大數據安全必須面對的攻擊假設矩陣

摘要：認為大數據安全研究需要從大數據攻擊研究出發。大數據攻擊不僅僅需要考慮針對大數據系統的攻擊，更要綜合考慮針對系統、過程、數據、語義等多層次的攻擊，還要綜合看待攻擊面和背后的攻擊目標。為了更好地理解大數據攻擊，提出了意識信息物理系統（MCPs）這樣的多層次復雜系統的認識模型，并根據MCPs的多層次，建立起[攻擊面x攻擊目標]的攻擊假設矩陣。對于攻擊假設矩陣中每個格子的研究，可以幫助人們構建更有效的保障體系。

關鍵詞：大數據安全；攻擊假設矩陣；攻擊面；攻擊目標；MCPs

Abstract：Big data attacks are the foundation of big data security. For data attacks， we need to consider attacks for the systems with large data， and for the system， process data and semantic level of attack， and also need a comprehensive look at the target of the attack surface. In order to better understand big data attacks， a new model of the multi-level complex system—Mentality-Cyber-Physical system/space （MCPs） is proposed. Based on this multi-level of MCPs， a attack hypothesis matrix by [attack surface， attack target] is built up. Research on every grid of the matrix will lead to more effective assurance solutions.

Key words：big data security； matrix of attack hypothesis； attack surface； attack target； MCPs

1 大數據安全的范疇

大數據作為一個新的技術模式和學科分支，已經開始對網絡信息安全產生深刻的影響，這種影響既要循著安全本身的固有規律，也會帶著數據自身以前不被重視的新特性。

1.1 安全的本質性結構

在IT領域的各個分支中，網絡信息安全區別于其他分支的根本不同，就是安全永遠是一個三要素互相交織、博弈的課題。這3個要素為：業務和資產、威脅和危害、保障和處置，如圖1所示。

安全的獨特性在于：有難以控制、難以意料的“威脅和危害”一方，自然就有了特有的“保障和處置”這一方，兩者和業務資產一起形成了一個三方博弈關系。

所有的安全問題，都要就這3方面分別闡述清楚才談得到思考的完備性，而大數據安全這個話題也不例外。

1.2 大數據安全的方向

大數據安全的如下3個方向，是大數據方法和技術作用于安全三要素所演繹出來的方向。

（1）大數據作用于業務和資產，即大數據的主流應用。這必然會面臨新的針對大數據的攻擊和威脅，進而對大數據的保護要對抗這種針對大數據的攻擊。

（2）大數據作用于威脅和危害，即大數據攻擊和副作用。如果是主動和故意的舉措，那就是大數據攻擊；如果是被動的，就是大數據產生的副作用，比如大數據技術對于公民隱私保護的破壞。

（3）大數據作用于保障和處置，即安全大數據應用。就是在對抗各類安全威脅的時候，運用大數據技術進行分析和檢測，特別是無特征檢測、異常檢測、態勢分析等方面。

文章論述的重點是大數據安全的第1個方向。研究對大數據的保護必須先研究針對大數據的攻擊，如果沒有真正研究、設計、實現并測度大數據的攻擊，那么之前所設計的所謂大數據防護就都是臆想，只有真實的攻擊才能夠驗證保護和防護的有效性。

2 數據本質和特質

研究針對大數據的攻擊，我們必須搞清楚針對大數據的攻擊的對象——大數據對象。

2.1 大數據的7V特性

在描述大數據問題時，我們常說其有7個V的特性[1]，具體如下：

1V（Volume），即海量的數據規模。這體現了大數據問題在數據量上的海量。

2V（Velocity），即快速數據流轉和動態數據體系。這代表了時間軸上的大數據，除了對于分析快速及時的要求之外，還體現海量數據可能來自于時間軸的長度延展（存儲）和顆粒度的細化（頻度）；時間的相關性也是數據間相關性的一大類，比如視頻和音頻數據就是“順序時間”的典型結構。

3V（Vast），即數據來自廣大無邊的空間。每個數據都來自于一個空間的位置，可能是物理空間（現實世界），也可能是網絡空間，空間的相關性也是數據間相關性的一大類，也是一大類典型結構。

4V（Variety），即多樣的數據類型。大數據，比所謂的“量大”更重要的一個特性就是“高維”。特別是當數據樣本的數量難以滿足對于高維問題求解的基本要求時，大數據更傾向于回避精確解的求解，而滿足于有價值的近似解。這種不追求精確解的特性，讓大數據及其系統具有了一定的魯棒性基礎，增加了攻擊難度。

5V（Veracity），即數據的真實和準確性更難判斷。數據有好壞問題，而這個好壞問題在大數據中會更加極端地被放大，更泛地表達這個話題就是數據的“質”，即數據質量[2]的相關問題。

6V（Value），即大數據的低價值密度。對于大數據的攻擊，背后必然要針對其價值進行。

7V（Visualization），即大數據可視化的重要性。大數據的價值需要展現，如果能夠破壞和斬斷價值鏈，也是重要的攻擊成果。

在這7個V中：第1個V，表達的是大數據外在表現的 “大”量；第2～4個V是從時間、空間和多樣性這3個方面說明大數據的“大”；第5～7個V闡述的是大數據的價值流轉，即從數據本身的客觀質量，到有立場的價值認識和價值挖掘，最后到價值的展示和利用。

2.2 攻擊大數據的常規理解

在傳統的網絡信息安全領域中（這里指融合大數據特有特征的思考之前），對于攻防的認知主要集中于系統方面：漏洞是系統的漏洞，越權是對于系統訪問控制的突破，拒絕服務攻擊是對網絡系統的擁塞，偽裝是對于系統訪問者身份的假冒等；安全方法也主要都圍繞系統的防護而展開。當然，這個系統是包括了節點式的系統（如主機操作系統）、結構化的網絡系統。

在探討攻擊大數據的時候，我們首先想到的就是如何攻擊大數據系統，而由于大數據目前的主要應用模式就是分析和決策支持，其系統的對外暴露面非常少，因此至今還沒有關于重要的大數據系統遭遇滲透性攻擊的報道。能夠見諸報道的大數據系統出現的問題和故障，常常是由于電力故障等物理性故障導致的可用性事故，而這些所謂的問題并沒有體現出大數據的獨特性。

對于大數據系統的、具有針對性的攻擊假設，需要針對大數據系統的分布式特色發起攻擊。對于大數據的特色攻擊還沒有太多的研究，可能有兩個原因：第一，大數據系統還在快速地演化和發展；第二，攻擊研究者要搭建一個接近真實的大數據系統，其成本比較高，技術門檻也較高。但是，由于大數據系統的高價值聚集，這樣的攻擊早晚會到來。

2.3 MCPs結構

網絡空間已經成為了大家非常熟悉的一個詞，它不僅僅指網絡相關的IT系統，更被人們理解為一個空間，在這個空間中主要體現了Cyber實體及其“活動”。

這里所說的活動指Cyber過程，主要體現為操作和流。數據實體對應的是數據流，應用系統對應業務流和服務關系，節點系統對應了計算操作和存儲承載，網絡系統對應了網絡流和連接關系，而物理實體則是對前述Cyber實體的承載。Cyber實體就如同生物體的解剖關系，而Cyber過程如同生物體的生理關系。當前流行概念中的云計算、移動互聯網等等都是Cyber自身形態的多樣化、高能化和效益化。

信息物理系統（CPS）強調了Cyber與物理空間的關系：可將Cyber與物理空間的關系簡化為控制與感知的關系。CPS類似的模型將物理世界和網絡空間關聯起來了，其關聯的根本媒介其實是數據。當前流行概念中的物聯網、工業控制、智能生活等等都是將Cyber空間與物理世界更加緊密地關聯起來。

網絡空間安全領域被分為兩大領域：一個是從技術上說的網絡安全，比如加解密、攻防滲透、系統加固等；另一個是從系統的內容上說的信息安全，比如輿情態勢感知、社交網絡策動攻擊等。這兩方面現在是單獨研究和治理的，交集不大。

現在，隨著大數據的方法和技術日益得到重視，數據也越來越受到人們的重視。大數據又是一個應用驅動、價值驅動的領域。當數據與數據的語義總是密切關聯在一起的時候，我們就發現人的意識空間和Cyber空間的關系變得密切起來。多人的共同意識空間就是群體社交意識。

數據將人的意識空間（包括群體意識）、Cyber空間、物理世界3方面鏈接在一起，形成了一個整體意識信息物理系統（MCPs），如圖2所示。

當我們有了MCPs這樣的整體認識，在考慮安全問題（特別是大數據安全問題）的時候，就要考慮MCPs模式下的攻擊。

3 MCPs的攻擊假設矩陣

3.1 攻擊面和攻擊目標

攻擊面是指攻擊者的著手之處和著手模式；攻擊目標是指攻擊者希望被攻擊體系中的某個部分或環節出現重大偏差。我們將攻擊面和攻擊目標分開來定義，是因為兩者并非總是同一的。

3.2 MCPs的3x3攻擊假設矩陣

在系統攻擊中，攻擊面和攻擊目標可能不同。這種攻擊面與攻擊目標的錯位，可能出現在MCPs的3個方面，由意識空間、網絡空間、物理空間（現實世界）的交叉攻擊假設，形成如圖3所示的3x3攻擊假設矩陣。

3.3 MCPs的14x14攻擊假設矩陣

要對MCPs攻擊假設矩陣進行更具體的研究，就需要將MCPs分解成更細致的環節。我們可以將MCPs簡單分解為14個方面，其編碼如下：

Mm：動機

Mv：價值

Ms：語義

Cd：數據和數據流

Cm：元數據和純數據

Ca：應用和業務流

Cc：計算節點

Cs：存儲節點

Cn：網絡和網絡流

Cp：Cyber物理實體

Pc：控制器

Ps：傳感器

PS：空間關系

PT：時間關系

將MSPs的這14個方面組成一個矩陣，矩陣不同的行代表不同的攻擊面，矩陣不同的列代表不同的攻擊目標。如表1 所示。

表1中，藍色區域就是從傳統的系統攻擊視角看到的攻擊假設，攻擊面可能是網絡系統、存儲節點、計算主機、應用系統，而最終最受影響的攻擊目標也在這其中。

數據Cd和元數據Cm，將MCPs三大空間連接起來。表1中的紅色部分表示數據作為攻擊面和攻擊目標會橫縱貫穿整個攻擊假設矩陣，而且數據會成為MCPs3個空間的橋梁，產生交叉攻擊的可能性。

表1反映了大數據和數據視角引入后，給我們帶來的更加全面統合的攻擊假設視界。

4 MCPs攻擊假設矩陣的

歸類分析

MCPs的14x14攻擊假設矩陣中的每一個格子，都是一種攻擊模式，甚至是一個攻擊鏈的索引。歸類后的每個格子，都具有一定的攻擊模式共性；格子之間則應當有攻擊模式的差異化特點。

做出這樣的分類研究，可以讓我們把攻擊研究得更細致，比如可以將計算節點（Cs）進一步細分為PC節點、移動節點、工控節點等。這樣還可提醒我們注意那些原先忽視的空白部分，是否有攻擊可能存在。只有對于攻擊的全面和細致的研究，才能讓我們對于防御和對抗的問題上有更多的把握。

4.1 [Cc，Cc]攻擊

[Cc，Cc]攻擊是最常被關注到的攻擊模式，比如，對于操作系統漏洞的挖掘和利用，進而對于系統進行破壞和滲透，其攻擊面和受影響目標都是系統。

4.2 [Cn，Cc]攻擊

與節點攻擊不同，[Cn，Cc]對網絡的攻擊是對結構的攻擊。另外，一般把對于網絡設備的攻擊歸類為對于網絡的攻擊。

分布式拒絕服務攻擊（DDoS）是一個典型例子，其通過對于網絡結構性的攻擊，并通過占領海量節點而構成了一個攻擊網絡結構，將流量導入給一個目標系統使其癱瘓。這是典型的攻擊網絡最終危害節點系統。

