面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)研究

◆朱義杰 楊玉龍 李 帥 成建宏

面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)研究

◆朱義杰 楊玉龍 李 帥 成建宏

(貴州航天計(jì)量測試技術(shù)研究所 貴州 550009)

針對傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知架構(gòu)難以適應(yīng)大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知的問題，本文提出了一種面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)架構(gòu)，并從數(shù)據(jù)獲取、數(shù)據(jù)融合、數(shù)據(jù)分析、態(tài)勢評估、自動(dòng)預(yù)警、自主防御和數(shù)據(jù)可視化多個(gè)方面闡述了態(tài)勢感知平臺(tái)所需的關(guān)鍵技術(shù)，為構(gòu)建集數(shù)據(jù)采集、處理、分析，安全風(fēng)險(xiǎn)監(jiān)測、評估，網(wǎng)絡(luò)威脅主動(dòng)報(bào)警、預(yù)判和網(wǎng)絡(luò)攻擊自主防御于一體的大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)提供技術(shù)思路和解決方法。

大數(shù)據(jù)；網(wǎng)絡(luò)安全；態(tài)勢感知；態(tài)勢評估

0 引言

伴隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，信息網(wǎng)絡(luò)在各領(lǐng)域、各行業(yè)實(shí)現(xiàn)了全覆蓋、全普及、全應(yīng)用，導(dǎo)致數(shù)據(jù)量呈現(xiàn)爆炸式增長，大數(shù)據(jù)已成為一種新型資源[1]。網(wǎng)絡(luò)的新發(fā)展、新應(yīng)用所帶來的問題是：數(shù)據(jù)的數(shù)量級迅速加大、數(shù)據(jù)類型更為復(fù)雜、數(shù)據(jù)來源愈加多樣、攻擊手段日趨多元化、安全漏洞和安全事件大幅增加，可以說隨著信息網(wǎng)絡(luò)的深入應(yīng)用和大數(shù)據(jù)時(shí)代的到來，網(wǎng)絡(luò)安全問題有愈演愈烈之勢。

為了及時(shí)應(yīng)對大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全威脅，有效遏制各類網(wǎng)絡(luò)攻擊，亟需研究大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，發(fā)揮大數(shù)據(jù)技術(shù)的海量存儲(chǔ)、并行計(jì)算、高效查詢等特點(diǎn)優(yōu)勢，突破傳統(tǒng)態(tài)勢感知模型的數(shù)據(jù)融合能力差、數(shù)據(jù)挖掘水平弱、數(shù)據(jù)展示類型簡單等“瓶頸”問題，構(gòu)建面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)，實(shí)現(xiàn)多源多類型數(shù)據(jù)高效獲取、海量數(shù)據(jù)高速融合、數(shù)據(jù)挖掘準(zhǔn)確可靠、態(tài)勢展示類型豐富、應(yīng)急響應(yīng)決策合理的目標(biāo)要求，為各領(lǐng)域信息技術(shù)的應(yīng)用研究、信息產(chǎn)業(yè)的快速發(fā)展保駕護(hù)航[2]。

1 態(tài)勢感知平臺(tái)框架

目前傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知主要針對單一網(wǎng)絡(luò)環(huán)境，在設(shè)計(jì)上僅實(shí)現(xiàn)了對網(wǎng)絡(luò)攻擊行為的數(shù)據(jù)收集和檢測結(jié)果的歸納總結(jié)，網(wǎng)絡(luò)的安全態(tài)勢評估是基于某種特定的理論模型檢測結(jié)果的歸納總結(jié)，且未考慮網(wǎng)絡(luò)安全態(tài)勢感知的預(yù)測。同時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知未建立網(wǎng)絡(luò)安全指標(biāo)體系，僅針對特定的網(wǎng)絡(luò)攻擊行為進(jìn)行檢測，態(tài)勢感知評估結(jié)果單一，無法從整體上全面評估網(wǎng)絡(luò)的安全狀態(tài)，存在局限性和不準(zhǔn)確性[3]。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，個(gè)別網(wǎng)絡(luò)安全態(tài)勢感知開始建立相應(yīng)的指標(biāo)體系，但指標(biāo)不全面，精準(zhǔn)性與實(shí)時(shí)性方面存在缺陷。圖1是傳統(tǒng)的網(wǎng)絡(luò)態(tài)勢感知框架。

