基于大數(shù)據(jù)的安防體系建設(shè)分析

趙瑩瑩

摘要：大數(shù)據(jù)應(yīng)用范圍的不斷擴大，不僅為社會發(fā)展提供了有力支持，而且還為數(shù)據(jù)網(wǎng)絡(luò)帶來了更多安全風險。為提升現(xiàn)代數(shù)據(jù)網(wǎng)絡(luò)安全性，應(yīng)構(gòu)建完善的數(shù)據(jù)網(wǎng)絡(luò)安防體系。基于此，文章對基于大數(shù)據(jù)的安防體系總體設(shè)計思路做了簡單介紹，進而對安防體系框架及數(shù)據(jù)安全中臺進行設(shè)計。

關(guān)鍵詞：大數(shù)據(jù)；安防體系；數(shù)據(jù)湖；安全數(shù)據(jù)服務(wù)；共享平臺

doi：10.3969/J.ISSN.1672-7274.2024.04.013

中圖分類號：TP 311.13，TP 393.08? ? ? ? ? 文獻標志碼：A? ? ? ? ? ?文章編碼：1672-7274（2024）04-00-03

Analysis of Security System Construction Based on Big Data

ZHAO Yingying

（People's Police University of China， Langfang 065000， China）

Abstract： The continuous expansion of the application scope of big data not only provides strong support for social development， but also brings more security risks to data networks. To enhance the security of modern data networks， a comprehensive data network security system should be established. Based on this， the article provides a brief introduction to the overall design concept of a security system based on big data， and then designs the security system framework and data security platform.

Keywords： big data; security system; data lake; secure data services; shared platform

1? ?基于大數(shù)據(jù)的安防體系建設(shè)思路

傳統(tǒng)安防體系在一定程度上提升了網(wǎng)絡(luò)系統(tǒng)的安全性[1]。由于大數(shù)據(jù)、云計算等技術(shù)的應(yīng)用，使得網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)量更加龐大，數(shù)據(jù)運算難度更高，導致傳統(tǒng)安防體系逐漸體現(xiàn)出滯后性[2]。通過對既有研究成果的分析，結(jié)合自身對大數(shù)據(jù)安全防護的了解，本文提出了一種包含6大模塊的基于大數(shù)據(jù)的安防體系。

（1）智能感知模塊。包括安防裝置、物聯(lián)網(wǎng)等組件，用于自動收集與網(wǎng)絡(luò)運行安全有關(guān)的數(shù)據(jù)，可為后續(xù)網(wǎng)絡(luò)安全風險分析與防范策略的執(zhí)行提供支持。

（2）大數(shù)據(jù)湖。用于對網(wǎng)絡(luò)安全大數(shù)據(jù)進行存儲與管理，可為后續(xù)其他環(huán)節(jié)提供數(shù)據(jù)支持。

（3）安全知識庫。由多個分庫構(gòu)成，如威脅情報庫、漏洞庫、病毒庫等，可為網(wǎng)絡(luò)安全問題的識別、分析與處理提供支持。

（4）智能分析模塊。通過數(shù)據(jù)挖掘技術(shù)尋找出數(shù)據(jù)中有價值的信息，并利用人工智能對數(shù)據(jù)進行計算，以此判斷系統(tǒng)內(nèi)部是否存在安全隱患，并通過可視化平臺將判斷結(jié)果顯示出來，幫用戶及時發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。

