基于云計算與數(shù)據挖掘技術的網絡安全監(jiān)測與預警研究

摘要：網絡安全監(jiān)測與預警系統(tǒng)的建設及應用，為用戶及企業(yè)創(chuàng)建優(yōu)質的網絡環(huán)境，從而全面防控計算機病毒以及黑客攻擊。從技術驅動角度來講，網絡安全監(jiān)測與預警功能的實現(xiàn)需要按照外部架構以及內部數(shù)據兩個方面進行設定，而云計算技術與數(shù)據挖掘技術可以很好解決網絡運行中的問題?；诖?，立足網絡安全監(jiān)測與預警的重要指標，從云計算與數(shù)據挖掘技術兩個方面，對網絡安全監(jiān)測與預警系統(tǒng)進行研究。

關鍵詞：云計算；數(shù)據挖掘技術；網絡安全監(jiān)測與預警；數(shù)據庫審計

一、前言

信息化時代，我國不斷加大網絡安全的投入力度，涵蓋防火墻、入侵監(jiān)測、網絡行為審計、數(shù)據庫審計等在內的網絡安全系統(tǒng)也初見成效。然而，網絡運行環(huán)境復雜，攻擊手段層出不窮，研發(fā)一種新型防護技術，短時間內就會出現(xiàn)一種針對性的攻擊技術。攻擊者在發(fā)起攻擊前，測試該攻擊手段能否繞過網絡的安全監(jiān)測與預警路徑，防護技術升級也伴隨著高級逃避技術、多階段攻擊等新一代威脅的出現(xiàn)。網絡與人們生活、社會生產的日益融合，更需要研究出防護性能高的安全監(jiān)測與預警系統(tǒng)，保障網絡系統(tǒng)運行的安全性與穩(wěn)定性。為此，可以借助云計算、數(shù)據挖掘等技術，深入探討網絡安全監(jiān)測與預警系統(tǒng)的運行機理，助推我國網絡行業(yè)的安全、健康發(fā)展。

二、云計算與數(shù)據挖掘技術之間的關系

數(shù)據挖掘是指在海量數(shù)據中，通過算法搜索隱藏于其中的信息的過程。早在20世紀90年代，數(shù)據挖掘技術已經進入全新的領域，涵蓋各種結構化與非結構化數(shù)據，且伴隨著互聯(lián)網的發(fā)展，數(shù)據挖掘在信息爆炸的數(shù)據整合與提煉中愈發(fā)突出。云計算是分布式計算的一種延伸，它是將網絡云中巨大的數(shù)據計算處理程序分解成多個小程序，然后由多臺服務器組成的系統(tǒng)進行分析，并將結果反饋給用戶。云計算概念的提出最早是在2006年8月份，也是互聯(lián)網第三次革命的轉折點，云計算真正讓數(shù)據信息步入了產業(yè)化發(fā)展進程中。

云計算和數(shù)據挖掘技術均屬于網絡系統(tǒng)中的驅動技術，兩者在本質的應用方向上一致，常常將云計算與數(shù)據挖掘技術歸類到一起[1]。數(shù)據挖掘技術很早便已形成，目前已經有了自己獨立的一套理論系統(tǒng)以及算法機制。云計算技術的產生則是與大數(shù)據相輔相成，是近十幾年來在網絡信息的多元化發(fā)展模式下，通過處理數(shù)據信息而得出的一種實踐性成果。大數(shù)據是數(shù)據挖掘與云計算的連接體，可理解為大數(shù)據是實現(xiàn)基礎、云計算是實現(xiàn)架構、數(shù)據挖掘是實現(xiàn)過程。從技術應用角度來講，數(shù)據挖掘與云計算又都有各自的關注點，需要依托數(shù)字中心實現(xiàn)落地，但是落地的方式存在差異，數(shù)據挖掘以數(shù)據分析及應用為主，云計算則偏向于計算機軟硬件的架構與應用。在網絡安全監(jiān)測與預警系統(tǒng)中，云計算與數(shù)據挖掘技術的應用屬于兩個不同的方向。接下來便具體分析兩種技術在網絡安全監(jiān)測與預警中的設計實現(xiàn)。

