網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)綜合研究

鐘煜明 陳長輝

摘? 要：通過當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)，開展面向大數(shù)據(jù)分析的網(wǎng)絡(luò)安全優(yōu)化研究。結(jié)合流量探針、日志審計(jì)系統(tǒng)，打造大數(shù)據(jù)統(tǒng)一綜合分析平臺(tái)，解決了服務(wù)器和網(wǎng)絡(luò)設(shè)備日志分散、追蹤日志信息時(shí)間長效率低、威脅事件識(shí)別不夠精準(zhǔn)的問題，使網(wǎng)絡(luò)防護(hù)得到了更好的保障，更快速地對(duì)入侵攻擊進(jìn)行溯源，并對(duì)大數(shù)據(jù)統(tǒng)一綜合分析平臺(tái)下一版本的功能升級(jí)進(jìn)行了需求規(guī)劃，使系統(tǒng)更加智能，最后對(duì)未來網(wǎng)絡(luò)安全發(fā)展趨勢(shì)進(jìn)行了探討。

關(guān)鍵詞：網(wǎng)絡(luò)安全;大數(shù)據(jù);流量探針

Abstract：Through the current situation of network security，the research on network security optimization for big data analysis is carried out. Combined with the flow probe and log audit system，a unified and comprehensive analysis platform for big data is built to solve the problems of scattered logs of servers and network devices，long time and low efficiency of tracking log information，and inaccurate threat event identification，So that the network protection can be better guaranteed and the intrusion attack can be traced more quickly，and the function upgrade of the next version of big data unified comprehensive analysis platform is planned to make the system more intelligent. Finally，the development trend of network security in the future is discussed.

Keywords：network security;big data;flow probe

0? 引? 言

隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)是當(dāng)今社會(huì)不可缺少的生態(tài)環(huán)境之一。新興信息技術(shù)“互聯(lián)網(wǎng)+”、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、智能家居等都依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)安全的問題便成為信息技術(shù)發(fā)展的重大關(guān)鍵問題之一，全球網(wǎng)絡(luò)攻防對(duì)抗的強(qiáng)度、頻率、規(guī)模和影響力不斷升級(jí)。我國對(duì)網(wǎng)絡(luò)安全也尤為重視，習(xí)近平總書記多次在大會(huì)上提出網(wǎng)絡(luò)安全的重要性，要求各地提高網(wǎng)絡(luò)安全意識(shí)，提升突發(fā)事件應(yīng)對(duì)能力，深化落實(shí)工作嚴(yán)防死守，盡職免責(zé)失職追責(zé)，貫徹《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的執(zhí)行。網(wǎng)絡(luò)安全的工作也因此推向新高度，同時(shí)網(wǎng)絡(luò)安全技術(shù)人才的缺口巨大，需求也急劇上升，廣州番禺職業(yè)技術(shù)學(xué)院為如何更好地應(yīng)對(duì)治理網(wǎng)絡(luò)安全，提出了多樣的觀點(diǎn)和理論，并進(jìn)行了實(shí)踐。

1? 網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)和信息安全有著多方面性，包括物理安全、鏈路安全、網(wǎng)絡(luò)層安全、數(shù)據(jù)傳輸安全、應(yīng)用安全、主機(jī)系統(tǒng)安全等。國家推出的信息安全等級(jí)保護(hù)方案也從1.0升級(jí)到2.0標(biāo)準(zhǔn)，較前者相比，2.0的標(biāo)準(zhǔn)有著更高的要求和更嚴(yán)格的審核測(cè)評(píng)指標(biāo)。同時(shí)國家各企業(yè)各單位組建信息安全應(yīng)急小組，執(zhí)行網(wǎng)絡(luò)安全報(bào)告跟蹤、入侵事件追溯、網(wǎng)絡(luò)安全責(zé)任追究制度等措施，特點(diǎn)是重要敏感時(shí)期的關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)，層層組織下發(fā)落實(shí)必須提高警惕，執(zhí)行7×24小時(shí)的值守要求。全國各省也組建了網(wǎng)絡(luò)安全預(yù)警平臺(tái)，匯總最新攻擊手段，第一時(shí)間公告最新的漏洞，采取修復(fù)應(yīng)急處理。

網(wǎng)絡(luò)黑客入侵的方式復(fù)雜多樣，較為流行的是使用漏洞攻擊庫工具、病毒木馬、結(jié)果掃描技術(shù)、注入技術(shù)等，對(duì)目標(biāo)進(jìn)行竊取信息或篡改信息，嚴(yán)重的甚至進(jìn)行破壞。網(wǎng)絡(luò)攻擊行為也逐漸從黑客個(gè)人發(fā)展至有組織性的規(guī)?；?，重點(diǎn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行攻擊。

