网络安全攻击数据统计

Ⅰ 在哪里能找到网络安全形势相关数据报告

腾讯电脑管家的官网上有

Ⅱ 统计数据表明，网络和信息系统最大的人为安全威胁来自于哪里

计算机网络面临的安全威胁大体可分为两种：一是对网络本身的威胁，二是对网络中信息的威胁。对网络本身的威胁包括对网络设备和网络系统的威胁；对网络中信息的威胁除了包括对网络中数据的威胁外，还包括对处理这些数据的信息系统应用的威胁。

影响计算机网络安全的因素很多，对网络安全的威胁主要来自人为的无意失误、人为的恶意攻击和网络系统的漏洞和“后门”三个方面的因素。

人为的无意失误是造成网络不安全的重要原因。网络管理员在这方面不但肩负重任，还面临越来越大的压力。稍有考虑不周，安全配置不当，就会造成安全漏洞。另外，用户安全意识不强，不按照安全规定操作，如口令选择不慎，将自己的账户随意转借他人或与别人共享，都会对网络安全带来威胁。

人为的恶意攻击是目前计算机网络所面临的最大威胁。人为攻击又可以分为两类：一类是主动攻击，它以各种方式有选择地破坏系统和数据的有效性和完整性；另一类是被动攻击，它是在不影响网络和应用系统正常运行的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，导致网络瘫痪或机密泄漏。

网络系统不可能百分之百无缺陷和无漏洞。另外，许多都存在设计编程人员为了方便而设置的“后门”。这些漏洞和“后门”恰恰是黑客进行攻击的首选目标。

Ⅲ 【图说网络安全】网络攻击与防范图谱/分解图

近年来，随着我国信息化建设不断推进，信息技术广泛应用，信息网络快速普及。信息网络在促进经济发展、社会进步、科技创新的同时，也带来十分突出的信息安全问题。

现今的网络攻击手段逐步多样化、攻击方式也更加隐蔽难以发现。对于用户来说，如何进行感知并响应?拦截、检测、认证还是购买第三方安全服务?需要哪些技术和产品?如何从宏观上了解网络攻击手段与防范方法呢?

科来《网络攻击与防范图谱》，一图到底，打尽网络安全攻防全链条!

本图谱从攻击前准备到攻击后痕迹擦除，梳理每一阶段所涉及的攻击手段，并针对性介绍防御方法及每种方法对应的产品与服务。

本图谱采用层层关联关系，紧密关联攻-防手段、安全产品与服务，从全局视角给出客观、合理的建议，帮助进一步识别、了解网络攻击过程及解决思路。

未知威胁感知

通过本图谱，不仅可以对攻防手段有宏观的认识，更可以通过“科来网络流量分析技术(Network Traffic Analysis)”从流量趋势、会话详情、L2~L7协议解码、数据包解码等方式深度透视网络攻击行为的每一个细节，让网络行为看得清、看得透，以解决困扰用户的APT攻击(Advanced Persistent Threat，高级持续性威胁)等难以检测和防御的问题。

感知未知威胁的核心思路就是“任何网络攻击都会产生流量”，网络流量分析技术能够帮助用户提升未知威胁感知能力及安全事件快速响应能力，有效降低安全事件影响，最大限度降低网络威胁事件的损失。通过网络行为分析感知网络异常行为，解决了传统网络安全依赖于特征库检测技术无法感知未知网络威胁的问题。

安全事件响应

基于原始数据包的网络回溯，实现了网络安全事件完整回溯。让用户对发生的安全事件不仅知其然，更知其所以然，帮助用户快速定位网络安全攻击的方式与方法，为安全事件响应提供准确依据。同时界提供基于流量数据的安全检测和安全事件响应服务。

