淺談網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)運(yùn)用

摘 要：由于網(wǎng)絡(luò)安全數(shù)據(jù)規(guī)模日益增長，類型日益繁多，現(xiàn)有安全分析技術(shù)難以滿足精細(xì)化的高效安全分析需求。在安全威脅具有更強(qiáng)殺傷力與逃避能力的形勢下，僅靠防范措施已無法應(yīng)對安全威脅，精確檢測分析和早期預(yù)警成為網(wǎng)絡(luò)安全能力的關(guān)鍵，這就使得網(wǎng)絡(luò)安全分析工作重要性逐漸凸顯出來，而隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)也隨之進(jìn)入大數(shù)據(jù)時(shí)代，大數(shù)據(jù)高速、海量、靈活等特點(diǎn)，能夠滿足海量安全信息的處理和分析需求，易于實(shí)現(xiàn)大容量、低成本、精確、快速的網(wǎng)絡(luò)安全分析能力，這就使人們意識到將大數(shù)據(jù)技術(shù)應(yīng)用到網(wǎng)絡(luò)安全分析工作領(lǐng)域成為一種必然趨勢。本文將通過對大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中運(yùn)用方式的解讀，以“大數(shù)據(jù)技術(shù)運(yùn)用價(jià)值”為重點(diǎn)，對基于大數(shù)據(jù)技術(shù)構(gòu)建起的網(wǎng)絡(luò)安全分析平臺展開探究，旨在提升大數(shù)據(jù)技術(shù)運(yùn)用水平，保證網(wǎng)絡(luò)安全分析質(zhì)量。

關(guān)鍵詞：大數(shù)據(jù)技術(shù)；運(yùn)用價(jià)值；網(wǎng)絡(luò)安全分析

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1004-7344（2018）24-0316-02

前 言

將大數(shù)據(jù)技術(shù)運(yùn)用到網(wǎng)絡(luò)安全分析工作之中，不僅能夠有效提升安全分析系統(tǒng)數(shù)據(jù)儲(chǔ)存量，同時(shí)還具有降低網(wǎng)絡(luò)安全分析成本以及提高安全分析系統(tǒng)運(yùn)行效率等方面的優(yōu)勢，可以對網(wǎng)絡(luò)安全分析領(lǐng)域發(fā)展形成有效帶動(dòng)，意義重大。

1 大數(shù)據(jù)及其在網(wǎng)絡(luò)中的運(yùn)用

1.1 大數(shù)據(jù)技術(shù)概述

關(guān)于大數(shù)據(jù)技術(shù)，主要指對于海量、多樣化、高增長率數(shù)據(jù)信息在處理中所采用的模式，具有volume、variety、velocity、veracity、value的“5V”特性，其運(yùn)用主要集中在兩方面：①利用大數(shù)據(jù)技術(shù)，實(shí)現(xiàn)采集、分析與處理網(wǎng)絡(luò)數(shù)據(jù)；②借助大數(shù)據(jù)技術(shù)多維度關(guān)聯(lián)分析網(wǎng)絡(luò)數(shù)據(jù)，在此基礎(chǔ)上對網(wǎng)絡(luò)運(yùn)行安全狀態(tài)監(jiān)測，并進(jìn)行風(fēng)險(xiǎn)評估、故障判斷與告警[1]。

1.2 大數(shù)據(jù)技術(shù)運(yùn)用

通過對大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)中的運(yùn)用：①能夠切實(shí)提升整體網(wǎng)絡(luò)數(shù)據(jù)儲(chǔ)存數(shù)量，確保數(shù)據(jù)結(jié)構(gòu)化處理效果，并保障數(shù)據(jù)信息完整性[2]。②可以降低網(wǎng)絡(luò)系統(tǒng)成本投入，通過對分布式數(shù)據(jù)庫的運(yùn)用，保證系統(tǒng)維護(hù)與構(gòu)建質(zhì)量。③真正提高數(shù)據(jù)處理效率以及準(zhǔn)確度，并對網(wǎng)絡(luò)問題展開精細(xì)檢測，從多層次、多維度展開分析，從而保證網(wǎng)絡(luò)數(shù)據(jù)處理的質(zhì)量，優(yōu)勢較為突出。

