基于大數據優化網絡的安全性策略的研究

劉 文

?

基于大數據優化網絡的安全性策略的研究

劉 文

（蘭州資源環境職業技術學院，甘肅 蘭州 730021）

隨著網絡信息化建設的不斷應用過程中，數據安全的可靠性是網絡信息化建設的重中之重，尤其大數據時代的到臨，對于數據的安全性越來越重視，以往的網絡安全性能已經不能勝任現有的數據量，此外加之內控與合規策略的實施，使檢測范圍不斷擴大，安全數據的種類積累越來越多。本文在大數據的基礎上，結合傳統安全漏洞的利用過程和不足之處，提出基于SDN（Software Defined Networking，軟件定義網絡）的安全設備路由策略，該策略可對網絡數據的物理面和控制面進行有效的剝離，實現對數據流量的最優控制。

大數據；安全性；網絡

0 引言

隨著移動終端市場的不斷升級，網絡數據的流量日益增長，信息數據的傳播途徑和速度更加迅速，對于網絡的依賴性大大增強，但隨著而來的網絡安全漏洞問題也日漸嚴重，本文在大數據的基礎上，結合傳統安全漏洞的利用過程和不足之處，提出基于SDN（Software Defined Networking，軟件定義網絡）[1]的安全設備路由策略，該策略可對網絡數據的物理面和控制面進行有效的剝離，實現對數據流量的最高控制，且基于優化的最短路由算法和旁路式最短路由算法及神經網絡最短路由算法，使得系統整體的安全性能大大增強，對提升網絡的安全性具有現實意義。

1 安全漏洞發生過程及分類

1.1 安全漏洞發生過程

常規意義上來說，安全漏洞的發生環節主要包括以下幾個部分[2]：

構建測試系統環節，其中涉及系統的軟件和硬件的測試，需要提前準備好測量安全漏洞所需要的工具。

預探測攻擊環節，完成數據的收集在、整理，鎖定對象的IP地址獲取終端信息數據，此過程還包括針對安全漏洞所編寫測試計劃。

攻擊環節，根據以上環節的數據信息，此環節針對對象實施攻擊行為，其中主要包括漏洞的識別、非法途徑的獲取等過程。

后攻擊環節，此環節主要的目的是消除攻擊環節中所留下的痕跡，為實現深入攻擊做好準備，其中主要涉及刪除過程痕跡、木馬病毒的植入、報告的篡改等。

具體的漏洞利用的流程如圖1所示。

圖1 漏洞發生過程

1.2 漏洞分類

網絡系統安全漏洞的種類眾多，但大體可分為以下幾種類型。

（1）認證

在此環節中，主要存在的潛在隱患包括：用戶的ID號碼容易被識別、在登陸系統過程中缺少必要的驗證措施以及用戶可借助其他途徑進行訪問服務的機制。

（2）授權

發生此問題的主要原因是系統沒有按照預先設定的準則進行系統的訪問，從而使系統處于失控的狀態下。

（3）加密

主要包括，數據之間的交互、數據經過加密處理后的傳輸過程和傳輸方式等。

（4）信息泄露

信息泄露主要是指個人敏感信息、數據的泄露，包括系統非正常運行造成的信息的喪失，其中主要包括：自動表達填充，敏感文件暴露，目錄暴露等，會提高系統的安全性和可靠性。

（5）輸入驗證

為按照安全機制所制定的準則，而所造成的輸入驗證失效，如文件在傳閱過程中，存在潛在隱患，造成系統漏洞被攻擊。

（6）Session管理

Session管理主要包括客戶信息儲存能力的設置和失效期的設置等。

（7）服務器配置

服務器配置發生的主要原因是系統由于缺少安全配置，造成系統在安全漏洞的條件下運行的功能。

2 大數據安全分析

隨著網絡信息化建設的不斷應用過程中，數據安全的可靠性是網絡信息化建設的重中之重，尤其大數據時代的到臨，對于數據的安全性越來越重視，以往的網絡安全性能已不能勝任現有的數據量，此外加之內控與合規策略的實施，使檢測范圍不斷擴大，安全數據的種類積累越來越多。基于此現狀，基于大數據安全分析就顯得尤為重要。大數據安全分析技術，在控制、核算、軟硬件設備上占有非常顯著的優勢；優勢是在處理、分析數據安全性能方面。

