基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢感知

張曉

摘要：自從我國普及網(wǎng)絡(luò)之日起，網(wǎng)絡(luò)安全問題始終都是重點問題。根據(jù)有關(guān)數(shù)據(jù)表明，我國網(wǎng)絡(luò)安全正直面遇到許多方面的威脅，提升網(wǎng)絡(luò)安全已經(jīng)迫不及待。云計算與大數(shù)據(jù)信息技術(shù)的到來，預(yù)示著計算機模式的改革與創(chuàng)新，伴隨云計算能力的提升以及大數(shù)據(jù)的應(yīng)用，能夠最大程度上改善網(wǎng)絡(luò)安全問題。

關(guān)鍵詞：大數(shù)據(jù);網(wǎng)絡(luò)安全;態(tài)勢感知

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1007-9416（2020）05-0186-01

0引言

伴隨我國社會經(jīng)濟的快速進步，網(wǎng)絡(luò)也隨之愈來愈普及，網(wǎng)絡(luò)規(guī)模也愈來愈壯大，網(wǎng)絡(luò)安全事件的增多，使得網(wǎng)絡(luò)環(huán)境變得日趨復(fù)雜，網(wǎng)絡(luò)安全已經(jīng)成為有關(guān)民生的重點話題，然而，要想改變這種局面就應(yīng)該創(chuàng)建出新型的網(wǎng)絡(luò)安全平臺，更加需要新興技術(shù)的融入。網(wǎng)絡(luò)安全態(tài)勢感知的出現(xiàn)打破了固有網(wǎng)絡(luò)安全防御系統(tǒng)的局限性。本文基于大數(shù)據(jù)，全方位分析了網(wǎng)絡(luò)安全，并且針對網(wǎng)絡(luò)安全問題，搭建出了網(wǎng)絡(luò)安全態(tài)勢感知平臺，該平臺的出現(xiàn)不但能夠有針對性改善網(wǎng)絡(luò)安全問題，而且還可以對收集、處理以及分析數(shù)據(jù)信息，實時檢測網(wǎng)絡(luò)安全。

1基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺

1.1態(tài)勢感知技術(shù)架構(gòu)

采集網(wǎng)絡(luò)安全態(tài)勢感知平臺數(shù)據(jù)包含了網(wǎng)絡(luò)防御鏈當(dāng)中的各項安全數(shù)據(jù)信息。首先，威脅信息收集，將這些信息要集中儲存起來，并且創(chuàng)建出安全數(shù)據(jù)庫。其次，根據(jù)安全規(guī)劃和分析算法以及安全模型等全方位分析所刨建的數(shù)據(jù)庫中的安全問題。然后，借助于大數(shù)據(jù)來分析已經(jīng)知道的網(wǎng)絡(luò)威脅情報數(shù)據(jù)。最后根據(jù)威脅情報數(shù)據(jù)分析出應(yīng)該怎樣預(yù)警與感知網(wǎng)絡(luò)安全風(fēng)險問題，以及應(yīng)該怎樣應(yīng)用可視化態(tài)勢的系統(tǒng)。從上述防御鏈當(dāng)中能夠分析出，網(wǎng)絡(luò)態(tài)勢感知技術(shù)總體架構(gòu)分為三個層面，并且這三個層面之間相得益彰，互成體系。

1.2網(wǎng)絡(luò)安全威脅數(shù)據(jù)采收集與儲存

威脅數(shù)據(jù)的收集與儲存主要包含了態(tài)勢感知數(shù)據(jù)源的收集以及大數(shù)據(jù)儲存而構(gòu)成的數(shù)據(jù)庫。站在安全角度考量，應(yīng)該明確一次網(wǎng)絡(luò)攻擊涵蓋了確認(rèn)身份、發(fā)掘威脅代碼、風(fēng)險預(yù)警等若干環(huán)節(jié)，這些環(huán)節(jié)都會與網(wǎng)絡(luò)攻擊存在直接聯(lián)系，都能夠從當(dāng)中找到非法行為特點。如此，如果網(wǎng)絡(luò)安全實行防御的態(tài)勢感知數(shù)據(jù)源涉及到整個網(wǎng)絡(luò)中的每一個環(huán)節(jié)當(dāng)中時，唯有與網(wǎng)絡(luò)安全有關(guān)的流量數(shù)據(jù)、監(jiān)測數(shù)據(jù)以及睛報數(shù)據(jù)等多種數(shù)據(jù)聯(lián)合起來才可以實現(xiàn)收集與存儲，繼而為后期管理以及維護工作帶來方便。

