網絡安全分析中的大數據綜合研究

鐘煜明 陳長輝

摘? 要：通過當前的網絡安全形勢，開展面向大數據分析的網絡安全優化研究。結合流量探針、日志審計系統，打造大數據統一綜合分析平臺，解決了服務器和網絡設備日志分散、追蹤日志信息時間長效率低、威脅事件識別不夠精準的問題，使網絡防護得到了更好的保障，更快速地對入侵攻擊進行溯源，并對大數據統一綜合分析平臺下一版本的功能升級進行了需求規劃，使系統更加智能，最后對未來網絡安全發展趨勢進行了探討。

關鍵詞：網絡安全;大數據;流量探針

Abstract：Through the current situation of network security，the research on network security optimization for big data analysis is carried out. Combined with the flow probe and log audit system，a unified and comprehensive analysis platform for big data is built to solve the problems of scattered logs of servers and network devices，long time and low efficiency of tracking log information，and inaccurate threat event identification，So that the network protection can be better guaranteed and the intrusion attack can be traced more quickly，and the function upgrade of the next version of big data unified comprehensive analysis platform is planned to make the system more intelligent. Finally，the development trend of network security in the future is discussed.

Keywords：network security;big data;flow probe

0? 引? 言

隨著信息技術的發展，網絡已經是當今社會不可缺少的生態環境之一。新興信息技術“互聯網+”、大數據、人工智能、物聯網、智能家居等都依賴于網絡。網絡安全的問題便成為信息技術發展的重大關鍵問題之一，全球網絡攻防對抗的強度、頻率、規模和影響力不斷升級。我國對網絡安全也尤為重視，習近平總書記多次在大會上提出網絡安全的重要性，要求各地提高網絡安全意識，提升突發事件應對能力，深化落實工作嚴防死守，盡職免責失職追責，貫徹《中華人民共和國網絡安全法》《國家網絡安全事件應急預案》的執行。網絡安全的工作也因此推向新高度，同時網絡安全技術人才的缺口巨大，需求也急劇上升，廣州番禺職業技術學院為如何更好地應對治理網絡安全，提出了多樣的觀點和理論，并進行了實踐。

1? 網絡安全現狀

網絡和信息安全有著多方面性，包括物理安全、鏈路安全、網絡層安全、數據傳輸安全、應用安全、主機系統安全等。國家推出的信息安全等級保護方案也從1.0升級到2.0標準，較前者相比，2.0的標準有著更高的要求和更嚴格的審核測評指標。同時國家各企業各單位組建信息安全應急小組，執行網絡安全報告跟蹤、入侵事件追溯、網絡安全責任追究制度等措施，特點是重要敏感時期的關鍵基礎設施安全保護，層層組織下發落實必須提高警惕，執行7×24小時的值守要求。全國各省也組建了網絡安全預警平臺，匯總最新攻擊手段，第一時間公告最新的漏洞，采取修復應急處理。

網絡黑客入侵的方式復雜多樣，較為流行的是使用漏洞攻擊庫工具、病毒木馬、結果掃描技術、注入技術等，對目標進行竊取信息或篡改信息，嚴重的甚至進行破壞。網絡攻擊行為也逐漸從黑客個人發展至有組織性的規模化攻擊，重點對關鍵信息基礎設施進行攻擊。

廣州番禺職業技術學院的網絡安全經過多年的發展，已經有較大規模的防護體系，在技術手段上包括網絡架構規劃、接入控制、訪問控制、安全審計、設備管理、網絡安全檢查等全方位的保障。應用業務系統嚴格執行上線前做好安全測評，按照信息系統等級保護2.0的標準進行整改，復檢通過后方可上線運行。除技術手段以外，同時還兼顧從管理入手，管技雙結合治理網絡安全。每月進行網絡安全意識、安全態勢的培訓匯報會，多次會議重點指出網絡安全的重要性。

2? 打造統一分析平臺整體架構

網絡綜合管理系統是一種面向大型異構網絡的管理系統，廣州番禺職業技術學院校園網絡結構復雜，學校二級學院及行政部門分支較多，網絡設備多樣，中心機房服務器承載著各類大型業務系統及教學平臺，網絡安全的責任極大。

本單位打造網絡安全大數據統一綜合分析平臺，使用全流量融合探針傳感器+日志審計系統作為大數據支撐，流量探針傳感器能識別威脅行為，入侵事件溯源的功能，同時滿足信息安全等級保護2.0的需求，結合日志審計系統，對入侵行為進行深度檢測，精準、快速、智能地產生告警，提高廣州番禺職業技術學院的安全保障等級。大數據智能分析平臺展示如圖1所示，分析平臺架構如圖2所示。

首先，需要在網絡中部署多個全流量融合探針進行流量抓取，向大數據分析平臺傳輸流量日志及告警日志。為了保證傳輸中數據安全，流量探針采用AES和SM4加密算法，分析平臺收到數據包后進行解密還原，可以有效防止被網絡竊聽。

流量探針傳感器主要部署在網絡邊界流量進出最大的位置、服務器區前端、核心交換機區等。利用端口流量鏡像技術，把流量口的數據1：1全鏡像復制一份出來接入探針，這樣幾乎不會對真實的網絡環境造成影響，能讓探針有充足的性能去分析和接收流量數據包。接口鏡像的流量數據包有數據鏈路層、網絡層、傳輸層、會話層、應用層等，流量探針傳感器附帶應用協議分析模塊，把數據包解拆后得到數據包的頭部信息，對其歸屬分類分析。流量探針傳感器內置威脅檢測進程、IDS入侵檢測庫、Web應用防御庫等，可識別現知的廣泛應用層威脅，包括木馬、webshell、惡意廣告、挖礦器等，對疑似威脅打上標簽產生告警;同時傳感器還能對APT持續性攻擊事件進行跟蹤分析，并再次把分析數據加密傳輸給大數據分析平臺匯總作進一步的關聯性分析。