三、云計算在網絡安全監(jiān)測與預警中的設計實現(xiàn)

基于云計算技術實現(xiàn)的網絡安全與預警，主要是應對近年來各領域業(yè)務遷移造成的數(shù)據風險。因為網絡運行環(huán)境復雜，數(shù)據信息之間存在隱匿風險的問題，所以云內部進行審計與評估時的難度相對增加。部署云計算系統(tǒng)安全防護架構需要通過足夠強的編排能力對網絡產品的安全性能進行檢測，這樣才可以增強云數(shù)據庫審計與防護的整體性能，降低安全風險。

（一）云計算網絡安全監(jiān)測與預警的方案設計

1.網絡安全態(tài)勢感知

網絡安全態(tài)勢感知是云計算技術對網絡系統(tǒng)安全性能的一種感應機制，通過數(shù)據信息采集與分析，保證網絡系統(tǒng)內部分布節(jié)點中的數(shù)據按照云計算架構進行逐一比對。Hadoop是一種云計算平臺，它具備強大的數(shù)據處理能力、可靠的數(shù)據處理過程，內部架構與大數(shù)據下的數(shù)據分析模式及引擎更為接近，通過分布式文件系統(tǒng)，讓海量的數(shù)據信息在處理時以高容錯性能的方式去分析網絡中存在的潛在威脅[2]。與分布式文件系統(tǒng)相對應的mapreduce技術，是對網絡系統(tǒng)內部的數(shù)據信息進行并行處理，它能夠讓云計算平臺中的任務分割成多個碎片。在網絡節(jié)點之中，碎片按照任務組建出一個單體的數(shù)據集，然后由數(shù)據倉庫加載單體數(shù)據集，提升網絡安全態(tài)勢感知及辨別的能力。綜上，網絡環(huán)境中面臨的信息威脅可以通過態(tài)勢感知與數(shù)據溯源精準體現(xiàn)，那么網絡中存在的安全隱患及相關預警工作，也可以通過精密的部署進行監(jiān)測，提高網絡運行的安全性。

2.vWAF

網站應用級入侵防御系統(tǒng)簡稱WAF，國際上公認的說法是WAP應用防火墻，通過執(zhí)行一系列針對HTTP安全策略，專門為Web應用提供的一個服務產品。vWAF則是指綠盟網站安全防護系統(tǒng)，它具有更為強大的包容性且在主流虛擬網絡環(huán)境以及云環(huán)境之中，均能夠提供有效的防護作用。從技術角度來講，它是對WAF系統(tǒng)具備的虛擬化與集群化功能進行聯(lián)合部署，通過搭載云計算中心前端LB，在多臺vWAF上實現(xiàn)了分發(fā)。當云計算中心前端LB存在缺失問題時，vWAF可進行轉換，確保業(yè)務流量能夠在云計算系統(tǒng)中完成轉發(fā)，在資源平等后，再統(tǒng)一將信息發(fā)回Web服務器；在數(shù)據處理中，vWAF平臺能夠檢測網絡防護層，來分析出防御應用層對Web安全發(fā)起的各種攻擊，比如XSS攻擊、開放式攻擊、OWASP攻擊等，都可以通過vWAF實現(xiàn)云環(huán)境視域下的安全防控。