大數(shù)據(jù)儲存與管理指的是對海量的感知數(shù)據(jù)源的儲存與管理，比如分布形式的文件系統(tǒng)以及關(guān)聯(lián)數(shù)據(jù)庫系統(tǒng)，這些系統(tǒng)組建成了混合形式的數(shù)據(jù)倉庫，符合了各類數(shù)據(jù)的需求，包含了多種結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)以及非結(jié)構(gòu)化數(shù)據(jù)等。其儲存量高達PB級，比如分布形式文件儲存系統(tǒng)，具備了容錯性高、吞吐量高的特點，文件數(shù)據(jù)是通過創(chuàng)建若干副本以及維護多個部分的數(shù)據(jù)塊構(gòu)成的，可以儲存在不同服務(wù)器當(dāng)中。與此同時，由于就近原則以及并行原則，分布式文件儲存系統(tǒng)在分布結(jié)構(gòu)環(huán)境當(dāng)中使得數(shù)據(jù)的讀寫能力有了最大程度上的提升。

1.3面向威脅情報的大數(shù)據(jù)分析

（1）數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理指的是發(fā)掘威脅情報的過程。數(shù)據(jù)預(yù)處理能夠利用抽取特征、融合數(shù)據(jù)以及分析關(guān)聯(lián)將原始數(shù)據(jù)進行重新組織，構(gòu)成關(guān)系圖。所以，數(shù)據(jù)預(yù)處理主要涵蓋了三大過程，即清洗數(shù)據(jù)、融合數(shù)據(jù)、管理數(shù)據(jù)。

（2）模型設(shè)計。模型設(shè)計指的是數(shù)據(jù)分析模型創(chuàng)建的過程。在模型設(shè)計期間，可視化信息也就是通過安全分析日志以及預(yù)警數(shù)據(jù)轉(zhuǎn)換而來的信息，可以構(gòu)成安全威脅發(fā)現(xiàn)以及態(tài)勢感知機制等等。數(shù)據(jù)分析模型主要涵蓋了三種模型：其一，數(shù)值統(tǒng)計模型，在這種模型當(dāng)中，所表現(xiàn)出來的用戶實際行為IP以及網(wǎng)絡(luò)流量等統(tǒng)計特點能夠展現(xiàn)出一個具有規(guī)律性的網(wǎng)絡(luò)動作，并且這些動作難以在短時間內(nèi)被發(fā)現(xiàn);其二，算法挖掘模型，這種模型可以深度挖掘已有的數(shù)據(jù)信息，從數(shù)據(jù)信息中找到安全風(fēng)險問題，創(chuàng)建這鐘模型的方法有很多種，比如社區(qū)發(fā)現(xiàn)分析算法以及度分析算法等;其三，攻擊樹推理模型，這種模型是對安全威脅信息創(chuàng)建的模型，其能夠?qū)踩{信息通過樹形結(jié)構(gòu)表達出來，并且樹的根節(jié)點位置對應(yīng)表示的是網(wǎng)絡(luò)攻擊的具體目標(biāo)，葉節(jié)點位置表示的則是可采取的手段，兩者之間的路徑指的是攻擊的過程。通過創(chuàng)建攻擊樹模型，在節(jié)點位置的推理期間，就能夠預(yù)判出主要攻擊動作以及分析出隱藏的威脅。

（3）數(shù)據(jù)分析。根據(jù)模型設(shè)計，分析數(shù)據(jù)可以實現(xiàn)實時計算以及離線計算，并且掌握流向、具體行為等諸多方面，其一，在線實時挖掘分析，指的是對實時數(shù)據(jù)進行分析。借助于Spark框架，可以在線實時分析大批量數(shù)據(jù)，并且可以對這些數(shù)據(jù)實現(xiàn)并發(fā)處理。其二，離線挖掘分析，指的是反復(fù)挖掘與計算歷史數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的深層次加工處理，同時借助于ETL術(shù)來處理數(shù)據(jù)庫當(dāng)中的全部歷史數(shù)據(jù)。

