基于大數據的網絡安全與情報探究

曹 晨

開封市科學技術情報研究所，河南 開封 475000

如今，大數據技術呈現出噴射式的發展，是推動整個社會發展與創新的關鍵之所在，任何人、任何地點、任何時間都可以借助網絡平臺來發表自己的言論，這就使得網絡安全與情報分析備受關注。然而，網絡攻擊頻發，在一定程度上對人們的財產安全、信息安全造成一定的威脅，此時就需要在大數據背景下，對網絡安全與情報進行全面、系統的分析，以此來降低安全事件的發生率。

1 網絡安全與情報分析現狀與困境

1.1 網絡安全與情報分析現狀

目前，科學技術的發展，極大地推動了網絡技術的發展，使網絡活動范圍和方式呈現出多元化的發展趨勢，為網絡情報的獲取提供了極大的便利。 但是，由于受到各方面因素的影響，網絡信息竊取和網絡攻擊等安全隱患層出不窮，對網絡安全技術提出了嚴峻的挑戰。因此，急需對網絡技術進行改進和升級，更好地發揮網絡安全與情報分析的重要性。

1.2 網絡安全分析的困境

在新應用不斷發展和IT 架構日趨復雜的時代背景下，現有網絡和應用的邊界變得更加模糊不清，通過傳統的單邊界、控制點等網絡安全設備無法全面了解和掌握整個網絡的安全狀態，此時就需要對網絡安全和應用進行優化和調整，使其具備更高的機動性，為網絡安全發展奠定良好的基礎。

在傳統網絡安全分析中，更多側重于對各種網絡流量及日志進行緩存，然而該過程需要投入大量的時間和成本作為支撐，同時會受到空間、時間等因素的限制，要定時清除日志和數據信息。實際上，為了實現對云計算或網絡系統的安全分析，要構建一套系統、完善的全局數據，具體內容包括用戶身份信息、行為信息、訪問信息、漏洞信息、日志信息、網絡數據信息以及配置信息等，除此之外還需要對互聯網外部情報信息進行收集。如今，隨著信息化的快速發展以及5G 時代的到來，這些數據信息產生的速度將會變得越來越快，在增加處理成本的同時，也增加了網絡安全監測的難度，以往的網絡安全監測手段不能有效覆蓋如此龐大的大數據信息。同時，網絡的不斷升級也會使網絡攻擊方式呈現出多元化的特點，加之各類特種病毒蠕蟲、木馬、僵尸網絡、高級持續威脅（APT）等的影響，使得網絡攻擊的趨利性和目標性不斷增強，并具備了隱蔽性、長期性和復合性的特點。傳統網絡攻擊檢測技術或多或少受到了數據收集與存儲的局限，無法對新型網絡攻擊進行有效檢測，致使網絡安全受到一定威脅。

1.3 情報分析的困境

通常情況下，傳統情報分析所采用的工具具有相對比較單一的數據源，而目前大數據已經成為未來科學技術發展的必然趨勢，云計算技術與移動互聯信息技術的發展使得情報信息的信息源呈現出多元化的發展趨勢，再加上大規模數據互相關聯技術的缺失，不能對網絡情報進行有效的挖掘。因此，在現有環境下，要想對網絡情報進行更好的分析，就需要根據最新的處理技術來對情報信息進行挖掘、采集和處理，這樣既可以實現對外部和內部非結構化數據的有效采集、處理和存儲，而且還可實現對復雜、多源數據的有效處理、分類和實時跟蹤。

2 基于大數據背景下網絡安全與情報分析

2.1 APT 攻擊檢測

在大數據時代背景下，網絡APT 攻擊具有明顯的隱蔽性及滲透性特征，在一定程度上威脅著國家和企業的網絡安全，不利于國家和企業的健康發展。例如，2010 年震網病毒的出現；2012 年火焰病毒的出現；2015 年黑暗力量入侵烏克蘭鐵路系統和礦業系統事件的出現，均是APT 攻擊的范疇。實際上，在網絡攻擊過程中，APT 攻擊一般面臨著攻擊路徑和渠道無法明確且隱蔽性強的問題，這就導致傳統的安全方案無法有效地抵御APT 攻擊，增加了網絡安全事件的發生率。