Ⅳ 07到09年有哪些网络安全攻击事件

瑞星杀毒 有漏洞扫描的 漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版 本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。 1．引言 随着科学技术的飞速发展，21世纪的地球人已经生活在信息时代。20世纪人类两大科学技术成果--计算机技术和网络技术，均已深入到人类社会的各个领域，Internet把"地球村"的居民紧密联系在一起，"天涯若比邻"已然成为现实。互联网之所以能这样迅速蔓延，被世人接受，是因为它具备特有的信息资源。无论对商人、学者，还是对社会生活中的普通老百姓，只要你进入网络的世界，就能找到其隐藏的奥妙，就能得到你所需要的价值，而这其中种种的人类社会活动，它们的影响又是相互的。近年来Internet的迅速发展，给人们的日常生活带来了全新的感受，"网络生存"已经成为时尚，同时人类社会诸如政治、科研、经济、军事等各种活动对信息网络的依赖程度已经越来越强，"网络经济"时代已初露端倪。 然而，网络技术的发展在给我们带来便利的同时也带来了巨大的安全隐患，尤其是Internet和Intranet的飞速发展对网络安全提出了前所未有的挑战。技术是一把双刃剑，不法分子试图不断利用新的技术伺机攻入他人的网络系统，而肩负保护网络安全重任的系统管理员则要利用最新的网络技术来防范各种各样的非法网络入中形 J率狄丫 砻鳎 孀呕チ 娜涨髌占埃 诨チ 系姆缸锘疃 苍嚼丛蕉啵 乇鹗荌nternet大范围的开放以及金融领域网络的接入，使得越来越多的系统遭到入侵攻击的威胁。但是，不管入侵者是从外部还是从内部攻击某一网络系统，攻击机会都是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的，1988年的"蠕虫事件" 就是一个很好的实例。目前，对付破坏系统企图的理想方法是建立一个完全安全的没有漏洞的系统。但从实际上看，这根本是不可能的。美国Wisconsin大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告，指出软件中不可能没有漏洞和缺陷。因此，一个实用的方法是，建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统，漏洞扫描器就是这样一类系统。就目前系统的安全状况而言，系统中存在着一定的漏洞，因此也就存在着潜在的安全威胁，但是，如果我们能够根据具体的应用环境，尽可能地早地通过网络扫描来发现这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。因此，网络扫描非常重要和必要。 ．漏洞扫描器概述 漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到"有的放矢"，及时修补漏洞，构筑坚固的安全长城。 按常规标准，可以将漏洞扫描器分为两种类型：主机漏洞扫描器（Host Scanner）和网络漏洞扫描器（Network Scanner）。主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序，如着名的COPS、tripewire、tiger等自由软件。网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序，如Satan、ISS Internet Scanner等。 本文针对目前TCP/IP网络和各种网络主机的安全现状，设计并实现了一个网络漏洞扫描器，在实际使用中取得了很好的效果。 3．网络漏洞扫描器的设计 3.1 网络漏洞扫描器的总体结构

Ⅳ 谁为安全护航当智能网联汽车遭遇黑客

[汽车之家行业]?“今年以来，针对车联网企业的恶意攻击达到280余万次。”“假如20万辆汽车同时被黑客控制，车辆将变成攻击人类的武器，带来的灾难无法想象。”这并非危言耸听，在汽车智能网联功能越发强大的同时，汽车网络信息安全问题也逐渐浮出水面。

‘华为“进不来、拿不走、看不懂、改不了、瘫不成、赖不掉”目标’

国汽（北京）智能网联汽车研究院有限公司总经理助理兼整车事业部部长刘卫国给出政策层面的建议：第一，智能网联汽车的安全问题是系统性问题；第二，智能网联汽车的发展要上升到国家战略并且具有属地化，需要有中国特色的方案；第三，中国需要发展智能网联汽车共性的基础技术平台，为整个智能网联产业做支撑；第四，产品准入政策的制定不要过死，增强企对自身产品负责的意识。

编辑总结：

“新四化”背景下，汽车产业链正在加速深度合作步伐。车联网技术向着智能化、网联化方向演进，车载操作系统、新型汽车电子、车载通信、服务平台等产业链玩家正在加速融合，产业格局正在被重塑。在这样的产业格局下，我们的政策取向务必要优先考虑安全：人身与财产安全、网络安全、隐私及数据安全。这是一个“软件定义汽车”的时代，也是“安全定义汽车”的时代。（文/汽车之家李争光）

