基于大數據的異構網絡安全監控算法研究

黃式敏

關鍵詞：大數據；異構網絡；網絡安全；安全監控

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）03-0072-02

在計算機技術不斷發展的過程中，我國也逐漸進入信息化時代。信息化為我們帶來了極大的方便，但也導致出現網絡安全隱患問題。在大數據時代中，網絡系統安全問題也越來越嚴峻。要想在數據庫中尋找安全問題，就要花費大量的時間和精力。在異構網絡模式形成下，會產生大量無法解決、復雜的問題。要想在大數據時代中保證網絡系統的安全，就要創建完全的異構網絡安全監控系統，實現全部數據的系統、全面和綜合分析，從而尋找問題的所在，使用針對性的措施解決問題，為網絡安全提供可靠、安全的保障[1]。

1 基于大數據的異構網絡安全監控模型

1.1 安全分析需求

在大數據發展的過程中，數據預測不僅是重要研究對象，而且是學術界針對預測問題的研究重點：（1） 趨勢預測。通過事物的屬性與前期態勢分析，預測事物的發展軌跡與最終發展趨勢；（2） 缺失信息預測。所看到的信息為所有真實信息中的小部分，如何通過所得到的已知信息對未知信息進行預測。在現代數據時代中，通過這兩種預測角度實現異構數據元分析，對如何利用已經發生的事件軌跡預測安全態勢和事件，并且考慮通過安全事件對安全環境影響進行分析，針對成熟的安全技術實現，包括防火墻、IPS和IDS等。

在異構數據源分析模型設計過程中，要求具備快速反應能力，能夠針對異常安全事件報警使用針對性措施，避免事件對網絡造成影響。另外，還要通過大量告警數據對核心數據進行提取，從而及時尋找問題并解決。大數據能夠展現數據的外部性，通過數據的交叉分析，從而提高自身價值。基于大數據環境的異構數據源分析為事件關聯，網絡環境中存在大量安全設備與網絡設備。國內針對傳統事件的關聯具有一定科研成果，比如人工神經網絡、貝葉斯網絡推理理論等，此分析方法是對異常檢測系統提出的，并沒有針對網絡，缺乏全局性，信息網絡監控設備數據缺乏聯系，無法聯合數據分析。在大數據環境中，異構數據能夠充分考慮算法和架構，在不會導致數據價值損失的背景下對數據進行清洗，縮減核心數據規模，基于此實現數據關聯，發現信息安全異常行為并且預警。

1.2 網絡安全監控模型

現有網絡安全監控缺乏事件分析能力，事件監測數據為原始數據，無法實現知識化處理。在大數據環境中，各種安全技術在不斷發展，從而導致網絡安全環境數據異構，缺乏整體網絡安全態勢及時、精準的數據分析。數據量巨大的安全事件包括大量的不可靠信息，降低了數據環境下信息安全原始事件的數據分析價值。所以，傳統算法具有適應性問題，復雜度比較高，無法滿足大數據環境需求。相關研究表示，部分簡單算法對大數據處理是有效的。以此，設計網絡安全監控模式。

1.2.1 大數據收集模塊

利用此模塊收集信息網絡安全環境數據源，原始數據為安全設備、網絡設備、日志與事件信息等。其次，提供SNMP、SDK和KAP等接口。

1.2.2 大數據整合模塊

通過大數據收集的數據比較凌亂，假如各信息源存在不同的數據格式，就會導致監測系統處理存在問題。利用此模塊處理問題，并且對源數據進行過濾處理，根據用戶設置的分類規則對數據進行分類。要充分考慮隱私信息的去隱私化處理，利用源數據得出隱私數據的索引字段[2]。

1.2.3 大數據關聯分析

雖然通過上述階段已經去除數據冗余，但是整體網絡安全監控大部分為初始數據，要求尋找核心數據。關聯信息指的是實時事件與歷史趨勢對比，此種指的是真實的攻擊行為。此模塊能夠對時間規則庫進行分析，事件庫中存儲相應異常行為模式與安全漏洞等。在出現網絡安全事件的過程中，通過大數據關聯分析模塊對核心數據進行細化，與邏輯拓撲對應，跟蹤事件。利用安全行為流程的解析，對真正攻擊行為進行鑒別，實現安全事件發生位置的定位。在大數據關聯分析過程中，算法和時間規則為重點，從而提出了流量規則和關聯規則，從而解決大數據挖掘問題。

1.2.4 大數據綜合評測

此模塊綜合處理分析的結果，以此實現可視化輸出顯示。利用大數據分析對當前網絡安全情況和發展趨勢進行預測，利用針對性的對策分析結果實現相應流程的制定，對特定管理員進行反饋。在此模塊中，能夠對管理員提供指導和幫助信息[3]。