2 網(wǎng)絡(luò)安全分析現(xiàn)狀

網(wǎng)絡(luò)各類信息數(shù)據(jù)的不斷提升，為民眾的生活帶來了極大的便利，但卻直接增加了網(wǎng)絡(luò)安全工作的難度，而這種壓力主要體現(xiàn)為兩點(diǎn)：①信息數(shù)據(jù)量的不斷增加，使數(shù)據(jù)種類變得更加多樣，分析工作量直接增多，需要依靠更為先進(jìn)的技術(shù)完成相應(yīng)任務(wù)；②當(dāng)信息數(shù)據(jù)量增加之后，原有數(shù)據(jù)傳輸速度已經(jīng)不再適用，因此需要加快數(shù)據(jù)采集與分析的操作速度，但高速率的傳輸方式，卻會(huì)直接增加網(wǎng)絡(luò)維護(hù)難度，對網(wǎng)絡(luò)分析工作開展也造成直接限制。

3 在網(wǎng)絡(luò)安全分析中運(yùn)用大數(shù)據(jù)技術(shù)的價(jià)值和方法

3.1 運(yùn)用價(jià)值

根據(jù)大數(shù)據(jù)技術(shù)的特性，其在網(wǎng)絡(luò)安全分析中的運(yùn)用價(jià)值主要體現(xiàn)以下四個(gè)方面：①容量大。大數(shù)據(jù)技術(shù)能夠?qū)崿F(xiàn)對海量異構(gòu)數(shù)據(jù)的計(jì)算與儲(chǔ)存，可以為海量原始安全信息分析與儲(chǔ)存操作開展提供保障；②成本低。與傳統(tǒng)數(shù)據(jù)庫價(jià)格相比，分布式數(shù)據(jù)庫價(jià)格更加低廉，且可以在低價(jià)格硬件上完成水平拓展，可以對安全投入實(shí)施有效控制；③精度高。由于大數(shù)據(jù)技術(shù)擁有良好的數(shù)據(jù)挖掘能力，能夠?yàn)槎嗑S多階段關(guān)聯(lián)分析工作開展奠定良好基礎(chǔ)，可以有效提高數(shù)據(jù)間關(guān)聯(lián)性，保證數(shù)據(jù)分析深度與廣度；④速度快。大數(shù)據(jù)技術(shù)對異構(gòu)數(shù)據(jù)的存儲(chǔ)和查詢速度更快，從而加快了信息采集和檢測的響應(yīng)速度。

3.2 實(shí)踐應(yīng)用

以DDOS攻擊路徑實(shí)時(shí)監(jiān)測為例。通過對大數(shù)據(jù)技術(shù)的運(yùn)用，網(wǎng)絡(luò)安全分析系統(tǒng)通過對DDOS攻擊歷史數(shù)據(jù)以及歷史流量數(shù)據(jù)等信息展開分析，可以完成攻擊全景溯源以及實(shí)時(shí)監(jiān)測，能夠?qū)⒐袅髁看┬芯€路以直觀化方式呈現(xiàn)出來，對攻擊路徑進(jìn)行重演。

在具體操作時(shí)：①要展開空活節(jié)點(diǎn)隊(duì)列以及空攻擊路徑鏈表設(shè)置；②在攻擊告警中對攻擊源攻擊時(shí)間、IP地址以及攻擊目標(biāo)IP地址等數(shù)據(jù)進(jìn)行獲取，且要做好相關(guān)數(shù)據(jù)儲(chǔ)存與提取工作，展開攻擊流量信息查詢，進(jìn)而明確攻擊流量大小以及路由器端口等情況；③要對端口、路由器等攻擊源信息進(jìn)行明確，掌握路由器用戶側(cè)端口輸出流量中的攻擊目的地址等，進(jìn)而確定攻擊目的端口以及路由器，并要將攻擊目的路由器與子網(wǎng)等連接關(guān)系加入到攻擊路徑鏈表之中；④從攻擊目的路由器開始展開訪問，在完成和R相所有節(jié)點(diǎn)的訪問后，要將節(jié)點(diǎn)隊(duì)列第一元素視作是拓展節(jié)點(diǎn)，并對其進(jìn)行相應(yīng)處理，直至循環(huán)處理到活節(jié)點(diǎn)隊(duì)列空時(shí)截止，之后再通過攻擊路徑鏈表獲得攻擊流量路徑。至此，完成運(yùn)用大數(shù)據(jù)技術(shù)的安全分析過程。

