網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)應(yīng)用的分析

◆劉資茂

網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)應(yīng)用的分析

◆劉資茂

(調(diào)峰調(diào)頻發(fā)電公司 廣東 510000)

當(dāng)前時(shí)代被稱(chēng)為“網(wǎng)絡(luò)時(shí)代”、“信息時(shí)代”，其突出特征是網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也引起了廣泛擔(dān)憂?；诖?，本文以當(dāng)前網(wǎng)絡(luò)安全分析的不足作為出發(fā)點(diǎn)，針對(duì)網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用進(jìn)行探究，包括大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中的應(yīng)用優(yōu)勢(shì)、應(yīng)用步驟等，并結(jié)合實(shí)際情況給出相關(guān)具體內(nèi)容。旨在通過(guò)分析明確當(dāng)前狀況、完善理論，從而為后續(xù)網(wǎng)絡(luò)安全分析工作提供一定的參考。

網(wǎng)絡(luò)安全分析；大數(shù)據(jù)技術(shù)；分析效率；分析范圍

0 前言

大數(shù)據(jù)（big data），指無(wú)法在一定時(shí)間范圍內(nèi)用常規(guī)軟件工具進(jìn)行捕捉、管理和處理的數(shù)據(jù)集合，是需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長(zhǎng)率和多樣化的信息資產(chǎn)。大數(shù)據(jù)技術(shù)則是指大數(shù)據(jù)的收集、應(yīng)用過(guò)程，在網(wǎng)絡(luò)安全分析工作中，由于目標(biāo)對(duì)象的廣泛性、多變性，傳統(tǒng)分析方法存在一定不足，大數(shù)據(jù)技術(shù)因此擁有了一定的應(yīng)用空間，分析其具體應(yīng)用對(duì)后續(xù)工作有一定的幫助。

1 當(dāng)前網(wǎng)絡(luò)安全分析的不足

1.1分析資料不足

網(wǎng)絡(luò)安全分析往往針對(duì)全網(wǎng)和與網(wǎng)絡(luò)相關(guān)的各個(gè)節(jié)點(diǎn)、各項(xiàng)工作的流程，因此分析資料必須是充足、完善的，當(dāng)前部分網(wǎng)絡(luò)安全分析工作或者只能針對(duì)某一個(gè)問(wèn)題進(jìn)行分析、或者存在分析過(guò)于籠統(tǒng)，缺乏實(shí)際意義的問(wèn)題，分析的結(jié)果價(jià)值并不大。究其原因，可以發(fā)現(xiàn)資料不足是造成上述問(wèn)題的主要因素，多變的網(wǎng)絡(luò)安全情況和影響要素使得資料收集、整理、匯總都存在問(wèn)題，導(dǎo)致網(wǎng)絡(luò)安全分析工作難以有效開(kāi)展。

1.2分析效率低

分析效率方面，鑒于資料的缺乏，人員即便對(duì)收集所得所有資料都進(jìn)行詳細(xì)的研究，所獲得的結(jié)果也依然是有限的，而當(dāng)較多資料出現(xiàn)時(shí)，傳統(tǒng)分析方法又面臨著效率低下的問(wèn)題。值得注意的是，網(wǎng)絡(luò)安全分析缺少大量的實(shí)際工作經(jīng)驗(yàn)，小規(guī)模分析可以針對(duì)個(gè)別問(wèn)題進(jìn)行，大規(guī)模分析則無(wú)從著手，這也進(jìn)一步降低了工作的效率。比如面臨10家網(wǎng)吧提供的網(wǎng)絡(luò)資料，分類(lèi)整理簡(jiǎn)單快速；而如果提供資料的是100家網(wǎng)吧，傳統(tǒng)模式下的分析效率就會(huì)顯著下降。

1.3分析范圍較小

分析范圍方面，在進(jìn)行實(shí)際研究時(shí)，人員往往缺少資料作為分析對(duì)象，難以作到全面分析，如某地研究人員準(zhǔn)備分析木馬攻擊導(dǎo)致電腦系統(tǒng)崩潰的概率，傳統(tǒng)模式下的問(wèn)卷調(diào)查或者網(wǎng)絡(luò)調(diào)查，能夠收集的資料數(shù)目十分有限，可能只能得到當(dāng)?shù)氐纳贁?shù)資料，且資料的普遍性、代表性方面也難以保證，這種情況下，分析工作也難以有序開(kāi)展。

2 網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用

2.1網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用優(yōu)勢(shì)