Ⅵ 网络安全面临的威胁主要有哪些

病毒 木马 攻击 漏洞 加密

1 窃听 攻击者通过监视网络数据获得敏感信息,从而导致信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。恶意攻击者往往以此为基础,再利用其它工具进行更具破坏性的攻击。
2 重传 攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
3 篡改 攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自己的信息,起到信息误导的作用。积极侵犯者的破坏作用最大。
4 拒绝服务攻击 攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
5 行为否认 通讯实体否认已经发生的行为。
6 电子欺骗 通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.
7 非授权访问 没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
8 传播病毒 通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。如众所周知的CIH病毒、爱虫病毒、红色代码、尼姆达病毒、求职信、欢乐时光病毒等都具有极大的破坏性,严重的可使整个网络陷入瘫痪。

Ⅶ 计算机网络安全攻击来与哪些方面，请使用例子详细叙述.对于这些攻击

黑客攻击的主要目的是：
(1) 窃取信息。
(2) 获取口令。
(3) 控制中间站点。
(4) 获得超级用户权限。
计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。网络的安全威胁方向也分为外部和内部。黑客攻击早在主机终端时代就已经出现，随着因特网的发展，现代黑客则从以系统为主的攻击转变到以网络为主的攻击。
1． 黑客攻击类型
任何系统的安全都是相对的，没有一个网络操作系统是绝对安全的。局域网上网即使有防火墙的保护，由于防火墙错误配置等其他原因，仍很难保证百分之百的安全。网络攻击主要类型如下。
⑴Data Diddling 未经授权删除档案，更改其资料。
⑵Scanner 利用工具寻找暗门漏洞。
⑶Sniffer 监听加密之封包。
⑷Denial of Service 拒绝服务，使系统瘫痪。
⑸IP Spoofing 冒充系统内网络的IP地址。
⑹其他。
2．防范黑客的措施
⑴选用安全的口令。据统计，大约80%的安全隐患是由于口令设置不当引起的。
⑵用户口令应包含大小写，最好能加上字符串和数字，综合使用能够达到更好的保密效果。不要使用用户姓名、常用单词、生日和电话号码作为口令。根据黑客软件的工作原理，口令长度设置时应遵循7位或14位的整数倍原则。口令应定期修改。
⑶建立账号锁定机制，一旦同一账号密码校验错误若干次即断开连接，并锁定该账号，至一段时间才解锁再次开放使用。
⑷实施存取控制。主要是针对网络操作系统的文件系统的存取控制。存取控制是内部网络安全理论的重要方面，它包括人员权限、数据标识、权限控制、控制类型和风险分析等内容。
⑸确保数据安全。完整性是在数据处理过程中，在原有数据和现行数据之间保持完全一致的证明手段。一般常用数字签名和数据加密算法来保证。您可以参照以下几个加密站点：（规定公共密钥加密），(RSA加密专利公司）。
⑹使用安全的服务器系统。虽然没有一种网络操作系统是绝对安全的，但Unix经过几十年来的发展已相当成熟，以其稳定性和安全性成为关键性应用的首选。
⑺谨慎开放缺乏安全保障的应用和端口。很多黑客攻击程序是针对特定服务和特定服务端口的，所以关闭不必要的服务和服务端口，能大大降低遭受黑客攻击的风险。
⑻定期分析系统日志。日志文件不仅在调查网络入侵时十分重要的，它们也是用最少代价来阻止攻击的办法之一。这里提供给大家一些比较有用的日志文件分析工具，具体如下。
NestWatch能从所有主Web服务器和许多防火墙中导入日志文件。它运行在Windows NT机器上，能够以HTML格式输出报告，并将它们分发到选定的服务器上。
LogSurfer是一个综合日志分析工具。根据它发现的内容，能够执行各种动作，包括告警、执行外部程序，甚至将日志文件数据分块并将它们送给外部命令或进程处理等。
⑼不断完善服务器系统的安全性能。无论是Unix还是Windows NT的操作系统都存在安全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载补丁，及时堵住系统漏洞。
⑽排除人为因素。要制定一整套完整的网络安全管理操作规范。
⑾利用网络管理软件对整个局域网进行动态站点监控，发现问题及时解决。
⑿扫描、攻击自己的站点。
⒀请第三方评估机构或专家来完成网络安全的评估。
⒁谨慎利用共享软件。
⒂做好数据的备份工作。有了完整的数据备份，我们在遭到攻击或系统出现故障时才可能迅速恢复系统。
⒃使用防火墙。
防火墙分为网络级防火墙和应用网关防火墙。 网络级防火墙一般是具有很强报文过滤能力的路由器，可以通过改变参数来允许或拒绝外部环境对站点的访问，但其对欺骗性攻击的保护很脆弱。 应用代理防火墙的优势是它们能阻止IP报文无限制地进入网络，缺点是它们的开销比较大且影响内部网络的工作。