（5）智能學習模塊。平臺可不斷進行學習，自動完善平臺功能，以快速、準確地對新網(wǎng)絡(luò)安全隱患進行識別與處理。

（6）人機交互模塊。根據(jù)專家的安全防護經(jīng)驗，結(jié)合智能人機交互平臺，為安全隱患的識別、處理提供輔助指導。

2? ?安防體系的框架設(shè)計

2.1 安全大數(shù)據(jù)平臺

在整個安防體系框架中，安全大數(shù)據(jù)平臺是核心部分，用于安全大數(shù)據(jù)的管理。從邏輯角度來說，安全大數(shù)據(jù)平臺共由4個層次構(gòu)成，由上至下依次為安全底座、安全中臺、服務(wù)總線及安全應(yīng)用。從總體角度來說，可將平臺歸納成“一腦雙核，四輪驅(qū)動”，即包含6大模塊：①安全數(shù)據(jù)中臺——主要用于安全數(shù)據(jù)的自動采集、整理、計算等，以挖掘出數(shù)據(jù)中心隱藏的信息。②資源中臺——在安全數(shù)據(jù)中臺的輔助下，向安全應(yīng)用提供威脅識別、策略執(zhí)行等功能。上述兩個模塊共同作為平臺的“雙核”，是整個平臺最為重要的部分，直接關(guān)系到網(wǎng)絡(luò)安全隱患的識別與處理能力[3]。③數(shù)據(jù)治理——數(shù)據(jù)管理的主要手段，即針對大數(shù)據(jù)防護需求，創(chuàng)建病毒、漏洞等數(shù)據(jù)庫，以此為安全隱患的識別提供支持。④安全事件——數(shù)據(jù)管理的中心，實時對數(shù)據(jù)檢測并響應(yīng)，采集安全數(shù)據(jù)后，第一時間傳輸給安全事件，并對各種數(shù)據(jù)庫進行檢索，以提取相應(yīng)的安全策略，用于對安全威脅的處理。⑤網(wǎng)絡(luò)安全框架——數(shù)據(jù)管理的指導，以確保整個大數(shù)據(jù)安全防護功能有效執(zhí)行。⑥數(shù)據(jù)驅(qū)動——可提升安全應(yīng)用功能，更加全面地對大數(shù)據(jù)進行安全管理。后面4大模塊即為平臺的“四輪驅(qū)動”。

2.2 數(shù)據(jù)庫平臺

通過安全大數(shù)據(jù)平臺對數(shù)據(jù)進行管理后，將會改變安全防護的本質(zhì)，使其變?yōu)閿?shù)據(jù)方面的問題，即如何采集數(shù)據(jù)，采取何種方式對數(shù)據(jù)計算，怎樣保證數(shù)據(jù)存儲安全性等，以保證整個大數(shù)據(jù)網(wǎng)絡(luò)安全、穩(wěn)定運行。為此，本文在安全大數(shù)據(jù)平臺的基礎(chǔ)上，構(gòu)建了一個數(shù)據(jù)庫平臺（見圖1），其主要由4部分構(gòu)成。

（1）數(shù)據(jù)采集層。數(shù)據(jù)采集層處于整個數(shù)據(jù)庫的最底層，主要以大數(shù)據(jù)技術(shù)為核心，對各方面網(wǎng)絡(luò)安全數(shù)據(jù)進行采集。根據(jù)數(shù)據(jù)業(yè)務(wù)類型的不同，可將數(shù)據(jù)劃分成以下四種類型：①日志類數(shù)據(jù)：包含網(wǎng)絡(luò)系統(tǒng)日常運行情況的數(shù)據(jù)；②流量類數(shù)據(jù)：用于統(tǒng)計網(wǎng)絡(luò)內(nèi)部信息流量的數(shù)據(jù)；③知識情報類數(shù)據(jù)：是包含網(wǎng)絡(luò)威脅類型、處理策略相關(guān)信息的數(shù)據(jù)；④告警類數(shù)據(jù)：是包含網(wǎng)絡(luò)威脅告警信息的數(shù)據(jù)。在進行數(shù)據(jù)庫連接時，以數(shù)據(jù)抽取技術(shù)為核心，以自定義程序為輔助，以此建立出相應(yīng)的數(shù)據(jù)引接工具，以快速、準確地將數(shù)據(jù)導入到數(shù)據(jù)庫內(nèi)。同時，在數(shù)據(jù)庫內(nèi)添加Kafka傳輸組件，可對流量削峰處理，提升數(shù)據(jù)庫的吞吐率，使數(shù)據(jù)庫在整個平臺中發(fā)揮更大的作用。

（2）數(shù)據(jù)計算層。隨著現(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)容量的不斷擴大，數(shù)據(jù)分析任務(wù)數(shù)量逐漸提升，想要使數(shù)據(jù)體現(xiàn)出最大的加值，系統(tǒng)在對數(shù)據(jù)進行處理時，應(yīng)具備流、批一體化功能。若數(shù)據(jù)處理的時延性要求較低，通常進行批量處理；若數(shù)據(jù)處理的時延性要求很高，通常選取流處理引擎，主要流程：在系統(tǒng)庫數(shù)據(jù)量不斷提升的同時，在同步工具的作用下，將新添加的數(shù)據(jù)導入Kafka內(nèi)，并以此為媒介，將數(shù)據(jù)導入至數(shù)據(jù)湖。此外，這些數(shù)據(jù)還會傳輸給Flink引擎，由該引擎對數(shù)據(jù)進行計算與分析，在得到分析結(jié)果后，傳輸給應(yīng)用層，通過可視化技術(shù)處理后將結(jié)果展示給用戶。