2.1 大數據分析平臺

個人網絡以及移動終端已經成為人們生活必不可少的一份子，基于現有海量終端數量和網絡數據量的基礎上，大數據安全技術成為當前的熱點話題。目前常見的大數據分析平臺主要有Hadoop和Spark[3]。

（1）Hadoop

Hadoop是基于Java模塊來實現的安全分析系統，其可在較短的時間內對數據安全系統做出響應，且具有較高的信息數據和運算的能力。改平臺的主要顯著優勢主要包括以下幾個方面：

1）可進行多個數據副本的交叉使用；

2）可靠性高且具有良好的兼容性；

3）數據節點可在自由移動，具有較高的可控性；

4）具有較高的容錯能力；

5）投入成本低。

（2）Spark

Spark是MR系統一個重要的分支，它不僅繼承了Hadoop的特性外，還具有以下幾個方面的優勢。

1）數據可被保存在內存系統中，從而可大大減少讀寫HDFS的次數，使數據可適用多種不同類型的系統。

2）Spark支持Scala、Python等多種編程語言，并將Scala用作其應用程序框架，可以像操作本地集合對象一樣輕松地操作分布式數據集。

2.2 大數據安全分析技術

基于大數據理論來對網絡安全性分析是時代發展的需要，利用大數據平臺不僅可實現數據的歸納和分析，還可以借助相關算法，建立動態觀測模型，從而識別系統漏洞的可能性，對于提高網絡數據安全的可靠性具有重要意義。此外，基于大數據理論分析技術可實現系統由點及面檢測范圍的擴大，一定程度上提高了系統安全檢測能力[4]。最后利用大數據理論分析技術可提取出異常行為及其特征，系統處理后，再結合構建的模型訓練此數據從而獲得精準的模型。

除以上方面外，系統還會結合網絡所具有的獨立環境，實現數據之間的交互。借助大數據分析理論，及時發現量化數據過程中所存在的漏洞。具體分析技術主要包含二個部分：

（1）安全數據采集和整理

為防止數據安全漏洞和潛在隱患，大數據分析通過優化整合多種數據結構[5]，如安全模式日志、流量數據、用戶安全模式等，當確定了數據結構后，大數據分析理論會根據數據結構屬性的不同來進行數據的采集和匯總，這樣大大提高了數據收集的效率。

（2）安全數據的優化分析

為提高大數據安全分析的效率，以往的檢測方式已經無法適用于當前的數據安全精度目標。因此需要結合人工智能、模式學習、統計建模和機器學習等基礎算法，來進一步提高系統安全的可靠性。常用的大數據分析思路有先驗分析、分類預測分析、關聯分析等方法。

如圖2所示為一個安全大數據分析平臺，它包括數據采集層、數據存儲層、數據分析層及數據應用層共4層。

1）數據采集層主要包括數據流、數據通量、設備安全數據以及配置文本的收集；

2）數據存儲層主要包括設備等具有較高速度儲存性能的裝置來進行數據的備份和存儲。

3）數據分析結構層借助優化分析和計算機強大的處理效率，根據數據結構特性來建立構建分析模型，最后得出檢測報告。

4）數據應用層通過可視化的應用接口管控平臺并展現分析獲得的系統整體安全狀態。

圖2 安全大數據分析平臺

3 安全設備路由策略的研究

大數據分析平臺如檢測出系統的漏洞后，需要進一步核查或者處理則需要借助安全設備來進行核查。尤其是隨著云計算、網絡功能虛擬化等技術的應用，網絡安全設備的虛擬化以發展成為主流趨勢[6]。

本文結合實際網絡環境的虛擬化安全設備路由策略，基于SDN網絡使安全設備、旁站的算法和神經網絡的有效結合，從而實現高效的安全設備路由策略。

3.1 基于SDN的安全設備路由策略

基于SDN的安全設備路由方案將根據網絡中混合部署安全設備的實際情況，根據客戶需求，將數據流以合適的路由方式傳送到要求的安全設備進行處理。

本文根據數據中西理論和網絡框架模式來構建X×Y型的網絡模型，其中X代表子網數量，Y代表子網絡中節點數量。X×Y型網絡防護模型參見圖3。

安全系統模塊以旁路模式分布在網絡節點38，IPS則分布在32，IDS分布于網絡節點33與40之間，則漏洞和攻擊節點則分布在系統的任何一個節點上。利用本文所示的2號數據結構為漏洞點，當系統和數據節點40相連后，主控系統會啟動安全機制，比如安全審計和IDS互補利用[6]。