Ⅷ 政务一网通办如何应对网络安全挑战

2022年底前，以国家政务服务平台为总枢纽的全国一体化在线政务服务平台更加完善，全国范围内政务服务事项基本做到标准统一、整体联动、业务协同，除法律法规另有规定或涉及国家秘密等外，政务服务事项全部纳入平台办理，全面实现“一网通办”。

《意见》也就此提出要求，要加强政务大数据安全管理，制定平台数据安全管理办法，加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。

北京邮电大学副教授、大数据安全专家辛阳给出了对策：可以依据数据的整个生命周期，从安全认证、身份鉴权、传输安全、共享安全、存储安全、安全管理、安全媒介、安全运行和安全审计九大方面进行安全防护。他说，在线政务服务平台的安全问题是一个全面和体系化的工程，其关键数据安全防护需要从各个层面进行整体设计，在政策法规、标准设计、管理规范、技术支撑等方面全盘布局，保障在线政务服务平台在提高政府管理能力和便民服务的同时，能够应对诸多安全挑战。

Ⅸ 常见网络安全攻击有哪些

由于计算机网络信息被大众广泛接受、认可，在一定程度上给社会、生活带来了极大的便利，使得人们也就越来越依赖网络的虚拟生活，那么，常见网络攻击方式有哪些?应该怎么防范?我在这里给大家详细介绍。

在了解安全问题之前，我们先来研究一下目前网络上存在的一些安全威胁和攻击手段。然后我们再来了解一些出现安全问题的根源，这样我们就可以对安全问题有一个很好的认识。迄今为止，网络上存在上无数的安全威胁和攻击，对于他们也存在着不同的分类 方法 。我们可以按照攻击的性质、手段、结果等暂且将其分为机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战几类。

窃取机密攻击：

所谓窃取机密攻击是指未经授权的攻击者(黑客)非法访问网络、窃取信息的情况，一般可以通过在不安全的传输通道上截取正在传输的信息或利用协议或网络的弱点来实现的。常见的形式可以有以下几种：

1) 网络踩点(Footprinting)

攻击者事先汇集目标的信息，通常采用whois、Finger等工具和DNS、LDAP等协议获取目标的一些信息，如域名、IP地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵之前所做的第一步工作。

2) 扫描攻击

扫描攻击包括地址扫描和端口扫描等，通常采用ping命令和各种端口扫描工具，可以获得目标计算机的一些有用信息，例如机器上打开了哪些端口，这样就知道开设了哪些服务，从而为进一步的入侵打下基础。

3) 协议指纹

黑客对目标主机发出探测包，由于不同 操作系统 厂商的IP协议栈实现之间存在许多细微的差别(也就是说各个厂家在编写自己的TCP/IP协议栈时，通常对特定的RFC指南做出不同的解释)，因此各个操作系统都有其独特的响应方法，黑客经常能确定出目标主机所运行的操作系统。常常被利用的一些协议栈指纹包括：TTL值、TCP窗口大小、DF标志、TOS、IP碎片处理、ICMP处理、TCP选项处理等。

4) 信息流监视

这是一个在共享型局域网环境中最常采用的方法。由于在共享介质的网络上数据包会经过每个网络节点，网卡在一般情况下只会接受发往本机地址或本机所在广播(或多播)地址的数据包，但如果将网卡设置为混杂模式(Promiscuous)，网卡就会接受所有经过的数据包。基于这样的原理，黑客使用一个叫sniffer的嗅探器装置，可以是软件，也可以是硬件)就可以对网络的信息流进行监视，从而获得他们感兴趣的内容，例如口令以及其他秘密的信息。

5) 会话劫持(session hijacking)