4 以大數(shù)據(jù)技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)平臺建設(shè)

4.1 平臺架構(gòu)設(shè)計(jì)與功能分析

在運(yùn)用大數(shù)據(jù)技術(shù)進(jìn)行網(wǎng)絡(luò)平臺建設(shè)時(shí)，需要對數(shù)據(jù)呈現(xiàn)層、數(shù)據(jù)采集層以及大數(shù)據(jù)儲(chǔ)存層等內(nèi)容進(jìn)行科學(xué)設(shè)計(jì)。其中數(shù)據(jù)采集層主要用于用戶身份信息以及事件等信息的采集；而大數(shù)據(jù)儲(chǔ)存層則可以完成對海量信息的長期儲(chǔ)存，可以實(shí)現(xiàn)對非結(jié)構(gòu)化、結(jié)構(gòu)化以及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一儲(chǔ)存，并會(huì)通過運(yùn)用均衡算法，將數(shù)據(jù)均勻分布在文件系統(tǒng)之上，以保證數(shù)據(jù)檢索速度；挖掘分析層可以對信息數(shù)據(jù)展開深度分析，以對安全事件展開準(zhǔn)確挖掘，確保可以在短時(shí)間內(nèi)找到網(wǎng)絡(luò)異常行為發(fā)生本質(zhì)，并完成對信息數(shù)據(jù)的定位與查詢；呈現(xiàn)層會(huì)對大數(shù)據(jù)分析結(jié)構(gòu)展開可視化處理，可以通過以多維度的方式對網(wǎng)絡(luò)安全狀態(tài)進(jìn)行展示[3]。

4.2 平臺運(yùn)行支持技術(shù)

4.2.1 分析技術(shù)

在該項(xiàng)技術(shù)的支持之下，相關(guān)人員可以通過對該平臺的運(yùn)用，完成對海量數(shù)據(jù)的統(tǒng)一與分析，且會(huì)通過對SQL結(jié)構(gòu)化處理方式，通過對HDFS的應(yīng)用完成非結(jié)構(gòu)化數(shù)據(jù)的檢索，并會(huì)將定制插件運(yùn)用到其中，從而保證數(shù)據(jù)處理質(zhì)量。在對數(shù)據(jù)進(jìn)行挖掘過程中，會(huì)按照相應(yīng)數(shù)據(jù)整理過程，根據(jù)事件流完成相應(yīng)分析，會(huì)通過對CPE的運(yùn)用，將系統(tǒng)數(shù)據(jù)作為各種類型事件，掌握他們之間的關(guān)聯(lián)性，構(gòu)建起與之相符的類別事件庫，保障事件轉(zhuǎn)化質(zhì)量。

4.2.2 采集技術(shù)

平臺可以在stom以及Flume等技術(shù)的借助之下，完成對數(shù)據(jù)的采集工作，并可以完成對數(shù)據(jù)的傳輸與整合工作，具有可用性高以及可靠性強(qiáng)等特征，可以通過對特定數(shù)據(jù)的運(yùn)用，完成對不同數(shù)據(jù)源數(shù)據(jù)的收集，且能夠?qū)^為活躍的數(shù)據(jù)展開處理，能夠?qū)?shù)據(jù)儲(chǔ)存和采集部分進(jìn)行明確，能夠形成高效化分布系統(tǒng)，實(shí)現(xiàn)負(fù)載平衡。

4.2.3 存儲(chǔ)技術(shù)

通過對HDFS的運(yùn)用，可以在完成數(shù)據(jù)采集之后對其進(jìn)行儲(chǔ)存，主要是因?yàn)镠DFS分布式文件系統(tǒng)具有容錯(cuò)性高以及吞吐量強(qiáng)等方面的優(yōu)勢，會(huì)通過元數(shù)據(jù)對管理節(jié)點(diǎn)文件系統(tǒng)發(fā)出空間使用命令，并會(huì)將數(shù)據(jù)節(jié)點(diǎn)作為數(shù)據(jù)主要儲(chǔ)存文件，會(huì)將64兆字節(jié)數(shù)據(jù)塊當(dāng)作最基本的儲(chǔ)存單位。