圖 1 傳統(tǒng)的網(wǎng)絡(luò)態(tài)勢感知框架

通過分析目前國內(nèi)網(wǎng)絡(luò)安全態(tài)勢感知與評估系統(tǒng)的能力和特點(diǎn)，發(fā)現(xiàn)已有態(tài)勢感知評估系統(tǒng)不適應(yīng)大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全，未建立完善的網(wǎng)絡(luò)安全指標(biāo)體系，未充分利用大數(shù)據(jù)技術(shù)的海量存儲(chǔ)、并行計(jì)算、高效查詢的特點(diǎn)優(yōu)勢進(jìn)行數(shù)據(jù)融合、數(shù)據(jù)分析，實(shí)時(shí)性和精確性欠缺，缺乏系統(tǒng)設(shè)計(jì)的規(guī)范性。因此，需要開展新一代面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)研究，建立完善的網(wǎng)絡(luò)安全指標(biāo)體系，解決大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知實(shí)時(shí)性、精確性問題，填補(bǔ)大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢評估的空白，以此提升大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)及信息系統(tǒng)的安全預(yù)警及防御能力。圖2是新一代面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知框架。

圖2 面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知框架

從上面可以發(fā)現(xiàn)，在新一代面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知框架中增加了網(wǎng)絡(luò)的主動(dòng)預(yù)警和自主防御功能，決策執(zhí)行也不再只簡單針對威脅評估，而擴(kuò)展到對網(wǎng)絡(luò)威脅的主動(dòng)預(yù)警和自主防御上。從而實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)感知、網(wǎng)絡(luò)威脅的主動(dòng)預(yù)警和網(wǎng)絡(luò)攻擊的自主防御。

2 網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)技術(shù)架構(gòu)設(shè)計(jì)

面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知與態(tài)勢評估系統(tǒng)是以當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境為應(yīng)用背景，將態(tài)勢感知與預(yù)警系統(tǒng)、自主防御技術(shù)、態(tài)勢評估、可視化等緊密結(jié)合，利用大數(shù)據(jù)技術(shù)的海量存儲(chǔ)、并行計(jì)算、高效查詢的特點(diǎn)優(yōu)勢，從而實(shí)現(xiàn)適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知與評估一體化系統(tǒng)。它可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的安全狀態(tài)，保證網(wǎng)絡(luò)的安全性能，為網(wǎng)絡(luò)安全管理相關(guān)人員提供對應(yīng)的決策支撐。

其中，態(tài)勢感知主要用于對各種類型的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集、融合和分析，得出的分析結(jié)果即為網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)果。數(shù)據(jù)采集主要是針對傳感器網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)器、用戶終端等的數(shù)據(jù)進(jìn)行采集，采用多源日志收集技術(shù)實(shí)現(xiàn)與網(wǎng)絡(luò)安全指標(biāo)體系相關(guān)的數(shù)據(jù)提取；數(shù)據(jù)融合的目的是統(tǒng)一數(shù)據(jù)格式，獲取融合后的數(shù)據(jù)源；預(yù)警系統(tǒng)和自主防御技術(shù)通過建立相應(yīng)的特征庫，采用機(jī)器學(xué)習(xí)方法不斷訓(xùn)練匹配規(guī)則，提升匹配度；態(tài)勢評估技術(shù)對態(tài)勢感知的各項(xiàng)結(jié)果進(jìn)行評估得出發(fā)生的概率或權(quán)重；可視化是對態(tài)勢感知的結(jié)果、預(yù)警、自主防御和評估結(jié)果等進(jìn)行展示的過程。圖3是面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)技術(shù)架構(gòu)。

面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)最終形成態(tài)勢感知系統(tǒng)、態(tài)勢評估系統(tǒng)、預(yù)警系統(tǒng)、防御系統(tǒng)四個(gè)子系統(tǒng)。態(tài)勢感知系統(tǒng)實(shí)時(shí)展示網(wǎng)絡(luò)安全的狀態(tài)；態(tài)勢評估系統(tǒng)對當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)給出定性分析和評估結(jié)果；預(yù)警系統(tǒng)對發(fā)現(xiàn)的網(wǎng)絡(luò)威脅進(jìn)行自動(dòng)識(shí)別，并實(shí)時(shí)主動(dòng)預(yù)警；防御系統(tǒng)對發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊行為進(jìn)行自動(dòng)識(shí)別，并給出防御方案。

圖3 面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)技術(shù)架構(gòu)

3 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知要素指的是用來支持?jǐn)?shù)據(jù)分析和態(tài)勢感知的各個(gè)原始的安全數(shù)據(jù)。基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知是對部署在網(wǎng)絡(luò)中的多種設(shè)備提供的日志信息進(jìn)行提取、分析和處理，與僅基于單一日志源分析網(wǎng)絡(luò)的安全態(tài)勢相比，可以提高網(wǎng)絡(luò)安全態(tài)勢的全面性和準(zhǔn)確性。