目前，應用效果最佳的APT 攻擊抵御方案為數據關聯分析方法，而大數據技術可以提升數據關聯分析方法的應用效果，可以將其用于APT 攻擊檢測中。例如，美國RSA 實驗室所采用的Beehive 系統就是借助大數據技術來采集和處理大量的日志信息，并檢測組織結構中資源使用情況，及時挖掘該組織結構中包含的策略違背內容及被惡意軟件感染的內容，并按照一定的方式將看似孤立的事件結合在一起，這樣能夠清楚地檢查出APT 是否攻擊過該組織機構。 在2012年，Giura 提出了一項研究成果，其主要是在大數據技術和攻擊樹技術的基礎上構建概念攻擊模型，以實現對APT 攻擊的有效檢測與抵御。實際上，該概念攻擊模型又被稱之為攻擊金字塔，潛在的被攻擊目標為頂層，其包括了系統中的數據服務器、敏感數據以及高層職員等數據信息，并根據攻擊相關的事件環境和橫向平面標注，來將其劃分為不同的場景，借助相應的MapReduce 對不同的場景進行并行處理，然后采用不同的算法來檢測處理后的信息，這樣一來就能夠完成對APT 攻擊的有效檢測。

2.2 網絡風險感知

通常情況下，在網絡環境中往往會存在不同種類的網絡風險，此時就需要國家和企事業單位對網絡風險給予高度的重視，實時、動態地了解和掌握網絡運行狀態，以便能夠第一時間感知網絡風險，并采取有效措施給予處理，以確保網絡安全、可靠、高效運行。在網絡風險感知過程中，要對各類潛在的安全因素給予全面系統的分析與評估，以完成對網絡安全狀況的真實評價。實際上，大數據技術的應用既能夠有效提升網絡風險感知效率，同時還可以進一步確保網絡安全。

對于網絡風險感知過程中所存在的問題，大多數企事業單位會借助大數據技術來創建網絡安全數據感知平臺，這樣就能夠確保企事業單位網絡系統的安全運行。 例如，阿里巴巴集團借助大數據技術建設了阿里云云盾，可以通過SAAS 來有效感知網絡風險；360 創建的NGSOC 平臺，能夠借助大數據技術來完成對本地所有數據信息的有效采集和存儲，并以情報為核心來實現對網絡系統的實時監控，與此同時，該平臺還具備威脅溯源功能，極大地保障了網絡的安全運行；四川大學創建的NTCI.NUBA平臺，能夠實現校園網的實時動態監控，具體內容有數據中心流量、網絡流量及身份認證數據等，并借助Spark 及Hadoop 來完成對數據的分析，極大地提高了校園網的安全性[1]。

2.3 網絡異常檢測

網絡異常檢測是網絡信息安全管理中比較關鍵的工作內容，能夠完成對網絡運行中出現的設備失效、流量異常或越權資源訪問等問題給予有效監測和分析。從本質上來講，網絡異常檢測主要是結合表征目標狀態變化及對象屬性清單來構建與之相匹配的檢測模型，進而對網絡中存在的非正常行為或策略違背行為進行監測與分析。實際上，在網絡異常檢測過程中，大數據技術更多地被應用在網絡用戶行為方面，從而有效提升網絡異常檢測的有效性。 通常情況下，大數據背景下所開展的網絡異常檢測行為，主要是通過機器學習和行為特征分析，來獲取網絡數據特征，以確保網絡異常檢測工作的順利進行。例如，王占作為360 企業工程師，在黑帽大會演講中提出：在進行網絡流量異常檢測工作中，借助深度學習方法能夠使異常檢測的準確率超過90%。同時，在不確定協議是否加密的同時，通過深度學習的異常檢測過程，可以完成對網絡中所有網絡流的有效識別，且可識別率達到了55%。

