基于大數(shù)據(jù)下的網(wǎng)絡(luò)安全與情報分析

摘 要：隨著現(xiàn)代信息社會的高度發(fā)展，網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，網(wǎng)絡(luò)攻擊的頻繁性、隱蔽性、持續(xù)性、趨利性等高級網(wǎng)絡(luò)威脅增多。一直以來傳統(tǒng)的網(wǎng)絡(luò)安全與情報分析技術(shù)又受到數(shù)據(jù)來源單一、處理能力有限、部署依賴于物理環(huán)境等因素的限制。作者通過研究大數(shù)據(jù)背景下網(wǎng)絡(luò)安全與情報分析面臨的困境，分析了基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全與情報分析，提出了一些關(guān)于網(wǎng)絡(luò)安全與情報分析研究的建議。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)情報；情報分析

中圖分類號：TP393.08文獻標(biāo)識碼：A文章編號：2096-4706（2018）07-0157-03

Abstract：With the high development of the modern information society，the network environment is becoming more and more complex，the frequency of network attack，the threat of concealment，persistence and profit，and other advanced network threats are increasing. The traditional network security and information analysis technology have been limited by the factors such as single data source，limited processing capacity，and the dependence on the physical environment. By studying the difficulties faced by the network security and information analysis under the big data background，the author analyzes the research on the network security and information analysis by big data technology. Some suggestions on network security and intelligence analysis are put forward.

Keywords：big data；network security；network intelligence；intelligence analysis

0 引 言

在信息社會高度發(fā)達的今天，互聯(lián)網(wǎng)已經(jīng)全面地滲透到人們生活的各行各業(yè)、方方面面。互聯(lián)網(wǎng)讓整個世界都成為一個密不可分的整體，信息共享，資源共享，但也正是因為這些開放兼容的特性，互聯(lián)網(wǎng)也包含著種種不確定的危險因素，成了網(wǎng)絡(luò)攻擊和信息竊取的高發(fā)地，尤其是金融、交通、航空、通信還有能源等許多領(lǐng)域，網(wǎng)絡(luò)安全面臨著越來越多的隱患，也讓國家和公民的信息安全與財產(chǎn)都受到了巨大的威脅。

1 傳統(tǒng)網(wǎng)絡(luò)安全與情報分析的現(xiàn)狀與困境

1.1 傳統(tǒng)網(wǎng)絡(luò)安全與情報分析的現(xiàn)狀

現(xiàn)如今，網(wǎng)絡(luò)技術(shù)越來越發(fā)達，網(wǎng)絡(luò)上的活動范圍和方式都更加靈活和多樣化，網(wǎng)絡(luò)情報的獲取也需要更多的關(guān)聯(lián)信息，但網(wǎng)絡(luò)攻擊和信息竊取的隱患層出不窮，這就對我們的網(wǎng)絡(luò)安全技術(shù)提出了挑戰(zhàn)，要求在網(wǎng)絡(luò)技術(shù)安全方面實現(xiàn)進一步的升級。

1.2 網(wǎng)絡(luò)安全分析的困境

在日趨復(fù)雜的IT架構(gòu)和新應(yīng)用不斷開發(fā)的過程中，網(wǎng)絡(luò)和應(yīng)用的邊界隨著數(shù)據(jù)和業(yè)務(wù)的更加集中化、規(guī)范化也更加模糊不清，僅僅通過單邊界、控制點的傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備在掌控整個網(wǎng)絡(luò)或者系統(tǒng)的安全狀態(tài)上往往有很大的局限性和一定的延緩性，所以網(wǎng)絡(luò)和應(yīng)用要具備更高的機動性，隨時根據(jù)業(yè)務(wù)和資源的變化來調(diào)整。