基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知需要獲取的數(shù)據(jù)類型多、分布廣、數(shù)量大，因此需要對數(shù)據(jù)源進(jìn)行分類。按數(shù)據(jù)來源一般可分為安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)流量等；按信道種類一般可分為有線網(wǎng)、無線網(wǎng)等；按數(shù)據(jù)結(jié)構(gòu)一般可分為結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化、數(shù)據(jù)流等；按協(xié)議類型一般可分為SNMP、Syslog等。

態(tài)勢感知要素獲取需針對不同類型的數(shù)據(jù)采取不同的數(shù)據(jù)獲取方法。（1）自動(dòng)獲取：通過服務(wù)器自身的審計(jì)功能，采集網(wǎng)絡(luò)系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及事件采集代理產(chǎn)生的日志信息或安全事件信息，經(jīng)過過濾、歸一化等預(yù)處理之后，形成信息事件傳送到態(tài)勢感知系統(tǒng)。（2）代理獲取：通過安裝在主機(jī)操作系統(tǒng)上的事件代理軟件，采集Windows系統(tǒng)產(chǎn)生的事件信息，或者采集應(yīng)用服務(wù)器產(chǎn)生的日志信息。（3）主動(dòng)獲取：通過在網(wǎng)關(guān)處部署監(jiān)聽或抓包軟件，對經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行獲取和預(yù)處理，形成相關(guān)事件信息。（4）聯(lián)動(dòng)獲取：通過態(tài)勢感知系統(tǒng)與安全設(shè)備（防火墻、漏洞掃描、入侵檢測等）、安全產(chǎn)品（殺毒軟件、主機(jī)監(jiān)控與審計(jì)系統(tǒng)）聯(lián)動(dòng)，實(shí)現(xiàn)對安全設(shè)備的安全監(jiān)測、審計(jì)數(shù)據(jù)的實(shí)時(shí)獲取。

3.1 多源多類型海量日志數(shù)據(jù)融合分析技術(shù)

由于態(tài)勢感知采集的網(wǎng)絡(luò)數(shù)據(jù)來自眾多的設(shè)備（如傳感器、防火墻、網(wǎng)絡(luò)設(shè)備等），數(shù)據(jù)類型多樣，數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容、數(shù)據(jù)質(zhì)量千差萬別，存儲(chǔ)形式各異，表達(dá)的語義也不盡相同，因此需借助數(shù)據(jù)融合技術(shù)，使多個(gè)數(shù)據(jù)源之間取長補(bǔ)短，進(jìn)行歸一化融合操作。為得到網(wǎng)絡(luò)安全態(tài)勢感知結(jié)果，需采用數(shù)據(jù)分析技術(shù)對融合后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，得出網(wǎng)絡(luò)的安全狀態(tài)。現(xiàn)有的技術(shù)難以滿足基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)對實(shí)時(shí)性和高效性的要求，因此需研究解決大數(shù)據(jù)環(huán)境下多源多類型海量日志的數(shù)據(jù)融合，為網(wǎng)絡(luò)安全態(tài)勢感知提供更為全面、精準(zhǔn)的數(shù)據(jù)源，同時(shí)需研究大數(shù)據(jù)分析技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知結(jié)果的實(shí)時(shí)性、準(zhǔn)確性。

數(shù)據(jù)融合，首先按信息抽象程度的高低，將數(shù)據(jù)融合從低到高分成三個(gè)層次：數(shù)據(jù)級融合、特征級融合和決策級融合，其中特征級融合和決策級融合是該項(xiàng)目主要使用的融合方法，在此基礎(chǔ)上，有針對性地統(tǒng)一數(shù)據(jù)格式，進(jìn)而通過網(wǎng)絡(luò)中具有相似或不同特征模式的多源信息進(jìn)行互補(bǔ)集成，完成對數(shù)據(jù)的自動(dòng)監(jiān)測、關(guān)聯(lián)、相關(guān)、估計(jì)及組合等處理，實(shí)現(xiàn)數(shù)據(jù)的融合。

