基于大数据与威胁情报的防御体系研究

党超辉 马志伟 邵国飞 李树新 郭镇鑫

在信息网络环境中，网络风险给使用者带来了较大的困扰。基于大数据和威胁情报，对风险因素予以描述和分析，能够更好地保证网络信息流转的安全有效性。通过威胁情报来完成防御系统构建，在大数据技术支持下，将安全防御做到及时、全面，是大数据时代必然的要求。

信息时代是社会发展的重要标志，当信息网络存在不安全因素时，要积极利用技术手段予以防御，将风险控制在一定范围之内，保障信息网络环境的良性运行。基于威胁情报的应用广泛、跟踪紧密以及提供决策等特征，强化防御体系的实践效果。

威胁情报

定义

威胁情报是基于信息技术领域发展出现的一种安全风险情况报告，在威胁情报中包括了对不安全因素性质的描述和指引等内容。威胁情报属于一种信息识别报告，威胁报告关系到信息安全防御体系的应用，基于威胁情报的可靠分析，可以为信息网络用户提供重要的安全防御支持，威胁报告的应对速度和效果会直接影响到信息体系的整体安全防御水平。威胁情报作为对信息风险的一种描述，内容必须全面、准确、及时，这样才具有信息安全价值。威胁情报的宗旨就是让用户能够更好地受到保护，并基于威胁情报来采取具体的应对措施。随着大数据时代的到来，威胁情报基于大数据支持能够完成威胁和防御2个层面的描述任务，对于信息数据用户而言具有强力的安全支撑。威胁描述中要对风险数据的来源、数量、类型等予以判断，防御描述要对风险数据的控制、隔离等路径进行指导。

特点

1.应用广泛

威胁情报技术能够适用于大多数的网络信息环境，可以完成较多的防御功能，如风险检测、病毒隔离和漏洞弥补等。在防御体系构建过程中，威胁情报可以参与到各个数据交互环节，同时对数据交互过程进行整体监控，从而确保防御系统响应的及时性。

2.跟踪紧密

威胁情报能够具体描述风险因素，一个非常关键的点就是对这些风险因素进行紧密跟踪。利用威胁情报的跟踪特点，可以结合防御系统来确定风险来源的IP地址和实时动态等，使网络用户能够全面有效地掌握信息环境的情况。

3.提供决策

威胁情报在提供防御决策方面具有極大的优势，基于对网络信息环境的数据采集和分析，可以识别和判断风险类型，并基于大数据支持从数据库中完成决策构建，使系统防御体系具备更加智能和全面的应对能力。

利用大数据分析威胁情报的技术

数据关联技术

在威胁情报技术的应用过程中，要加强与数据关联技术的结合。通过数据关联技术，可以在威胁情报描述的不同数据点之间建立关系，从而使威胁因素的特点和趋势能够被更好地获悉。由于防御体系会覆盖不同的硬件设备，不同的硬件设备中，数据存储和记录方式也存在差异。基于数据关联技术，能够将不同硬件设备进行数据风险描述上的统一，这对于提高威胁情报描述的准确性和高效性具有积极的价值。

交叉关联技术

威胁情报防御体系构建时，对于不同的安全风险要素进行交叉分析，从而提炼风险的特征。交叉关联技术基于大数据技术角度，对于风险要素之间的共通性予以总结，从而在完成风险防御时，采用一种普遍有效的方式去应对恶意攻击或者安全漏洞。交叉关联技术使得安全事件的描述不再独立于一个方面，可以通过交叉关联将系统运行的所有环节加以关联，从而使风险因素难以隐藏于大量的数据中，提高了防御体系对风险数据的定位和捕捉。

统计关联技术

统计关联技术在安全防御中，可以强化威胁情报对风险因素的检测和判断。统计关联技术实施中，通过大数据调取和汇集各类数据内容，将所有数据纳入到一个统计层面予以分析，可以更好地发现风险因素的规律。

时序关联技术

威胁情报防御体系中，数据具有时序性特点，时序关联技术能够在风险分析时，使大量的数据保持在一个序列中，这对于提高防御阶段的控制具有重要作用。安全防御按照时序可以分为事前、事中和事后阶段，时序关联让各个防御阶段可以有机整合在一起，从而保证防御规则能够被更好地落实在每个信息环节。

基于威胁情报的防御模型构建

威胁情报防御体系模型构建中，要做好模型动态分析。防御模型应当基于大数据技术和威胁情报技术，建立防御响应机制。防御响应机制能够调动信息网络系统的各个功能，当防御模型识别到风险因素后，会在系统功能模块之间建立统一的处理方案，实现功能协同运作状态，从而保证对风险因素的防御全面有效，避免风险漏洞的存在。

威胁情报防御体系中，要调动起所有的安全防御功能，如防火墙系统、杀毒软件等，并通过技术关联来强化安全实践能力，在信息网络环境中，保护安全数据不受干扰，阻截非法访问或者恶意攻击行为。在防御模型中发挥数据扫描作用，实时动态扫描可以在风险描述中形成连续的记录，对调整防御策略提供依据。对于非法访问与恶意攻击的防御，还要作出有效的预警，基于威胁情报体系，对存在侵害性威胁的程序内容进行预警，提示系统各个功能进入防御状态，可以降低对信息网络环境的风险。在威胁防御模型中，还要建立事后弥补措施，如将被删改的数据文件进行快速准确地恢复，对丢失的数据文件进行找回等，尽最大可能降低安全事件造成的损失。

随着信息网络技术的发展，在带给人们便捷的同时，安全问题也集中凸显。通过利用大数据与威胁情报技术构建防御体系，能够较好地应对各种风险侵害，保证信息网络用户的数据应用安全。