（4）態(tài)勢感知以及預(yù)警應(yīng)用。對網(wǎng)絡(luò)安全威脅自動報警以及核心安全系統(tǒng)實行實時監(jiān)測以及網(wǎng)絡(luò)安全風(fēng)險防備預(yù)警等都是態(tài)勢感知與防備預(yù)警的具體應(yīng)用。利用大數(shù)據(jù)技術(shù)，將安全態(tài)勢感知以及防備預(yù)警業(yè)務(wù)都能夠應(yīng)用在網(wǎng)絡(luò)安全態(tài)勢平臺上面，同時還可以實現(xiàn)試運行，在這個平臺上面創(chuàng)建出了大數(shù)據(jù)儲存、收集與分析、計算、擴展容量等全部服務(wù)業(yè)務(wù)。

2態(tài)勢評估方法分析

現(xiàn)如今，態(tài)勢評估方法主要分為了兩個類別，分別是靜態(tài)態(tài)勢評估法以及動態(tài)態(tài)勢評估法。兩者之問主要的差異是網(wǎng)絡(luò)安全狀態(tài)的時間點，靜態(tài)態(tài)勢評估法主要是在發(fā)掘攻擊之前，而動態(tài)態(tài)勢評估法是在發(fā)掘攻擊之后;靜態(tài)態(tài)勢評估法注重對風(fēng)險問題以及安全穩(wěn)患問題進行全方位分析以及評估，主要是做好預(yù)防，然而動態(tài)態(tài)勢評估法注重的是收集體現(xiàn)安全問題的有關(guān)指標(biāo)數(shù)據(jù)，再結(jié)合數(shù)據(jù)來完成評估或是預(yù)判。為了能夠全面評估網(wǎng)絡(luò)安全狀態(tài)，全方位分析出所有攻擊信息以及預(yù)警信息對網(wǎng)絡(luò)安全的影響因素以及影響程度。所以，當(dāng)前有許多研究工作者全方位深度的對比分析了態(tài)勢評估方法嘲。

基于理論知識推理指的是利用計算機技術(shù)仿真模擬人類的思維推理方式，通過形式化的理論知識內(nèi)容，運用概率論以及實際證據(jù)理論等，做出推理與求解，繼而得出最終結(jié)果的全過程。然而網(wǎng)絡(luò)安全理論知識推理主要借助于網(wǎng)絡(luò)狀態(tài)的不穩(wěn)定性，有機結(jié)合全部要素以及功能屬性，利用已經(jīng)儲備的經(jīng)驗構(gòu)建模型以及做出網(wǎng)絡(luò)安全態(tài)勢評估，最終得到可以受到保護的網(wǎng)絡(luò)安全態(tài)勢。利用理論知識推理的方法能夠分別做出圖模型推理以及證據(jù)推理。

3結(jié)語

總而言之，基于理論知識推理的方法可以對網(wǎng)絡(luò)安全態(tài)勢的所有安全事件特點做出評估，不但能夠評估目前網(wǎng)絡(luò)安全的具體狀態(tài)而且還可以對預(yù)測的網(wǎng)絡(luò)行為可能會對網(wǎng)絡(luò)安全帶來哪些影響做出具體的評估。網(wǎng)絡(luò)安全態(tài)勢感知的出現(xiàn)打破了固有網(wǎng)絡(luò)安全防御系統(tǒng)的局限性。上文基于大數(shù)據(jù)，系統(tǒng)性分析了網(wǎng)絡(luò)安全，與此同時針對網(wǎng)絡(luò)安全問題，創(chuàng)建出了網(wǎng)絡(luò)安全態(tài)勢感知平臺，這個平臺的出現(xiàn)不但能夠有針對性改善網(wǎng)絡(luò)安全問題，而且還可以對收集信息、處理信息以及分析數(shù)據(jù)信息，實時檢測網(wǎng)絡(luò)安全。