基于網(wǎng)絡(luò)運(yùn)維的大數(shù)據(jù)分析安全感知策略研究

張明罡

摘要：隨著時(shí)代進(jìn)步，網(wǎng)絡(luò)的全面覆蓋和發(fā)展，廣泛的智能普及，使用戶不斷提升對(duì)感知的要求。與此同時(shí)，威脅網(wǎng)絡(luò)安全的事物也層出不窮。本文旨在說(shuō)明網(wǎng)絡(luò)防護(hù)單一化已經(jīng)不能完全解決網(wǎng)絡(luò)安全面對(duì)的問(wèn)題，需要網(wǎng)絡(luò)動(dòng)態(tài)安全管制，從整體反映現(xiàn)狀，并對(duì)安全問(wèn)題及隱患進(jìn)行預(yù)測(cè)。文章將介紹分析網(wǎng)絡(luò)安全態(tài)勢(shì)以及動(dòng)態(tài)感知技術(shù)，建立有效快速的威脅分析、檢測(cè)、處置能力，促使信息可知可控。旨在為有關(guān)人士提供參考與借鑒。

關(guān)鍵詞：動(dòng)態(tài)感知;大數(shù)據(jù);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)運(yùn)維

引言：隨著互聯(lián)網(wǎng)的發(fā)展，多層次、大規(guī)模、復(fù)雜化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之增加，各種網(wǎng)絡(luò)病毒都威脅著網(wǎng)絡(luò)的穩(wěn)定與安全，傳統(tǒng)的技術(shù)難以有效、及時(shí)處理病毒帶來(lái)的影響，在此情況下，需要新興技術(shù)升級(jí)網(wǎng)絡(luò)安全防護(hù)，提前預(yù)估風(fēng)險(xiǎn)，降低整體風(fēng)險(xiǎn)等級(jí)。結(jié)合檢測(cè)情報(bào)、機(jī)器學(xué)習(xí)、圖關(guān)聯(lián)分析等技術(shù)，使全網(wǎng)的流量實(shí)現(xiàn)可視化，解決安全遺漏帶來(lái)的問(wèn)題。

一、運(yùn)營(yíng)商數(shù)據(jù)分析背景

運(yùn)營(yíng)商掌握著大量的網(wǎng)絡(luò)數(shù)據(jù)，生產(chǎn)、傳送并使用大數(shù)據(jù)，處于網(wǎng)絡(luò)管道的位置。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，其要及時(shí)掌握各個(gè)行業(yè)對(duì)大數(shù)據(jù)的實(shí)際使用情況，同時(shí)，為了滿足自身生存與發(fā)展的需求，也要對(duì)大數(shù)據(jù)進(jìn)行充分、積極與合理的運(yùn)用，以此適應(yīng)社會(huì)發(fā)展。

第一個(gè)層面是在業(yè)務(wù)領(lǐng)域，在DNS日志數(shù)據(jù)挖掘的基礎(chǔ)上，進(jìn)行對(duì)客戶訪問(wèn)點(diǎn)擊率和歸屬地的分析，為用戶感知提供一些借鑒。還要通過(guò)分析網(wǎng)絡(luò)結(jié)構(gòu)，挖掘測(cè)試數(shù)據(jù)等影響情況，來(lái)給規(guī)劃網(wǎng)絡(luò)建設(shè)提供參考依據(jù)，進(jìn)一步進(jìn)行結(jié)構(gòu)調(diào)整和優(yōu)化，升級(jí)網(wǎng)絡(luò)系統(tǒng)。第二個(gè)層面是在用戶領(lǐng)域，在AAA日志數(shù)據(jù)的基礎(chǔ)上，探接入過(guò)程中的差異化帶寬，之后來(lái)分析流量特性的匹配關(guān)系，從而對(duì)流量情況進(jìn)行準(zhǔn)確的預(yù)判，同時(shí)也可以為后續(xù)的規(guī)劃奠定基礎(chǔ)。實(shí)踐中可以對(duì)比不同的用戶的各種行為特征，然后分析其差異性，借助這些數(shù)據(jù)，核查異常用戶，進(jìn)一步提高投放的準(zhǔn)確性，也可以為用戶提供更為及時(shí)的回訪，使用戶擁有更好的體驗(yàn)，其對(duì)服務(wù)的滿意度也將大幅度提升，進(jìn)而將為供應(yīng)商樹立良好的形象，其品牌效應(yīng)將日益增強(qiáng)。

挖掘用戶數(shù)據(jù)并進(jìn)行探針數(shù)據(jù)統(tǒng)計(jì)和分析，是技術(shù)層面的創(chuàng)新，試著以用戶作為出發(fā)點(diǎn)來(lái)進(jìn)行分析，一改以往從面、線、區(qū)域的傳統(tǒng)分析方式，這樣可以更加高效便捷，對(duì)公司網(wǎng)絡(luò)建設(shè)以及其他拓展業(yè)務(wù)都補(bǔ)充了可供參考的數(shù)據(jù)。

