基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

張曉

摘要：自從我國(guó)普及網(wǎng)絡(luò)之日起，網(wǎng)絡(luò)安全問題始終都是重點(diǎn)問題。根據(jù)有關(guān)數(shù)據(jù)表明，我國(guó)網(wǎng)絡(luò)安全正直面遇到許多方面的威脅，提升網(wǎng)絡(luò)安全已經(jīng)迫不及待。云計(jì)算與大數(shù)據(jù)信息技術(shù)的到來，預(yù)示著計(jì)算機(jī)模式的改革與創(chuàng)新，伴隨云計(jì)算能力的提升以及大數(shù)據(jù)的應(yīng)用，能夠最大程度上改善網(wǎng)絡(luò)安全問題。

關(guān)鍵詞：大數(shù)據(jù);網(wǎng)絡(luò)安全;態(tài)勢(shì)感知

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2020）05-0186-01

0引言

伴隨我國(guó)社會(huì)經(jīng)濟(jì)的快速進(jìn)步，網(wǎng)絡(luò)也隨之愈來愈普及，網(wǎng)絡(luò)規(guī)模也愈來愈壯大，網(wǎng)絡(luò)安全事件的增多，使得網(wǎng)絡(luò)環(huán)境變得日趨復(fù)雜，網(wǎng)絡(luò)安全已經(jīng)成為有關(guān)民生的重點(diǎn)話題，然而，要想改變這種局面就應(yīng)該創(chuàng)建出新型的網(wǎng)絡(luò)安全平臺(tái)，更加需要新興技術(shù)的融入。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的出現(xiàn)打破了固有網(wǎng)絡(luò)安全防御系統(tǒng)的局限性。本文基于大數(shù)據(jù)，全方位分析了網(wǎng)絡(luò)安全，并且針對(duì)網(wǎng)絡(luò)安全問題，搭建出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，該平臺(tái)的出現(xiàn)不但能夠有針對(duì)性改善網(wǎng)絡(luò)安全問題，而且還可以對(duì)收集、處理以及分析數(shù)據(jù)信息，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)安全。

1基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)

1.1態(tài)勢(shì)感知技術(shù)架構(gòu)

采集網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)數(shù)據(jù)包含了網(wǎng)絡(luò)防御鏈當(dāng)中的各項(xiàng)安全數(shù)據(jù)信息。首先，威脅信息收集，將這些信息要集中儲(chǔ)存起來，并且創(chuàng)建出安全數(shù)據(jù)庫(kù)。其次，根據(jù)安全規(guī)劃和分析算法以及安全模型等全方位分析所刨建的數(shù)據(jù)庫(kù)中的安全問題。然后，借助于大數(shù)據(jù)來分析已經(jīng)知道的網(wǎng)絡(luò)威脅情報(bào)數(shù)據(jù)。最后根據(jù)威脅情報(bào)數(shù)據(jù)分析出應(yīng)該怎樣預(yù)警與感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題，以及應(yīng)該怎樣應(yīng)用可視化態(tài)勢(shì)的系統(tǒng)。從上述防御鏈當(dāng)中能夠分析出，網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)總體架構(gòu)分為三個(gè)層面，并且這三個(gè)層面之間相得益彰，互成體系。

1.2網(wǎng)絡(luò)安全威脅數(shù)據(jù)采收集與儲(chǔ)存

威脅數(shù)據(jù)的收集與儲(chǔ)存主要包含了態(tài)勢(shì)感知數(shù)據(jù)源的收集以及大數(shù)據(jù)儲(chǔ)存而構(gòu)成的數(shù)據(jù)庫(kù)。站在安全角度考量，應(yīng)該明確一次網(wǎng)絡(luò)攻擊涵蓋了確認(rèn)身份、發(fā)掘威脅代碼、風(fēng)險(xiǎn)預(yù)警等若干環(huán)節(jié)，這些環(huán)節(jié)都會(huì)與網(wǎng)絡(luò)攻擊存在直接聯(lián)系，都能夠從當(dāng)中找到非法行為特點(diǎn)。如此，如果網(wǎng)絡(luò)安全實(shí)行防御的態(tài)勢(shì)感知數(shù)據(jù)源涉及到整個(gè)網(wǎng)絡(luò)中的每一個(gè)環(huán)節(jié)當(dāng)中時(shí)，唯有與網(wǎng)絡(luò)安全有關(guān)的流量數(shù)據(jù)、監(jiān)測(cè)數(shù)據(jù)以及睛報(bào)數(shù)據(jù)等多種數(shù)據(jù)聯(lián)合起來才可以實(shí)現(xiàn)收集與存儲(chǔ)，繼而為后期管理以及維護(hù)工作帶來方便。