利用TCP协议本身的不足，在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信。

非法访问

1) 口令解除

可以采用字典解除和暴力解除来获得口令。

2) IP欺骗

攻击者可以通过伪装成被信任的IP地址等方式来获取目标的信任。这主要是针对防火墙的IP包过滤以及LINUX/UNIX下建立的IP地址信任关系的主机实施欺骗。

3) DNS欺骗

由于DNS服务器相互交换信息的时候并不建立身份验证，这就使得黑客可以使用错误的信息将用户引向错误主机。

4) 重放攻击

攻击者利用身份认证机制中的漏洞先把别人有用的信息记录下来，过一段时间后再发送出去。

5) 非法使用

系统资源被某个非法用户以未授权的方式使用

6) 特洛伊木马

把一个能帮助黑客完成某个特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已经被改变，而一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客早已指定的任务。

恶意攻击

恶意攻击，在当今最为特出的就是拒绝服务攻击DoS(Denial of Server)了。拒绝服务攻击通过使计算机功能或性能崩溃来组织提供服务，典型的拒绝服务攻击有如下2种形式：资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时，就会造成拒绝服务攻击。常见的攻击行为主要包括Ping of death、泪滴(Teardrop)、UDP flood、SYN flood、Land 攻击、Smurf攻击、Fraggle 攻击、电子邮件炸弹、畸形信息攻击等

1) Ping of death

在早期版本中，许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICMP包上规定为64KB。在读取包的报头后，要根据该报头中包含的信息来为有效载荷生成缓冲区。当PING请求的数据包声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB时，就会使PING请求接受方出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方 死机 。

2) 泪滴

泪滴攻击利用了某些TCP/IP协议栈实现中对IP分段重组时的错误

3) UDP flood

利用简单的TCP/IP服务建立大流量数据流，如chargen 和Echo来传送无用的满带宽的数据。通过伪造与某一主机的chargen服务之间的一次UDP连接，回复地址指向提供ECHO服务的一台主机，这样就生成了在2台主机之间的足够多的无用数据流，过多的数据流会导致带宽耗尽。

4) SYN flood

一些TCP/IP协议栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存空间用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区的连接企图超时。在一些创建连接不收限制的系统实现里，SYN洪流具有类似的影响!

5) Land攻击

在Land攻击中，将一个SYN包的源地址和目标地址均设成同一个服务器地址，导致接受服务器向自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保持直到超时。对LAND攻击反应不同，许多UNIX实现将崩溃，NT则变得极其缓慢。

6) Smurf攻击

简单的Smurf攻击发送ICMP应答请求包，目的地址设为受害网络的广播地址，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。如果将源地址改为第三方的受害者，最终将导致第三方崩溃。

7) fraggle攻击

该攻击对Smurf攻击做了简单修改，使用的是UDP应答消息而非ICMP。

8) 电子邮件炸弹

这是最古老的匿名攻击之一，通过设置一台机器不断的向同一地址发送电子邮件，攻击者能耗尽接受者的邮箱

9) 畸形信息攻击

各类操作系统的许多服务均存在这类问题，由于这些服务在处理消息之前没有进行适当正确的错误校验，受到畸形信息可能会崩溃。

10) DdoS攻击

DdoS攻击(Distributed Denial of Server,分布式拒绝服务)是一种基于DOS的特殊形式的拒绝服务攻击，是一种分布协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。他利用一批受控制的机器向一台目标机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有很大的破坏性。

除了以上的这些拒绝服务攻击外，一些常见的恶意攻击还包括缓冲区溢出攻击、硬件设备破坏性攻击以及网页篡改等。

11) 缓冲区溢出攻击(buffer overflow)

通过往程序的缓冲区写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在，根据统计：通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。利用缓冲区溢出攻击可以导致程序运行失败、系统死机、重新启动等后果，更严重的是，可以利用他执行非授权的指令，甚至可以取得系统特权，进而进行各种非法操作。由于他历史悠久、危害巨大，被称为数十年来攻击和防卫的弱点。

社交工程(Social Engineering)

采用说服或欺骗的手段，让网络内部的人来提供必要的信息，从而获得对信息系统的访问权限。

计算机病毒

病毒是对软件、计算机和网络系统的最大威胁之一。所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序，使他们成为含有该病毒程序的一个拷贝。

