基于大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控算法研究

黃式敏

關(guān)鍵詞：大數(shù)據(jù)；異構(gòu)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全監(jiān)控

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）03-0072-02

在計(jì)算機(jī)技術(shù)不斷發(fā)展的過程中，我國(guó)也逐漸進(jìn)入信息化時(shí)代。信息化為我們帶來(lái)了極大的方便，但也導(dǎo)致出現(xiàn)網(wǎng)絡(luò)安全隱患問題。在大數(shù)據(jù)時(shí)代中，網(wǎng)絡(luò)系統(tǒng)安全問題也越來(lái)越嚴(yán)峻。要想在數(shù)據(jù)庫(kù)中尋找安全問題，就要花費(fèi)大量的時(shí)間和精力。在異構(gòu)網(wǎng)絡(luò)模式形成下，會(huì)產(chǎn)生大量無(wú)法解決、復(fù)雜的問題。要想在大數(shù)據(jù)時(shí)代中保證網(wǎng)絡(luò)系統(tǒng)的安全，就要?jiǎng)?chuàng)建完全的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，實(shí)現(xiàn)全部數(shù)據(jù)的系統(tǒng)、全面和綜合分析，從而尋找問題的所在，使用針對(duì)性的措施解決問題，為網(wǎng)絡(luò)安全提供可靠、安全的保障[1]。

1 基于大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控模型

1.1 安全分析需求

在大數(shù)據(jù)發(fā)展的過程中，數(shù)據(jù)預(yù)測(cè)不僅是重要研究對(duì)象，而且是學(xué)術(shù)界針對(duì)預(yù)測(cè)問題的研究重點(diǎn)：（1） 趨勢(shì)預(yù)測(cè)。通過事物的屬性與前期態(tài)勢(shì)分析，預(yù)測(cè)事物的發(fā)展軌跡與最終發(fā)展趨勢(shì)；（2） 缺失信息預(yù)測(cè)。所看到的信息為所有真實(shí)信息中的小部分，如何通過所得到的已知信息對(duì)未知信息進(jìn)行預(yù)測(cè)。在現(xiàn)代數(shù)據(jù)時(shí)代中，通過這兩種預(yù)測(cè)角度實(shí)現(xiàn)異構(gòu)數(shù)據(jù)元分析，對(duì)如何利用已經(jīng)發(fā)生的事件軌跡預(yù)測(cè)安全態(tài)勢(shì)和事件，并且考慮通過安全事件對(duì)安全環(huán)境影響進(jìn)行分析，針對(duì)成熟的安全技術(shù)實(shí)現(xiàn)，包括防火墻、IPS和IDS等。

在異構(gòu)數(shù)據(jù)源分析模型設(shè)計(jì)過程中，要求具備快速反應(yīng)能力，能夠針對(duì)異常安全事件報(bào)警使用針對(duì)性措施，避免事件對(duì)網(wǎng)絡(luò)造成影響。另外，還要通過大量告警數(shù)據(jù)對(duì)核心數(shù)據(jù)進(jìn)行提取，從而及時(shí)尋找問題并解決。大數(shù)據(jù)能夠展現(xiàn)數(shù)據(jù)的外部性，通過數(shù)據(jù)的交叉分析，從而提高自身價(jià)值?；诖髷?shù)據(jù)環(huán)境的異構(gòu)數(shù)據(jù)源分析為事件關(guān)聯(lián)，網(wǎng)絡(luò)環(huán)境中存在大量安全設(shè)備與網(wǎng)絡(luò)設(shè)備。國(guó)內(nèi)針對(duì)傳統(tǒng)事件的關(guān)聯(lián)具有一定科研成果，比如人工神經(jīng)網(wǎng)絡(luò)、貝葉斯網(wǎng)絡(luò)推理理論等，此分析方法是對(duì)異常檢測(cè)系統(tǒng)提出的，并沒有針對(duì)網(wǎng)絡(luò)，缺乏全局性，信息網(wǎng)絡(luò)監(jiān)控設(shè)備數(shù)據(jù)缺乏聯(lián)系，無(wú)法聯(lián)合數(shù)據(jù)分析。在大數(shù)據(jù)環(huán)境中，異構(gòu)數(shù)據(jù)能夠充分考慮算法和架構(gòu)，在不會(huì)導(dǎo)致數(shù)據(jù)價(jià)值損失的背景下對(duì)數(shù)據(jù)進(jìn)行清洗，縮減核心數(shù)據(jù)規(guī)模，基于此實(shí)現(xiàn)數(shù)據(jù)關(guān)聯(lián)，發(fā)現(xiàn)信息安全異常行為并且預(yù)警。