3.虛擬防火墻

虛擬防火墻是將一臺防火墻在邏輯上劃分為多臺具有虛擬性質的防火墻，且每一個虛擬防火墻系統(tǒng)均可以被看成一臺實體性質的防火墻設備，它具有單獨的系統(tǒng)資源、管理員、安全策略以及用戶認證數(shù)據庫。每一個虛擬防火墻都是獨立的，且系統(tǒng)之間的流量相互隔離，具有較高的安全性。一方面，虛擬防火墻之間的數(shù)據通信是以串行的方式進行整體采集與分析，這種方式也能提高對整個虛擬網絡的流量監(jiān)控[3]；另一方面，虛擬防火墻采用了引流技術，使云網絡拓展具備了二次分割的可能。因為在網絡設置不變的情況之下，讓云平臺的虛擬資源實現(xiàn)了真正意義上的分離，保證網絡不同業(yè)務之間資源相互隔離，數(shù)據信息之間又保持共通，進而全面地對網絡進行監(jiān)測與預警。

從上述三種設計方案可以看出，基于云計算的網絡安全監(jiān)測與預警系統(tǒng)，要想精準地完成數(shù)據全過程監(jiān)管，需要在虛擬機、可視化技術以及引流技術的共同驅動之下，搭建出完整的監(jiān)管體系。為了在可視化狀態(tài)下直觀展示出數(shù)據監(jiān)測機理，提高審計的可操作性，需要進行統(tǒng)一規(guī)劃。

（二）云計算網絡安全監(jiān)測與預警的實現(xiàn)

利用云計算平臺實現(xiàn)態(tài)勢感知主要通過部署期間的旁路方式，讓數(shù)據信息的采集與分析更具全面性。例如，服務器日志、終端日志、流量探針等均可以通過云平臺的審計進行過濾，實現(xiàn)統(tǒng)一的存儲及管理。每一項數(shù)據信息的關聯(lián)均可以反映出當前網絡運行中存在的異常故障問題，產生異?，F(xiàn)象時，可以由內部系統(tǒng)的感知服務為用戶提供信息定位。流量探針也能夠對網絡運行中的流量消耗情況進行搜集與檢索，生成日志報告，并定向發(fā)送到服務器中。vWAF在部署時是通過反向代理的方式，對外部服務器、防火墻、相關端口的信息傳輸流程進行修改，確保互聯(lián)網用戶在訪問Web時，能夠無感知地接入、認證。虛擬防火墻是通過串行的方式部署到網絡中的，在虛擬機端口的支撐下，對內部數(shù)據信息的流入及流出情況進行策略控制，確保虛擬機不會出現(xiàn)惡意訪問的現(xiàn)象，提高防范能力。

基于云計算平臺的網絡安全監(jiān)測與預警的運行情況，能夠監(jiān)測出網絡使用流量的數(shù)據差異行為、惡意攻擊行為，實時監(jiān)測與處理、掃描全網信息，分析網絡的安全指標。出現(xiàn)攻擊情況時，及時還原攻擊路徑，正確溯源與定位攻擊，將網絡受到的影響降到最低。利用日志審計平臺可以調取與保留原始日志信息，將此作為依據制定出可靠的運維機制，提高數(shù)據信息的檢索能力。vWAF平臺在實際應用時也實現(xiàn)了多維度的風險防范，檢測每一類數(shù)據信息可以按照網絡資源的活躍情況分析具體漏洞點，確保網站內部的訪問流量及存在的威脅在實時監(jiān)測范圍之內。虛擬化防火墻在應用時是按照不同安全級別網絡載體進行區(qū)域化的部署，整項資源的獨立性可以讓虛擬系統(tǒng)真實反饋軟硬件結構存在的問題。例如，會話、接口、vlan等，資源的獨享權可以精準檢測網絡中存在的危險行為，提高網絡防范能力。

四、數(shù)據挖掘技術在網絡安全監(jiān)測與預警中的設計實現(xiàn)

基于數(shù)據挖掘技術的網絡安全監(jiān)測與預警是通過分析網絡中數(shù)據信息的傳輸行為，檢索到與網絡被入侵參數(shù)相符合的一系列數(shù)據信息，然后用被劃分到安全影響指標的數(shù)據界定異常行為。從數(shù)據挖掘角度來講，監(jiān)測與預警網絡中存在的危險行為，主要是通過數(shù)據采集、數(shù)據處理與數(shù)據分析，將數(shù)據最終轉變?yōu)榭梢暬臄?shù)據類型，讓分析結果更具真實性，如圖1所示。