在傳統(tǒng)的安全分析中，往往會借助于保存緩存各種網(wǎng)絡(luò)流量以及日志，但是在這個過程中，不管是保存還是分析都需要不菲的成本，而且還受到時間、空間等各種因素的限制，很多日志和數(shù)據(jù)需要定時的清理和刪除，而要實現(xiàn)對網(wǎng)絡(luò)或者云計算系統(tǒng)的全面安全分析，就需要一個完完整整的全局?jǐn)?shù)據(jù)，包括用戶行為信息、身份信息與訪問信息，日志，漏洞信息，網(wǎng)絡(luò)數(shù)據(jù)，配置信息等等，不僅僅是這些，還需要來自互聯(lián)網(wǎng)的外部情報信息等數(shù)據(jù)。而伴隨著網(wǎng)速的不斷升級和信息化的不斷發(fā)展，這些數(shù)據(jù)的內(nèi)涵越來越大，產(chǎn)生的速度自然也越來越快，這些也無疑加大了處理的成本，傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測方法是無法有效處理類型涵蓋過于龐大的大數(shù)據(jù)的。另一方面，網(wǎng)絡(luò)的不斷升級讓網(wǎng)絡(luò)攻擊的手段更加復(fù)雜化多樣化，加上各種特種木馬與蠕蟲、高級持續(xù)威脅（Advanced Persistent Threat，簡稱APT）、僵尸網(wǎng)絡(luò)等，網(wǎng)絡(luò)攻擊的目標(biāo)性和趨利性增強，而且具備長期性和隱蔽性、復(fù)合性，傳統(tǒng)網(wǎng)絡(luò)攻擊檢測技術(shù)始終受到數(shù)據(jù)收集和存儲的限制，不能持續(xù)地對具有長期性、隱蔽性的新型網(wǎng)絡(luò)攻擊進行檢測。

1.3 情報分析的困境

傳統(tǒng)的情報分析工具往往數(shù)據(jù)源都比較單一，但是在當(dāng)前的大環(huán)境下，大數(shù)據(jù)已經(jīng)成為必然趨勢，移動互聯(lián)信息技術(shù)和云計算技術(shù)的快速發(fā)展都讓情報信息的信息源不可能再固定單一，再加上缺乏有效的大規(guī)模數(shù)據(jù)互相關(guān)聯(lián)，根本無法及時挖掘到有效情報。所以想要在當(dāng)前的環(huán)境下更好地進行情報分析，必須建立結(jié)合最新的處理技術(shù)的高效智能信息技術(shù)采集處理方法。在既能夠?qū)?nèi)部和外部采集的大量非結(jié)構(gòu)化數(shù)據(jù)進行快速處理和存儲的同時，也對復(fù)雜多源數(shù)據(jù)進行有效的處理和跟蹤分類。

2 大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全與情報分析中的應(yīng)用

2.1 大數(shù)據(jù)技術(shù)的內(nèi)涵

其實不少人對大數(shù)據(jù)都做出了定義，通常來說，大數(shù)據(jù)（big data）是指無法在一定時間范圍內(nèi)用常規(guī)軟件工具進行捕捉、管理和處理的數(shù)據(jù)集合，是需要新處理模式才能具有更強的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)。

2.2 大數(shù)據(jù)技術(shù)在在網(wǎng)絡(luò)安全與情報分析中的應(yīng)用

在網(wǎng)絡(luò)安全分析中，會涉及到海量的日志和流量等相關(guān)數(shù)據(jù)，想要系統(tǒng)高效地處理這些數(shù)據(jù)，最好的辦法就是借助大數(shù)據(jù)技術(shù)對其進行集中，將高效的采集技術(shù)進行有效的運用，來縮短分析時間，提升安全分析和處理效果。而且在分析過程中可以根據(jù)信息和數(shù)據(jù)的關(guān)聯(lián)性，對安全漏洞進行有效預(yù)測和修護，實現(xiàn)主動防御，提高網(wǎng)絡(luò)信息安全攻擊監(jiān)測、風(fēng)險感知、情報分析能力。

2.2.1 APT攻擊檢測

在當(dāng)前的信息化的程度下，各種高隱蔽、強滲透和高針對的APT攻擊層出不窮，前有火焰病毒盜取大量機密信息，后有烏克蘭電力系統(tǒng)被入侵，這些攻擊渠道和路徑無法在短時間內(nèi)有效確定，具有高度的隱蔽性，所以如果不借助大數(shù)據(jù)技術(shù)很難有效抵御這種攻擊，也很難實現(xiàn)海量網(wǎng)絡(luò)安全數(shù)據(jù)的深度智能關(guān)聯(lián)分析。一些研究數(shù)據(jù)表明，利用大數(shù)據(jù)確實能夠?qū)σ恍〢PT攻擊進行有效的探查和檢測。

