基于網絡運維的大數據分析安全感知策略研究

張明罡

摘要：隨著時代進步，網絡的全面覆蓋和發展，廣泛的智能普及，使用戶不斷提升對感知的要求。與此同時，威脅網絡安全的事物也層出不窮。本文旨在說明網絡防護單一化已經不能完全解決網絡安全面對的問題，需要網絡動態安全管制，從整體反映現狀，并對安全問題及隱患進行預測。文章將介紹分析網絡安全態勢以及動態感知技術，建立有效快速的威脅分析、檢測、處置能力，促使信息可知可控。旨在為有關人士提供參考與借鑒。

關鍵詞：動態感知;大數據;網絡安全;網絡運維

引言：隨著互聯網的發展，多層次、大規模、復雜化的網絡安全風險也隨之增加，各種網絡病毒都威脅著網絡的穩定與安全，傳統的技術難以有效、及時處理病毒帶來的影響，在此情況下，需要新興技術升級網絡安全防護，提前預估風險，降低整體風險等級。結合檢測情報、機器學習、圖關聯分析等技術，使全網的流量實現可視化，解決安全遺漏帶來的問題。

一、運營商數據分析背景

運營商掌握著大量的網絡數據，生產、傳送并使用大數據，處于網絡管道的位置。對于運營商來說，其要及時掌握各個行業對大數據的實際使用情況，同時，為了滿足自身生存與發展的需求，也要對大數據進行充分、積極與合理的運用，以此適應社會發展。

第一個層面是在業務領域，在DNS日志數據挖掘的基礎上，進行對客戶訪問點擊率和歸屬地的分析，為用戶感知提供一些借鑒。還要通過分析網絡結構，挖掘測試數據等影響情況，來給規劃網絡建設提供參考依據，進一步進行結構調整和優化，升級網絡系統。第二個層面是在用戶領域，在AAA日志數據的基礎上，探接入過程中的差異化帶寬，之后來分析流量特性的匹配關系，從而對流量情況進行準確的預判，同時也可以為后續的規劃奠定基礎。實踐中可以對比不同的用戶的各種行為特征，然后分析其差異性，借助這些數據，核查異常用戶，進一步提高投放的準確性，也可以為用戶提供更為及時的回訪，使用戶擁有更好的體驗，其對服務的滿意度也將大幅度提升，進而將為供應商樹立良好的形象，其品牌效應將日益增強。

挖掘用戶數據并進行探針數據統計和分析，是技術層面的創新，試著以用戶作為出發點來進行分析，一改以往從面、線、區域的傳統分析方式，這樣可以更加高效便捷，對公司網絡建設以及其他拓展業務都補充了可供參考的數據。

二、網絡運維的日志采集和分析

Syslog被動監聽方式采集，mysql數據庫表里的日志，本地local的文件采集以及ftp文件的主動采集等等，都是目前能采用的采集日志的方式。例如，用JDBC來進行采集日志，設置好IP地址，輸入監聽端口，此外，還包括用戶名密碼等有效信息，和數據庫中指定好的實例連接按照順序來讀取指定的數據。服務器的操作系統、應用系統、數據庫和中間件是主要采集Syslog;監控掃描資產安全，全流量包的網絡采集，進行自主學習了解網站資產。

從被動防御轉變為主動感知，對于現在發生的事件需要與威脅規則等相匹配，然后做出回應，一般是識別出威脅響應。情報系統的能力有以下幾種：對事件參與者的誠信度進行威脅評估;倘若參與者具有威脅情報的幾種特征，那么其威脅程度就會被隨之提高;對于大部分屬于較低威脅行為的事件，需要對其進行篩選，接下來會方便分析潛在的威脅;在首次侵害之后，如果再次遇到侵害，需要借助共享機制來發揮作用，這樣能高效快速做出反應進行識別;增加侵害者需要的攻擊成本，如果侵害者想要繞過這種防御體系，那就需要更高級的隱藏方法;威脅情報通過分析關聯方法能發現潛在正常流量之間的威脅，也為安全事件、日志等提供多維的信息。判斷流量是否有異常情況，建立模型需要根據流量在正常行為的特征下運行，能發現水平掃描、ARP欺騙、IP地址掃描、網絡蠕蟲、垂直掃描等。與此同時，深度檢測能力也體現在許多方面，這里不一一列舉。