圖3 X×Y型網絡防護模型

整個架構分為三部分，安全資源池，數據轉發設備和安全服務調度中心。

（1）安全資源池

安全資源池可發生在系統的任何節點數據上，如我們常說的硬件模塊、軟件模式等都裝有一定的防火墻技術、IDS和IPS等安全服務。

（2）數據轉發設備

數據轉發、共享過程中常借助路由等媒介來實現，在數據的傳輸過程中，需要嚴格按照SDN協議控制數據的流轉規則，將數據轉發到安全設施和目標主機，是完成最短安全路由的最終執行者。

（3）安全服務調度中心

安全服務調度中心系統安全的重要區域，主要有相關的控制系統和硬件模塊構成，具有全局拓撲功能，進而完成數據的讀取。

3.2 安全設備路由算法

本文所優化的安全設備路由策略主要適用于于內嵌式安全設備，借助最短的路徑算法實現內嵌式安全設備算法的最短控制即內嵌式最短安全路徑，簡稱SSPI）。

算法的首要之一是當系統安全遭到攻擊后，系統會調用自有的安全機制，當系統安全設備的檢索路徑為S至E時，此時系統會出現多種潛在漏洞，此時需要確定設備是否鏈接到安全模式下，計算出路徑的最短途徑，找出此時最短的路徑作為最短安全路徑[7]。

如沒有所對應的最短路徑，則需要檢索S到E的最短路徑為SSPI，利用多路徑最短算法實現每個節點之間數據的計算。

4 結論

本文在大數據的基礎上，結合傳統安全漏洞的利用過程和不足之處，提出基于SDN的安全設備路由策略，該策略可對網絡數據的物理面和控制面進行有效的剝離，實現對數據流量的最高控制，且基于優化的最短路由算法和旁路式最短路由算法及神經網絡最短路由算法，使得系統整體的安全性能大大增強。

[1] 汪東芳, 鞠杰. 大數據時代計算機網絡信息安全及防護策略研究[J]. 無線互聯科技, 2015(24): 40-41.

[2] 湯東. 大數據時代計算機網絡信息安全及防護策略研究[J]. 社會科學: 全文版: 00277-00278.

[3] 鄭晨陽. 面向大數據的網絡安全策略研究[J]. 數字圖書館論壇, 2014(2): 7-10.

[4] 王書夢, 吳曉松. 大數據環境下基于MapReduce的網絡輿情熱點發現[J]. 軟件, 2015(7):108-113.

[5] 李慧. 基于大數據視角下電子商務物流策略的優化研究[J]. 中國儲運, 2015(7): 121-123.

[6] 王正也, 李書芳. 一種基于Hive日志分析的大數據存儲優化方法[J]. 軟件, 2014(11): 94-100.

[7] 馬樂. 基于大數據時代分析計算機網絡安全技術的優化策略[J]. 中國新通信, 2017, 19(15).

Research on Security Strategy Based on Big Data Optimization Network

LIU Wen

(Lanzhou Resources & Environment Voc-tech College, Lanzhou 730021, China)

With the continuous application of network information construction, the reliability of data security is the top priority of network information construction. Especially with the advent of the big data era, more and more attention has been paid to the security of data. The former network security performance has been unable to meet the existing data volume, in addition to internal control and compliance strategies. Implementation, so that the scope of detection continues to expand, the accumulation of security data more and more. On the basis of large data, this paper proposes a security device routing strategy based on SDN (Software Defined Networking), which can effectively strip the physical and control surfaces of network data and realize the optimal control of data flow.

Big data; Security; Network

TP391.1

A

10.3969/j.issn.1003-6970.2018.09.042

劉文(1982-)，男，中級職稱，大學本科學歷，研究方向：計算機網絡。

本文著錄格式：劉文. 基于大數據優化網絡的安全性策略的研究[J]. 軟件，2018，39（9）：205-208