另外，在數(shù)據(jù)計算層當中，還根據(jù)分層原理，設(shè)計了離線與在線數(shù)據(jù)倉，以加強對龐大數(shù)據(jù)的安全處理。這是因為數(shù)據(jù)容量較為龐大，若按照傳統(tǒng)方式進行計算，很容易出現(xiàn)遺漏或重復使用問題，影響數(shù)據(jù)的應(yīng)用價值。而采用離線與在線數(shù)據(jù)倉即可從根本上解決這一問題，大大提升數(shù)據(jù)計算處理效率與質(zhì)量。

（3）數(shù)據(jù)服務(wù)層。對數(shù)據(jù)計算后，可得到不同方面的分析結(jié)果，如資源目錄、數(shù)據(jù)標準等，每類數(shù)據(jù)均與相應(yīng)的通信端口相連，以將分析結(jié)果傳輸給應(yīng)用層，驅(qū)動平臺內(nèi)各種應(yīng)用服務(wù)功能的運行，從而向用戶提供數(shù)據(jù)安全管理服務(wù)。

（4）數(shù)據(jù)應(yīng)用層。該層在接收到服務(wù)層傳輸?shù)慕Y(jié)果后，可驅(qū)動安防平臺執(zhí)行各種大數(shù)據(jù)安全服務(wù)功能。

3? ?數(shù)據(jù)安全中臺設(shè)計

3.1 安全數(shù)據(jù)治理平臺

在數(shù)據(jù)接入工具的作用下，可獲取大量與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)，如病毒數(shù)據(jù)、漏洞數(shù)據(jù)等，這些數(shù)據(jù)格式不同，字段存在一定差異，因此，想要更好地使用這些數(shù)據(jù)，應(yīng)先對數(shù)據(jù)進行治理，即通過相應(yīng)的技術(shù)手段對數(shù)據(jù)予以轉(zhuǎn)換，確保在保持其完整的基礎(chǔ)上，使數(shù)據(jù)處于同一水平，以提升數(shù)據(jù)計算、分析與應(yīng)用效率。在進行數(shù)據(jù)處理時，先要明確具體使用需求，然后以此為基礎(chǔ)，選擇所需要的數(shù)據(jù)，并判斷數(shù)據(jù)的來源。在實際操作過程中，通過該流程的應(yīng)用，可拉近各模塊間的距離，有效解決傳統(tǒng)安防體系中的數(shù)據(jù)孤島問題。以數(shù)據(jù)流為媒介，將各子模塊集合到一起，以便 用于不同網(wǎng)絡(luò)安全業(yè)務(wù)當中。

由大量實踐研究可知，網(wǎng)絡(luò)安全數(shù)據(jù)特點包括以下幾點。①容量大，最高可以達到EB級甚至是PE級以上；②類型眾多，如病毒數(shù)據(jù)、告警數(shù)據(jù)等；③由于網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備眾多，加之設(shè)備運行時間較長，使得安全數(shù)據(jù)產(chǎn)生速度非常快，隨時產(chǎn)生大量安全數(shù)據(jù)；④價值密度低，數(shù)據(jù)中包含大量無用數(shù)據(jù)，有用數(shù)據(jù)占比非常小，需要對整個數(shù)據(jù)集進行全面分析與計算后，才可提取出有價值的數(shù)據(jù)。

基于此，結(jié)合上述安防體系框架，可設(shè)計出如圖2所示公共數(shù)據(jù)模型。其中，共由3層構(gòu)成，分別為：數(shù)據(jù)源層，用于連接數(shù)據(jù)庫和領(lǐng)域邏輯層；受領(lǐng)域邏輯組織方式的影響。數(shù)據(jù)操作層，用于對數(shù)據(jù)的初步處理與分析；公共維度模型層，數(shù)據(jù)匯總層，按照相應(yīng)的規(guī)律對明細數(shù)據(jù)進行整理，以此為后續(xù)數(shù)據(jù)加工分析提供支持。

3.2 安全大數(shù)據(jù)湖

為了進一步提升安防體系的應(yīng)用效果，本平臺中設(shè)計了安全大數(shù)據(jù)湖。數(shù)據(jù)湖最早出現(xiàn)在2010年，指的是除了原始數(shù)據(jù)，其他各種數(shù)據(jù)資產(chǎn)存儲能力的集合。從數(shù)據(jù)層面而言，可將安全大數(shù)據(jù)湖看成數(shù)據(jù)存儲策略；從存儲方式層面而言，安全大數(shù)據(jù)湖不僅包含Hadoop分布式存儲平臺，而且還有Elasticisearch集群存儲、FastDFS集群存儲、圖數(shù)據(jù)庫集群存儲與TiDB集群存儲等諸多功能，在這些功能共同作用下，有效對各種類型數(shù)據(jù)進行存儲。同時，由于存在TiDB數(shù)據(jù)庫，可在數(shù)據(jù)混合存儲的基礎(chǔ)上，快速對數(shù)據(jù)進行分析與處理。從技術(shù)層面而言，數(shù)據(jù)湖無法代替?zhèn)鹘y(tǒng)信息基礎(chǔ)框架，只是對傳統(tǒng)信息框架的完善與優(yōu)化。