廣州番禺職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)安全經(jīng)過多年的發(fā)展，已經(jīng)有較大規(guī)模的防護(hù)體系，在技術(shù)手段上包括網(wǎng)絡(luò)架構(gòu)規(guī)劃、接入控制、訪問控制、安全審計(jì)、設(shè)備管理、網(wǎng)絡(luò)安全檢查等全方位的保障。應(yīng)用業(yè)務(wù)系統(tǒng)嚴(yán)格執(zhí)行上線前做好安全測(cè)評(píng)，按照信息系統(tǒng)等級(jí)保護(hù)2.0的標(biāo)準(zhǔn)進(jìn)行整改，復(fù)檢通過后方可上線運(yùn)行。除技術(shù)手段以外，同時(shí)還兼顧從管理入手，管技雙結(jié)合治理網(wǎng)絡(luò)安全。每月進(jìn)行網(wǎng)絡(luò)安全意識(shí)、安全態(tài)勢(shì)的培訓(xùn)匯報(bào)會(huì)，多次會(huì)議重點(diǎn)指出網(wǎng)絡(luò)安全的重要性。

2? 打造統(tǒng)一分析平臺(tái)整體架構(gòu)

網(wǎng)絡(luò)綜合管理系統(tǒng)是一種面向大型異構(gòu)網(wǎng)絡(luò)的管理系統(tǒng)，廣州番禺職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，學(xué)校二級(jí)學(xué)院及行政部門分支較多，網(wǎng)絡(luò)設(shè)備多樣，中心機(jī)房服務(wù)器承載著各類大型業(yè)務(wù)系統(tǒng)及教學(xué)平臺(tái)，網(wǎng)絡(luò)安全的責(zé)任極大。

本單位打造網(wǎng)絡(luò)安全大數(shù)據(jù)統(tǒng)一綜合分析平臺(tái)，使用全流量融合探針傳感器+日志審計(jì)系統(tǒng)作為大數(shù)據(jù)支撐，流量探針傳感器能識(shí)別威脅行為，入侵事件溯源的功能，同時(shí)滿足信息安全等級(jí)保護(hù)2.0的需求，結(jié)合日志審計(jì)系統(tǒng)，對(duì)入侵行為進(jìn)行深度檢測(cè)，精準(zhǔn)、快速、智能地產(chǎn)生告警，提高廣州番禺職業(yè)技術(shù)學(xué)院的安全保障等級(jí)。大數(shù)據(jù)智能分析平臺(tái)展示如圖1所示，分析平臺(tái)架構(gòu)如圖2所示。

首先，需要在網(wǎng)絡(luò)中部署多個(gè)全流量融合探針進(jìn)行流量抓取，向大數(shù)據(jù)分析平臺(tái)傳輸流量日志及告警日志。為了保證傳輸中數(shù)據(jù)安全，流量探針采用AES和SM4加密算法，分析平臺(tái)收到數(shù)據(jù)包后進(jìn)行解密還原，可以有效防止被網(wǎng)絡(luò)竊聽。

流量探針傳感器主要部署在網(wǎng)絡(luò)邊界流量進(jìn)出最大的位置、服務(wù)器區(qū)前端、核心交換機(jī)區(qū)等。利用端口流量鏡像技術(shù)，把流量口的數(shù)據(jù)1：1全鏡像復(fù)制一份出來接入探針，這樣幾乎不會(huì)對(duì)真實(shí)的網(wǎng)絡(luò)環(huán)境造成影響，能讓探針有充足的性能去分析和接收流量數(shù)據(jù)包。接口鏡像的流量數(shù)據(jù)包有數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、應(yīng)用層等，流量探針傳感器附帶應(yīng)用協(xié)議分析模塊，把數(shù)據(jù)包解拆后得到數(shù)據(jù)包的頭部信息，對(duì)其歸屬分類分析。流量探針傳感器內(nèi)置威脅檢測(cè)進(jìn)程、IDS入侵檢測(cè)庫、Web應(yīng)用防御庫等，可識(shí)別現(xiàn)知的廣泛應(yīng)用層威脅，包括木馬、webshell、惡意廣告、挖礦器等，對(duì)疑似威脅打上標(biāo)簽產(chǎn)生告警;同時(shí)傳感器還能對(duì)APT持續(xù)性攻擊事件進(jìn)行跟蹤分析，并再次把分析數(shù)據(jù)加密傳輸給大數(shù)據(jù)分析平臺(tái)匯總作進(jìn)一步的關(guān)聯(lián)性分析。