網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用

葉麗英

（國家稅務(wù)總局日照市稅務(wù)局 山東省日照市 276800）

信息技術(shù)更新與進步，增強了數(shù)據(jù)傳輸能力，豐富了網(wǎng)絡(luò)功能，出現(xiàn)了多種新型網(wǎng)絡(luò)風險。木馬僵尸、信息竊取、惡意篡改等風險問題，形成了較大的用網(wǎng)威脅，會降低網(wǎng)絡(luò)運行秩序，增加用網(wǎng)損失。全面的用網(wǎng)安全分析，成為預(yù)防用網(wǎng)風險的關(guān)鍵因素，可回避網(wǎng)絡(luò)風險帶來的損失問題，是國內(nèi)網(wǎng)絡(luò)建設(shè)的重要任務(wù)。

1 用于對抗僵尸網(wǎng)絡(luò)的數(shù)據(jù)技術(shù)

數(shù)據(jù)查詢、數(shù)據(jù)使用、數(shù)據(jù)存儲各個流程，可增強大數(shù)據(jù)技術(shù)的使用價值，獲取較高的數(shù)據(jù)處理效率。在數(shù)據(jù)使用期間，系統(tǒng)漏洞、數(shù)據(jù)技術(shù)等先進科技，能夠積極展現(xiàn)技術(shù)價值，迅速獲取風險位置。此技術(shù)表現(xiàn)出較高的數(shù)據(jù)處理能效，僵尸網(wǎng)絡(luò)具有較高的用網(wǎng)風險性，會危及網(wǎng)絡(luò)安全，需加強數(shù)據(jù)技術(shù)使用，嘗試從DNS 訪問、數(shù)據(jù)流量各層面，有效落實數(shù)據(jù)處理工作，保證數(shù)據(jù)分析結(jié)果的可信性。如圖1所示，是用于抵御僵尸網(wǎng)絡(luò)的關(guān)鍵技術(shù)框架。

圖1：抵御僵尸網(wǎng)絡(luò)的技術(shù)框架

2 分析網(wǎng)絡(luò)結(jié)構(gòu)中的風險因素

2.1 關(guān)系矩陣

2.2 總關(guān)系矩陣

矩陣處理完成，需要構(gòu)建整體矩陣結(jié)構(gòu)。矩陣內(nèi)部的各組參數(shù)，應(yīng)展現(xiàn)出矩陣功能，以區(qū)間轉(zhuǎn)化為側(cè)重點。矩陣結(jié)構(gòu)設(shè)計的各組參數(shù)，對于各組元素關(guān)聯(lián)具有一定影響，反饋出相鄰元素的內(nèi)在關(guān)聯(lián)。為此，需參照矩陣算法，獲取總矩陣參數(shù)，保證矩陣分析的有效性。

2.3 風險因素分析

矩陣計算的精確性，會直接決定風險分析質(zhì)量，甚至會作用于綜合數(shù)據(jù)，使后續(xù)工作受到干擾。采取有效的風險分析方法，進行風險分析，以此獲取符合實際需求的分析結(jié)果。各類分析結(jié)果，均可參照原因值獲取具體風險。如果原因值較大，說明風險影響程序較高，應(yīng)獲得風險管理重視。如果原因值較小，說明風險影響性不高。風險分析期間，結(jié)合往期網(wǎng)絡(luò)出現(xiàn)的風險因素，使用概率模型、風險數(shù)據(jù)進行數(shù)據(jù)訓(xùn)練，參照數(shù)據(jù)訓(xùn)練結(jié)果給出風險預(yù)測信息；參照各組重要資產(chǎn)的“安全脆性”給出風險分析；依據(jù)各類資產(chǎn)安全性，比如資產(chǎn)保密性、資產(chǎn)價值等進行風險分析。

（1）創(chuàng)建風險警示模型：風險警示=<風險警示種類，風險警示級別，風險警示具體編碼，受到風險的系統(tǒng)，受到風險的軟件程序，處于風險狀態(tài)的端口>。

（2）資產(chǎn)安全的風險分析模型：信息資產(chǎn)安全性=<系統(tǒng)等級，漏洞問題，補丁情況，軟件版本，端口性能，資產(chǎn)價值>。

（3）防火墻風險防護的安全分析模型：防火墻防護=<網(wǎng)絡(luò)訪問，網(wǎng)頁源地址，目標訪問地址，網(wǎng)頁源信息終端，目標訪問網(wǎng)頁終端，訪問協(xié)議>。

網(wǎng)絡(luò)安全分析時，從網(wǎng)絡(luò)頂層開始進行分析活動，風險警示的各類因素，會受到防火墻防護的影響。如果防火墻無法通過的信息，會返回分析結(jié)果“5”，表示有風險。如果防火墻并未屏蔽信息，會給出結(jié)果“3”，表示信息安全。

3 安全分析融合數(shù)據(jù)技術(shù)的具體表現(xiàn)

3.1 創(chuàng)建檢測框架

安全檢測程序的創(chuàng)建，應(yīng)以Hadoop 程序為技術(shù)基礎(chǔ)，全面構(gòu)建網(wǎng)絡(luò)檢測體系，保證安全檢測的有效性。數(shù)據(jù)技術(shù)融合后，能夠顯著增強數(shù)據(jù)處理有效性，更快捷地鎖定漏洞位置，給出相應(yīng)的漏洞處理方法，以此顯著增強系統(tǒng)安全性，使系統(tǒng)安全性處于標準狀態(tài)，給出客觀的安全評價結(jié)果。此種安全檢測技術(shù)，能夠深層挖掘信息資料，優(yōu)化安全評價流程，具有較高的安全評價功能，可高效找出漏洞信息，給出準確標識?，F(xiàn)階段，國內(nèi)進行漏洞分析時，采取的安全評價方法具有單一性，能夠給出數(shù)字漏洞的評價結(jié)果。

3.2 采集漏洞資料

漏洞攻擊具體表示對網(wǎng)絡(luò)具有攻擊性的數(shù)據(jù)或者程序，表現(xiàn)出較強的系統(tǒng)攻擊意圖。對系統(tǒng)進行全面檢測，切實強化系統(tǒng)的數(shù)據(jù)處理能力，同步給出系統(tǒng)檢測的具體流程，利用數(shù)據(jù)采集程序，全面整合系統(tǒng)數(shù)據(jù)，以此保證風險防護的有效性。在排除外界干擾因素的情況下，可自行生成網(wǎng)絡(luò)各層的漏洞資料，參照檢測方案進行風險傳導(dǎo)，合理分解風險級別，保證風險檢測、風險預(yù)警的有效性。

例如，某計算機高校以Apriori 挖掘技術(shù)，創(chuàng)建了漏洞采集程序，引入關(guān)聯(lián)規(guī)則，記錄各項數(shù)據(jù)集。假設(shè)m 表示數(shù)據(jù)的特征個數(shù)，如果X 規(guī)則與Y 規(guī)則具有一定關(guān)聯(lián)性，那么X 與Y 兩個規(guī)則的并集為空。假設(shè)A 集合中含有X、Y 兩個規(guī)則并集項的可能性為p，可利用Sup（X∪Y）的形式，獲取漏洞頻率。在漏洞掃描前期，進行數(shù)據(jù)轉(zhuǎn)化處理。整合網(wǎng)絡(luò)風險各項資料與Apriori 挖掘方法，創(chuàng)建的漏洞挖掘程序：規(guī)范處理風險數(shù)據(jù)，找尋風險資料的關(guān)聯(lián)信息，準確測算出風險數(shù)據(jù)，Apriori 分析，創(chuàng)建布爾矩陣、找出頻率結(jié)合與備選集合，創(chuàng)建第二個候選集合，建立漏洞評估矩陣，給出漏洞風險的關(guān)聯(lián)規(guī)則，完成漏洞風險的采集過程。此漏洞挖掘平臺運行后，同時運行五個測試程序，逐一添加網(wǎng)絡(luò)攻擊，數(shù)據(jù)請求次數(shù)設(shè)計為5000 次，五個測試程序的規(guī)則對比次數(shù)明顯降低，降低幅度處于5.26%至18.61%之間。規(guī)則對比次數(shù)的減少，證明關(guān)聯(lián)規(guī)則的漏洞查找能力有所增強。關(guān)聯(lián)規(guī)則的漏洞掃查能力，將會降低漏洞挖掘用時，給予較快的漏洞挖掘反饋。五個測試程序的漏洞挖掘反饋時間，與系統(tǒng)平均響應(yīng)時間相比有所減少，反饋時間減少范圍在7.805s 至9.121s 之間。由此發(fā)現(xiàn)：各類程序的漏洞挖掘時間具有一定差異性，反饋時延最大相差1.316s。使用Apriori挖掘進行漏洞掃查時，能夠保證漏洞反饋時間的平均性，反饋時延最大相差0.118s。由此說明：Apriori 挖掘具有較強的漏洞掃查能力，可有效篩除風險數(shù)據(jù)，具有較強安全分析能力；Apriori 算法調(diào)整后，能夠減少候選數(shù)據(jù)量，快速完成數(shù)據(jù)分析過程。

3.3 處理網(wǎng)絡(luò)漏洞

網(wǎng)絡(luò)漏洞的處理方式，作為風險檢測的重要程序。在風險檢測程序中，應(yīng)以SQL 設(shè)備為技術(shù)前提條件，以此作為程序中心。在SQL 設(shè)備運行期間，應(yīng)控制網(wǎng)絡(luò)結(jié)構(gòu)的循環(huán)資料，順應(yīng)漏洞檢測的規(guī)范要求，有效控制系統(tǒng)檢測時間，獲取高效的檢測結(jié)果，達到檢測預(yù)期效果。SQL 設(shè)備能夠存儲較多數(shù)據(jù)，結(jié)合數(shù)據(jù)位置準確找出漏洞方位，將數(shù)據(jù)傳送至數(shù)據(jù)處理程序，顯著強化系統(tǒng)的運行能力，及時排查系統(tǒng)漏洞。參照漏洞分布特點，逐一找出各節(jié)點風險。實際進行漏洞處理時，核心模塊是主要運行程序。

3.4 評估漏洞

安全分析系統(tǒng)運行時，風險評價程序能夠給出全面的漏洞檢測資料，將安全分析程序設(shè)計在系統(tǒng)終末位置。當程序無法順應(yīng)框架部署條件時，應(yīng)參照漏洞處理程序，進行準確連接。獲取驅(qū)動程序的技術(shù)支持后，準確選擇信息文件。系統(tǒng)有序運行時，會使網(wǎng)絡(luò)結(jié)構(gòu)受到較高威脅，系統(tǒng)各節(jié)點極易受到網(wǎng)絡(luò)攻擊。需采取動態(tài)切換形式，有效處理外在節(jié)點。漏洞評價程序的運行，能夠保證系統(tǒng)安全防護的規(guī)范性，間接增強漏洞檢測的高效性。系統(tǒng)安全分析的漏洞評價單元，擁有自如切換功能，可結(jié)合節(jié)點實況給出調(diào)控處理，使系統(tǒng)擁有較強的系統(tǒng)訪問能力，達到系統(tǒng)安全分析的要求。

例如，某高校使用大數(shù)據(jù)技術(shù)，研發(fā)出安全漏洞智能識別平臺。平臺建立了軟件漏洞信息的識別程序，采取自相關(guān)數(shù)據(jù)關(guān)聯(lián)檢測形式，全面分解軟件安全參數(shù)，獲取軟件安全漏洞的風險級別為：

3.5 各類風險分析

3.5.1 分析用戶異常行為

用戶異常操作的安全分析，主要使用Hadoop、Hive 各類技術(shù)，創(chuàng)建大數(shù)據(jù)分析程序，有效采集各類用戶異常行為信息，構(gòu)建用戶異常行為的測評模型，劃分用戶異常行為種類。利用安全數(shù)據(jù)分析程序，能夠在平臺整合各類行為信息，準確掌握用戶網(wǎng)絡(luò)操作的異常情況。結(jié)合用戶異常表現(xiàn)，建立多層級的用戶行為數(shù)據(jù)存儲單元，全面收集整合用戶異常行為，為后續(xù)風險整治給出決策指導(dǎo)。大數(shù)據(jù)技術(shù)的合理使用，能夠高效智能識別用戶的風險操作行為。實踐中發(fā)現(xiàn)：使用大數(shù)據(jù)分析程序，可高效挖掘更多潛在風險問題，建立完整的安全分析體系。大數(shù)據(jù)技術(shù)可用于準確檢測網(wǎng)絡(luò)安全趨勢，分析惡意程序的運行動態(tài)，顯著增強網(wǎng)絡(luò)安全分析有效性，及時獲取風險因素，給出有效的風險管控，維持網(wǎng)絡(luò)安全。

3.5.2 分析網(wǎng)絡(luò)流量問題

網(wǎng)絡(luò)風險分析，使用大數(shù)據(jù)技術(shù)準確檢測網(wǎng)絡(luò)傳輸?shù)牧髁孔兓闆r。比如，使用Hadoop 數(shù)據(jù)存儲程序、數(shù)據(jù)流分析方法，能夠全面測定網(wǎng)絡(luò)流量的具體表現(xiàn)，再用數(shù)據(jù)分析程序監(jiān)控各程序的數(shù)據(jù)變化，找出系統(tǒng)風險原因、風險位置。網(wǎng)絡(luò)風險的檢測過程：使用數(shù)據(jù)技術(shù)采集Netflow（數(shù)據(jù)交換技術(shù)）的各類初始數(shù)據(jù)，運行病毒檢測程序，獲取URL事件的各類資料。利用多維度信息分析方法，收集網(wǎng)絡(luò)風險問題，使用Wed 漏洞分析、CC 攻擊風險分析等技術(shù)，準確梳理網(wǎng)絡(luò)風險行為，按照網(wǎng)絡(luò)使用的具體實況，給出APT防護、DDos 防范等多種措施。

3.5.3 分析安全日志

安全日志是記錄各項用網(wǎng)風險、網(wǎng)絡(luò)防護的主要程序，融合大數(shù)據(jù)技術(shù)，可搭建多種安全分析方法。安全日志分析過程：前期找出關(guān)聯(lián)數(shù)據(jù)的內(nèi)在關(guān)系，建立用戶異常行為的分析程序，有效找出網(wǎng)絡(luò)結(jié)構(gòu)的各項違規(guī)操作。分析內(nèi)容有：網(wǎng)頁日志、IDS 設(shè)備運行記錄、網(wǎng)頁攻擊記錄等。此類安全日志信息存在一定內(nèi)在關(guān)聯(lián)關(guān)系，可使用規(guī)則管理、攻擊分析的聯(lián)合形式，深層挖掘安全日志的網(wǎng)絡(luò)風險信息。

例如，ZettaSet 創(chuàng)建了存儲單元，能夠存儲較多數(shù)據(jù)，以此全面檢測系統(tǒng)風險、惡意攻擊等問題，此存儲單元含有兩個程序：Orchestrator，數(shù)據(jù)更新服務(wù)；SDW，具有延展性的數(shù)據(jù)存儲單元。數(shù)據(jù)更新程序是一種設(shè)備連接的Hadoop產(chǎn)品，能夠進行多個Hadoop 數(shù)據(jù)平臺的部署。數(shù)據(jù)存儲單元是以Hadoop平臺為前提條件，以Hive（數(shù)據(jù)映射處理工具）為技術(shù)條件，高效存儲各項數(shù)據(jù)。使用海量數(shù)據(jù)存儲單元，從防護墻、防護設(shè)備、網(wǎng)絡(luò)流量、業(yè)務(wù)程序各個視角，共同挖掘網(wǎng)絡(luò)層面的風險因素，以此保證網(wǎng)絡(luò)系統(tǒng)運行的安全防護能力。比如，處理30d 內(nèi)的網(wǎng)絡(luò)信息時，原有SIEM 技術(shù)的數(shù)據(jù)處理時間介于30min 至60imn 之間。而海量數(shù)據(jù)存儲程序可在60s 以內(nèi)完成30d 數(shù)據(jù)的風險分析，具有較強的技術(shù)優(yōu)勢。

例如，卓豪單位開發(fā)出“日志管理”產(chǎn)品，能夠進行無代理/代理兩種日志收集，找出750 種類型的日志信息。平臺可自行解析日志內(nèi)容，深入分析系統(tǒng)安全事件。平臺開發(fā)了三種新功能：

（1）自動掃查利用關(guān)聯(lián)規(guī)則進行的網(wǎng)絡(luò)攻擊，在產(chǎn)品相關(guān)性程序中，設(shè)計了25 種攻擊規(guī)則，包括勒索程序、暴力破譯等；

（2）定期推送國際威脅情報，定制威脅情報程序，利用STIX（威脅信息表達式）、TAXIII（情報可讀標準）等規(guī)則，有效推送威脅情報，從中分析異常流量，給予風險警報；

（3）內(nèi)置獨立控制程序，各告警程序均設(shè)有專門管理，動態(tài)跟進事件的反應(yīng)能力，給予完整的解決方案，在內(nèi)置工單中給出跟蹤事件，使用外部工具，縮短工單處理時間。

日志管理平臺使用的漏洞掃描器，能夠有效掃描多個程序，擁有不少于50 個前期定義功能的漏洞報表，增強漏洞掃查的高效性。對于網(wǎng)絡(luò)、端口各位置的漏洞，進行有效檢查，設(shè)計漏洞檢測警告值。如有發(fā)現(xiàn)網(wǎng)站存在較大漏洞，會形成告警通知，便于管理人員掌握風險信息。日志管理平臺給出了多種風險解除方案，包括“ESET 殺毒程序”、“卡巴斯基殺毒程序”、“FireEye 火眼”等。FireEye 火眼安全防護程序，能夠給出火眼報告，增強風險信息的可讀性，以圖文形式進行風險反饋?；鹧廴罩娟P(guān)聯(lián)功能，能夠有效收集設(shè)備各項資料，使其有效進行日志關(guān)聯(lián)，高效檢測系統(tǒng)問題，提早發(fā)現(xiàn)網(wǎng)絡(luò)攻擊問題。

3.5.4 DNS 分析

DNS 程序融合大數(shù)據(jù)科技后，從網(wǎng)絡(luò)使用流量、安全日志等方面，逐一創(chuàng)建風險分析模型，有效提取程序中各類網(wǎng)絡(luò)數(shù)據(jù)，比如DNS 分組、系統(tǒng)響應(yīng)周期、數(shù)據(jù)傳輸頻率等。創(chuàng)建多種數(shù)據(jù)分析程序，深層分析用戶異常操作，積極找出DSN 程序的網(wǎng)絡(luò)攻擊問題，比如DNS 數(shù)據(jù)截流、DNS 程序未響應(yīng)等，風險分析結(jié)果回傳給安全管理中心，對風險問題進行全面防控，切實維持網(wǎng)絡(luò)程序的風險控制效果。

例如，中國移動創(chuàng)建了數(shù)據(jù)平臺，用于分析DNS日志，平臺可進行安全性分析。DNS日志與風險數(shù)據(jù)關(guān)聯(lián)，能夠分析用戶、網(wǎng)站的風險問題，保證運營商網(wǎng)絡(luò)運行的安全性。此平臺可自行掃描安全風險，統(tǒng)計漏洞數(shù)量，給出漏洞處理方案，保證網(wǎng)絡(luò)IDC（數(shù)據(jù)中心）的安全性。參照病毒域名，判斷出現(xiàn)中毒的IP 地址。依據(jù)病毒危害級別，給出安全防護措施。系統(tǒng)運行后，DNS日志給出了域名數(shù)據(jù)單元，便于系統(tǒng)準確掌握域名的存儲情況，營造安全用網(wǎng)體系。數(shù)據(jù)中心的運行平臺，能夠保證系統(tǒng)運行安全性，有效進行安全分析、漏洞掃查等處理，顯著增強數(shù)據(jù)中心的網(wǎng)絡(luò)安全性。數(shù)據(jù)中心的備案單位有：騰訊、百度、迅雷等多個互聯(lián)網(wǎng)單位，從“本網(wǎng)率”、國外、移動、聯(lián)通四個方面進行信息備案。

3.5.5 分析APT 攻擊問題

APT 攻擊具體指攻擊級別較高、持續(xù)時間長的網(wǎng)絡(luò)風險，是降低網(wǎng)絡(luò)安全性的主要因素。相比其他網(wǎng)絡(luò)風險，APT 表現(xiàn)出持續(xù)性、有目標、不易篩除等風險特征，是網(wǎng)絡(luò)安全維護的頭號風險類型。大數(shù)據(jù)技術(shù)融合網(wǎng)絡(luò)平臺后，從業(yè)務(wù)流量、網(wǎng)頁訪問記錄、數(shù)據(jù)防護日志等多個視角，綜合開展系統(tǒng)風險分析，準確鎖定APT 的風險位置。利用數(shù)據(jù)機器學習程序，找出APT 的解決路徑，以此加強網(wǎng)絡(luò)安全的識別能力，切實維護網(wǎng)絡(luò)程序的風險分析能力。

例如，華為單位使用數(shù)據(jù)分析程序，對于APT 風險問題給出了全面的防控方案：監(jiān)測網(wǎng)絡(luò)流量的異常表現(xiàn)、分析終端、用戶的異常操作、全面分析日志惡意代碼、進行APT風險的檢測與處理，溯源分析攻擊過程，形成風險情報報告。如圖2所示，是華為APT 風險分析程序的技術(shù)框架。

圖2：華為APT 風險分析程序的技術(shù)框架

（1）主動防御風險。初期進行風險檢測時，排查較大數(shù)量的用網(wǎng)資料，分析潛在的異常問題，形成APT 風險的警示體系，縮短風險攻擊的時間范圍。

（2）協(xié)同處理風險。中期進行風險處理，展示APT 風險的形成位置，準確獲取APT 攻擊特征，建立全網(wǎng)聯(lián)動的風險消除體系。

（3）給予動態(tài)防御。后期強化風險控制能力，創(chuàng)建攻擊模型的深度學習機制，全網(wǎng)交互威脅情報信息，切實改善系統(tǒng)整體的風險控制能力。

華為使用大數(shù)據(jù)技術(shù)，以APT 攻擊為防護目標，創(chuàng)建的風控平臺，可實時獲取網(wǎng)絡(luò)安全分析結(jié)果，給出安全評分。比如，2020年3月一次安全評估得分為63 分，事件1 為“自動下載風險郵件”，風險級別為“8 級”。調(diào)取此風險的關(guān)聯(lián)數(shù)據(jù)，共查出系統(tǒng)往期出現(xiàn)8 條同類風險，集中于2018年、2015年。排查出的風險日志中，展示了各條風險的“威脅級別”與風險來源。其中，2018年11月的風險郵件，是主機A 設(shè)備訪問網(wǎng)頁下載了具有風險的郵件，展示了風險郵件的下載時間與存儲路徑，給予技術(shù)人員風險防控的目標，使其準確鎖定風險郵件的來源。

4 結(jié)論

綜上所述，各網(wǎng)絡(luò)平臺的數(shù)據(jù)分析需求逐漸增多，在安全分析需求增加的視域下，運行風險分析能力較強的云平臺，可增強網(wǎng)絡(luò)使用的安全性。利用數(shù)據(jù)技術(shù)的風險分析矩陣，準確找出風險因素，給出網(wǎng)絡(luò)安全防護路徑。