2.2.2 網(wǎng)絡(luò)異常檢測

網(wǎng)絡(luò)異常檢測主要是通過探尋表征目標(biāo)對象屬性、狀態(tài)和變化的特征，來構(gòu)建起檢測模型。大數(shù)據(jù)技術(shù)能夠更及時更海量地應(yīng)用到網(wǎng)絡(luò)用戶行為分析中，所以越來越多的大數(shù)據(jù)技術(shù)被應(yīng)用到網(wǎng)絡(luò)異常檢測中。而且借助大數(shù)據(jù)技術(shù)的基于行為特征和機器方法擺脫了建模過程中對專家專業(yè)知識的依賴，實現(xiàn)了網(wǎng)絡(luò)異常分析建模和異常檢測過程的自動化。

2.2.3 網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全如果一直依靠事后感知，“六十學(xué)鼓手”，難免就會出現(xiàn)“為時已晚”，所以對于網(wǎng)絡(luò)中的安全狀態(tài)，我們要更加注重增強事前的安全態(tài)勢預(yù)測，實現(xiàn)自動評估，有效地降低風(fēng)險，增強網(wǎng)絡(luò)安全的防御能力和保護能力。在網(wǎng)絡(luò)安全領(lǐng)域，不少企業(yè)都已經(jīng)提出構(gòu)建大數(shù)據(jù)態(tài)勢感知方案或者構(gòu)建安全大數(shù)據(jù)態(tài)勢感知預(yù)警平臺，有了這個預(yù)警平臺，就可以通過海量的大數(shù)據(jù)來對相關(guān)安全要素及時有效地加以處理，同時在處理這些要素的基礎(chǔ)上，通過對獲取的這些要素信息的理解、評估與可視來對整個網(wǎng)絡(luò)安全的發(fā)展趨勢進行一定的預(yù)測。目前國內(nèi)的阿里、360等公司都在這些方面做了不少的研究和應(yīng)用。

2.2.4 網(wǎng)絡(luò)威脅情報分析

威脅情報主要是站在攻擊者的這一視角，利用大數(shù)據(jù)、分布式系統(tǒng)或者一些其他的收集方式來盡可能獲取的威脅、漏洞、行為以及特征等相關(guān)知識信息以提供可行建議，它是立足于傳統(tǒng)防御方式上的一種綜合性補充，讓用戶對網(wǎng)絡(luò)安全威脅根據(jù)可見性來進行更深入的了解和更有效的預(yù)防應(yīng)對，從而有效地減少用戶已經(jīng)發(fā)生或者可能發(fā)生的損失。通常來說，一個完整的安全威脅分析體系主要由三個環(huán)節(jié)構(gòu)成：情報源、融合與分析，以及事件響應(yīng)。根據(jù)一些調(diào)查了解，目前國內(nèi)外很多安全威脅情報產(chǎn)品主要服務(wù)于防范網(wǎng)絡(luò)犯罪和清理病毒惡意軟件以及反恐怖主義上面。

3 大數(shù)據(jù)背景下網(wǎng)絡(luò)安全與情報分析的發(fā)展趨勢研究

雖然目前大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全與情報分析方面已經(jīng)小有成就，不少技術(shù)也得到了廣泛的應(yīng)用，但是實際上，隨著信息技術(shù)的不斷升級更新?lián)Q代，目前的網(wǎng)絡(luò)安全形勢也不容樂觀，在面臨巨大機遇的同時也帶來了巨大挑戰(zhàn)：在攻擊檢測方面，缺乏高級的網(wǎng)絡(luò)威脅與攻擊的有效檢測方法；在復(fù)雜大規(guī)模的安全態(tài)勢感知上，無法做到全面透徹；而在威脅情報信息的收集和處理上也存在效率和質(zhì)量的問題。所以在接下來網(wǎng)絡(luò)安全發(fā)展中，需要盡可能關(guān)注下面這些研究內(nèi)容。