二、網(wǎng)絡(luò)運(yùn)維的日志采集和分析

Syslog被動(dòng)監(jiān)聽(tīng)方式采集，mysql數(shù)據(jù)庫(kù)表里的日志，本地local的文件采集以及ftp文件的主動(dòng)采集等等，都是目前能采用的采集日志的方式。例如，用JDBC來(lái)進(jìn)行采集日志，設(shè)置好IP地址，輸入監(jiān)聽(tīng)端口，此外，還包括用戶名密碼等有效信息，和數(shù)據(jù)庫(kù)中指定好的實(shí)例連接按照順序來(lái)讀取指定的數(shù)據(jù)。服務(wù)器的操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)和中間件是主要采集Syslog;監(jiān)控掃描資產(chǎn)安全，全流量包的網(wǎng)絡(luò)采集，進(jìn)行自主學(xué)習(xí)了解網(wǎng)站資產(chǎn)。

從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)感知，對(duì)于現(xiàn)在發(fā)生的事件需要與威脅規(guī)則等相匹配，然后做出回應(yīng)，一般是識(shí)別出威脅響應(yīng)。情報(bào)系統(tǒng)的能力有以下幾種：對(duì)事件參與者的誠(chéng)信度進(jìn)行威脅評(píng)估;倘若參與者具有威脅情報(bào)的幾種特征，那么其威脅程度就會(huì)被隨之提高;對(duì)于大部分屬于較低威脅行為的事件，需要對(duì)其進(jìn)行篩選，接下來(lái)會(huì)方便分析潛在的威脅;在首次侵害之后，如果再次遇到侵害，需要借助共享機(jī)制來(lái)發(fā)揮作用，這樣能高效快速做出反應(yīng)進(jìn)行識(shí)別;增加侵害者需要的攻擊成本，如果侵害者想要繞過(guò)這種防御體系，那就需要更高級(jí)的隱藏方法;威脅情報(bào)通過(guò)分析關(guān)聯(lián)方法能發(fā)現(xiàn)潛在正常流量之間的威脅，也為安全事件、日志等提供多維的信息。判斷流量是否有異常情況，建立模型需要根據(jù)流量在正常行為的特征下運(yùn)行，能發(fā)現(xiàn)水平掃描、ARP欺騙、IP地址掃描、網(wǎng)絡(luò)蠕蟲、垂直掃描等。與此同時(shí)，深度檢測(cè)能力也體現(xiàn)在許多方面，這里不一一列舉。

就目前來(lái)看，檢測(cè)失陷主機(jī)的方式被人們所掌握與了解的已經(jīng)有二十多種。對(duì)病毒行為、黑客常用攻擊行為、異常外聯(lián)行為等特征都可以利用安全感知平臺(tái)內(nèi)搭建的算法來(lái)進(jìn)行分析，算法融合iForest、協(xié)議模型學(xué)習(xí)、主機(jī)網(wǎng)絡(luò)流量模型，并結(jié)合DGA域名判斷構(gòu)建融合檢測(cè)模型以及大數(shù)據(jù)關(guān)聯(lián)分析的引擎所提供的聯(lián)動(dòng)分析[1]。各類檢測(cè)能力和大數(shù)據(jù)關(guān)聯(lián)分析的能力是由大數(shù)據(jù)分析引擎來(lái)負(fù)責(zé)的，這個(gè)引擎主要由模型融合和預(yù)處理數(shù)據(jù)等主要部分來(lái)構(gòu)成的，支撐失陷主機(jī)檢測(cè)、UEBA和大數(shù)據(jù)關(guān)聯(lián)分析等。

三、網(wǎng)絡(luò)動(dòng)態(tài)感知技術(shù)和網(wǎng)絡(luò)安全

（一）動(dòng)態(tài)感知的相應(yīng)技術(shù)

首先是數(shù)據(jù)融合技術(shù)，要通過(guò)相應(yīng)的大數(shù)據(jù)技術(shù)來(lái)對(duì)不同用途不同來(lái)源不同格式不同位置的數(shù)據(jù)進(jìn)行統(tǒng)一的預(yù)測(cè)判斷，之后在平臺(tái)融合操作，給網(wǎng)絡(luò)安全信息感知技術(shù)提供統(tǒng)一平臺(tái)，在逐步分析篩選后得出結(jié)論。其次是數(shù)據(jù)挖掘技術(shù)，是需要通過(guò)很多的網(wǎng)絡(luò)設(shè)備進(jìn)行集中搜集然后整理分析情況，經(jīng)過(guò)統(tǒng)一處理后，通過(guò)相應(yīng)工具和算法，對(duì)有效信息系統(tǒng)篩選甄別，然后挑選出合適的信息，以便之后工作進(jìn)行處理和分析這些信息。最后介紹可視化技術(shù)，需要運(yùn)用相應(yīng)技術(shù)，從而進(jìn)行數(shù)據(jù)的圖形和圖像大的相互轉(zhuǎn)換，可以幫助從事的工作人員對(duì)未來(lái)趨勢(shì)進(jìn)行更好的把控[2]。