2.4 網絡情報分析

網絡安全與情報工作，主要是借助分布式系統、大數據技術來完成對網絡威脅情報的有效收集，該階段收集的網絡威脅情報一般是指包括威脅、漏洞、行為及特征等證據的知識集合體。實際上，網絡威脅情報的收集和處理既能夠提升防御技術的防御效果，而且還可以避免網絡系統遭受攻擊。在對網絡威脅情報進行收集的過程中，還可以進一步提高系統用戶對網絡威脅和網絡風險的認知，以保證系統用戶能夠選擇更加科學、合理的方式來完成對網絡威脅和網絡風險的抵御，進而將危害程度降到最低。總之，一套系統完善的網絡威脅情報主要涵蓋了情報源、事件響應、融合與分析三個部分[2]。

在廣大民眾網絡安全意識不斷提升的基礎上，國內外越來越多的企業開始提供網絡安全威脅情報工作，包括Fire Eye、微步在線、Symantec 等企業，他們能夠為用戶提供多元化、全方位的網絡威脅情報服務和產品，涉及網絡犯罪防范、惡意軟件清理以及漏洞檢測等內容，以確保用戶的網絡安全。如今，越來越多的研究學者和機構創建了網絡數據管理與采集平臺，來對網絡威脅情報進行有效篩選，進而為系統用戶提供所需要的借鑒和幫助[3]。

3 大數據背景下網絡安全與情報分析的發展前景

3.1 高級網絡威脅挖掘方法的研究

通常情況下，高級的APT 攻擊、僵尸網絡及新型木馬等都存在持續性和隱蔽性的特點，如果能夠及時發現這些高級網絡威脅，就可以有效降低損失，這就需要對高級網絡威脅常用的檢測方法進行研究，以此來進一步提高網絡監測方法的準確性。實際上，針對網絡持續性和隱蔽性的攻擊，需要研發出在海量網絡數據信息流中可以對持續性、隱蔽性的異常通信行為和正常通信行為進行區分。與此同時，還需要在構建檢測模型的基礎上，從多個維度進行分析，使多源異構數據關聯問題得到有效解決。

3.2 網絡安全威脅態勢感知技術研究

這里所提及的態勢一般是指狀態和形勢，而感知網絡安全態勢屬于最基礎、最基本的工作，此時就需要構建一套科學、合理、系統完善的NSSA 指標體系，以便能夠更好地面向網絡整體，同時還能夠根據具體的方法和問題來實現對NSSA 評估對象的有效評估。

3.3 復雜網絡攻擊預測研究

任何一位網絡管理者都是通過基于攻擊樹、攻擊圖等方式來實現對網絡攻擊的有效預測，然而上述方法始終偏于靜態，無法完成對復雜網絡攻擊的有效預測。實際上，在大數據背景下，可以借助海量信息的獲取與存儲來完成對復雜網絡攻擊的有效預測[4]。

3.4 威脅情報相關問題研究

大數據背景下，網絡情報具有非常豐富的獲取來源，這就需要相關人員能夠全方位立體地對其進行搜集與處理，并從中感知威脅情報。在融合和存儲海量情報的過程中，還需要根據用戶的具體需求，來從海量情報信息中挖掘威脅情報，并采取有效措施給予解決。

4 結語

綜上所述，大數據技術具有非常強大的數據處理分析能力，將其應用到網絡安全與情報工作中可以發揮巨大的作用。基于大數據背景下的APT 攻擊檢測、網絡風險感知、網絡異常檢測、網絡情報分析等技術不僅可以確保情報工作的順利進行，而且還可以降低網絡安全事件的發生率，在確保網絡安全運行的同時，為用戶提供更加優質的網絡服務。