1.2 網(wǎng)絡(luò)安全監(jiān)控模型

現(xiàn)有網(wǎng)絡(luò)安全監(jiān)控缺乏事件分析能力，事件監(jiān)測(cè)數(shù)據(jù)為原始數(shù)據(jù)，無(wú)法實(shí)現(xiàn)知識(shí)化處理。在大數(shù)據(jù)環(huán)境中，各種安全技術(shù)在不斷發(fā)展，從而導(dǎo)致網(wǎng)絡(luò)安全環(huán)境數(shù)據(jù)異構(gòu)，缺乏整體網(wǎng)絡(luò)安全態(tài)勢(shì)及時(shí)、精準(zhǔn)的數(shù)據(jù)分析。數(shù)據(jù)量巨大的安全事件包括大量的不可靠信息，降低了數(shù)據(jù)環(huán)境下信息安全原始事件的數(shù)據(jù)分析價(jià)值。所以，傳統(tǒng)算法具有適應(yīng)性問題，復(fù)雜度比較高，無(wú)法滿足大數(shù)據(jù)環(huán)境需求。相關(guān)研究表示，部分簡(jiǎn)單算法對(duì)大數(shù)據(jù)處理是有效的。以此，設(shè)計(jì)網(wǎng)絡(luò)安全監(jiān)控模式。

1.2.1 大數(shù)據(jù)收集模塊

利用此模塊收集信息網(wǎng)絡(luò)安全環(huán)境數(shù)據(jù)源，原始數(shù)據(jù)為安全設(shè)備、網(wǎng)絡(luò)設(shè)備、日志與事件信息等。其次，提供SNMP、SDK和KAP等接口。

1.2.2 大數(shù)據(jù)整合模塊

通過大數(shù)據(jù)收集的數(shù)據(jù)比較凌亂，假如各信息源存在不同的數(shù)據(jù)格式，就會(huì)導(dǎo)致監(jiān)測(cè)系統(tǒng)處理存在問題。利用此模塊處理問題，并且對(duì)源數(shù)據(jù)進(jìn)行過濾處理，根據(jù)用戶設(shè)置的分類規(guī)則對(duì)數(shù)據(jù)進(jìn)行分類。要充分考慮隱私信息的去隱私化處理，利用源數(shù)據(jù)得出隱私數(shù)據(jù)的索引字段[2]。

1.2.3 大數(shù)據(jù)關(guān)聯(lián)分析

雖然通過上述階段已經(jīng)去除數(shù)據(jù)冗余，但是整體網(wǎng)絡(luò)安全監(jiān)控大部分為初始數(shù)據(jù)，要求尋找核心數(shù)據(jù)。關(guān)聯(lián)信息指的是實(shí)時(shí)事件與歷史趨勢(shì)對(duì)比，此種指的是真實(shí)的攻擊行為。此模塊能夠?qū)r(shí)間規(guī)則庫(kù)進(jìn)行分析，事件庫(kù)中存儲(chǔ)相應(yīng)異常行為模式與安全漏洞等。在出現(xiàn)網(wǎng)絡(luò)安全事件的過程中，通過大數(shù)據(jù)關(guān)聯(lián)分析模塊對(duì)核心數(shù)據(jù)進(jìn)行細(xì)化，與邏輯拓?fù)鋵?duì)應(yīng)，跟蹤事件。利用安全行為流程的解析，對(duì)真正攻擊行為進(jìn)行鑒別，實(shí)現(xiàn)安全事件發(fā)生位置的定位。在大數(shù)據(jù)關(guān)聯(lián)分析過程中，算法和時(shí)間規(guī)則為重點(diǎn)，從而提出了流量規(guī)則和關(guān)聯(lián)規(guī)則，從而解決大數(shù)據(jù)挖掘問題。

