機場網絡安全的大數據應用現狀研究

摘要：隨著近些年智慧機場的發展，旅客從購票、安檢、托運、登機、落地等各個環節都實現了智能化，同時也大大增加了信息安全風險的概率。在“永恒之藍”勒索病毒爆發后，民航人對信息安全的認知提升了一個新高度，從會不會遭受攻擊轉變為何時會遭到攻擊，運用大數據技術進行防御已從理論研究演進到實際運用階段。通過對民用航空信息的存儲、分析、和可視化，借助機器學習和數據挖掘等大數據技術，建立基于網絡安全數據的大數據安全分析平臺，從傳統的被動防御變為主動防御。

關鍵詞：智慧機場;信息安全;大數據;機器學習;數據挖掘;

1引言

IBM在2008年提出“智慧地球”概念，2009年8月IBM發布的《智慧地球贏在中國》計劃書指出“智慧城市”，民用機場作為城市交通的重要組成部分，“智慧機場”的提出得到認可和發展[1]。在“十三五”期間，我國將新建機場33座，并完成51座樞紐機場的擴建。2018年我國民航旅客的運輸量達到6.1億人次，在旅客量增長的同時，也面臨著海量信息保護日趨嚴格的挑戰。2017年6月1日中國《網絡安全法》正式實施，網絡安全建設成為國家戰略新的發展方向，與此同時，我國民航的網絡安全形勢十分嚴峻。

信息安全3.0時代到來，傳統的防火墻+IDS防御思路已經不再有效，需要應對的攻擊和威脅變得日益復雜，這些威脅具有隱蔽性強、潛伏期長、持續性強等特點[2]。現有的防御思路在安全預判、威脅識別和數據處理等方面的能力有限，而新的技術將在復雜多變的網絡數據中以大數據分析架構為支撐，業務安全為導向，構建起以數據為核心的安全管理體系，更加主動、智能地對網絡安全進行管理和運營。

本文首先分析了機場大數據應用和網絡安全應用的現狀，依據調研結果探討了機場網絡安全應對威脅的策略，最后就大數據應用在機場網絡安全運用中的價值做出總結。

2機場大數據應用和網絡安全應用的現狀

2017年9月在成都召開的“加快推進民航基礎設施建設工作會議”上，中國民用航空局黨組書記、局長馮正霖出席會議并強調，要加快民航基礎設施建設，推進建設平安機場、綠色機場、智慧機場、人文機場，大力推進民航強國發展戰略，為國家和地方經濟社會發展做出新的更大貢獻。

隨著民航信息化建設高速發展，大數據應用也非常廣泛，從機場業務來看，主要有個性化航顯系統、安檢區人流引導、航班延誤預測、機位只能分配、服務機器人、身份識別等大數據應用[3]。運用大數據技術，使得航班保障的各個環節都能無縫銜接，并能夠根據突發情況做精確的動態調整，最大化利用資源。

機場、航空公司等企業對信息安全產品、服務的需求，拉動了信息安全產業的整體需求。我國信息安全產業自2012年來一直保持穩定增長，預測2017-2018增長額保持在23%左右。

目前信息安全按照市場可分為硬件安全、軟件安全和安全服務三大類[4]。以下一代防火墻類硬件安全產品占據民用航空市場份額最大，包含咨詢、實施、運維和培訓的安全服務次之，防病毒軟件、Web應用防火墻、數字證書身份認證等軟件安全產品占據市場份額最小。由于虛擬化及云服務等理念的滲透，信息安全盈利模式開始由軟硬件產品向安全服務傾斜[5]。

3機場網絡安全應對威脅的策略及方法

根據國家互聯網應急中心統計，2016年-2017年6月間在互聯網安全環境方面，被篡改網站事件、網站被植入后門事件、飛客蠕蟲事件、感染僵尸木馬受控事件、網站漏洞事件等安全事件數量整體趨于下降，新增高危漏洞方面有所增幅。其中應用程序漏洞占比最高，達到42%左右，其余從高到底分別為操作系統漏洞、數據庫漏洞、網絡設備漏洞、Web應用漏洞、安全產品漏洞[6]。在此期間全球網絡安全事件可以看出，DDos攻擊規模和數量激增，勒索軟件肆無忌憚，商業郵件詐騙不斷。