（1）詳實(shí)豐富的資料

大數(shù)據(jù)技術(shù)的突出優(yōu)勢(shì)是可以采集海量信息。本質(zhì)上說(shuō)，大數(shù)據(jù)工作的依托是互聯(lián)網(wǎng)，其資料來(lái)源是龐大的互聯(lián)網(wǎng)信息共享池，這種級(jí)別的信息來(lái)源遠(yuǎn)遠(yuǎn)超過(guò)了傳統(tǒng)模式下的信息源，使得任何方面的分析都能夠擁有足夠豐富的資料。人員應(yīng)用大數(shù)據(jù)時(shí)，只需在擁有權(quán)限、且網(wǎng)絡(luò)處于有效連接的狀態(tài)下搜索數(shù)據(jù)即可，能夠快速方便的獲取詳實(shí)豐富的資料。

（2）較高的分析效率

大數(shù)據(jù)技術(shù)工作的主要技術(shù)支持是計(jì)算機(jī)，數(shù)據(jù)資料的規(guī)模越大，對(duì)計(jì)算機(jī)性能的要求越高?，F(xiàn)代條件下，提供服務(wù)的通常是第三方，人員提供數(shù)據(jù)資料或者資料需求，第三方公司可以利用計(jì)算機(jī)群、云計(jì)算技術(shù)等完成快速的計(jì)算工作，以往需要幾個(gè)月甚至幾年時(shí)間完成的大規(guī)模計(jì)算，大數(shù)據(jù)時(shí)代下可以在幾天甚至幾小時(shí)內(nèi)完成，分析的效率大大增加，這也是網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的主要應(yīng)用優(yōu)勢(shì)。

（3）較廣的分析范圍

由于大數(shù)據(jù)技術(shù)的資料來(lái)源是整個(gè)網(wǎng)絡(luò)，龐大的互聯(lián)網(wǎng)共享池能夠提供來(lái)自各個(gè)行業(yè)、領(lǐng)域、地區(qū)的數(shù)據(jù)資料，只要這些行業(yè)、領(lǐng)域、地區(qū)的網(wǎng)絡(luò)連接節(jié)點(diǎn)的人員將數(shù)據(jù)信息上傳至網(wǎng)絡(luò)，其他節(jié)點(diǎn)的人員就能在權(quán)限允許的情況下，對(duì)共享資源池中的資料進(jìn)行調(diào)取，這使得大數(shù)據(jù)技術(shù)下網(wǎng)絡(luò)安全分析能夠在更廣的范圍內(nèi)進(jìn)行。坐在北京辦公室里的技術(shù)人員能夠在幾秒鐘的時(shí)間獲取來(lái)自南京甚至紐約的信息資料，因而較廣的分析范圍是網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用優(yōu)勢(shì)之一。

2.2網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用步驟

（1）數(shù)據(jù)收集

研究人員一般講大數(shù)據(jù)分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)三類(lèi)，其中非結(jié)構(gòu)化數(shù)據(jù)越來(lái)越成為數(shù)據(jù)的主要部分。據(jù)IDC的調(diào)查報(bào)告顯示，互聯(lián)網(wǎng)中90％以上的數(shù)據(jù)屬于非結(jié)構(gòu)化數(shù)據(jù)，這些數(shù)據(jù)的特點(diǎn)是價(jià)值信息含量低，需要總結(jié)分析才能發(fā)揮價(jià)值，這部分?jǐn)?shù)據(jù)是大數(shù)據(jù)的主要內(nèi)容，其每年都按指數(shù)增長(zhǎng)60％。在以云計(jì)算為代表的技術(shù)創(chuàng)新大幕的襯托下，這些原本看起來(lái)很難收集和使用的數(shù)據(jù)開(kāi)始容易被利用起來(lái)了。實(shí)際進(jìn)行網(wǎng)絡(luò)安全分析時(shí)，首先要進(jìn)行的是對(duì)這些數(shù)據(jù)的收集，假定分析目標(biāo)為網(wǎng)絡(luò)安全事件的發(fā)生率，人員可以在不同終端搜索結(jié)構(gòu)化數(shù)據(jù)作為核心，再收集半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，共同生產(chǎn)數(shù)據(jù)庫(kù)。需要注意的是，數(shù)據(jù)收集工作往往需要持續(xù)較長(zhǎng)時(shí)間，為保證其具有價(jià)值，應(yīng)設(shè)定基本的搜索標(biāo)準(zhǔn)，避免無(wú)價(jià)值數(shù)據(jù)的流入。此外，也可以直接通過(guò)第三方大數(shù)據(jù)服務(wù)提供商直接獲取核心數(shù)據(jù)[1]。

（2）參數(shù)確立

參數(shù)的確立是應(yīng)用大數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全分析的中心環(huán)節(jié)，在完成了數(shù)據(jù)收集后，需要通過(guò)參數(shù)確立完成數(shù)據(jù)的統(tǒng)計(jì)與分析工作。根據(jù)數(shù)據(jù)的結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化進(jìn)行數(shù)據(jù)分析，然后建立分門(mén)別類(lèi)的事件關(guān)系序列庫(kù)，使各類(lèi)數(shù)據(jù)由海量、低價(jià)值、無(wú)序、復(fù)雜變成少量、高價(jià)值、有序、簡(jiǎn)單的，然后在大量的信息數(shù)據(jù)中查找網(wǎng)絡(luò)安全的隱患，進(jìn)而針對(duì)安全隱患的情況擬定處理策略。

