基于大數據的網絡安全態勢感知初探

黃正興　鄧小莉　龍文峰

摘 要 從大規模網絡龐大的數據量中找出有用的信息成為網絡安全態勢感知研究中的棘手問題，根據大數據技術特有的海量存儲、并行計算、高效查詢等特點，對基于大數據的網絡安全態勢感知進行了初步探討，對其可行性進行了初步研究。

關鍵詞 大數據 網絡安全 態勢感知

中圖分類號：TP393.08 文獻標識碼：A

0 引言

對于一個大型網絡，在網絡安全層面，除了訪問控制、入侵檢測、身份識別等基礎技術手段，需要安全運維和管理人員能夠及時感知網絡中的異常事件與整體安全態勢。對于安全運維人員來說，如何從成千上萬的安全事件和日志中找到最有價值、最需要處理和解決的安全問題，從而保障網絡的安全狀態，是他們最關心也是最需要解決的問題。與此同時，對于安全管理者和高層管理者而言，如何描述當前網絡安全的整體狀況，如何預測和判斷風險發展的趨勢，如何指導下一步安全建設與規劃，則是一道持久的難題。

隨著大數據技術的成熟、應用與推廣，網絡安全態勢感知技術有了新的發展方向，大數據技 術特有的海量存儲、并行計算、高效查詢等特點，為大規模網絡安全態勢感知的關鍵技術創造了突破的機遇。本文將對大規模網絡環境下的安全態勢感知、大數據技術在安全感知方面的促進做一些探討。

1 基于大數據的網絡安全態勢感知

隨著網絡的發展，大規模網絡所引發的安全保障的復雜度激增，主要面臨的問題包括：安全數據量巨大；安全事件被割裂，從而難以感知；安全的整體狀況無法描述。

網絡安全感知能力具體可分為資產感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產感知是指自動化快速發現和收集大規模網絡資產的分布情況、更新情況、屬性等信息；脆弱性感知則包括3個層面的脆弱性感知能力：不可見、可見、可利用；安全事件感知是指能夠確定安全事件發生的時間、地點、人物、起因、經過和結果；異常行為感知是指通過異常行為判定風險，以彌補對不可見脆弱性、未知安全事件發現的不足，主要面向的是感知未知的攻擊。

隨著Hadoop、NoSQL等技術的興起，BigData大數據的應用逐漸增多和成熟，而大數據自身擁有Velocity快速處理、Volume大數據量存儲、Variety支持多類數據格式三大特性。大數據的這些天生特性，恰巧可以用于大規模網絡的安全感知。首先，多類數據格式可以使網絡安全感知獲取更多類型的日志數據，包括網絡與安全設備的日志、網絡運行情況信息、業務與應用的日志記錄等；其次，大數據量存儲與快速處理為高速網絡流量的深度安全分析提供了技術支持，可以為高智能模型算法提供計算資源；最后，在異常行為的識別過程中，核心是對正常業務行為與異常攻擊行為之間的未識別行為進行離群度分析，大數據使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能。

2目前研究成果

中國移動自2010年起在云計算和大數據方面就開始了積極探索。中國移動的“大云”系統目前已實現了分布式海量數據倉庫、分布式計算框架、云存儲系統、彈性計算系統、并行數據挖掘工具等關鍵功能。在“大云”系統的基礎上，中國移動的網絡安全感知也具備了一定的技術積累，進行了大規模網絡安全感知和防御體系的技術研究，在利用云平臺進行脆弱性發現方面的智能型任務調度算法、主機和網絡異常行為發現模式等關鍵技術上均有突破，在安全運維中取得了一些顯著的效果。

3總結

大數據的出現，擴展了計算和存儲資源，提供了基礎平臺和大數據量處理的技術支撐，為安全態勢的分析、預測創造了無限可能。

參考文獻

[1] 龔正虎，卓瑩.網絡態勢感知研究[J].軟件學報，2010，21（7）：1605-1619.

[2] 韋勇，連一峰，馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展，2009，46（3）：353-362.

[3] 賈焰.大規模網絡安全態勢感知——需求、挑戰與技術[R].國防科大計算機學院網絡所，2009.

[4] 張仕斌，許春香，安宇俊.基于云模型的風險評估方法研究[J].電子科技大學學報，2013，1：92-97.