數(shù)據(jù)分析，可利用關(guān)聯(lián)分析、數(shù)據(jù)融合、態(tài)勢要素分析等方式，并結(jié)合大數(shù)據(jù)所提供的基礎(chǔ)平臺(tái)和大數(shù)據(jù)技術(shù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢的分析處理。該過程可基于Spark框架實(shí)現(xiàn)，采集完成后的數(shù)據(jù)經(jīng)ETL對多源異構(gòu)的原始數(shù)據(jù)進(jìn)行預(yù)處理后，存儲(chǔ)到Hive數(shù)據(jù)庫中，再通過Hive的HQL解析，把HQL翻譯成Spark上的RDD操作，然后通過Hive的metadata獲取數(shù)據(jù)庫里的表信息，取出相關(guān)文件、數(shù)據(jù)等放到Spark中進(jìn)行計(jì)算分析[4]。

3.2 網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)

態(tài)勢評估是對當(dāng)前整個(gè)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行量化操作的過程，也可對態(tài)勢感知的每項(xiàng)結(jié)果進(jìn)行量化操作。為實(shí)現(xiàn)對網(wǎng)絡(luò)安全的態(tài)勢評估，需建立網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)體系，研究基于大數(shù)據(jù)技術(shù)的適用于復(fù)雜網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)，解決現(xiàn)有的評估方法實(shí)時(shí)性、準(zhǔn)確性差的問題。

指標(biāo)體系的建立是網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)，在指標(biāo)體系的選取上，將參考信息安全風(fēng)險(xiǎn)評估的BS 7799(ISO/IEC17799)評估標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全態(tài)勢評估的指標(biāo)識(shí)別應(yīng)遵循科學(xué)性、全面性、目的性、實(shí)用性、可操作性等原則。針對網(wǎng)絡(luò)安全態(tài)勢風(fēng)險(xiǎn)的特點(diǎn)，結(jié)合文獻(xiàn)研究法和歸納法形成了一種風(fēng)險(xiǎn)因素識(shí)別的方法。首先采用文獻(xiàn)分析法，研究各種指標(biāo)體系建立方案，歸納出各種風(fēng)險(xiǎn)因素指標(biāo)；然后分析網(wǎng)絡(luò)安全態(tài)勢，對歸納出的各種風(fēng)險(xiǎn)因素進(jìn)行篩選，得到網(wǎng)絡(luò)安全態(tài)勢的風(fēng)險(xiǎn)因素；最后邀請相關(guān)專家對篩選出的風(fēng)險(xiǎn)因素進(jìn)行討論研究修改完善，最終構(gòu)建得到基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)體系。

圖4 指標(biāo)體系建立流程圖

3.3 網(wǎng)絡(luò)安全主動(dòng)預(yù)警及自主防御技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警能夠根據(jù)態(tài)勢感知分析處理的結(jié)果（如威脅、漏洞情況），對使用單位、部門開展預(yù)警和通報(bào)工作，能夠?qū)崟r(shí)發(fā)布預(yù)警信息，對安全態(tài)勢進(jìn)行趨勢分析、預(yù)測及總結(jié)。態(tài)勢感知預(yù)警系統(tǒng)將態(tài)勢感知和掃描檢測到的威脅和漏洞情況進(jìn)行分類、總結(jié)、預(yù)判。主動(dòng)預(yù)警主要采用機(jī)器學(xué)習(xí)的方法實(shí)現(xiàn)，通過建立網(wǎng)絡(luò)安全威脅特征庫，并進(jìn)行匹配訓(xùn)練加以完善，當(dāng)系統(tǒng)感知到異常數(shù)據(jù)時(shí)，系統(tǒng)自動(dòng)與特征庫進(jìn)行匹配，給出預(yù)判結(jié)果和預(yù)警信息，然后通過終端、短信、郵件、手機(jī)APP等方式向單位、部門和個(gè)人發(fā)布預(yù)警信息，并且會(huì)把預(yù)警信息發(fā)送至自主防御系統(tǒng)，以便于盡快形成應(yīng)急處置預(yù)案。

大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全自主防御技術(shù)是對態(tài)勢感知的網(wǎng)絡(luò)威脅進(jìn)行應(yīng)急處理的過程，在傳統(tǒng)的態(tài)勢感知系統(tǒng)中，對感知到的威脅進(jìn)行分析時(shí)，僅將分析的結(jié)果（威脅、漏洞等情況）展示給相關(guān)人員，未實(shí)現(xiàn)對網(wǎng)絡(luò)威脅和漏洞的自動(dòng)應(yīng)急處置。在大數(shù)據(jù)環(huán)境下，為保證網(wǎng)絡(luò)的安全可靠，抵御惡意網(wǎng)絡(luò)攻擊，避免不必要的損失，研究網(wǎng)絡(luò)的安全自主防御技術(shù)，采用機(jī)器學(xué)習(xí)的方法，建立網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)急處置方案庫，當(dāng)系統(tǒng)感知到威脅和漏洞時(shí)，系統(tǒng)自動(dòng)匹配出處置方案，并及時(shí)通告給管理人員，并實(shí)現(xiàn)與主機(jī)防御、防火墻等網(wǎng)絡(luò)安全管控設(shè)備的聯(lián)動(dòng)，快速阻斷網(wǎng)絡(luò)攻擊行為。

