基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)研究

吳雷 雷海明

江西神舟信息安全評(píng)估中心有限公司 江西南昌 330021

面對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境，基于大數(shù)據(jù)技術(shù)，不僅可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的高效率、高質(zhì)量傳輸，同時(shí)還可以基于其來(lái)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)做進(jìn)一步的完善，更好的來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的各種安全威脅，為安全防范決策的制定提供支持與保障。網(wǎng)絡(luò)安全態(tài)勢(shì)感知已經(jīng)成為新的研究方向，對(duì)網(wǎng)絡(luò)存在的隱患以及風(fēng)險(xiǎn)進(jìn)行全面分析，并預(yù)測(cè)未來(lái)的走向，這是提高安全防范的重要方法。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

簡(jiǎn)單來(lái)講網(wǎng)絡(luò)安全態(tài)勢(shì)感知即，實(shí)時(shí)獲取網(wǎng)絡(luò)安全設(shè)備的告警信息以及其他信息，通過(guò)對(duì)安全數(shù)據(jù)的融合分析，掌握目前網(wǎng)絡(luò)實(shí)際運(yùn)行的狀態(tài)，發(fā)現(xiàn)并識(shí)別存在的會(huì)造成態(tài)勢(shì)變化的各項(xiàng)因素，以及預(yù)測(cè)態(tài)勢(shì)的發(fā)展，為安全防范決策的制定提供可靠支持。在信息網(wǎng)絡(luò)技術(shù)不斷更新優(yōu)化的情況下，現(xiàn)在已經(jīng)進(jìn)入到了大數(shù)據(jù)時(shí)代，對(duì)各類(lèi)數(shù)據(jù)的開(kāi)發(fā)利用率得到了更大程度上的提升，以便于更好的來(lái)滿(mǎn)足用戶(hù)的使用需求。但同時(shí)網(wǎng)絡(luò)環(huán)境也更為復(fù)雜，用戶(hù)信息的安全性受到了更大的威脅，即便是采取了多種防護(hù)技術(shù)，依然不可避免的會(huì)受到來(lái)自外界的攻擊，造成不可避免的經(jīng)濟(jì)損失[1]。通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)可以對(duì)網(wǎng)絡(luò)內(nèi)所有的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)以及應(yīng)用進(jìn)行集中的監(jiān)控與管理，基于大數(shù)據(jù)分布式存儲(chǔ)架構(gòu)，對(duì)網(wǎng)絡(luò)環(huán)境中各種設(shè)備與應(yīng)用的安全信息進(jìn)行可靠收集，同時(shí)做更進(jìn)一步的處理，作為平臺(tái)異常檢測(cè)以及交互分析的重要依據(jù)，更大程度上來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的預(yù)測(cè)和應(yīng)對(duì)，提高網(wǎng)絡(luò)安全防護(hù)能力。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)發(fā)展方向

2.1 安全風(fēng)險(xiǎn)數(shù)據(jù)分析

基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)一大優(yōu)勢(shì)便是對(duì)安全威脅數(shù)據(jù)的有效挖掘，通過(guò)對(duì)風(fēng)險(xiǎn)數(shù)據(jù)的有效采集和挖掘，分析判斷其是否為威脅情報(bào)。先進(jìn)行數(shù)據(jù)的預(yù)處理，對(duì)獲得的數(shù)據(jù)信息來(lái)進(jìn)行特征提取、數(shù)據(jù)融合、關(guān)聯(lián)分析等加工處理，最終得到基礎(chǔ)數(shù)據(jù)源。然后確認(rèn)適應(yīng)性較強(qiáng)的數(shù)據(jù)挖掘模型，通過(guò)對(duì)已知攻擊方式中的數(shù)據(jù)報(bào)文信息，包括結(jié)構(gòu)特征、數(shù)理特征、統(tǒng)計(jì)學(xué)特征等的分析，選擇數(shù)據(jù)挖掘算法模型的流程、策略與規(guī)則。最后便是數(shù)據(jù)分析，基于數(shù)據(jù)挖掘模型對(duì)預(yù)處理后得到的基礎(chǔ)數(shù)據(jù)元做更進(jìn)一步的分析，判斷其中存在的潛在風(fēng)險(xiǎn)，預(yù)估存在的安全威脅，完成網(wǎng)絡(luò)現(xiàn)行態(tài)勢(shì)的感知，為安全防范策略的制定提供數(shù)據(jù)支持[2]。

2.2 安全態(tài)勢(shì)主動(dòng)預(yù)警

大數(shù)據(jù)時(shí)代最明顯的特征便是可實(shí)現(xiàn)海量數(shù)據(jù)的分析處理，并且將其應(yīng)用到網(wǎng)絡(luò)安全防范工作，更好的來(lái)應(yīng)對(duì)存在的各類(lèi)潛在威脅。在網(wǎng)絡(luò)運(yùn)行過(guò)程中產(chǎn)生的大量原始日志信息，涉及到了安全設(shè)備、網(wǎng)絡(luò)設(shè)備等，不僅數(shù)量巨大，且各類(lèi)數(shù)據(jù)之間關(guān)聯(lián)性低，冗余性非常強(qiáng)，無(wú)法直接應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)。利用大數(shù)據(jù)多源信息處理特點(diǎn)，即大數(shù)據(jù)分布式存儲(chǔ)、精確分析以及高效率處理等特征，來(lái)完成各類(lèi)數(shù)據(jù)的分析處理，作為網(wǎng)絡(luò)安全態(tài)勢(shì)判斷的依據(jù)，并且可以形成更加直觀的報(bào)告，將態(tài)勢(shì)感知結(jié)果展示給安全管理人員。