參數(shù)的確立需要根據(jù)收集情況具體進(jìn)行，由于各地網(wǎng)絡(luò)安全的問(wèn)題類(lèi)型不盡相同，發(fā)生率也存在區(qū)別，不能采用固定參數(shù)的方式進(jìn)行數(shù)據(jù)分析和篩選。假定某地互聯(lián)網(wǎng)覆蓋率較高，每天存在大量的數(shù)據(jù)傳輸工作，那么威脅其網(wǎng)絡(luò)安全的很可能是木馬攻擊以及信息傳輸信道的擁堵問(wèn)題，在挑選參數(shù)時(shí)，就應(yīng)首先考慮木馬和傳輸信道[2]。將木馬攻擊+信道擁堵作為指標(biāo)，挑選數(shù)據(jù)并分析其發(fā)生情況。同樣，如果某低互聯(lián)網(wǎng)覆蓋率較低，數(shù)據(jù)傳輸較少，各類(lèi)問(wèn)題的發(fā)生率普遍不高，在挑選參數(shù)時(shí)，應(yīng)綜合考慮該地網(wǎng)絡(luò)安全問(wèn)題的總體情況，選擇高頻率出現(xiàn)的安全事件作為參數(shù)，篩選資料。

（3）模型分析

模型分析是大數(shù)據(jù)技術(shù)的一項(xiàng)衍生技術(shù)，就網(wǎng)絡(luò)安全分析工作而言，其除了能夠直觀了解網(wǎng)絡(luò)安全現(xiàn)狀之外，還可以作為后續(xù)工作的支持，這種支持的主要方式就是在大數(shù)據(jù)基礎(chǔ)上建立的分析模型，即網(wǎng)絡(luò)安全分析架構(gòu)[3]。

網(wǎng)絡(luò)安全分析架構(gòu)分為數(shù)據(jù)采集層、存儲(chǔ)層和挖掘分析層三個(gè)部分。數(shù)據(jù)采集層主要指分布于網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)以及計(jì)算機(jī)，其功能是對(duì)各類(lèi)安全事件進(jìn)行收集；存儲(chǔ)層的功能是將采集層收集的各類(lèi)信息進(jìn)行粗加工和集中存儲(chǔ)，粗加工是指按年月、地區(qū)等進(jìn)行分類(lèi)，使數(shù)據(jù)帶有一定的規(guī)律性，便于調(diào)取；挖掘分析層能夠?qū)?shù)據(jù)進(jìn)行關(guān)聯(lián)分析，提取數(shù)據(jù)的特征，通過(guò)這種方式可以實(shí)現(xiàn)安全事件的挖掘，并能夠很快地發(fā)現(xiàn)網(wǎng)絡(luò)異常的安全行為，其是模型的只要應(yīng)用模塊。人員將各類(lèi)參數(shù)帶入模型中后，可以了解安全級(jí)別、危險(xiǎn)情況等信息，并根據(jù)模型分析的結(jié)果調(diào)整實(shí)際工作。

3 總結(jié)

本文分析、探討了網(wǎng)絡(luò)安全分析的不足以及大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中的應(yīng)用。網(wǎng)絡(luò)安全是被廣泛關(guān)注的問(wèn)題，目前的網(wǎng)絡(luò)安全分析存在一定不足，包括分析資料不足、分析效率低、分析范圍較小等。應(yīng)用大數(shù)據(jù)技術(shù)則能夠解決上述問(wèn)題，其具有較高的分析效率、較廣的分析范圍，且資料詳實(shí)豐富。網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用步驟為數(shù)據(jù)收集、參數(shù)確立、模型分析三個(gè)步驟。后續(xù)工作中，應(yīng)用相關(guān)理論有助于網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的進(jìn)一步應(yīng)用。

[1]陳平陽(yáng).淺析基于Spark技術(shù)的網(wǎng)絡(luò)安全大數(shù)據(jù)分析平臺(tái)[J].福建電腦，2017.

[2]呂鋮鋼.稅收治理、競(jìng)爭(zhēng)參與和國(guó)家利益——主權(quán)理念下對(duì)制稅權(quán)的初步闡釋[J/OL].江漢學(xué)術(shù)，2017.

[3]管磊.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[A].中國(guó)計(jì)算機(jī)學(xué)會(huì).第31次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C].中國(guó)計(jì)算機(jī)學(xué)會(huì)，2016.