3.4 網(wǎng)絡(luò)安全態(tài)勢感知可視化技術(shù)

在網(wǎng)絡(luò)安全態(tài)勢感知中應(yīng)用可視化技術(shù)，將網(wǎng)絡(luò)安全態(tài)勢合并為連貫的網(wǎng)絡(luò)安全態(tài)勢圖，可快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，直觀把握網(wǎng)絡(luò)安全狀況。通過傳統(tǒng)的文本或簡單圖形表示網(wǎng)絡(luò)的安全態(tài)勢，在尋找有用、關(guān)鍵信息時(shí)非常困難，可讀性差，不夠直觀，無法展示網(wǎng)絡(luò)未來的變化趨勢。將可視化技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知與評估領(lǐng)域，在網(wǎng)絡(luò)安全態(tài)勢感知的每一個(gè)階段都充分利用可視化方法，最終形成連貫的網(wǎng)絡(luò)安全態(tài)勢圖，可快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，直觀把握網(wǎng)絡(luò)安全狀況。

由于網(wǎng)絡(luò)數(shù)據(jù)是一種具有層次結(jié)構(gòu)和多維屬性的復(fù)雜數(shù)據(jù)，針對復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知與評估數(shù)據(jù)可視化問題，可采用一種樹圖中的多維坐標(biāo)MCT（multi-coordinate in treemap）技術(shù)解決[5]，可滿足網(wǎng)絡(luò)安全數(shù)據(jù)具有層次和多維兩種屬性數(shù)據(jù)的可視化分析要求，將其應(yīng)用在基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知與評估系統(tǒng)中，更加直觀地展示網(wǎng)絡(luò)安全狀態(tài)，使得態(tài)勢展示類型更加豐富。

4 結(jié)束語

態(tài)勢感知是網(wǎng)絡(luò)安全的“眼睛”，而從海量數(shù)據(jù)中發(fā)現(xiàn)安全威脅是安全態(tài)勢感知的基礎(chǔ)。本文從大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全的需求出發(fā)，分析了傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知框架的不足及應(yīng)用大數(shù)據(jù)技術(shù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢感知、態(tài)勢評估、自動(dòng)預(yù)警、自主防御的架構(gòu)，在此基礎(chǔ)上提出了一種面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)，并給出了平臺(tái)的技術(shù)架構(gòu)，從數(shù)據(jù)獲取、數(shù)據(jù)融合、數(shù)據(jù)分析、態(tài)勢評估、自動(dòng)預(yù)警、自主防御和數(shù)據(jù)可視化多個(gè)方面闡述了態(tài)勢感知平臺(tái)所需的關(guān)鍵技術(shù)，為構(gòu)建集數(shù)據(jù)采集、處理、分析，安全風(fēng)險(xiǎn)監(jiān)測、評估，網(wǎng)絡(luò)威脅主動(dòng)報(bào)警、預(yù)判和網(wǎng)絡(luò)攻擊自主防御于一體的大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)提供技術(shù)、思路和方法。

[1]張鋒軍.大數(shù)據(jù)技術(shù)研究綜述[J].通信技術(shù)，2014.

[2]陳建昌.大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全分析[J].中國新通信，2013.

[3]賈焰，王曉偉，韓偉紅等.YHSSAS：面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2011.

[4]Zaharia M,Chowdhury M,Das T, et al. Fast and interactive analytics over Hadoop data with Spark[J].USENIX，2012.

[5]陳誼，甄遠(yuǎn)剛，胡海云等.一種層次結(jié)構(gòu)中多維屬性的可視化方法[J].軟件學(xué)報(bào)，2016.

[6]朱亮，王慧強(qiáng)，鄭麗君.網(wǎng)絡(luò)安全態(tài)勢可視化研究評述[DB/OL].http://www.paper.edu.cn.

[7]龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報(bào)，2010.

[8]王娟，張鳳荔，傅翀等.網(wǎng)絡(luò)態(tài)勢感知中的指標(biāo)體系研究[J].計(jì)算機(jī)應(yīng)用，2007.

貴州省科技計(jì)劃課題（黔科合重大專項(xiàng)[2017]3004號(hào)）。