3.3 安全數(shù)據(jù)分析平臺

（1）特征數(shù)據(jù)層。主要功能如下。①異常分析，明確異常行為特點，并自動對網(wǎng)絡(luò)中出現(xiàn)的異常進行監(jiān)測；②流量分析。對整個網(wǎng)絡(luò)中病毒數(shù)據(jù)、漏洞數(shù)據(jù)、異常數(shù)據(jù)等進行全面分析；③脆弱性分析。判斷網(wǎng)絡(luò)自身是否存在漏洞，分析漏洞引發(fā)的原因，并確定漏洞可造成的危害等。

（2）中間數(shù)據(jù)層。主要功能如下。①ATT&CK知識框架用于存儲攻擊策略、技術(shù)等相關(guān)信息，為攻擊行為的識別與應(yīng)對提供支持；②威脅情報知識。其中存儲了各種威脅情報特點及其對網(wǎng)絡(luò)造成危害的相關(guān)信息；③安全資源知識庫。主要存儲安全資源相關(guān)信息等。

（3）應(yīng)用場景層。通過對網(wǎng)絡(luò)脆弱性分析、安全時間分析等，判斷網(wǎng)絡(luò)具體情況，并根據(jù)分析結(jié)果，激活相應(yīng)的安全防護功能，以保證網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運行。

3.4 安全數(shù)據(jù)服務(wù)共享平臺

（1）資源目錄與元數(shù)據(jù)管理。用于可交換數(shù)據(jù)源數(shù)據(jù)的結(jié)構(gòu)化展示，支持數(shù)據(jù)庫、大數(shù)據(jù)、Web服務(wù)等多類型數(shù)據(jù)資源技術(shù)元數(shù)據(jù)的采集與業(yè)務(wù)元數(shù)據(jù)的維護能力；能夠根據(jù)不同的主題，創(chuàng)建相應(yīng)的業(yè)務(wù)視圖，用戶可在視圖界面內(nèi)注冊資源、檢索信息等。

（2）數(shù)據(jù)使用。用戶向平臺提交申請后，由平臺審批員對請求進行處理；利用平臺內(nèi)的注冊功能，注冊具有相應(yīng)權(quán)限的賬號，用于對用戶操作行為的監(jiān)管；在歷史信息界面內(nèi)，瀏覽以往操作行為信息等。

（3）數(shù)據(jù)服務(wù)管理。利用相應(yīng)的服務(wù)發(fā)布組件，開發(fā)人員可快速完成數(shù)據(jù)服務(wù)及數(shù)據(jù)服務(wù)共享平臺的開發(fā)。在平臺內(nèi)，開發(fā)人員可查詢用戶請求信息，并對用戶請求進行審批。

4? ?結(jié)束語

在大數(shù)據(jù)安全網(wǎng)絡(luò)問題不斷嚴重的今天，應(yīng)更加注重大數(shù)據(jù)安全防護體系的構(gòu)建，通過安全防護體系的應(yīng)用，加強對整個網(wǎng)絡(luò)系統(tǒng)的監(jiān)管，通過對網(wǎng)絡(luò)系統(tǒng)內(nèi)部數(shù)據(jù)流的分析與評估，準確判斷網(wǎng)絡(luò)系統(tǒng)是否被病毒攻擊、自身是否存在漏洞等，并根據(jù)評估結(jié)果，采取科學、合理的方式對系統(tǒng)內(nèi)異常行為進行處理，以確保網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運行。■

參考文獻

[1] 韋蕊．基于邊緣計算的非結(jié)構(gòu)化大數(shù)據(jù)動態(tài)安全存儲算法[J]．吉林大學學報（信息科學版），2023（3）：559-565.

[2] 鄭飛．大數(shù)據(jù)視域下的計算機網(wǎng)絡(luò)安全建設(shè)及關(guān)鍵技術(shù)研究[J]．中國管理信息化，2022（23）：156-158.

[3] 卞咸杰．大數(shù)據(jù)時代智慧檔案信息服務(wù)平臺數(shù)據(jù)安全風險及其對策[J]．檔案管理，2022（6）：38-41.