DDos攻擊有4大特點：（1）物聯網設備成為新的攻擊源;（2）黑客手段多樣化，混合攻擊難以防御[7];（3）IDC在基礎設施和云服務商是主要攻擊源;（4）頻率和規模增長快特點。針對DDos攻擊360安全企業提出了HTTP/HTTPS網站常規防護方案。防護策略是通過建立云防護平臺，企業將原來域名指向服務器IP地址的方式引流向云防護平臺，在企業網站遭受大流量DDos攻擊時，云防護平臺將流量調度到全國幾十個高防護節點機房進行清洗工作防護，清洗后把正常流量返回給企業網站。

遭受勒索軟件攻擊主要因為終端主機沒有將操作系統補丁升級，面對勒索軟件，安全企業提出終端主機接入控制設備方案，將沒有安裝殺毒軟件或沒有進行操作系統補丁升級的終端主機進行網絡隔離，避免交叉感染，并對終端主機及時提醒的方法進行防御。

4挖掘基于大數據的威脅檢測手段

大數據針對信息安全領域內的數據分析，主要基于日志與流量的兩大方式，同時關聯系統配置、用戶行為、應用行為、業務行為等數據進行分析，達到感知威脅，攻擊取證的目的。目前存在兩種方式感知異常行為：基于特征與行為的檢測和機械學習鑒定。傳統的檢測機制依靠黑名單分析建模，缺陷是對0day未知漏洞不可感知。機械學習鑒定通過白名單，可通過行為日志感知未知漏洞。

基于行為檢測方式下，以日志分析為例，利用足夠詳細的用戶行為日志區分正常行為和異常行為。發現異常的方式在傳統的關聯技巧規則關聯、漏洞關聯、關聯列表關聯、環境關聯等進行數據分析，對異常行為中的攻擊者畫像，列出定點攻擊，有明確攻擊目標的攻擊者和自動化攻擊，無目標的攻擊對象[8]。針對行為描述進行合理建設滲透、攻擊模型。

機器學習能夠基于大數據進行自動化學習和訓練，已經在圖像、語音、自然語言處理方面廣泛應用[9]。機器學習鑒定方式應用于Web入侵防護中監測用戶流量，針對大量正常日志建立Profile模型，檢測過程中不符合Profile模型的被視為異常流量。Profile模型的建立主要基于統計學習模型、基于文本分析的機器學習模型、基于單分類模型、基于聚類模型等幾種建模思想，從海量日志數據中建立正常行為模型，少量的異常流量訪問行為將被重點監控，在對抗過程中更難被繞過。

5 結論

本文闡述了機場大數據應用和信息安全應用應對威脅的方法，而面對海量的網絡信息數據，傳統的防御思路已經不再奏效。大數據時代下的安全分析有助于企業實時監控網絡行為異常，從而更好的把控風險。但大數據機器學習和數據挖掘技術應用于信息安全行業正處于初步階段，沒有相對成熟的產品，如何在建模后減少誤報率是大數據的發展方向。

參考文獻：

[1]王勇，韓燕征，賈銳.大型樞紐機場信息安全監測平臺設計與實現[J].通信技術，2017，50（7）：1587-1591.

[2]陸寧.民航機場云架構環境下的信息安全研究[J]. 通訊世界， 2016（10）：289-290.

[3] 牛虎. 大數據時代下的機場旅客數據價值挖掘[J]. 綜合運輸， 2015（11）：90-93.

[4] 佚名. 國家信息安全成果產業化（東部）基地已具雛形[J]. 計算機安全， 2002（22）：36-38.

[5] 趙偉華. 大數據時代信息安全行業的專利解析[J]. 中國發明與專利， 2015（12）：17-18.

[6] 韋濤， 彭武， 王冬海. 基于漏洞屬性分析的軟件安全評估方法[J]. 電光與控制， 2015， 22（8）：66-70.

[7] 趙兵， 孫梅. 分布式防火墻技術的分析與研究[J]. 軟件導刊， 2010， 09（3）.

[8] 姜偉. 基于攻防博弈模型的主動防御關鍵技術研究[D]. 哈爾濱工業大學， 2010.

[9] 高強， 靳其兵， 程勇. 基于卷積神經網絡探討深度學習算法與應用[J]. 電腦知識與技術：學術交流， 2015（5）：169-170.

作者簡介：

田衡（1990—），男，碩士學位，任職于成都雙流國際機場股份有限公司機電設備中心，助理工程師