數(shù)據(jù)安全檢測(cè)評(píng)估方法分析

中國(guó)電信集團(tuán)有限公司 董勝亞 黃磊 趙鈞 嚴(yán)夢(mèng)嘉

為了提高業(yè)務(wù)系統(tǒng)安全性，本文提出了數(shù)據(jù)安全檢測(cè)評(píng)估方法。首先，收集業(yè)務(wù)相關(guān)信息，對(duì)業(yè)務(wù)行為數(shù)據(jù)進(jìn)行分析，創(chuàng)建正常業(yè)務(wù)行為模型。然后，使用離群挖掘方法計(jì)算各行為離群度，對(duì)歷史安全事件行為信息進(jìn)行數(shù)據(jù)訓(xùn)練，使業(yè)務(wù)數(shù)據(jù)安全精準(zhǔn)性得到提高。

0 引言

為了能夠保證信息系統(tǒng)安全的運(yùn)行，我國(guó)創(chuàng)建了電信企業(yè)信息系統(tǒng)，根據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)電信企業(yè)信息系統(tǒng)進(jìn)行規(guī)劃和校驗(yàn)，創(chuàng)建完善電信企業(yè)信息管理系統(tǒng)。針對(duì)電信企業(yè)信息和數(shù)據(jù)來說，使用此系統(tǒng)能夠避免數(shù)據(jù)和信息丟失，保證業(yè)務(wù)正常的開展。目前我國(guó)電信企業(yè)創(chuàng)建信息系統(tǒng)，在大數(shù)據(jù)技術(shù)發(fā)展背景下，通過大數(shù)據(jù)發(fā)展的信息、數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)問題，并且對(duì)問題進(jìn)行處理，保證信息安全。

電信企業(yè)傳統(tǒng)系統(tǒng)在逐漸發(fā)展，信息化的建設(shè)為我國(guó)電信企業(yè)智能化模式帶來一定需求。我國(guó)大部分電信企業(yè)在對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和訪問的時(shí)候，要確定數(shù)據(jù)訪問權(quán)限，核實(shí)訪問者身份，查看授權(quán)。電信企業(yè)發(fā)展和數(shù)據(jù)信息具有密切關(guān)系，所以要保護(hù)信息完整性，避免信息系統(tǒng)信息被刪除、惡意篡改。在大數(shù)據(jù)背景下，電信企業(yè)要對(duì)數(shù)據(jù)進(jìn)行備份和安全保護(hù)，保證電信企業(yè)數(shù)據(jù)運(yùn)行安全性。針對(duì)電信企業(yè)內(nèi)部比較重要業(yè)務(wù)來說，要加強(qiáng)安全性建設(shè)，從而保證信息網(wǎng)絡(luò)安全性和可靠性。

隨著企業(yè)逐步發(fā)展和市場(chǎng)不斷壯大，電信企業(yè)的業(yè)務(wù)量與數(shù)據(jù)量也在不斷增加。在業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中，會(huì)出現(xiàn)業(yè)務(wù)邏輯不合理、系統(tǒng)程序不足、代理商惡意欺詐等情況，導(dǎo)致出現(xiàn)業(yè)務(wù)安全問題。如果不及時(shí)發(fā)現(xiàn)，就會(huì)產(chǎn)生收入流失、用戶投訴等問題。以此，本文就設(shè)計(jì)并提出一種基于數(shù)據(jù)業(yè)務(wù)流分析的數(shù)據(jù)安全檢測(cè)評(píng)估方法，通過大量復(fù)雜的業(yè)務(wù)數(shù)據(jù)挖掘有價(jià)值數(shù)據(jù)，為業(yè)務(wù)安全保障提供可靠、穩(wěn)定的平臺(tái)支撐。

1 數(shù)據(jù)業(yè)務(wù)流定義及分析方法

利用數(shù)據(jù)幀抽象化概念對(duì)觀測(cè)數(shù)據(jù)幀進(jìn)行定義，從而構(gòu)成數(shù)據(jù)業(yè)務(wù)流，實(shí)現(xiàn)一次連接與呼叫。業(yè)務(wù)流通過源地址、目標(biāo)地址、業(yè)務(wù)流進(jìn)行判定:

（1）業(yè)務(wù)流方向性。屬于單方向（A→B），規(guī)定（B→A）數(shù)據(jù)幀為同個(gè)業(yè)務(wù)流。定義業(yè)務(wù)流為雙方向（A→B；B→A），兩個(gè)方向數(shù)據(jù)幀為同個(gè)業(yè)務(wù)流；（2）業(yè)務(wù)流端點(diǎn)粒度。包括端用戶、網(wǎng)絡(luò)IP地址、具體用戶、主機(jī)名等；（3）協(xié)議特征。協(xié)議特征連接流明顯。

利用統(tǒng)計(jì)學(xué)方法對(duì)網(wǎng)絡(luò)業(yè)務(wù)流進(jìn)行分類，要求實(shí)時(shí)性比較高，而且延遲敏感。Internet服務(wù)商對(duì)業(yè)務(wù)戰(zhàn)略進(jìn)行制定，網(wǎng)絡(luò)管理員對(duì)業(yè)務(wù)類型掌握，精準(zhǔn)分配業(yè)務(wù)流，從而提高服務(wù)質(zhì)量，控制帶寬。傳統(tǒng)業(yè)務(wù)流分類是通過包頭信號(hào)通信端口號(hào)實(shí)現(xiàn)的，此方法精準(zhǔn)度比較低。在應(yīng)用協(xié)議和業(yè)務(wù)不斷增加過程中，利用通機(jī)械分類使業(yè)務(wù)流分類精準(zhǔn)性得到提高。利用多重參數(shù)構(gòu)成網(wǎng)絡(luò)業(yè)務(wù)模型，通過數(shù)據(jù)包提取參數(shù)，主要包括包的起止時(shí)間、大小、包鏈長(zhǎng)度、經(jīng)過路由等。另外，還能夠通過高斯混合模型等方法對(duì)業(yè)務(wù)模型的多重參數(shù)和業(yè)務(wù)流進(jìn)行分類[1]。

2 終端業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)

大部分應(yīng)用程序利用HTTP協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行發(fā)送與接收，業(yè)務(wù)數(shù)據(jù)通過兩種不同的方式進(jìn)行HTTP操作，所有方式都支持HTTPS協(xié)議和以流方式開展上傳與下載、連接池、配置超時(shí)時(shí)間等功能。壓縮與緩存機(jī)制能夠降低網(wǎng)絡(luò)使用率，提高數(shù)據(jù)傳輸速度。但是在線程安全與連接管理方面能夠提高擴(kuò)展穩(wěn)定性，方便升級(jí)與擴(kuò)展。在使用加密算法過程中保護(hù)關(guān)鍵信息，在代碼關(guān)鍵點(diǎn)要和后臺(tái)交互位置使用加密算法，能夠保護(hù)用戶信息和關(guān)鍵代碼。

3 數(shù)據(jù)業(yè)務(wù)流分析檢測(cè)信息收集

行為分析指的是系統(tǒng)進(jìn)程、業(yè)務(wù)用戶等在業(yè)務(wù)使用中行為活動(dòng)中的規(guī)律歸納、監(jiān)視、總結(jié)的各種操作行為，從而對(duì)業(yè)務(wù)、用戶的行為開展分析、特征提取、異常判斷和模式訓(xùn)練。

3.1 收集來源

分析業(yè)務(wù)系統(tǒng)行為，全面收集業(yè)務(wù)系統(tǒng)中信息，具體采集源包括:（1）主機(jī)系統(tǒng):主要包括Linux、Windows等操作系統(tǒng)日志；（2）安全設(shè)備:主要包括IPS、IDS、WAF等設(shè)備告警日志；（3）監(jiān)控系統(tǒng):主要包括網(wǎng)絡(luò)維護(hù)監(jiān)控系統(tǒng)、web監(jiān)控系統(tǒng)、IP資產(chǎn)管理等系統(tǒng)日志信息；（4）流量分析控制系統(tǒng):主要包括DPI設(shè)備、流控設(shè)備等信息；（5）網(wǎng)絡(luò)流量:主要包括業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)出口、接入層網(wǎng)絡(luò)、匯聚等信息[2]。