就目前來看，檢測失陷主機的方式被人們所掌握與了解的已經有二十多種。對病毒行為、黑客常用攻擊行為、異常外聯行為等特征都可以利用安全感知平臺內搭建的算法來進行分析，算法融合iForest、協議模型學習、主機網絡流量模型，并結合DGA域名判斷構建融合檢測模型以及大數據關聯分析的引擎所提供的聯動分析[1]。各類檢測能力和大數據關聯分析的能力是由大數據分析引擎來負責的，這個引擎主要由模型融合和預處理數據等主要部分來構成的，支撐失陷主機檢測、UEBA和大數據關聯分析等。

三、網絡動態感知技術和網絡安全

（一）動態感知的相應技術

首先是數據融合技術，要通過相應的大數據技術來對不同用途不同來源不同格式不同位置的數據進行統一的預測判斷，之后在平臺融合操作，給網絡安全信息感知技術提供統一平臺，在逐步分析篩選后得出結論。其次是數據挖掘技術，是需要通過很多的網絡設備進行集中搜集然后整理分析情況，經過統一處理后，通過相應工具和算法，對有效信息系統篩選甄別，然后挑選出合適的信息，以便之后工作進行處理和分析這些信息。最后介紹可視化技術，需要運用相應技術，從而進行數據的圖形和圖像大的相互轉換，可以幫助從事的工作人員對未來趨勢進行更好的把控[2]。

（二）動態感知的任務和特點

動態感知的任務主要是包含事件的感知以及以下兩個任務和風險的感知。就風險感知層面而言，在海量的資產分析中，評估資產的價值量以及有多少可能性會被攻擊，在攻擊后所具有的相應防范能力進行估計，為可能會造成的損失進行預測評估。視線感知是包括對異常行為和所有事件的監控，以至于能達到安全事件收集準確高效的目的。但是異常風險感知需要對所有面臨的風險和可能的狀況進行估測，然后有針對性的制定恰當的解決方案，以防止位置攻擊為主要目標。

對于其特點的闡釋主要是進行智能分析，然后挖掘網絡安全所處的環境，監測發動攻擊的源頭，然后進行追蹤分析。發動攻擊的情況發生后，倘若能夠主動掌握整個事件的發展方向和脈絡，擬好相應規范和保護措施，那么就能及時規避風險降低甚至避免各種經濟損失。

（三）大數據分析安全感知平臺構建

首先，硬件基礎層是核心部分，虛擬化技術可以構建一種身臨其境的真實體驗感，使人不再受限物理上的界限，將一臺服務器變成幾十上百臺這種相互隔離的虛擬服務器，讓內存、CPU、磁盤等硬件變成資源池。可以使系統管理簡化、資源的利用率提高、服務器整合實現等，這些都是服務器虛擬化的表現。其次，是安全日志采集層，采集有效的日志并進行記錄，符合條件的信息進行規范化處理，之后進行算法分析和計算，再將其運用到大數據的分析之中。再次是大數據的存儲層，把網絡上的海量數據進行篩選然后分布存儲，增強其各方面的存儲能力，可以為之后的數據整理分析提供可靠的支撐。最后是安全態勢分析層，運用相應的分析技術來快速檢索海量數據以及相關聯的信息，然后進行篩選整理，分析其所處的安全狀況并加以評出風險等級，方便之后的信息管理[3]。

結論：綜上所述，在網絡安全領域全面開展并運用動態網絡安全技術，是為了緩解網絡安全日益嚴重化和復雜化的問題。該技術的運作，與數據支持及相關技術的充分利用是離不開的。對數據的整理搜集、分門別類歸置以及統計篩選有效信息，都為網絡安全動態感知提供支撐，為日后數據研究分析能更加精準，趨勢的動態評估可以更好的實現。如果想要該技術更廣泛的使用和認可，還需做出更多探索和努力。

參考文獻：

[1]張堯.基于網絡運維的大數據分析安全感知策略研究[J].數字通信世界，2020（03）：125-126.

[2]張新淼.基于網絡運維的大數據分析安全感知策略研究[J].網絡安全技術與應用，2018（09）：67+35.

[3]許暖.基于大數據背景下分析網絡安全態勢感知關鍵實現技術探索[J].數字化用戶，2019，025（001）：179-180.