4.3 網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建

在進(jìn)行安全系統(tǒng)構(gòu)建時(shí)，要重點(diǎn)對以下四個(gè)模塊進(jìn)行構(gòu)建：①數(shù)據(jù)源模塊。會(huì)通過對采集器的運(yùn)用，完成對系統(tǒng)內(nèi)所有硬件設(shè)備與軟件系統(tǒng)的采集工作，并會(huì)將結(jié)果放置在存儲(chǔ)部分之中，且會(huì)為了保證網(wǎng)絡(luò)安全，在采取入侵檢測與防火墻等防護(hù)措施的同時(shí)，做好儲(chǔ)存器以及服務(wù)器的檢查與維護(hù)工作，會(huì)對系統(tǒng)數(shù)據(jù)庫以及其他軟件展開檢查與分析；②存儲(chǔ)采集模塊。該模塊會(huì)實(shí)現(xiàn)對數(shù)據(jù)采集存儲(chǔ)操作的優(yōu)化，可以構(gòu)建起高質(zhì)量的分布式數(shù)據(jù)基礎(chǔ)，能夠?qū)υL問功能以及存儲(chǔ)穩(wěn)定性進(jìn)行有效保證，在數(shù)據(jù)海量化方向發(fā)展的今天，分布式的儲(chǔ)存方式能夠?qū)W(wǎng)絡(luò)安全系統(tǒng)運(yùn)行形成有效輔助，可以達(dá)到切實(shí)提升系統(tǒng)數(shù)據(jù)儲(chǔ)存量以及保證數(shù)據(jù)庫運(yùn)行穩(wěn)定程度的目標(biāo)；③分析模塊。此模塊會(huì)對歷史數(shù)據(jù)分析以及實(shí)時(shí)數(shù)據(jù)分析操作進(jìn)行優(yōu)化，能夠保證其功能呈現(xiàn)，會(huì)在分布式處理結(jié)構(gòu)的基礎(chǔ)上，完成數(shù)據(jù)分析模塊構(gòu)建工作，以保證數(shù)據(jù)分析高效性以及穩(wěn)定性，確?？梢栽谟行r(shí)間內(nèi)完成數(shù)據(jù)聯(lián)合分析處理以及多維度分析處理工作；④展示模塊。與其他模塊有所不同，該模塊更加注重用戶體驗(yàn)，強(qiáng)調(diào)要從用戶層面入手，讓用戶通過模塊對各項(xiàng)功能進(jìn)行了解，實(shí)現(xiàn)對網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)用，確保用戶可以在該系統(tǒng)的輔助之下，做好網(wǎng)絡(luò)安全分析操作。

5 結(jié)束語

通過本文對網(wǎng)絡(luò)安全分析相關(guān)內(nèi)容的論述，使我們對大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中的運(yùn)用方式有了更加清晰的認(rèn)知，分析人員應(yīng)認(rèn)識到大數(shù)據(jù)技術(shù)所具有的價(jià)值，要按照網(wǎng)絡(luò)安全分析工作特征將其科學(xué)運(yùn)用到分析工作之中，借助大數(shù)據(jù)技術(shù)完成對數(shù)據(jù)的采集、分析和挖掘操作，并展開相應(yīng)分析平臺構(gòu)建，有效發(fā)揮大數(shù)據(jù)技術(shù)效能，使該技術(shù)在網(wǎng)絡(luò)安全分析領(lǐng)域中得到更好地運(yùn)用和發(fā)展，達(dá)到高效化、精準(zhǔn)化分析效果。

參考文獻(xiàn)

[1]李廣川.大數(shù)據(jù)在通信網(wǎng)絡(luò)安全中的應(yīng)用[J].信息通信，2017（09）.

[2]肖 霞.基于大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J].遼寧高職學(xué)報(bào)，2018（1）.

[3]任小成.基于大數(shù)據(jù)時(shí)代人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用分析[J].中國戰(zhàn)略新興產(chǎn)業(yè)，2018（4）.

收稿日期：2018-7-2

作者簡介：王昱輝（1972-），女，漢族，工程師，本科，研究方向?yàn)橛?jì)算機(jī)與指揮自動(dòng)化。

溫志鵬（1981-），男，漢族，工程師，碩士，研究方向?yàn)檐娛卵b備和營房設(shè)施管理。