3.2 收集方法

3.2.1 日志采集

利用文本方式進(jìn)行日志采集，具體為:（1）基于文本方式。是指利用FIP和Mail的方式收集日志，屬于被動(dòng)采集日志數(shù)據(jù)的方式；（2）基于SNMP TRAP方式。利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議對(duì)網(wǎng)絡(luò)進(jìn)行管理，SNMP TRAP是將SNMP MIB作為基礎(chǔ)對(duì)設(shè)備信息進(jìn)行收集，只有滿足TRAP觸發(fā)條件才能夠被定義。人們都是通過SNMP TRAP機(jī)制收集日志數(shù)據(jù)。SNMP TRAP機(jī)制為基于網(wǎng)絡(luò)節(jié)點(diǎn)計(jì)算機(jī)代理進(jìn)程，如果設(shè)備參數(shù)或者狀態(tài)出現(xiàn)改變，要主動(dòng)監(jiān)聽網(wǎng)絡(luò)進(jìn)程報(bào)告；（3）基于Syslog方式。此方式是基于TCP/IP系統(tǒng)所研發(fā)的，屬于工業(yè)標(biāo)準(zhǔn)體系系統(tǒng)日志傳輸協(xié)議。Syslog傳輸協(xié)議為UDP，利用目的端口514在Syslog軟件系統(tǒng)日志服務(wù)器中配置安全設(shè)備日志管理，對(duì)日志數(shù)據(jù)進(jìn)行接收，在日志文件中寫入[3]。

3.2.2 流量采集

利用SNMP和Net Flow的方法采集流量，具體步驟為:（1）基于SNMP方式。通過此技術(shù)讀取網(wǎng)絡(luò)設(shè)備中SNMP代理管理信息庫(kù)對(duì)象的標(biāo)識(shí)符信息，從而得出流量數(shù)據(jù)，此方法比較簡(jiǎn)單，并且應(yīng)用效率比較高，設(shè)備支持廣范圍的應(yīng)用。由于流量數(shù)據(jù)是通過鏈路層地址聚合，無法得到IP地址、端口號(hào)等網(wǎng)絡(luò)層以上信息；（2）基于Net Flow方式。屬于網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)技術(shù)，通過分析網(wǎng)絡(luò)傳輸數(shù)據(jù)包的屬性，區(qū)分網(wǎng)絡(luò)傳輸不同的業(yè)務(wù)類型數(shù)據(jù)。對(duì)于區(qū)分?jǐn)?shù)據(jù)流，Net Flow能夠單獨(dú)統(tǒng)計(jì)信息，使統(tǒng)計(jì)后信息根據(jù)一定格式發(fā)送到指定接收設(shè)備中；（3）基于流量全鏡像。流量全鏡像指的是拷貝交換機(jī)等網(wǎng)絡(luò)設(shè)備端口流量，在另外端口復(fù)制[4]。

3.3 生成有向圖

以業(yè)務(wù)流對(duì)安全事件信息進(jìn)行篩選，從而創(chuàng)建有向圖，在網(wǎng)絡(luò)業(yè)務(wù)流有向圖生成中，要重視業(yè)務(wù)流開始與結(jié)束的判定。由于具有明顯的業(yè)務(wù)流協(xié)議特征，能夠快速的實(shí)現(xiàn)業(yè)務(wù)判斷。但是并不是全部網(wǎng)絡(luò)協(xié)議都是面向協(xié)議，要對(duì)業(yè)務(wù)流結(jié)束判定進(jìn)行重視。如果無法判斷業(yè)務(wù)流是否結(jié)束，業(yè)務(wù)流數(shù)據(jù)在不斷的增長(zhǎng)，在存儲(chǔ)空間消耗過程中會(huì)有較大的匹配計(jì)算處理壓力。一般通過基于特征協(xié)議、時(shí)間戳等算法判定業(yè)務(wù)流結(jié)束。在對(duì)網(wǎng)絡(luò)業(yè)務(wù)流開始和結(jié)束進(jìn)行判定后，根據(jù)業(yè)務(wù)流信息對(duì)有向圖進(jìn)行判斷。利用趨勢(shì)線、節(jié)點(diǎn)實(shí)現(xiàn)業(yè)務(wù)流有向圖存儲(chǔ)模型的創(chuàng)建，記錄業(yè)務(wù)信息，業(yè)務(wù)流向?yàn)橼厔?shì)線[5]。