不良信息资源

在互联网如此发达的今天，真可谓“林子大了，什么鸟都有”，网络上面充斥了各种各样的信息，其中不乏一些暴力、色情、反动等不良信息。

信息战

计算机技术和 网络技术 的发展，使我们处与信息时代。信息化是目前国际社会发展的趋势，他对于经济、社会的发展都有着重大意义。美国着名未来学家托尔勒说过：“谁掌握了信息、控制了网络，谁将拥有整个世界”。美国前总统克林顿也说：“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”美国前陆军参谋长沙尔文上将更是一语道破：“信息时代的出现，将从根本上改变战争的进行方式”

Ⅹ 如何利用大数据来处理网络安全攻击

“大数据”已经成为时下最火热的IT行业词汇，各行各业的大数据解决方案层出不穷。究竟什么是大数据、大数据给信息安全带来哪些挑战和机遇、为什么网络安全需要大数据，以及怎样把大数据思想应用于网络安全技术，本文给出解答。
一切都源于APT
APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。
现有技术为什么失灵
先看两个典型APT攻击案例，分析一下盲点在哪里：
1、 RSA SecureID窃取攻击
1) 攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”，寄件人是[email protected]，正文很简单，写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”；
2) 很不幸，其中一位员工对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有，除了在一个表单的第一个格子里面有个“X”(叉)。而这个叉实际上就是内嵌的一个Flash；
3) 该主机被植入臭名昭着的Poison Ivy远端控制工具，并开始自BotNet的C&C服务器(位于 good.mincesur.com)下载指令进行任务；
4) 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；
5) RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹；
6) 在拿到了SecurID的信息后，攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。
2、 震网攻击
遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此 为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个 0day漏洞，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。
以上两个典型的APT攻击案例中可以看出，对于APT攻击，现代安全防御手段有三个主要盲点：

1、0day漏洞与远程加密通信
支撑现代网络安全技术的理论基础最重要的就是特征匹配，广泛应用于各类主流网络安全产品，如杀毒、入侵检测/防御、漏洞扫描、深度包检测。Oday漏洞和远程加密通信都意味着没有特征，或者说还没来得及积累特征，这是基于特征匹配的边界防护技术难以应对的。
2、长期持续性的攻击
现代网络安全产品把实时性作为衡量系统能力的一项重要指标，追求的目标就是精准的识别威胁，并实时的阻断。而对于APT这种Salami式的攻击，则是基于实时时间点的检测技术难以应对的。
3、内网攻击
任何防御体系都会做安全域划分，内网通常被划成信任域，信任域内部的通信不被监控，成为了盲点。需要做接入侧的安全方案加固，但不在本文讨论范围。

大数据怎么解决问题
大数据可总结为基于分布式计算的数据挖掘，可以跟传统数据处理模式对比去理解大数据：
1、数据采样——>全集原始数据（Raw Data）
2、小数据+大算法——>大数据+小算法+上下文关联+知识积累
3、基于模型的算法——>机械穷举（不带假设条件）
4、精确性+实时性——>过程中的预测
使用大数据思想，可对现代网络安全技术做如下改进：
1、特定协议报文分析——>全流量原始数据抓取（Raw Data）
2、实时数据+复杂模型算法——>长期全流量数据+多种简单挖掘算法+上下文关联+知识积累
3、实时性+自动化——>过程中的预警+人工调查
通过传统安全防御措施很难检测高级持续性攻击，企业必须先确定日常网络中各用户、业务系统的正常行为模型是什么，才能尽早确定企业的网络和数据是否受到了攻击。而安全厂商可利用大数据技术对事件的模式、攻击的模式、时间、空间、行为上的特征进行处理，总结抽象出来一些模型，变成大数据安全工具。为了精准地描述威胁特征，建模的过程可能耗费几个月甚至几年时间，企业需要耗费大量人力、物力、财力成本，才能达到目的。但可以通过整合大数据处理资源，协调大数据处理和分析机制，共享数据库之间的关键模型数据，加快对高级可持续攻击的建模进程，消除和控制高级可持续攻击的危害。