1.2.4 大數(shù)據(jù)綜合評(píng)測(cè)

此模塊綜合處理分析的結(jié)果，以此實(shí)現(xiàn)可視化輸出顯示。利用大數(shù)據(jù)分析對(duì)當(dāng)前網(wǎng)絡(luò)安全情況和發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，利用針對(duì)性的對(duì)策分析結(jié)果實(shí)現(xiàn)相應(yīng)流程的制定，對(duì)特定管理員進(jìn)行反饋。在此模塊中，能夠?qū)芾韱T提供指導(dǎo)和幫助信息[3]。

2 基于大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全關(guān)聯(lián)算法

2.1 關(guān)聯(lián)算法

大數(shù)據(jù)異構(gòu)網(wǎng)絡(luò)安全監(jiān)控體系的邏輯推理重點(diǎn)為分析數(shù)據(jù)關(guān)聯(lián)性，在對(duì)異構(gòu)網(wǎng)絡(luò)安全關(guān)聯(lián)算法設(shè)計(jì)過程中，主要內(nèi)容為：（1） 對(duì)處理后核心數(shù)據(jù)的數(shù)據(jù)項(xiàng)關(guān)聯(lián)規(guī)則進(jìn)行處理；（2） 對(duì)大數(shù)據(jù)環(huán)境中異構(gòu)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)流量進(jìn)行分析，對(duì)流量規(guī)則進(jìn)行提??；（3） 對(duì)異構(gòu)設(shè)備核心數(shù)據(jù)和流量數(shù)據(jù)相關(guān)性進(jìn)行分析。如何轉(zhuǎn)變數(shù)據(jù)為研究主要內(nèi)容。在設(shè)計(jì)現(xiàn)代異構(gòu)網(wǎng)絡(luò)模式的過程中，網(wǎng)絡(luò)安全監(jiān)控尤為重要[4]。

2.2 異構(gòu)網(wǎng)絡(luò)安全管理算法的設(shè)計(jì)

在大數(shù)據(jù)環(huán)境中，明確有效、核心的數(shù)據(jù)內(nèi)在聯(lián)系，對(duì)各種信息進(jìn)行組織，從而使開發(fā)人員、研究人員得出數(shù)據(jù)關(guān)聯(lián)信息。數(shù)據(jù)關(guān)聯(lián)分析指的是異構(gòu)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)研究重點(diǎn)，所以網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)設(shè)計(jì)的復(fù)雜規(guī)則為：（1） 處理核心數(shù)據(jù)關(guān)系；（2） 對(duì)網(wǎng)絡(luò)中所有設(shè)備流量的使用情況分析，得到流量規(guī)則，運(yùn)行在網(wǎng)絡(luò)中[5]。

以相關(guān)研究表示，使用規(guī)范化處理與去除冗余方式對(duì)數(shù)據(jù)聚集，并且導(dǎo)出全新屬性，使用四元組（A，P， C，O） 對(duì)不同事件因果聯(lián)系進(jìn)行分析與描述，指的是安全事件、前提條件、安全事件集合和安全事件相關(guān)的屬性集合。如果其中兩個(gè)事件屬性不同，說(shuō)明兩個(gè)事件存在不同實(shí)例。基于模糊理論，e₁和e₂指的是安全事件，C（e₁） ×（e₂） 指的是安全事件之間二元模糊因果關(guān)系。μ_R（c，p）指的是隸屬度函數(shù)，取值區(qū)間為[0，1]。所以，在模糊集合R中的隸屬度表示為（c，p） ，1說(shuō)明c 和p 的模糊因果關(guān)系最大，0說(shuō)明兩者沒有關(guān)系。

3 網(wