網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)研究

■ 成都醫(yī)學(xué)院 陳躍輝

2018 年6 月國家標(biāo)準(zhǔn)《智慧校園總體框架》發(fā)布，為智慧校園建設(shè)提供了科學(xué)的指導(dǎo)。智慧校園建設(shè)可以集成教學(xué)管理、科研管理、網(wǎng)上辦公、網(wǎng)上教學(xué)等多個(gè)系統(tǒng)，為師生提供便捷服務(wù)，提高學(xué)校信息化建設(shè)水平。作為一個(gè)高度開放的信息空間，智慧校園面臨著一定的安全威脅，需要著力構(gòu)建一個(gè)健全的安全防護(hù)體系。在這一過程中，大數(shù)據(jù)技術(shù)可以發(fā)揮積極的作用，全面提升智慧校園的網(wǎng)絡(luò)安全性能。

智慧校園網(wǎng)絡(luò)安全現(xiàn)狀

隨著數(shù)字時(shí)代的來臨，網(wǎng)絡(luò)已經(jīng)滲透到社會(huì)生產(chǎn)生活的各個(gè)方面，在帶來巨大便利的同時(shí)，網(wǎng)絡(luò)安全也成為人們必須重視和面對的一個(gè)問題。在智慧校園建設(shè)中，面臨著一定的網(wǎng)絡(luò)安全隱患，尤其隨著智慧系統(tǒng)的集成化程度越來越高，數(shù)據(jù)分布式存儲(chǔ)和集中管理對安全防范提出了很高的要求，信息泄露、信息被破壞、非法使用、非法竊取信息資源、黑客攻擊、特洛伊木馬等安全隱患問題不容忽視。

當(dāng)前，校園網(wǎng)絡(luò)具有覆蓋范圍大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、軟硬件綜合集成等特點(diǎn)，系統(tǒng)內(nèi)外部的風(fēng)險(xiǎn)因素眾多，潛在的安全風(fēng)險(xiǎn)具有不可預(yù)知性。而隨著大數(shù)據(jù)技術(shù)等先進(jìn)技術(shù)手段的應(yīng)用，校園網(wǎng)絡(luò)安全涉及到的技術(shù)更加復(fù)雜，管控難度越來越大。大數(shù)據(jù)技術(shù)等高新技術(shù)手段的應(yīng)用，雖然在很大程度上提升了校園網(wǎng)絡(luò)的智能化水平，但也可能帶來信息濫用、信息侵權(quán)等問題。

目前智慧校園網(wǎng)絡(luò)安全防護(hù)體系建設(shè)廣泛采用的安全技術(shù)主要有訪問控制技術(shù)、入侵檢測技術(shù)、防火墻等，現(xiàn)有的防護(hù)措施側(cè)重于網(wǎng)絡(luò)層和連接層的防御，對應(yīng)用層的防范力度十分有限，難以有效監(jiān)控、識(shí)別和攔截應(yīng)用層的攻擊行為，且網(wǎng)絡(luò)安全防護(hù)設(shè)備部署分散，難以協(xié)同管理，管控策略往往滯后于破壞行為，依然處于被動(dòng)防御的階段，難以提前發(fā)現(xiàn)和預(yù)測安全風(fēng)險(xiǎn)。

因此，針對智慧校園的網(wǎng)絡(luò)安全防護(hù)，需要采用整體安全防護(hù)策略，積極構(gòu)建管理安全體系和技術(shù)安全體系。管理安全體系建設(shè)包括健全管理制度、加強(qiáng)人員培訓(xùn)等內(nèi)容，而技術(shù)安全體系建設(shè)要積極引進(jìn)先進(jìn)的技術(shù)手段，確保智慧校園網(wǎng)絡(luò)的物理安全、環(huán)境安全、系統(tǒng)安全和信息安全，其中大數(shù)據(jù)技術(shù)可以發(fā)揮積極的作用。

大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中的應(yīng)用

在智慧校園網(wǎng)絡(luò)安全分析工作中，應(yīng)用大數(shù)據(jù)技術(shù)可以提高信息數(shù)據(jù)傳輸效率，提升網(wǎng)絡(luò)安全分析準(zhǔn)確度和深廣度。智慧校園背景下數(shù)據(jù)的爆炸式增長對數(shù)據(jù)信息傳輸效率提出了更高的要求，采用大數(shù)據(jù)技術(shù)可以大幅度提升數(shù)據(jù)存儲(chǔ)量和傳輸效率；可以從多個(gè)角度、不同方面對數(shù)據(jù)進(jìn)行分析處理，提升網(wǎng)絡(luò)安全分析的準(zhǔn)確度；可以從大規(guī)模、低價(jià)值密度的大數(shù)據(jù)中挖掘出有效信息，更加全面、深入地分析數(shù)據(jù)，提升網(wǎng)絡(luò)安全分析的深度和廣度。

1.基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全分析系統(tǒng)

為了有效發(fā)揮大數(shù)據(jù)技術(shù)的作用，需要基于大數(shù)據(jù)技術(shù)構(gòu)建網(wǎng)絡(luò)安全分析系統(tǒng)，分為數(shù)據(jù)采集層、數(shù)據(jù)處理層、數(shù)據(jù)分析層、數(shù)據(jù)訪問層和數(shù)據(jù)應(yīng)用層。數(shù)據(jù)采集層負(fù)責(zé)全面采集大量有效的數(shù)據(jù)信息，數(shù)據(jù)處理層對采集到的數(shù)據(jù)進(jìn)行存儲(chǔ)，數(shù)據(jù)分析層通過數(shù)據(jù)挖掘等方法對數(shù)據(jù)信息進(jìn)行分析處理，數(shù)據(jù)訪問層提供查詢功能，數(shù)據(jù)應(yīng)用層提供所需的數(shù)據(jù)應(yīng)用服務(wù)。

為了實(shí)現(xiàn)上述功能，需要建立以下模塊內(nèi)容：

第一，數(shù)據(jù)采集與存儲(chǔ)模塊。需要安裝分布式采集器，以便于采集系統(tǒng)硬件設(shè)備和軟件行為的數(shù)據(jù)信息，并將采集到的數(shù)據(jù)存放在適合的位置。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用，需要采集和存儲(chǔ)的數(shù)據(jù)信息越來越多，不僅要做好入侵檢測等常規(guī)防護(hù)，還要注意提升系統(tǒng)的硬件性能，提升服務(wù)器、存儲(chǔ)器的辦公能力，做好檢查維護(hù)工作，確保系統(tǒng)數(shù)據(jù)采集與存儲(chǔ)功能的正常。

第二，數(shù)據(jù)分析模塊。在大數(shù)據(jù)分布式處理的基礎(chǔ)上，需要構(gòu)建數(shù)據(jù)分析模塊，從多維度分析處理數(shù)據(jù)信息，確保數(shù)據(jù)處理分析高效穩(wěn)定。第三，數(shù)據(jù)展示模塊。需要基于用戶視角構(gòu)建展示模塊，為用戶提供更加便捷、優(yōu)質(zhì)的服務(wù)，保障用戶可以有效使用網(wǎng)絡(luò)安全系統(tǒng)。

2.核心技術(shù)

第一，數(shù)據(jù)采集。借助大數(shù)據(jù)技術(shù)，可以基于ETL 對數(shù)據(jù)實(shí)現(xiàn)離線采集，或利用Flume 等對數(shù)據(jù)進(jìn)行實(shí)時(shí)采集，還可以借助Crawler 等進(jìn)行互聯(lián)網(wǎng)采集。

第二，數(shù)據(jù)存儲(chǔ)。借助大數(shù)據(jù)技術(shù)，可以對采集到的數(shù)據(jù)信息根據(jù)數(shù)據(jù)規(guī)模、種類等進(jìn)行區(qū)分，以適合的存儲(chǔ)形式進(jìn)行存儲(chǔ)，提升數(shù)據(jù)存儲(chǔ)和查詢的有序性和效率。例如日志數(shù)據(jù)等原始數(shù)據(jù)信息可以采用列式存儲(chǔ)方式，從而大幅度提升數(shù)據(jù)查詢效率。標(biāo)準(zhǔn)化處理后的數(shù)據(jù)應(yīng)先進(jìn)行分布式計(jì)算再進(jìn)行列式存儲(chǔ)，即時(shí)性數(shù)據(jù)先進(jìn)行流式計(jì)算再進(jìn)行列式存儲(chǔ)。

第三，數(shù)據(jù)查詢。應(yīng)用大數(shù)據(jù)技術(shù)，可以顯著提升查詢指令的反應(yīng)和處理速度。例如，基于Map Reduce的查詢模塊可以對查詢指令分節(jié)點(diǎn)處理，最后整合所有的處理結(jié)果，使數(shù)據(jù)查詢更加高效。