（二）動(dòng)態(tài)感知的任務(wù)和特點(diǎn)

動(dòng)態(tài)感知的任務(wù)主要是包含事件的感知以及以下兩個(gè)任務(wù)和風(fēng)險(xiǎn)的感知。就風(fēng)險(xiǎn)感知層面而言，在海量的資產(chǎn)分析中，評(píng)估資產(chǎn)的價(jià)值量以及有多少可能性會(huì)被攻擊，在攻擊后所具有的相應(yīng)防范能力進(jìn)行估計(jì)，為可能會(huì)造成的損失進(jìn)行預(yù)測(cè)評(píng)估。視線感知是包括對(duì)異常行為和所有事件的監(jiān)控，以至于能達(dá)到安全事件收集準(zhǔn)確高效的目的。但是異常風(fēng)險(xiǎn)感知需要對(duì)所有面臨的風(fēng)險(xiǎn)和可能的狀況進(jìn)行估測(cè)，然后有針對(duì)性的制定恰當(dāng)?shù)慕鉀Q方案，以防止位置攻擊為主要目標(biāo)。

對(duì)于其特點(diǎn)的闡釋主要是進(jìn)行智能分析，然后挖掘網(wǎng)絡(luò)安全所處的環(huán)境，監(jiān)測(cè)發(fā)動(dòng)攻擊的源頭，然后進(jìn)行追蹤分析。發(fā)動(dòng)攻擊的情況發(fā)生后，倘若能夠主動(dòng)掌握整個(gè)事件的發(fā)展方向和脈絡(luò)，擬好相應(yīng)規(guī)范和保護(hù)措施，那么就能及時(shí)規(guī)避風(fēng)險(xiǎn)降低甚至避免各種經(jīng)濟(jì)損失。

（三）大數(shù)據(jù)分析安全感知平臺(tái)構(gòu)建

首先，硬件基礎(chǔ)層是核心部分，虛擬化技術(shù)可以構(gòu)建一種身臨其境的真實(shí)體驗(yàn)感，使人不再受限物理上的界限，將一臺(tái)服務(wù)器變成幾十上百臺(tái)這種相互隔離的虛擬服務(wù)器，讓內(nèi)存、CPU、磁盤等硬件變成資源池。可以使系統(tǒng)管理簡(jiǎn)化、資源的利用率提高、服務(wù)器整合實(shí)現(xiàn)等，這些都是服務(wù)器虛擬化的表現(xiàn)。其次，是安全日志采集層，采集有效的日志并進(jìn)行記錄，符合條件的信息進(jìn)行規(guī)范化處理，之后進(jìn)行算法分析和計(jì)算，再將其運(yùn)用到大數(shù)據(jù)的分析之中。再次是大數(shù)據(jù)的存儲(chǔ)層，把網(wǎng)絡(luò)上的海量數(shù)據(jù)進(jìn)行篩選然后分布存儲(chǔ)，增強(qiáng)其各方面的存儲(chǔ)能力，可以為之后的數(shù)據(jù)整理分析提供可靠的支撐。最后是安全態(tài)勢(shì)分析層，運(yùn)用相應(yīng)的分析技術(shù)來(lái)快速檢索海量數(shù)據(jù)以及相關(guān)聯(lián)的信息，然后進(jìn)行篩選整理，分析其所處的安全狀況并加以評(píng)出風(fēng)險(xiǎn)等級(jí)，方便之后的信息管理[3]。

結(jié)論：綜上所述，在網(wǎng)絡(luò)安全領(lǐng)域全面開展并運(yùn)用動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)，是為了緩解網(wǎng)絡(luò)安全日益嚴(yán)重化和復(fù)雜化的問(wèn)題。該技術(shù)的運(yùn)作，與數(shù)據(jù)支持及相關(guān)技術(shù)的充分利用是離不開的。對(duì)數(shù)據(jù)的整理搜集、分門別類歸置以及統(tǒng)計(jì)篩選有效信息，都為網(wǎng)絡(luò)安全動(dòng)態(tài)感知提供支撐，為日后數(shù)據(jù)研究分析能更加精準(zhǔn)，趨勢(shì)的動(dòng)態(tài)評(píng)估可以更好的實(shí)現(xiàn)。如果想要該技術(shù)更廣泛的使用和認(rèn)可，還需做出更多探索和努力。

參考文獻(xiàn)：

[1]張堯.基于網(wǎng)絡(luò)運(yùn)維的大數(shù)據(jù)分析安全感知策略研究[J].數(shù)字通信世界，2020（03）：125-126.

[2]張新淼.基于網(wǎng)絡(luò)運(yùn)維的大數(shù)據(jù)分析安全感知策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（09）：67+35.

[3]許暖.基于大數(shù)據(jù)背景下分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵實(shí)現(xiàn)技術(shù)探索[J].數(shù)字化用戶，2019，025（001）：179-180.