2 基于大數據的異構網絡安全關聯算法

2.1 關聯算法

大數據異構網絡安全監控體系的邏輯推理重點為分析數據關聯性，在對異構網絡安全關聯算法設計過程中，主要內容為：（1） 對處理后核心數據的數據項關聯規則進行處理；（2） 對大數據環境中異構網絡安全監控系統流量進行分析，對流量規則進行提??；（3） 對異構設備核心數據和流量數據相關性進行分析。如何轉變數據為研究主要內容。在設計現代異構網絡模式的過程中，網絡安全監控尤為重要[4]。

2.2 異構網絡安全管理算法的設計

在大數據環境中，明確有效、核心的數據內在聯系，對各種信息進行組織，從而使開發人員、研究人員得出數據關聯信息。數據關聯分析指的是異構網絡安全監控系統研究重點，所以網絡安全監控系統設計的復雜規則為：（1） 處理核心數據關系；（2） 對網絡中所有設備流量的使用情況分析，得到流量規則，運行在網絡中[5]。

以相關研究表示，使用規范化處理與去除冗余方式對數據聚集，并且導出全新屬性，使用四元組（A，P， C，O） 對不同事件因果聯系進行分析與描述，指的是安全事件、前提條件、安全事件集合和安全事件相關的屬性集合。如果其中兩個事件屬性不同，說明兩個事件存在不同實例。基于模糊理論，e₁和e₂指的是安全事件，C（e₁） ×（e₂） 指的是安全事件之間二元模糊因果關系。μ_R（c，p）指的是隸屬度函數，取值區間為[0，1]。所以，在模糊集合R中的隸屬度表示為（c，p） ，1說明c 和p 的模糊因果關系最大，0說明兩者沒有關系。

3 網絡安全監測的應用實踐

基于此算法創建安全監測平臺進行實踐，包括數據采集、分析與態勢展示等核心功能，通過此技術實現全網協同聯動的態勢感知、監測預警與應急處置，表1為計算節點配置。

（1） 基于多源異構大數據分析技術，能夠使全網威脅感知能力得到提高，并且支持多源異構安全數據的接入，包括安全日志、網絡流量日志、威脅情報與應用日志等。針對大數據框架，實現數據的關聯分析、存儲與秒級查詢。和威脅感知規則引擎結合，實現網絡已知威脅的發現與告警。

（2） 基于安全事件的全生命周期管理，使網絡安全運營能力得到提高，實現網絡安全事件與威脅的全生命周期管理，包括分析研判、事件發現、驗證、處理等環節。在網絡安全運營中，使管理、技術、人員與流程結合，使安全運維人員實現問題閉環處置[7]。

（3） 基于高可信威脅情報數據支撐，使網絡安全事件響應處置能力得到提高，針對突發重大安全事件與特定行業安全威脅分析，支持外部威脅的精準識別與追溯。和通報預警機制結合，實現網絡安全事件的處置與響應。

（4） 基于微觀與宏觀的安全視角，使網絡安全全局可視能力得到提高，對全網安全態勢實時監控，通過宏觀視角對整體安全情況進行掌控，通過微觀角度對安全線索捕獲，從而快速判斷網絡整體態勢和威脅相關影響范圍、目的和攻擊路徑，支撐有效響應和決策[8]。

互聯網安全防護是大數據環境下解決安全問題的重點，要維護互聯網的安全。目前，維護互聯網安全的重點為控制訪問設置，利用用戶訪問權限的設置，對互聯網絡安全使用進行保證。比如，通過身份認證和密碼避免黑客攻擊，根據訪問權限進行設置。其次，設置數據加密，隱藏用戶數據信息，保證用戶數據的安全性。為了加強網絡安全，還能夠設置網絡隔離，實現用戶數據存儲系統的防火墻，對大量信息進行識別，篩選有效信息。設置防火墻能夠對計算機隔離，對隔離后網絡安全性進行保證。最后，實現用戶網絡的入侵檢測，及時阻攔非法用戶入侵行為。此種監控技術使用主動方式對網絡安全防御，消除防火墻不足，也是全方位網絡化安全實時保護的技術[9]。

4 結束語

在信息化時代下，網絡安全成為國家和人們所重視的問題。在現代異構網絡模式中，網絡安全監控難度比較大，只有創建健全、科學、完全的異構網絡安全監控體系，才能夠保證監測信息的可靠性與準確性，提高監測效率，及時發現網絡安全問題。相信在研究人員的努力下，尋找更加先進的關聯算法，從而準確、快速地將數據轉變成有用的信息知識，為人們提供可靠的網絡信息數據。