基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺構(gòu)建

作者簡介：李向陽（1976— ），男，教授，博士；研究方向：信息技術(shù)與經(jīng)濟(jì)社會發(fā)展。

摘要：信息技術(shù)的應(yīng)用可以提高工作效率，但也存在一定的網(wǎng)絡(luò)安全風(fēng)險，保護(hù)網(wǎng)絡(luò)安全成為眾多企業(yè)、單位亟待解決的問題。網(wǎng)絡(luò)安全數(shù)據(jù)管理過程中易存在較多隱患，漏洞掃描可以及時發(fā)現(xiàn)并解決數(shù)據(jù)安全隱患。事業(yè)單位產(chǎn)生了大量工作數(shù)據(jù)，且數(shù)據(jù)管理專職人員較少，需要管理人員花費大量時間梳理數(shù)據(jù)，存在掃描漏洞問題?；诖?，文章利用大數(shù)據(jù)技術(shù)設(shè)計了網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺。平臺包括從數(shù)據(jù)入賬到后續(xù)修復(fù)的全過程，能夠有效地為單位提供更加精確的數(shù)據(jù)，提高網(wǎng)絡(luò)安全分析效率。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全數(shù)據(jù)；平臺

中圖分類號：TP393.08" 文獻(xiàn)標(biāo)志碼：A

0" 引言

數(shù)字化時代的到來促進(jìn)了經(jīng)濟(jì)發(fā)展，網(wǎng)絡(luò)安全問題逐漸凸顯。事業(yè)單位有大量的信息數(shù)據(jù)及科研數(shù)據(jù)，網(wǎng)絡(luò)安全保護(hù)關(guān)系著單位信息數(shù)據(jù)的安全。因此，事業(yè)單位要加強信息保護(hù)，對網(wǎng)絡(luò)安全隱患及時進(jìn)行評估與治理［1］。大部分單位排查網(wǎng)絡(luò)安全隱患時常用的方法為定期掃描，使用漏洞掃描及時發(fā)現(xiàn)隱患并采取處理措施。隨著數(shù)據(jù)信息的增多，網(wǎng)絡(luò)安全數(shù)據(jù)梳理難度增大。因此，網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺的構(gòu)建可以提高數(shù)據(jù)分析的實時性，實現(xiàn)網(wǎng)絡(luò)安全數(shù)據(jù)保護(hù)。

1" 網(wǎng)絡(luò)安全數(shù)據(jù)分析系統(tǒng)需求

單位的網(wǎng)絡(luò)安全管理在進(jìn)行數(shù)據(jù)漏洞掃描時需要經(jīng)歷3個階段。首先，及時對漏洞掃描的數(shù)據(jù)進(jìn)行統(tǒng)計。其次，采用專門的軟件對漏掃的缺陷進(jìn)行檢測，并使用人工手段進(jìn)行驗證。最后，對需要整改的站點進(jìn)行檢查，并根據(jù)主管單位的要求將整改通知書發(fā)送到相關(guān)責(zé)任人。統(tǒng)一整改完畢后，單位對整改情況進(jìn)行核實并做好相關(guān)記錄［2］。另外，單位負(fù)責(zé)人對每個漏洞掃描的結(jié)果也應(yīng)該進(jìn)行詳細(xì)分析，及時統(tǒng)計系統(tǒng)中存在的風(fēng)險及漏洞，形成年終報告。漏洞掃描任務(wù)流程應(yīng)包括：開始—確認(rèn)漏洞掃描臺賬—漏洞掃描—確認(rèn)漏洞掃描結(jié)果—下發(fā)整改通知—確認(rèn)并記錄整改情況或分析漏洞情況—形成報表。

2" 基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺構(gòu)建

2.1" 功能設(shè)計

2.1.1" 系統(tǒng)管理模塊

如圖1所示，網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺分為系統(tǒng)管理與漏洞掃描2部分。系統(tǒng)管理模塊分為用戶管理、單位管理及臺賬管理。其中，臺賬管理包括任務(wù)詳情及整改下發(fā)。漏洞掃描可分為任務(wù)管理、漏洞類型及任務(wù)分析。