網絡劫持竊聽也是一個典型例子，攻擊點在網絡的路上。通過竊聽下來的明文或者密文進行分析，達到滲透相關系統的目的。

從Cn到Cc的影響傳遞很直接，因為計算節點都自然連接在網絡中，所以對網絡的攻擊會很快傳遞給計算節點。

4.3 [Cn，Cn]攻擊

內容分發網絡（CDN）是當前一個非常重要的網絡服務。如果能夠利用CDN服務構建一個CDN指向的環，當向這個環投入足夠多的流量時，環就會利用CDN機制在網絡中形成一種自激振蕩式的流量洪流，可能導致網絡風暴的發生[3]。這是典型的攻擊網絡而危害網絡，是一種結構性破壞。

4.4 [Cs，Cd]攻擊

[Cs，Cd]攻擊存儲設備，甚至滲透并控制存儲設備，自然會對于存儲設備上存儲的數據產生直接的危害。

4.5 [Cs，Ms]：=[Cs，Cd][Cd，Ms]攻擊

如果[Cs，Ms]：=[Cs，Cd][Cd，Ms]攻擊存儲并對存儲進行破壞，或者對于存儲的攻擊和篡改被較快發現，那么這種影響就難于進一步傳遞到其他攻擊假設矩陣格子。

如果對于存儲的攻擊充分考慮了存儲的數據結構，在篡改中保持其基本的數據結構，不讓這樣的篡改被輕易發現；同時，篡改的數據又能夠借助應用系統的分析對于分析結果進行有效影響，那么就能夠將這樣的攻擊傳遞到語義層，進而影響人的意識空間，影響人的決策。

而如果要在大數據存儲環境下達到[Cs，Ms]，就要順應大數據存儲的系統模式和其存儲數據的數據結構，做到篡改不易被發現；還要了解大數據存儲的數據將如何被分析和應用，讓篡改的數據能夠污染到大數據分析的結果。

大數據相關的攻擊假設，能夠讓我們反思如何對抗這種攻擊。如果將存儲的系統模式和數據結構進行一定的隨機化（仿效操作系統中的地址隨機化思想），那么大量篡改數據就很容易被發現；如果將大數據分析的容錯能力（容忍不良質量數據）提高，那么就迫使要污染大數據分析結果必須篡改更多的數據。讓“篡改不易被發現”與“大量篡改數據才能產生語義污染”形成矛盾，進而將攻擊的效果阻隔在Cyber空間中，不讓其有效影響人的意識空間。

4.6 [Mm，Ca]攻擊

2016年初的一個突發案例[4]：一則謠言，經過微信朋友圈的擴散，震動了大半個互聯網金融圈。

2016年1月10日下午，回顧2015年微信數據的“我和微信的故事”在朋友圈突然被刷屏，正當大家玩得非常歡快時，一個啞彈突然向社群中拋來。當晚，有用戶在自己的朋友圈中稱：該鏈接“千萬不要進，（黑客）馬上把支付寶的錢轉出去，已經有人被盜”，還稱加載該鏈接時“很慢，已經在盜取資料?！迸笥讶貓D被瘋轉，引發用戶集體不安。很多人嚇得把支付寶的銀行卡都解除綁定，支付寶里的余額全部打回銀行卡，還一一提醒朋友“如果我這個號向你借錢，千萬別理。”

在1月11日的一個報告中，張小龍說起10日晚的事稱：“我和微信的故事”的鏈接沒想到被分享出去，這樣帶來了3個問題。第1個問題：訪問太高，基本掛掉了；第2個問題，有人造謠說，打開鏈接支付寶的錢被偷了，這個時候，鏈接也確實因訪問量太高打不開了；第3個問題，百萬級用戶開始解綁銀行卡了，結果服務器也快掛了，銀行卡也解綁不了了。

