic Evaluation of The AES Circuit M. Germany ： Springer Berlin Heidelberg ， 20125 CATALANO D. Pailliers Cryptosystem Revisited C/ in Proceedings of the 8th ACM conference on Compute

26、r and Communications Security ， PA， USA， 2001： 206-2146 BENDLIN R， DAMGARD I， ORLANDI C， et al. Semi-Homomorphic Encryption and Multiparty Computation M. Germany ： Springer Berlin Heidelberg ， 2011 7 GENTRY C. A Fully Homomorphic Encryption Scheme D. Standford University ， 20098 ITANI W， KAYSSI A， C

27、HEHAB A. Privacy As a Servic：e Privacy-Aware Data Storage and Processing in Cloud Computing Architectures C/ Eighth IEEE International Conference on Dependable ， Autonomic and Secure Computing ， Washington DC， USA， 2009：711-716.doi ： 10.1109/DASC.2009.1399 CREESE ，S HOPKINS P， PEARSON ，S et al. Data

28、 Protection-Aware Design for Cloud Services M. Germany ： Springer Berlin Heidelberg ， 200910 PARAKH A， KAK S. Space Efficient Secret Sharing for Implicit Data Security J. Information Science ， 2011， 181（ 2）： 335-34111 PARAKH A， MAHONEY W. Privacy Preserving Computations Using Implicit Security C / P

29、roceedings of the 22nd International Conference on Computer Communications and Networks （ ICCCN）， Nassau， Bahamas， 2013： 1-6. doi ： 10.1109/ICCCN.2013.661417212 ZHANG L J， ZHANG W N. Edge Anonymity in Social Network Graphs C / Proceedings of the International Conference on Computational Science and

30、Engineering （CSE09），Vancouver， Canada， 2009： 1-813 MICHAEL H A，GEROME M，DAVID J，et al. Resisting Structural Re-identification in Anonymized Social NetworksC/ Proceedings of the 34th International Conference on Very Large Data Bases（ VLDB2008）， Aucklnad ， New Zealand， 2008： 102-11414 MACQUEEN J. Some Methods for Classification and Analysis of Multivariate Observations. C / Proceedings of the Fifth Berkeley Symposium on Mathematical Statistics and Probability ， Oakland， USA， 1967： 281-29715 JAIN A K. Data Clustering： 50 Years Beyond K-Means J. Pattern recognition letters ， 2010， 1