大數(shù)據(jù)儲(chǔ)存與管理指的是對(duì)海量的感知數(shù)據(jù)源的儲(chǔ)存與管理，比如分布形式的文件系統(tǒng)以及關(guān)聯(lián)數(shù)據(jù)庫(kù)系統(tǒng)，這些系統(tǒng)組建成了混合形式的數(shù)據(jù)倉(cāng)庫(kù)，符合了各類數(shù)據(jù)的需求，包含了多種結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)以及非結(jié)構(gòu)化數(shù)據(jù)等。其儲(chǔ)存量高達(dá)PB級(jí)，比如分布形式文件儲(chǔ)存系統(tǒng)，具備了容錯(cuò)性高、吞吐量高的特點(diǎn)，文件數(shù)據(jù)是通過創(chuàng)建若干副本以及維護(hù)多個(gè)部分的數(shù)據(jù)塊構(gòu)成的，可以儲(chǔ)存在不同服務(wù)器當(dāng)中。與此同時(shí)，由于就近原則以及并行原則，分布式文件儲(chǔ)存系統(tǒng)在分布結(jié)構(gòu)環(huán)境當(dāng)中使得數(shù)據(jù)的讀寫能力有了最大程度上的提升。

1.3面向威脅情報(bào)的大數(shù)據(jù)分析

（1）數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理指的是發(fā)掘威脅情報(bào)的過程。數(shù)據(jù)預(yù)處理能夠利用抽取特征、融合數(shù)據(jù)以及分析關(guān)聯(lián)將原始數(shù)據(jù)進(jìn)行重新組織，構(gòu)成關(guān)系圖。所以，數(shù)據(jù)預(yù)處理主要涵蓋了三大過程，即清洗數(shù)據(jù)、融合數(shù)據(jù)、管理數(shù)據(jù)。

（2）模型設(shè)計(jì)。模型設(shè)計(jì)指的是數(shù)據(jù)分析模型創(chuàng)建的過程。在模型設(shè)計(jì)期間，可視化信息也就是通過安全分析日志以及預(yù)警數(shù)據(jù)轉(zhuǎn)換而來的信息，可以構(gòu)成安全威脅發(fā)現(xiàn)以及態(tài)勢(shì)感知機(jī)制等等。數(shù)據(jù)分析模型主要涵蓋了三種模型：其一，數(shù)值統(tǒng)計(jì)模型，在這種模型當(dāng)中，所表現(xiàn)出來的用戶實(shí)際行為IP以及網(wǎng)絡(luò)流量等統(tǒng)計(jì)特點(diǎn)能夠展現(xiàn)出一個(gè)具有規(guī)律性的網(wǎng)絡(luò)動(dòng)作，并且這些動(dòng)作難以在短時(shí)間內(nèi)被發(fā)現(xiàn);其二，算法挖掘模型，這種模型可以深度挖掘已有的數(shù)據(jù)信息，從數(shù)據(jù)信息中找到安全風(fēng)險(xiǎn)問題，創(chuàng)建這鐘模型的方法有很多種，比如社區(qū)發(fā)現(xiàn)分析算法以及度分析算法等;其三，攻擊樹推理模型，這種模型是對(duì)安全威脅信息創(chuàng)建的模型，其能夠?qū)踩{信息通過樹形結(jié)構(gòu)表達(dá)出來，并且樹的根節(jié)點(diǎn)位置對(duì)應(yīng)表示的是網(wǎng)絡(luò)攻擊的具體目標(biāo)，葉節(jié)點(diǎn)位置表示的則是可采取的手段，兩者之間的路徑指的是攻擊的過程。通過創(chuàng)建攻擊樹模型，在節(jié)點(diǎn)位置的推理期間，就能夠預(yù)判出主要攻擊動(dòng)作以及分析出隱藏的威脅。

（3）數(shù)據(jù)分析。根據(jù)模型設(shè)計(jì)，分析數(shù)據(jù)可以實(shí)現(xiàn)實(shí)時(shí)計(jì)算以及離線計(jì)算，并且掌握流向、具體行為等諸多方面，其一，在線實(shí)時(shí)挖掘分析，指的是對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行分析。借助于Spark框架，可以在線實(shí)時(shí)分析大批量數(shù)據(jù)，并且可以對(duì)這些數(shù)據(jù)實(shí)現(xiàn)并發(fā)處理。其二，離線挖掘分析，指的是反復(fù)挖掘與計(jì)算歷史數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的深層次加工處理，同時(shí)借助于ETL術(shù)來處理數(shù)據(jù)庫(kù)當(dāng)中的全部歷史數(shù)據(jù)。