4 基于數(shù)據(jù)業(yè)務(wù)流安全檢測(cè)分析方法

4.1 數(shù)據(jù)分析思路

我國(guó)企業(yè)信息安全系統(tǒng)在不斷改變，大數(shù)據(jù)能夠分析企業(yè)安全隱患，全面分析企業(yè)潛在風(fēng)險(xiǎn)和敵人，總結(jié)風(fēng)險(xiǎn)問題和類型。根據(jù)大數(shù)據(jù)掌握風(fēng)險(xiǎn)根本問題，從而提出針對(duì)性的對(duì)策解決風(fēng)險(xiǎn)，提高企業(yè)信息安全防御。大數(shù)據(jù)技術(shù)主要包括挖掘技術(shù)、大數(shù)據(jù)分析等，使用大數(shù)據(jù)是以基于技術(shù)的安全理念和分析，企業(yè)大數(shù)據(jù)為完善大數(shù)據(jù)安全分析方法。收集并且存儲(chǔ)分散信息，根據(jù)分析結(jié)果實(shí)現(xiàn)分類統(tǒng)計(jì)和可視化展示，從而創(chuàng)建完整的架構(gòu)，實(shí)現(xiàn)安全技術(shù)的互動(dòng)。

4.2 數(shù)據(jù)分析結(jié)構(gòu)

企業(yè)在開展數(shù)據(jù)安全分析過程中，對(duì)于不同業(yè)務(wù)的數(shù)據(jù)庫(kù)架構(gòu)也各有不同。關(guān)系數(shù)據(jù)庫(kù)為企業(yè)信息安全處理的主要方式，用戶通過數(shù)據(jù)的匯總和觀察能夠開展安全控制。文本數(shù)據(jù)庫(kù)能夠描述企業(yè)的圖像，多媒體數(shù)據(jù)庫(kù)能夠綜合梳理企業(yè)的視頻、圖像與音頻，對(duì)存儲(chǔ)內(nèi)容進(jìn)行檢索。企業(yè)實(shí)現(xiàn)安全大數(shù)據(jù)分析與存儲(chǔ)后確定目標(biāo)，開展數(shù)據(jù)開量化分析與處理，將結(jié)果展現(xiàn)出來。所以，通過大數(shù)據(jù)安全分析與統(tǒng)計(jì)能夠反映安全數(shù)據(jù)，從而對(duì)風(fēng)險(xiǎn)進(jìn)行全面的評(píng)估[6]。

4.3 數(shù)據(jù)安全分析

在大數(shù)據(jù)不斷發(fā)展的過程中，各種大數(shù)據(jù)技術(shù)都被提出并且逐漸的完善，常見技術(shù)包括序列分析法、分類計(jì)數(shù)法等，此分析技術(shù)對(duì)大數(shù)據(jù)安全效果良好。本文提出信息安全分析方法中，針對(duì)不同數(shù)據(jù)庫(kù)要使用不同分析算法實(shí)現(xiàn)。在關(guān)系數(shù)據(jù)庫(kù)中使用序列分析實(shí)現(xiàn)數(shù)據(jù)挖掘和分析，使用關(guān)聯(lián)分析法實(shí)現(xiàn)文本數(shù)據(jù)庫(kù)分析，和模式匹配方法結(jié)合實(shí)現(xiàn)數(shù)據(jù)挖掘。