從圖1我們可以看出數(shù)據采集、數(shù)據處理與數(shù)據分析的三個階段，是網絡環(huán)境面向海量數(shù)據的一種定向式檢索方式。在數(shù)據采集階段的rink_sock以及highcap，保證數(shù)據采集的精準性與效率性，避免出現(xiàn)丟包。在數(shù)據處理階段，對數(shù)據包的預處理采取事件驅動模型，通過引擎與策略的方式細化數(shù)據包，最終在數(shù)據分析的作用下，通過挖掘分析與關聯(lián)預測等，提高數(shù)據采集精度。

（一）數(shù)據挖掘網絡安全監(jiān)測與預警的設計

1.數(shù)據采集階段

數(shù)據采集包含TAP與TEND組件[4]。TAP組件旁路接入需要采集數(shù)據的互聯(lián)網與局域網，數(shù)據采集是由HIGHCAP所支撐并實現(xiàn)的，其最大效率可以達到1GB/s網絡數(shù)據分流，如下為數(shù)據采集在不同模塊中的實現(xiàn)過程。

（1）rink_sock。由TAP組件傳來的數(shù)據寫入到緩存區(qū)，并通過定位，保證數(shù)據在索引的過程中，能夠自動排列數(shù)據隊列的末尾，這樣在緩存區(qū)的環(huán)形結構驅使下，不再需要單獨對緩存區(qū)分配資源，從而降低損耗。

檢測節(jié)點在讀取數(shù)據的過程中需要通過用戶獲得緩存區(qū)的數(shù)據，而為了避免內核模塊與用戶模塊之間的空間復制問題，則采用了DMA技術，直接將數(shù)據映射到用戶模塊之中，提高讀取效率。運行流程如圖2所示。

（2）highcap。旁路接入互聯(lián)網或物聯(lián)網之中捕獲互聯(lián)網鏈路層中的數(shù)據幀并將MAC地址轉變?yōu)楸O(jiān)控端，通過復制與傳輸，保證接入網絡的物理線路處于監(jiān)控區(qū)域內。

監(jiān)控端捕獲數(shù)據包后做負載均衡，按照網絡運行環(huán)境的常態(tài)運行模式，在遇到較多的荷載壓力時，自主進行分流，將數(shù)據寫入TEND組件中。

由于TEND組件在TAP之后，串聯(lián)的數(shù)據傳輸方式可以提高數(shù)據在緩存區(qū)的捕獲能力，間接降低資源損耗率。運行流程如圖3所示。

2.數(shù)據處理階段

數(shù)據處理過程主要是通過網絡中的子節(jié)點去檢索基于事件引擎所實現(xiàn)的數(shù)據記錄。例如，網絡協(xié)議以及事件特征屬性的記錄及分析，并通過策略解釋引擎分析網絡運行中的各類異常行為，最終由監(jiān)控分析分辨出網絡入侵檢測及行為警告相對標的閾值并發(fā)送到終端。

數(shù)據處理層的事件引擎以及策略解釋主要是采取Bro語言腳本，通過該語言腳本的事件驅動機制，對主流網絡中的協(xié)議進行預設以及分析。例如，協(xié)議通信過程的各個階段、數(shù)據傳輸中的各種狀態(tài)以及數(shù)據類型的分析，其既可以進行單體分析，也可通過自定義組合的方式將協(xié)議進行混合分析，有效應對復雜的網絡環(huán)境。Bro語言的數(shù)據類型包括整數(shù)、浮點數(shù)、布爾值、字符、字符串、記錄、函數(shù)和網絡流等。每個數(shù)據類型都有其特定的用途和特點，整數(shù)用于計數(shù)，浮點數(shù)用于精確計算，布爾值表示真或假，字符表示單個字母或符號，字符串表示一串字符等。上述數(shù)據類型可以在腳本中定義不同的策略以及觸發(fā)函數(shù)，進而借助腳本內容生成不同的日志文件。