（4）態(tài)勢(shì)感知以及預(yù)警應(yīng)用。對(duì)網(wǎng)絡(luò)安全威脅自動(dòng)報(bào)警以及核心安全系統(tǒng)實(shí)行實(shí)時(shí)監(jiān)測(cè)以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防備預(yù)警等都是態(tài)勢(shì)感知與防備預(yù)警的具體應(yīng)用。利用大數(shù)據(jù)技術(shù)，將安全態(tài)勢(shì)感知以及防備預(yù)警業(yè)務(wù)都能夠應(yīng)用在網(wǎng)絡(luò)安全態(tài)勢(shì)平臺(tái)上面，同時(shí)還可以實(shí)現(xiàn)試運(yùn)行，在這個(gè)平臺(tái)上面創(chuàng)建出了大數(shù)據(jù)儲(chǔ)存、收集與分析、計(jì)算、擴(kuò)展容量等全部服務(wù)業(yè)務(wù)。

2態(tài)勢(shì)評(píng)估方法分析

現(xiàn)如今，態(tài)勢(shì)評(píng)估方法主要分為了兩個(gè)類別，分別是靜態(tài)態(tài)勢(shì)評(píng)估法以及動(dòng)態(tài)態(tài)勢(shì)評(píng)估法。兩者之問主要的差異是網(wǎng)絡(luò)安全狀態(tài)的時(shí)間點(diǎn)，靜態(tài)態(tài)勢(shì)評(píng)估法主要是在發(fā)掘攻擊之前，而動(dòng)態(tài)態(tài)勢(shì)評(píng)估法是在發(fā)掘攻擊之后;靜態(tài)態(tài)勢(shì)評(píng)估法注重對(duì)風(fēng)險(xiǎn)問題以及安全穩(wěn)患問題進(jìn)行全方位分析以及評(píng)估，主要是做好預(yù)防，然而動(dòng)態(tài)態(tài)勢(shì)評(píng)估法注重的是收集體現(xiàn)安全問題的有關(guān)指標(biāo)數(shù)據(jù)，再結(jié)合數(shù)據(jù)來完成評(píng)估或是預(yù)判。為了能夠全面評(píng)估網(wǎng)絡(luò)安全狀態(tài)，全方位分析出所有攻擊信息以及預(yù)警信息對(duì)網(wǎng)絡(luò)安全的影響因素以及影響程度。所以，當(dāng)前有許多研究工作者全方位深度的對(duì)比分析了態(tài)勢(shì)評(píng)估方法嘲。

基于理論知識(shí)推理指的是利用計(jì)算機(jī)技術(shù)仿真模擬人類的思維推理方式，通過形式化的理論知識(shí)內(nèi)容，運(yùn)用概率論以及實(shí)際證據(jù)理論等，做出推理與求解，繼而得出最終結(jié)果的全過程。然而網(wǎng)絡(luò)安全理論知識(shí)推理主要借助于網(wǎng)絡(luò)狀態(tài)的不穩(wěn)定性，有機(jī)結(jié)合全部要素以及功能屬性，利用已經(jīng)儲(chǔ)備的經(jīng)驗(yàn)構(gòu)建模型以及做出網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，最終得到可以受到保護(hù)的網(wǎng)絡(luò)安全態(tài)勢(shì)。利用理論知識(shí)推理的方法能夠分別做出圖模型推理以及證據(jù)推理。

3結(jié)語(yǔ)

總而言之，基于理論知識(shí)推理的方法可以對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的所有安全事件特點(diǎn)做出評(píng)估，不但能夠評(píng)估目前網(wǎng)絡(luò)安全的具體狀態(tài)而且還可以對(duì)預(yù)測(cè)的網(wǎng)絡(luò)行為可能會(huì)對(duì)網(wǎng)絡(luò)安全帶來哪些影響做出具體的評(píng)估。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的出現(xiàn)打破了固有網(wǎng)絡(luò)安全防御系統(tǒng)的局限性。上文基于大數(shù)據(jù)，系統(tǒng)性分析了網(wǎng)絡(luò)安全，與此同時(shí)針對(duì)網(wǎng)絡(luò)安全問題，創(chuàng)建出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，這個(gè)平臺(tái)的出現(xiàn)不但能夠有針對(duì)性改善網(wǎng)絡(luò)安全問題，而且還可以對(duì)收集信息、處理信息以及分析數(shù)據(jù)信息，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)安全。