4.4 數(shù)據(jù)安全檢測(cè)的流程

結(jié)合頻繁子圖和業(yè)務(wù)流序列，設(shè)計(jì)安全事件檢測(cè)模型。此模型通過檢測(cè)與訓(xùn)練實(shí)現(xiàn)，在訓(xùn)練過程中創(chuàng)建子圖特征模式集數(shù)據(jù)庫(kù)，在檢測(cè)過程中實(shí)現(xiàn)輸入業(yè)務(wù)流序列特征匹配與特征模式集數(shù)據(jù)庫(kù)更新。以圖遍歷兩種方式使頻繁子圖挖掘算法劃分為深度DFS、廣度BFS兩種優(yōu)先搜索算法。BFS算法是將Apriori作為基礎(chǔ)的頻繁子結(jié)構(gòu)挖掘算法，挖掘子圖搜索起點(diǎn)為小規(guī)模圖，以自底向上的方式生成頂點(diǎn)、附加邊、路徑的候選圖，主要包括FSG、AGM等算法。DFS算法是基于模式增長(zhǎng)的頻繁子結(jié)構(gòu)挖掘框架，對(duì)于每個(gè)圖G實(shí)現(xiàn)遞歸擴(kuò)展，直到所有嵌入G頻繁子圖，比如CloseGraph、FFSM等算法[7]。

利用訓(xùn)練階段業(yè)務(wù)流預(yù)處理創(chuàng)建檢測(cè)模型，轉(zhuǎn)變網(wǎng)絡(luò)安全事件業(yè)務(wù)為有向圖結(jié)構(gòu)，通過圖結(jié)構(gòu)將網(wǎng)絡(luò)業(yè)務(wù)流展現(xiàn)出來，根據(jù)頻繁子圖挖掘技術(shù)挖掘安全事件特征候選字圖結(jié)構(gòu)。部分候選字圖將安全事件特征極小值展現(xiàn)出來，也可以表示為原生候選子圖；其他候選字體利用原生候選子圖衍生出來，實(shí)現(xiàn)安全事件的特征分析。原生候選子圖能夠?qū)踩录袨樘卣鞒浞终宫F(xiàn)出來，衍生候選子圖對(duì)未知安全事件行為能力與價(jià)值進(jìn)行檢測(cè)。最后，實(shí)現(xiàn)全部候選子圖的剪枝操作，通過適當(dāng)取舍實(shí)現(xiàn)特征模式集數(shù)據(jù)庫(kù)進(jìn)行創(chuàng)建。

在模型檢測(cè)過程中，以流行系統(tǒng)對(duì)序列匹配方法進(jìn)行調(diào)用。首先，設(shè)置窗口閾值，限定網(wǎng)絡(luò)業(yè)務(wù)流檢測(cè)的范圍；之后，進(jìn)行循環(huán)調(diào)用。依次輸入網(wǎng)絡(luò)業(yè)務(wù)流序列，使業(yè)務(wù)流數(shù)據(jù)轉(zhuǎn)變?yōu)橛邢驁D，然后對(duì)比特征模式數(shù)據(jù)庫(kù)數(shù)據(jù)，進(jìn)行特征匹配；匹配窗口序列后在檢測(cè)窗口轉(zhuǎn)移，開展下一次特征匹配，直到輸入業(yè)務(wù)流序列的結(jié)尾，輸入檢測(cè)結(jié)果。最后，對(duì)檢測(cè)結(jié)果進(jìn)行分析，更新已有特征模式數(shù)據(jù)庫(kù)[8]。

5 結(jié)語

總之，在現(xiàn)代社會(huì)中，加強(qiáng)企業(yè)信息安全建設(shè)尤為重要。大數(shù)據(jù)技術(shù)發(fā)展為信息安全系統(tǒng)創(chuàng)建提供可能，本文分析了數(shù)據(jù)安全分析方法，希望能夠促進(jìn)企業(yè)信息安全系統(tǒng)的發(fā)展和完善。