大數據分析技術在安全領域中的應用策略研究

王學周 萊蕪職業技術學院

引言

隨著信息技術的應用范圍和深度不斷加強，信息安全變的越來越重要。當前存在很多由于信息安全問題造成的個人或企業信息泄露或其他問題的發生，如2016 年孟加拉國央行就收到黑客的攻擊而造成銀行中1 億美元被轉移。這足以說明加強信息安全的重要性。當前傳統的信息安全分析技術主要針對惡意代碼檢測、入侵檢測等方面進行信息保護，但是隨著信息數據數量、種類的不斷增加，加之一些新型的入侵手段出現，給傳統的信息安全分析帶來巨大的挑戰。2012 年Gartner 曾指出大數據分析是信息安全的重要發展方向。以大數據為基礎的信息安全分析技術能夠有效解決傳統方法難以對海量數據進行采集和存儲的問題，并且此方法以機器學習以及數據挖掘方法等為基礎，在處理信息安全時間是更加的主動和高效，并且能夠有效的應對一些新型的信息安全事件發生。

1 大數據分析技術應用于信息安全領域的意義

大數據具有大量化、多樣性、高速化和價值化等特點，將其應用于信息安全分析當中能夠有效降低分析成本，提高分析效率并增大分析容量，對此將大數據分析技術在信息安全領域進行應用能夠有效的催動此領域的進一步發展。隨著企業規模不斷提升，精細化程度不斷加強以及安全設備數量的增加，有關信息安全的數據的類別越來越多，范圍越來越廣，數據量呈現指數增長，并且增長速度也越來越快，這對安全分析的應答能力提出更高的要求，給傳統安全分析帶來巨大挑戰。信息安全分析的傳統方式是以流量和日志等數據信息為基礎，并結合相應的資產信息、業務行為信息和外部情報信息實施分析，從而找出信息當中存在的信息安全問題，這種分析的數據信息比較單一，難以對一些新型和深層次的安全問題進行分析。大數據應用到信息安全當中，其能夠將一些分散的數據進行整合，通過相應的技術手段采集和存儲安全相關數據，將這些數據進行檢索和分析，并通過預測模型實施不同階段和層面的關聯分析及其異常行為分類，從而能夠有效的發現存在的APT 攻擊、騷擾詐騙等信息安全問題，讓信息安全防御更加的主動和有效。與傳統分析相比，大數據分析的數據內容更加全面，其不僅可以對應用情景產生的數據進行分析，能夠對某些活動中所產生的數據進行分析，并且也能夠有效的對相關的背景數據和上下文關聯數據進行分析。對此大數據分析技術在信息安全領域具有較好的應用價值，如何將其應用是值得探討的問題。

2 安全大數據分析技術在安全領域中的應用策略

2.1 以用戶行為為基礎的大數據安全分析

此策略在中國移動的信息安全管理中具有廣泛的應用，主要用于對垃圾短信和騷擾詐騙電話等進行查找和治理。在大數據分析當中，通過開源工具如MLlib、Hive、Pig、Hadoop 等，進行大數據平臺的搭建，通過平臺對使用者的行為數據進行采集，并建立用戶行為分析模型，具體包含異常行為分類預測模型、統計預測分析模型、社交網絡分析模型等。在這些模型當中，當用戶的行為數據輸入其中，可以準確并且快速的找出存在異常的電話號碼，并且能夠有效分析出這些號碼與正常號碼之間存在的大量不同的行為特征。此應用當中可以依據使用者的行為進行不同維度用戶數據庫的構建，從而能夠更加全面為不良信息的處理提供給服務，智能識別一些不良內容。中國移動在此策略進行信息安全分析，與傳統分析方法，其能夠更大范圍找出一些違規號碼，從而有效彌補當前安全分析中的不足。

2.2 以網絡流量為基礎的大數據分析策略

此應用是采用旁路流量監控的方式，于互聯網出口應用Storm、Spark 流分析技術等對相應的業務數據進行梳理和分析，從而找出其中存在的安全風險問題。主要分析的信息內容包含惡意UR 事件、路由器配置數據、Netflow 原始數據等多種數據信息，采用的大數據分析方法包含孤立點分析方法、指紋分析方法、多維度分析等。通過此應用策略能夠有效挖掘Web 漏洞，實現CC 攻擊的檢測，找出其中存在的可疑掃描、異常Bot 行為等。

2.3 以安全日志為基礎的大數據安全分析

此應用主要是將各種安全日志的數據進行融合并進行關聯分析，通過異常行為模型的構建，找出其中存在的安全問題。其中涉及的安全日志包含DNS 日志、Web 日志、IDC日志、防火墻日志、數據庫日志、Web 攻擊日志、網管日志、IDS 設備日志和主機服務器日志等。其中常用的大數據分析方法包含情景關聯分析法、規則關聯分析、歷史溯源和攻擊行為挖掘等。使用此策略能夠有效的找出跨站漏洞、Web 攻擊行為、敏感信息泄露、Sql 注入等信息安全問題。其中此策略在很多實際的案例中得到較好的應用。如IBM QRadar 就是將廣泛在網絡中分布的大量設備端點中和應用中的日志源事件數據進行有效的整合分析，并將其標準化，從而能夠通過對比找出錯誤的信息和威脅安全的信息，并且其還能夠與IBM Threat Intelligence 等技術聯合進行應用，為用戶提供惡意主機等威脅的IP 地址，而且還可以將網絡數據與相關的系統安全事件聯系到一起，確定相關安全事件的優先級。

2.4 以DNS 為基礎的大數據安全分析

此應用是利用大數據分析技術對DNS 系統中的實時流量和日志等數據進行整合和分析，并依據DNS 流量的特征構建模型，進而有效提取出域名生存周期、解析IP 離散度、DNS 分組長、遞歸路徑、發送頻率等DNS 報文特征。隨后以DNS 報文特征作為基礎進行異常行為模型的構建，從而有效實現DNS 系統中DNS 分組異常、DNS劫持等流量攻擊的針對性檢測，并且有效找出存在的一些惡意域名，及其一些釣魚網站域名。

2.5 APT 攻擊的大數據安全分析

APT 攻擊是針對一些特定的對象，經過精密的計劃和安排所實施的信息攻擊，這種信息安全問題具有潛伏時間較長，隱秘性較高，攻擊渠道難以確定等特點。如“震網病毒”，其在經過3 年的潛伏后才發動攻擊，并導致伊朗納坦茲核電站上千臺鈾濃縮離心機出現嚴重的故障。針對此類信息安全問題，應用大數據分析技術通過將數據日志、業務系統流量、Web 滲透知識庫、Web 訪問日志和資產庫等信息進行收集，從這些信息中對黑客關注度、系統指紋、行為歷史、攻擊時間、攻擊手段類型和提取攻擊種類等事件的特征進行提取，再在以大數據機器學習方法為基礎，對系統的脆弱性進行分析，并找出其中Web 滲透行為，對攻擊源進行追溯，從而有效提升信息系統運行中對相應安全問題的感知能力，并且對調查取證予以有效的支持。

3 結束語

綜上所述，大數據分析技術的發展對于信息安全的提升具有積極的促進作用，將其應用于信息安全領域具有重要的意義。對此在信息安全方面應積極結合實際情況將大數據分析技術應用其中，從而有效提升信息安全程度，其中既可以基于用戶行為、網絡流量、安全日志、DNS 等進行大數據分析技術的應用，也可以針對APT 攻擊等高層次的信息安全問題進行有效的應用。