2.3 網(wǎng)絡(luò)安全主動(dòng)防御

對(duì)以往的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行分析，可知其通過(guò)對(duì)網(wǎng)絡(luò)環(huán)境中潛在隱患的分析判斷后，僅僅是將結(jié)果展示給管理人員，并不能夠直接對(duì)預(yù)測(cè)的威脅進(jìn)行處理。基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)則是進(jìn)一步對(duì)該方面作出了改善，不僅可以處理潛在威脅，還會(huì)建立威脅處理特征庫(kù)，通過(guò)機(jī)器學(xué)習(xí)算法對(duì)特征庫(kù)進(jìn)行動(dòng)態(tài)維護(hù)[3]。一旦態(tài)勢(shì)感知系統(tǒng)遭受惡意攻擊后，便可以對(duì)數(shù)據(jù)庫(kù)內(nèi)的信息特征進(jìn)行分析匹配，確定最佳應(yīng)對(duì)方法，通過(guò)系統(tǒng)入侵檢測(cè)、防火墻等安全措施的聯(lián)動(dòng)，及時(shí)處理存在的網(wǎng)絡(luò)攻擊行為，確保系統(tǒng)環(huán)境的安全性，以免造成用戶(hù)的損失。

3 大數(shù)據(jù)技術(shù)下網(wǎng)絡(luò)安全態(tài)勢(shì)感知構(gòu)建

3.1 分析用戶(hù)行為

用戶(hù)在使用網(wǎng)絡(luò)時(shí)，不同用戶(hù)的行為習(xí)慣和規(guī)律不同，一旦系統(tǒng)檢測(cè)到該習(xí)慣和規(guī)律發(fā)生變化，便可推斷該行為中可能潛藏的風(fēng)險(xiǎn)。對(duì)用戶(hù)異常行為的檢測(cè)，是通過(guò)用戶(hù)與應(yīng)用來(lái)對(duì)系統(tǒng)訪(fǎng)問(wèn)信息進(jìn)行連續(xù)、實(shí)時(shí)監(jiān)控，并經(jīng)過(guò)統(tǒng)計(jì)分析、關(guān)聯(lián)分析以及機(jī)器學(xué)習(xí)等多種手段來(lái)檢測(cè)分析用戶(hù)應(yīng)用行為，或流量中的異常模式，判斷確認(rèn)存在的異常行為。

3.2 安全事件管理

第一，安全事件溯源。基于大數(shù)據(jù)技術(shù)來(lái)對(duì)存儲(chǔ)的原始數(shù)據(jù)操作日志建立的索引數(shù)據(jù)，可以滿(mǎn)足安全管理人員便捷查詢(xún)的要求，同時(shí)具備交互式數(shù)據(jù)檢索功能，完成數(shù)據(jù)泄露操作軌跡的快速檢索，最終完成定位，使得數(shù)據(jù)泄露的全過(guò)程得以可靠追溯。第二，實(shí)時(shí)監(jiān)控。對(duì)采集到的日志信息進(jìn)行實(shí)時(shí)查看，基于配置的采集策略，展示在頁(yè)面窗口，包括柱圖、時(shí)間線(xiàn)、面積圖、透視圖等多種統(tǒng)計(jì)和展現(xiàn)方式，提高結(jié)果的直觀性，并且可以根據(jù)需求對(duì)結(jié)果進(jìn)行保存、修改以及共享等操作[4]。第三，實(shí)時(shí)響應(yīng)。基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全感知平臺(tái)，可以滿(mǎn)足實(shí)時(shí)響應(yīng)要求，檢測(cè)發(fā)現(xiàn)到安全事件后可以第一時(shí)間發(fā)出告警信息，同時(shí)觸發(fā)相應(yīng)的處理流程，直到跟蹤問(wèn)題處理完畢，真正做到安全事件的閉環(huán)管理，降低安全風(fēng)險(xiǎn)。

4 結(jié)語(yǔ)

相比以往的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，在大數(shù)據(jù)技術(shù)的支持下，可以進(jìn)一步做到安全感知的實(shí)時(shí)性以及動(dòng)態(tài)響應(yīng)。利用大數(shù)據(jù)技術(shù)優(yōu)越的數(shù)據(jù)分析處理能力，完成多源日志信息的處理，挖掘其中存在的關(guān)聯(lián)性，更好的來(lái)分析其中存在的潛在風(fēng)險(xiǎn)，為安全防范策略的制定提供可靠的數(shù)據(jù)支持，提高了網(wǎng)絡(luò)運(yùn)行的安全性。