2.1.2" 用戶管理模塊

用戶管理模塊根據(jù)系統(tǒng)需求設(shè)置，用戶分為管理員與普通用戶，能夠滿足網(wǎng)絡(luò)安全分權(quán)管理要求。用戶可以在平臺中完成數(shù)據(jù)的新增、修改及數(shù)據(jù)刪除等操作。

2.1.3" 單位管理模塊

安全網(wǎng)絡(luò)系統(tǒng)中，用戶在管理網(wǎng)絡(luò)資產(chǎn)臺賬的過程中，大部分是按照單位具體情況進(jìn)行管理，因此，可以將臺賬所屬的單位和管理員的信息輸入系統(tǒng)，并及時補充管理員姓名、辦公電話及手機(jī)號等，方便管理人員對參加系統(tǒng)管理的所有人員情況進(jìn)行全面的了解［3］。如果平臺中的管理人員信息出現(xiàn)變化，還可以在原來的單位管理記錄中及時進(jìn)行修訂，并結(jié)合實際情況及時更新臺賬。

2.1.4" 臺賬管理模塊

管理員在系統(tǒng)中輸入單位網(wǎng)絡(luò)資產(chǎn)信息，記錄網(wǎng)絡(luò)資產(chǎn)變化，并可實時更新信息，當(dāng)再次輸入網(wǎng)絡(luò)資產(chǎn)臺賬時，無需手工對比資產(chǎn)變化，只需直接輸入，系統(tǒng)會將新增的賬目記錄下來，并且對已經(jīng)刪除的臺賬做好詳細(xì)標(biāo)注，無需人工分析臺賬變動情況。管理員在檢查網(wǎng)絡(luò)資產(chǎn)隱患過程中應(yīng)在任務(wù)管理模塊及時創(chuàng)建一個新的檢查任務(wù)，并將排查的結(jié)果輸入相應(yīng)的檢查任務(wù)。系統(tǒng)會按照輸入的結(jié)果，對比原始資產(chǎn)與實際調(diào)查資產(chǎn)的具體數(shù)目，將每個資產(chǎn)存在的隱患全部顯示，根據(jù)資產(chǎn)隱患狀況，重新對資產(chǎn)的安全系數(shù)詳細(xì)排序［4］。在任務(wù)分析模塊中，管理人員根據(jù)隱患調(diào)查結(jié)果以及需要重點整改的資產(chǎn)情況進(jìn)行詳細(xì)分析。對于需要進(jìn)行整改的資產(chǎn)，管理員可以將整改信息直接發(fā)送到系統(tǒng)中，從而減少了人工篩查的工作量，增強了對資產(chǎn)隱患的分析能力。

2.1.5" 任務(wù)分析模塊

任務(wù)分析模塊能夠直觀顯示單位資產(chǎn)漏洞的準(zhǔn)確情況、本次掃描結(jié)果與上次掃描結(jié)果的對比情況、高危排名及漏洞排名信息等，便于單位能夠?qū)崟r了解" 安全數(shù)據(jù)的具體情況。

2.2" 數(shù)據(jù)庫設(shè)計

常見的數(shù)據(jù)源如表1所示，數(shù)據(jù)源可以分為日志類、流量類，數(shù)據(jù)源分為操作系統(tǒng)日志、應(yīng)用訪問日志及安全日志等。其日志類數(shù)據(jù)表名稱包括操作系統(tǒng)日志、應(yīng)用訪問日志、安全日志、審計日志、NAT日志、DNS日志、VPN日志等。數(shù)據(jù)庫中不同數(shù)據(jù)表均發(fā)揮著不同的功能。例如，安全日志表中，防火墻能夠提高數(shù)據(jù)庫的安全性，進(jìn)行IPS、WAF攔截記錄；審計日志中，堡壘機(jī)可以在特定的環(huán)境下保障網(wǎng)絡(luò)與數(shù)據(jù)不受內(nèi)部用戶入侵與破壞。