這是一個典型案例：一個謠言（在人的群體意識空間），影響了人們的操作行動，進而讓一個應用系統崩潰（網絡空間中）。

對于這類有意的攻擊和無意的危害，有些防范措施可能在意識空間，有些防范措施就要在網絡空間，甚至需要二者結合。比如，針對這類[Mm，Ca]風暴，就可以考慮建立態勢感知監控和相關性研判，當然這就要將輿情監控和系統風暴監控進行相關性聯動分析。這在以前是沒有的，從這個事件讓我們意識到這種聯動分析的必要性。

4.7 [Cn，Pc]：=[Cn，Cm][Cm，Pc]攻擊

光大證券烏龍指事件[5]給我們展示了一種可能性。

2013年8月16日11點05分上證指數出現大幅拉升，大盤一分鐘內漲超5%，最高漲幅5.62%，指數最高報2 198.85點，盤中逼近2 200點。11點44分上交所稱系統運行正常，下午2點，光大證券公告稱策略投資部門自營業務在使用其獨立的套利系統時出現問題。有媒體將此次事件稱為“光大證券烏龍指事件”。

一個系統網絡的故障，可能導致應用系統和大量數據的錯誤，這些可能是數據Cd或者元數據Cm。如果一些金融衍生品應用系統是通過對數據監測和分析自動進行買賣操作的，就可能因為被監測數據的錯誤導致錯誤的買賣決策（控制現實世界的控制器行動）；而如果錯誤的買賣決策又繼續導致被監測數據的錯誤效果放大，可能就在市場中產生連鎖效應，甚至有引發或誘發證券市場的瞬間大波動甚至股災。

這種危害的可能性，對于社會的危害是極為嚴峻的。

4.8 [Cp，Cm]攻擊和[PS， Cs]攻擊

在密碼破譯和密鑰分析領域，有一種方法：通過對密碼芯片外部的熱量分布進行跟蹤分析，從而達到破解和猜測密鑰的目的。這是典型的[Cp，Cm]攻擊，用對系統物理實體的分析來攻擊到數據層。

對于系統的運行狀態進行分析，我們也可以通過對系統的能量消耗進行分析。這是典型的[PS， Cs] 攻擊，用物理世界的物理測度PS來分析系統Cs。

上述兩個分析（攻擊）都需要對物理世界測度并產生相當大量的數據，才能完成對于Cyber內部的分析。換句話說，這個分析過程需要大數據技術和分析方法的支持。

5 結束語

MCPs攻擊假設矩陣還有很多空白之處需要填補和研判?？梢韵胂螅寒斘覀儼迅鱾€格子的攻擊都能夠假想并模擬出來，那么對于有效的安全保障和問題防范就會產生不可估量的支撐。

大數據安全絕對不能停留在系統層面，一定要在MCPs的統合視角下研究整個攻擊假設矩陣。特別是跨MCP三大空間的攻擊，將是非常值得研究的，很多“黑天鵝”式的攻擊必然由此而產生。

參考文獻

[1] 潘柱廷. 安全大數據的7個V——大數據基礎問題與信息安全的交叉探究[J].中國信息安全， 2013（9）：74-77

[2] MCGILVRAY D. 數據質量工程實踐[M]. 刁興春， 曹建軍， 張健美， 譯. 北京： 電子工業出版社， 2010

[3] CHEN J J， JIANG J， ZHENG X F， et al. Forwarding-Loop Attacks in Content Delivery Networks [EB/OL]. [2010-12-10]. http：//netsec.ccert.edu.cn/duanhx/files/2010/12/cdn_loop-final-camera-ready.pdf

[4] 微信之父張小龍：“微信盜號謠言”引發蝴蝶效應[EB/OL]. [2016-01-11].http：//news.ifeng.com/a/20160111/47022386_0.shtml