3.1 關(guān)于高級網(wǎng)絡(luò)威脅發(fā)現(xiàn)方法的研究

高級的僵尸網(wǎng)絡(luò)、APT攻擊以及新型木馬等往往具備高度隱蔽性和多階段的持續(xù)性，所以越早發(fā)現(xiàn)高級網(wǎng)絡(luò)威脅，就越能有效地減少損失，這也就要求我們更有效地進行對高級網(wǎng)絡(luò)威脅的早期檢測方法研究，目前的兩種檢測方法在準(zhǔn)確性上來說始終有限。

針對隱蔽性和持續(xù)性方面的攻擊，則需要設(shè)計出在海量網(wǎng)絡(luò)數(shù)據(jù)信息流中能夠有效區(qū)分正常通信行為和具有隱蔽性持續(xù)性的異常通信行為的方法。同時也需要在檢測模型構(gòu)建階段綜合多維度的信息，解決多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)，獲得足夠分析和訓(xùn)練的樣本。

3.2 復(fù)雜網(wǎng)絡(luò)攻擊預(yù)測研究

對于網(wǎng)絡(luò)管理者來說，對網(wǎng)絡(luò)攻擊的預(yù)測主要是通過基于攻擊圖、攻擊樹等方式來進行的，但是考慮現(xiàn)在的大環(huán)境，這類方法始終過于靜態(tài)，不能夠很好地應(yīng)對復(fù)雜的網(wǎng)絡(luò)攻擊預(yù)測，所以在大數(shù)據(jù)環(huán)境下，需要通過海量的信息獲取與存儲，來實現(xiàn)對復(fù)雜網(wǎng)絡(luò)攻擊的預(yù)測研究。

3.3 網(wǎng)絡(luò)安全威脅態(tài)勢感知技術(shù)研究

態(tài)勢是指形勢和狀態(tài)，而“感知網(wǎng)絡(luò)安全態(tài)勢是最基本最基礎(chǔ)的工作”，所以應(yīng)使NSSA評估研究具有明確的目標(biāo)與方向，建立合理完善的面向網(wǎng)絡(luò)整體的NSSA指標(biāo)體系，并且結(jié)合具體的問題和方法來對NSSA評估對象進行更準(zhǔn)確高效的評估。

3.4 威脅情報相關(guān)問題研究

大數(shù)據(jù)時代，情報的獲取和來源十分豐富，就需要我們既能全方位立體地進行信息搜集整合，也要能有效地感知威脅情報，在對海量情報進行融合和存儲時，能夠結(jié)合用戶實際需求，從海量情報信息中快速提取有用的威脅情報，這都是我們需要解決和研究的問題。

4 結(jié) 論

總而言之，大數(shù)據(jù)技術(shù)在許多網(wǎng)絡(luò)安全問題方面都發(fā)揮了不小的作用，但是，當(dāng)前的網(wǎng)絡(luò)安全形勢仍不容樂觀。圍繞這些問題，需要研究高級網(wǎng)絡(luò)威脅發(fā)現(xiàn)方法、復(fù)雜網(wǎng)絡(luò)攻擊預(yù)測方法、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)、威脅情報數(shù)據(jù)采集與共享技術(shù)，并實現(xiàn)關(guān)鍵技術(shù)上的突破研究，才能更好地提升大數(shù)據(jù)對網(wǎng)絡(luò)信息安全的支撐能力，增強網(wǎng)絡(luò)信息安全風(fēng)險能力。

參考文獻：

[1] 王世偉.論大數(shù)據(jù)時代信息安全的新特點與新要求 [J].圖書情報工作，2016，60（6）：5-14.

[2] 惠志斌.大數(shù)據(jù)時代國家信息安全風(fēng)險及其對策研究 [J].復(fù)旦國際關(guān)系評論，2015（2）：74-82.

[3] 趙大偉，扈士波.大數(shù)據(jù)時代背景下的網(wǎng)絡(luò)反恐情報工作 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（2）：82+85.

[4] 陳興蜀，曾雪梅，王文賢，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全與情報分析 [J].工程科學(xué)與技術(shù)，2017，49（3）：1-12.

作者簡介：楊博涵（1997-），男，漢族，江西九江人，本科在讀。研究方向：軟件工程。