信息时代是社会发展的重要标志,当信息网络中存在不安全因素时,要积极利用技术手段予以防御,将风险控制在一定范围之内,保障信息网络环境的良性运行。基于威胁情报的应用广泛、跟踪紧密以及提供决策等特征,强化防御体系的实践效果。
一、威胁情报的基本概述
(一)定义
威胁情报是基于信息技术领域发展出现的一种安全风险情况,在威胁情报中包括了对不安全因素性质的描述和指引等内容。威胁情报属于一种信息识别报告,威胁报告关系到信息安全防御体系的应用,基于威胁情报的可靠分析,可以为信息网络用户提供重要的安全防御支持,对威胁报告的应对速度和效果,都会直接影响到信息体系的整体安全防御水平。威胁情报作为对信息风险的一种描述,内容必须全面准确和及时,这样才具有信息安全价值。威胁情报的宗旨就是让信息网络用户能够更好地受到保护,并基于威胁情报来采取具体的应对措施[1]。随着大数据时代的到来,威胁情报基于大数据支持能够完成威胁和防御两个层面的描述任务,这对于信息数据用户而言具有强有力的安全支撑。威胁描述中要对风险数据的来源、数量、类型等予以判断,防御描述中要对风险数据的控制、隔离等路径进行指导。
(二)特点
1.应用广泛特点
威胁情报技术能够适用于大多数的网络信息环境,可以完成较多的防御功能,如风险检测、病毒隔离、漏洞弥补等。在防御体系构建过程中,威胁情报可以参与到各个数据交互环节,同时能够将数据交互过程进行整体监控,从而确保防御系统响应的及时性。
2.跟踪紧密特点
威胁情报能够具体描述风险因素,一个非常关键的点就是对这些风险因素进行紧密跟踪。由于威胁情报的这种跟踪特点,可以结合防御系统来确定风险来源的IP地址以及实时动态等,使网络用户能够全面有效地掌握信息环境的情况。
3.提供决策特点
威胁情报在提供防御决策方面具有极大的应用优势,基于对网络信息环境的数据采集和分析,可以识别和判断风险类型,并基于大数据支持从数据库当中完成决策构建,使系统防御体系具备更加智能和全面的应对能力。
二、利用大数据分析威胁情报的技术
(一)数据关联技术
在威胁情报技术的应用过程中,要加强数据关联技术的结合。通过数据关联技术,可以将威胁情报描述的不同数据点之间建立关系,从而使威胁因素的特点和趋势能够被更好地获悉[2]。由于防御体系会覆盖不同的硬件设备,不同的硬件设备中,数据存储和记录等方式也存在差异,基于数据关联技术,能够将不同硬件设备进行数据风险描述上的统一,这对于提高威胁情报描述准确性和高效性具有积极的价值。
(二)交叉关联技术
威胁情报防御体系构建时,对于不同的安全风险要素要进行交叉分析,从而能够提炼出风险的特征。交叉关联技术基于大数据技术角度,对于风险要素之间的共通性予以总结,从而能够在完成风险防御时,采用一种普遍有效的方式去应对恶意攻击或者安全漏洞情况[3]。交叉关联技术使得安全事件的描述不再独立于一个方面,可以通过交叉关联将系统运行的所有环节加以关联,从而使风险因素难以隐藏于大量的数据中,提高防御体系对风险数据的定位和捕捉。
(三)统计关联技术
统计关联技术在安全防御中,可以强化威胁情报对风险因素的检测和判断。统计关联技术实施中,通过大数据调取和汇集各类数据内容,通过将所有数据纳入到一个统计层面予以分析,可以更好地发现风险因素的规律。
(四)时序关联技术
威胁情报防御体系中,数据具有时序性特点,利用时序关联技术能够在风险分析时,使大量的数据保持在一个序列中,这对于提高防御阶段的控制具有重要作用[4]。安全防御按照时序可以分为事前、事中和事后阶段,时序关联让各个防御阶段可以有机整合在一起,从而保证防御规则能够被更好地落实在每个信息环节。
三、基于威胁情报的防御模型构建
威胁情报防御体系模型构建中,要做好模型动态分析。防御模型应当基于大数据技术和威胁情报技术,建立防御响应机制。防御响应机制能够调动信息网络系统的各个功能,当防御模型识别到风险因素后,会在系统功能模块之间建立一个统一的处理方案,实现功能协同运作状态,从而保证对风险因素的防御全面有效,避免风险漏洞的存在。威胁情报防御体系中,要调动起所有的安全防御功能,如防火墙系统、杀毒软件等,并通过技术关联来强化安全实践能力。在信息网络环境中,保护安全数据不受干扰,阻截非法访问或者恶意攻击行为。在防御模型中发挥数据扫描作用,实时动态扫描可以在风险描述中形成连续的记录,对调整防御策略提供依据[5]。对于非法访问与恶意攻击的防御,还要作出有效的预警。基于威胁情报体系,对存在侵害性威胁的程序内容进行预警,提示系统各个功能进入防御状态,可以降低风险对信息网络环境的干扰和影响。在威胁防御模型中,还要建立事后弥补措施,如将被删改的数据文件进行快速准确的恢复,对丢失的数据文件进行找回等,尽最大可能降低安全事件造成的损失。
四、结束语
随着信息网络技术的发展,带给人们便捷的同时,安全问题也集中凸显。通过利用大数据与威胁情报技术构建防御体系,能够较好地应对各种风险侵害,保证信息网络用户的数据应用安全。