3.數(shù)據分析階段

數(shù)據分析層主要是針對代碼特征庫以及大數(shù)據分析所建立出的數(shù)據檢測模型進行設定，此模型是以scikit數(shù)據挖掘算法對網絡環(huán)境中存在的惡意行為進行預測。

4.網絡安全預測

數(shù)據挖掘是在海量數(shù)據中找到存在異常的數(shù)據，并對目標內容進行挖掘、計算。此過程可以歸納為三個階段，其一是數(shù)據挖掘結果的對標階段，確保數(shù)據信息可視化地呈現(xiàn)給用戶。其二是數(shù)據結果評價階段。此過程是在數(shù)據挖掘目標的基礎上，給予數(shù)據挖掘結果適當?shù)?、客觀的評價[5]。其三是預測網絡安全態(tài)勢，需要在完成數(shù)據挖掘以后對數(shù)據信息進行分析，以此評價與反映網絡安全態(tài)勢。所以，在進行網絡安全態(tài)勢預測的時候，需要將挖掘到的知識與系統(tǒng)進行融合，顯示并評價知識的機制，以此對異常數(shù)據進行準確的判斷，將篩選出的異常數(shù)據與可信度較高的數(shù)據進行對比，有效解決網絡安全的具體問題。

（二）數(shù)據挖掘網絡安全監(jiān)測與預警的實現(xiàn)

在具體實驗過程中借助Bro語言腳本，分析網絡中請求信息。在http數(shù)據流量的不斷增加下，此類檢測方法的效率也隨之提升，如圖4所示。

五、結語

綜上所述，計算機網絡運行容易受到外界環(huán)境的影響，讓系統(tǒng)面臨著癱瘓以及數(shù)據丟失的問題，病毒入侵、黑客攻擊等均將產生嚴重的威脅。為此，應當建立健全網絡系統(tǒng)，以技術角度為切入點，分析系統(tǒng)運行中存在的問題，并建構更為完整的網絡安全防護體系，營造良好的上網環(huán)境。期待未來發(fā)展中，積極引入先進的技術、理念，及時更新網絡防護系統(tǒng)，從基礎層面提高網絡系統(tǒng)的防護性能。

參考文獻

[1]史赟，洪小珺，胡波.江西省智慧水利省級網絡安全監(jiān)測能力建設[J].江西通信科技，2023（02）：38-41.

[2]黃昌熙，朱磊，余潤澤，等.智能化網絡安全監(jiān)測預警平臺建設和運營思路探討[J].郵電設計技術，2023（01）：27-31.

[3]許旵鵬，許堯，臧偉，等.電力監(jiān)控系統(tǒng)網絡安全監(jiān)測的改進與優(yōu)化[J].數(shù)字技術與應用，2022，40（09）：231-233.

[4]陶文偉，曹揚，吳金宇，等.電力物聯(lián)網終端網絡安全監(jiān)測技術研究[J].軟件，2022，43（08）：70-72+80.

[5]馬騰騰，付佳佳，楊云帆，等.電力監(jiān)控系統(tǒng)網絡安全監(jiān)測技術[J].數(shù)字技術與應用，2022，40（05）：231-233.

基金項目：1.2021年度河南省高等教育教學改革研究與實踐項目“專業(yè)集群背景下書院制育人模式改革與實踐”（ 項目編號： 2021SJGLX556）；2. 2022年度河南省大中專院校就業(yè)創(chuàng)業(yè)課題研究項目“大數(shù)據技術推進就業(yè)供需精準智能匹配研究”（項目編號：JYB2023235）；3.2022年河南省職業(yè)教育教學改革研究與實踐項目“產出導向、能力本位：本科層次職業(yè)教育人才培養(yǎng)研究與實踐”（項目編號：豫教[2023]02998）

作者單位：河南機電職業(yè)學院

■ 責任編輯：尚丹