3" 網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺系統(tǒng)實現(xiàn)

系統(tǒng)能對所有需要進(jìn)行漏掃的主機(jī)及臺賬進(jìn)行集中管理，并可通過批量輸入的方法對需漏掃的臺賬信息進(jìn)行實時更新。網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺系統(tǒng)具有新增、修改、刪除等功能。系統(tǒng)能夠?qū)γ恳淮蔚穆呷蝿?wù)完成集中管理，并通過批量輸入的方式將數(shù)據(jù)統(tǒng)一寫入系統(tǒng)，使用詳情功能查看任務(wù)的漏掃具體情況，確定需重新修改的項目，使用整改功能發(fā)送整改通知［5］。本文利用貝葉斯算法對DNS數(shù)據(jù)進(jìn)行分類，對域名字符串長度、根域名等特征和惡意（是/否）做概率P關(guān)系映射統(tǒng)計，可以公式表示：

P（AB）=P（AB）/P（B）

系統(tǒng)界面可以顯示整個系統(tǒng)的數(shù)據(jù)分析、數(shù)據(jù)漏洞的具體分布情況、最新的漏洞、網(wǎng)站的高風(fēng)險排名等［6］。另外，網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺可以顯示不同類型及不同級別漏洞的變化趨勢。

4" 結(jié)語

綜上所述，本研究利用網(wǎng)絡(luò)安全數(shù)據(jù)分析平臺，改變了以往依賴于人工的傳統(tǒng)管理模式，更新了網(wǎng)絡(luò)安全管理模式，提高了網(wǎng)絡(luò)安全管理的效率，同時也為實現(xiàn)安全隱患的追蹤提供支持，對網(wǎng)絡(luò)安全信息化建設(shè)起到一定的促進(jìn)作用。

參考文獻(xiàn)

［1］曹小龍.基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全告警智能分析平臺設(shè)計［J］.信息與電腦（理論版），2023（9）：205-207.

［2］丁朝暉，張偉，楊國玉，等.電力工控系統(tǒng)網(wǎng)絡(luò)安全大數(shù)據(jù)智能分析平臺關(guān)鍵技術(shù)研究［J］.中國設(shè)備工程，2022（增刊2）：139-141.

［3］王艷.大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺分析［J］.科技資訊，2022（17）：30-32.

［4］楊治崇.政務(wù)大數(shù)據(jù)平臺網(wǎng)絡(luò)安全建設(shè)和運維策略分析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（7）：58-59.

［5］胡波，鄒洪，郭瑞鵬.基于電力網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)的大數(shù)據(jù)安全分析平臺關(guān)鍵技術(shù)研究［J］.電力大數(shù)據(jù)，2021（3）：51-58.

［6］孫建立，朱衛(wèi)東，李歆麗.高校網(wǎng)絡(luò)安全服務(wù)新模式探索——以基于大數(shù)據(jù)分析與云端的網(wǎng)絡(luò)安全綜合服務(wù)平臺為例［J］.中國教育信息化，2021（3）：27-31.

（編輯" 王雪芬）

Construction of the network security data analysis platform based on the big data technology

Li" Xiangyang， Li" Huan

（School of Information， Shanxi University of Finance and Economics， Taiyuan 030006， China）

Abstract：" The application of information technology to improve work efficiency， but there are also certain network security risks， the protection of network security has become an urgent problem to be solved by many enterprises and units. There are many hidden dangers in the process of network security data management. Vulnerability scanning can timely find data security risks and solve security risks. Public institutions produce a large amount of work data， and there are few full-time data management personnel， which need a lot of time to sort out the data， and there is a problem of scanning vulnerabilities. Based on this， this paper uses the big data technology to design the network security data analysis platform， the platform includes the whole process from the data entry to the subsequent repair， can effectively provide accurate data for the unit， can improve the efficiency of network security analysis.

Key words： big data; network security data; platform