克里斯丁 欢乐生肖国家互联网应急中心云晓春:知识库是网络安全决胜的关键

  • 时间:
  • 浏览:0

  1996年2月10日,IBM的超级计算机深蓝首次挑战国际象棋世界冠军卡斯帕罗夫,但以2∶4落败。比赛在2月17日刚刚开始了了。其后研究小组把深蓝加以改良,1997年5月再度挑战卡斯帕罗夫,比赛在5月11日刚刚开始了了,最终深蓝电脑以3.5∶2.5击败卡斯帕罗夫,成为首个在标准比赛时限内击败国际象棋世界冠军的电脑系统。IBM在比赛后公布深蓝退役。

  从上述例子还还可否 看后,深蓝有非常强大的知识储备能力。这麼对于网络安全而言,什么是知识?分析员基于对数据源的理解、选者分析逻辑、挖掘数据关系、总结规律、进而形成知识。

  知识在网络安全的工作中,有这麼用途?答案是肯定的。美国信息安全相关部门自1998年到2012年,发布了与“安全”相关的7份重要文件。

  网络空间常大的,这麼人都都还还可否说清楚其中到底有什么。网络空间的核心还是要为人提供服务,不同的人会有不同的需求。有时候 ,对于网络安全知识库,大伙 从5个方面来考虑大大问题 :

  一是绘制网络空间资源地图,以网络软硬件资源为核心,测绘其在虚拟空间分布以及与现实空间的映射;

  就网络空间资源地图而言,首这麼了解虚拟空间属性,包括设备信息、承载协议、事件信息、节点重要度;其每项了解物理空间映射,包括地理、接入信息、使用单位。

  一是数据正确性,同一属性(典型的如地理)的多个来源值有肯能相互冲突或粒度不一,怎么在此基础上融合成5个唯一答案非常困难;

  二是时效和有效性,IP地址多种属性(地理、与否活跃、提供服务等)的动态变化使得知识构建与否一劳永逸的。

  下面以“受事件”为例,这是2013年8月指在的事件,大伙 对此进行工作,针对6台CN国家域名服务器关联查询流监测数据,确认。在第一次关联中,关联查询通联关系,分析源的一齐连接端,找到控制端为103.24.93.73(查询知识库:)。在第二次关联中,关联查询域名监测数据,获得控制端IP对应的域名。查询IP为103.24.93.73,对应域名5个,分别为、qfzq22221.dnscccaa.com。5个域名都曾经被作为多个木马系统进程运行的控制域名--进一步印证此IP为控制端。

  近年来,APT成为国际对抗焦点。APT(Advanced Persistent Threat,高级持续性),它是利用先进的手段对特定目标进行长期持续性网络的形式。真正高级的,与否的是由5个单线个体来完成的,往往是由某些有组织,有高水平的团队来完成的。它所发起的,隐蔽性非常强,持续时间也很长。在一种情況下,你还还可否找到APT的发起者,常困难的,这也是目前国际上非常热点的研究课题。

  通过网络空间人物画像库,可从人物或组织特点、目标、工具和手法来锁定什么黑客的范围。其中也指在一定的技术难点:一是分析链条长,从客户端取证、恶意社会形态提取、宏观网络监测、实时窃密、全局危害评估、定点渗透反制到形成分析报告,都要长时间、多部门协助;二是覆盖技术点多,涉及从底层计算机技术到社交网络应用,从语法到语义的各层技术,覆盖漏洞利用、域名变换、IP地址标注、恶意代码分析、特点归纳、黑客习惯抽取、组织背景调查。

  一是碎片化知识的重组大大问题 。什么碎片化知识具有动态性、低质化、无序性的特点,怎么把它们进行重组,构成完整的知识链,是都要大伙 去考虑的;

  三是领域知识的集成实践大大问题 。知识库是网络安全决胜的关键,知识可是力量,正确使用知识事半功倍,一齐知识都要日积月累,恒者无敌!

  (本文下发自国家互联网应急中心副主任云晓春在第四届中国科研信息化发展研讨会上的“网络安全知识库的实践与思考”)