基于大數(shù)據(jù)分析的應(yīng)用安全態(tài)勢(shì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

馮軍民

【摘要】? ? 隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，在各個(gè)行業(yè)得到了廣泛采用，本文則基于此分析了大數(shù)據(jù)社會(huì)發(fā)展環(huán)境下，安全態(tài)勢(shì)系統(tǒng)的設(shè)計(jì)模型，針對(duì)性分析了層次化的功能模塊，以更好的實(shí)現(xiàn)用戶數(shù)據(jù)的關(guān)聯(lián)性，杜絕潛在安全問題。

【關(guān)鍵詞】? ? 大數(shù)據(jù)? ? 應(yīng)用? ? 安全態(tài)勢(shì)? ? 系統(tǒng)設(shè)計(jì)

前言

網(wǎng)絡(luò)化已經(jīng)應(yīng)用至各個(gè)領(lǐng)域，信息系統(tǒng)也滲透至社會(huì)的各個(gè)方面，推動(dòng)了社會(huì)的快速進(jìn)步，但受網(wǎng)絡(luò)開放性的影響，其也會(huì)帶來諸多安全威脅，亟需強(qiáng)化分析安全日志，有效檢測(cè)各種攻擊行為。隨著數(shù)字化技術(shù)的快速發(fā)展，數(shù)據(jù)類型逐漸增加，病毒的入侵方式也不斷增多，為了更好的規(guī)避安全威脅，工作人員應(yīng)在各個(gè)方面更好的設(shè)計(jì)安全態(tài)勢(shì)系統(tǒng)，避免以往傳統(tǒng)單一行為數(shù)據(jù)預(yù)測(cè)的弊端，從而準(zhǔn)確預(yù)測(cè)各種安全態(tài)勢(shì)，最大程度的保證各個(gè)領(lǐng)域部門信息的安全性與可靠性。

一、應(yīng)用安全態(tài)勢(shì)感知系統(tǒng)模型

1.1安全指標(biāo)量化體系

應(yīng)用安全的主體要素為體系中的三級(jí)指數(shù)，其中一級(jí)指數(shù)為頂層，整體反映了用戶的訪問情況，與二級(jí)指數(shù)權(quán)重計(jì)算結(jié)果存在一定的關(guān)聯(lián)性。二級(jí)指數(shù)屬于宏觀層面，包括數(shù)據(jù)威脅、用戶行為以及運(yùn)行安全等三個(gè)方面，可以有效反映用戶訪問數(shù)據(jù)的潛在風(fēng)險(xiǎn)，分析用戶應(yīng)用數(shù)據(jù)的實(shí)際情況[1]。

1.2安全態(tài)勢(shì)感知模型

作為安全態(tài)勢(shì)感知系統(tǒng)的基礎(chǔ)組成部分，安全態(tài)勢(shì)感知模型呈現(xiàn)出多元化的發(fā)展趨勢(shì)，不但可以有效收集用戶的訪問數(shù)據(jù)，且還可以了解系統(tǒng)管理人員的操作數(shù)據(jù)。且這些數(shù)據(jù)量較大，格式也各不相同。對(duì)此，相關(guān)工作人員應(yīng)針對(duì)大規(guī)模網(wǎng)絡(luò)海量數(shù)據(jù)的實(shí)際情況，構(gòu)建安全態(tài)勢(shì)感知模型。一是進(jìn)行數(shù)據(jù)采集，收集用戶的行為數(shù)據(jù)與數(shù)據(jù)庫(kù)日志信息，根據(jù)既定的規(guī)則有效清理數(shù)據(jù)。二是預(yù)處理與過濾數(shù)據(jù)，系統(tǒng)會(huì)受到來源各不相同的數(shù)據(jù)格式，均需要進(jìn)行規(guī)范化處理，態(tài)勢(shì)感知?jiǎng)t是預(yù)處理采集的數(shù)據(jù)，提取關(guān)鍵信息，在統(tǒng)一格式后上報(bào)分析，保證數(shù)據(jù)信息的可擴(kuò)展性。三是進(jìn)行關(guān)聯(lián)分析，利用逐級(jí)關(guān)聯(lián)技術(shù)逐一匹配相關(guān)事件，減小威脅事件的發(fā)生幾率，響應(yīng)處理報(bào)警信息，在分離阻斷事件的基礎(chǔ)上，為系統(tǒng)管理人員報(bào)警。在關(guān)聯(lián)分析時(shí)，工作人員應(yīng)有效提取海量歷史數(shù)據(jù)，歸一聚合匯總業(yè)務(wù)數(shù)據(jù)后，深度分析用戶行為模式與用戶行為，為安全管控策略的制定提供依據(jù)。同時(shí)，還可以評(píng)估預(yù)測(cè)當(dāng)前用戶行為規(guī)則及潛在維修，在聚類的基礎(chǔ)上歸類數(shù)據(jù)信息，以便及時(shí)發(fā)現(xiàn)時(shí)間、用戶身份等方面的異常行為，根據(jù)結(jié)果分類用戶行為模式，為精準(zhǔn)審計(jì)工作打下堅(jiān)實(shí)的基礎(chǔ)。最后還應(yīng)在建立安全指標(biāo)體系的基礎(chǔ)上預(yù)測(cè)態(tài)勢(shì)慶康，評(píng)估安全時(shí)間，利用可視化方法為用戶呈現(xiàn)最終的預(yù)測(cè)結(jié)果[2]。

二、應(yīng)用安全態(tài)勢(shì)分析系統(tǒng)架構(gòu)設(shè)計(jì)

相關(guān)工作人員應(yīng)在基于大數(shù)據(jù)分析的基礎(chǔ)上，建設(shè)分布式架構(gòu)，包括應(yīng)用安全態(tài)勢(shì)分析平臺(tái)、可視化服務(wù)器以及采集服務(wù)器等方面。首先是采集服務(wù)器，可以有效收集服務(wù)器中的各種日志數(shù)據(jù)信息，保證安全態(tài)勢(shì)平臺(tái)的數(shù)據(jù)供應(yīng)。且其分為規(guī)范化與非規(guī)范化兩種，其中規(guī)范化采集服務(wù)器，可以收集用戶的訪問日志以及系統(tǒng)日志等信息，數(shù)量較大，因此需要規(guī)范化處理，保留事件挖掘的有效信息，在統(tǒng)一格式后以文本的形式進(jìn)行保存，而非規(guī)范化采集服務(wù)器主要收集各種數(shù)據(jù)庫(kù)日志等信息。二是應(yīng)用安全態(tài)勢(shì)分析平臺(tái)，包括知識(shí)庫(kù)、態(tài)勢(shì)預(yù)估以及數(shù)據(jù)融合等模塊，可以利用引擎在系統(tǒng)中獲取關(guān)聯(lián)規(guī)則以及事件特征等信息，有效識(shí)別事件之間的內(nèi)在關(guān)聯(lián)性，在明確事件攻擊性的基礎(chǔ)上存儲(chǔ)于安全事件類型中。態(tài)勢(shì)感知模塊可以分析系統(tǒng)的潛在威脅，并發(fā)現(xiàn)并未啟動(dòng)的威脅事件等，通過發(fā)出采集數(shù)據(jù)的請(qǐng)求減輕數(shù)據(jù)的存儲(chǔ)負(fù)擔(dān)。三是可視化服務(wù)器，系統(tǒng)可以分析用戶的實(shí)際需求，并在既定的圖表模板上生成可視化圖表，幫助用戶強(qiáng)化分析與理解。同時(shí)，管理人員也可以通過服務(wù)器有效獲得數(shù)據(jù)的分析結(jié)果，確定安全威脅的類型與具體位置，以此為依據(jù)制定完善的決策服務(wù)體系。除此之外，可視化服務(wù)器還包括統(tǒng)計(jì)報(bào)表、日志檢索以及日志存儲(chǔ)等功能，以Word、Excel等方式輸出，發(fā)送至報(bào)表功能系統(tǒng)中[3]。

三、結(jié)束語(yǔ)

在大數(shù)據(jù)發(fā)展背景下，本文分析了安全態(tài)勢(shì)模型的具體構(gòu)建方法，針對(duì)性指出了系統(tǒng)設(shè)計(jì)的具體流程，有效協(xié)調(diào)了應(yīng)用安全態(tài)勢(shì)分析平臺(tái)、采集服務(wù)器以及可視化服務(wù)器的運(yùn)行，可以及時(shí)將系統(tǒng)的檢測(cè)結(jié)果傳達(dá)至管理人員，為此后的態(tài)勢(shì)分析工作提供更多的借鑒依據(jù)。

參? 考? 文? 獻(xiàn)

[1]潘峰，李濤.大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究進(jìn)展[J].保密科學(xué)技術(shù). 2016（04）.：27-33.

[2]李明桂，肖毅，陳劍鋒，許杰.基于大數(shù)據(jù)的安全事件挖掘框架[J].通信技術(shù). 2015（03）.：346-350.

[3]王培.中國(guó)信息安全市場(chǎng)現(xiàn)狀與未來展望[J].中國(guó)信息安全. 2015（03）.：79-81.