第四，數(shù)據(jù)分析。應(yīng)用大數(shù)據(jù)技術(shù)，可以對數(shù)據(jù)信息進(jìn)行深入挖掘，提升數(shù)據(jù)分析的工作效率。例如對于實(shí)時(shí)數(shù)據(jù)可以通過流式計(jì)算、關(guān)聯(lián)分析算法等完成即時(shí)分析、監(jiān)控和處理，快速發(fā)現(xiàn)數(shù)據(jù)中的異常信息；對于統(tǒng)計(jì)結(jié)果可以通過分布式存儲(chǔ)與計(jì)算，使用多種數(shù)據(jù)處理技術(shù)進(jìn)行深入分析處理，發(fā)揮網(wǎng)絡(luò)安全分析系統(tǒng)的風(fēng)險(xiǎn)分析等功能。大數(shù)據(jù)技術(shù)尤為擅長處理復(fù)雜數(shù)據(jù)，可以從流量、DNS訪問特性上入手，也可以利用發(fā)散性關(guān)聯(lián)分析法等手段，提升數(shù)據(jù)分析能力，在處理多源異構(gòu)數(shù)據(jù)、安全隱患等問題時(shí)準(zhǔn)確高效，在發(fā)現(xiàn)系統(tǒng)安全漏洞后還可根據(jù)內(nèi)網(wǎng)信息快速檢測出隱患位置。

3.網(wǎng)絡(luò)安全防范機(jī)制

在網(wǎng)絡(luò)安全分析工作中，需要利用大數(shù)據(jù)技術(shù)做好數(shù)據(jù)管理，充分發(fā)揮DNS記錄等數(shù)據(jù)信息的作用，找到數(shù)據(jù)之間的關(guān)聯(lián)性，準(zhǔn)確定位病毒等安全問題出現(xiàn)的主機(jī)位置，通過系統(tǒng)化分析完善安全防護(hù)工作。

以防范DDoS 攻擊為例，利用大數(shù)據(jù)技術(shù)搜集相關(guān)信息進(jìn)行針對性分析，獲得攻擊源相關(guān)位置信息，通過查詢獲得準(zhǔn)確的攻擊信息，對得到的信息進(jìn)行安全處理和分析，以攻擊對象路由器為起點(diǎn)開展訪問，完成對所有相關(guān)節(jié)點(diǎn)的訪問分析。針對主機(jī)入侵的檢測，可以利用大數(shù)據(jù)技術(shù)挖掘歷史數(shù)據(jù)信息，識(shí)別攻擊源的相關(guān)信息，查詢?nèi)罩緮?shù)據(jù)庫中信息，與惡意URL 庫進(jìn)行比對，確認(rèn)被入侵主機(jī)是否為新的攻擊源。

4.大數(shù)據(jù)技術(shù)應(yīng)用的建議

在校園網(wǎng)絡(luò)安全防護(hù)工作中應(yīng)用大數(shù)據(jù)技術(shù)，需要采用先進(jìn)的數(shù)據(jù)采集和存儲(chǔ)等技術(shù)手段，提高數(shù)據(jù)采集、存儲(chǔ)、分析的效率和可靠性。在此基礎(chǔ)上，還要做好管理層面的安全工作，完善智慧校園管理制度，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)操作人員的培訓(xùn)，做好軟硬件設(shè)備的檢查維護(hù)工作，為有效防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)奠定良好的基礎(chǔ)。

結(jié)語

綜上所述，大數(shù)據(jù)時(shí)代背景下學(xué)校教育管理工作迎來了巨大的轉(zhuǎn)變，智慧校園建設(shè)為提升教育教學(xué)水平做出了突出的貢獻(xiàn)，也對網(wǎng)絡(luò)安全防護(hù)工作提出了更高的要求。在網(wǎng)絡(luò)安全防護(hù)體系建設(shè)過程中，應(yīng)積極引入大數(shù)據(jù)技術(shù)等先進(jìn)技術(shù)手段，在提高數(shù)據(jù)采集、分析能力的同時(shí)，為網(wǎng)絡(luò)安全分析工作的順利開展提供技術(shù)支持，切實(shí)有效地提高網(wǎng)絡(luò)安全防護(hù)水平。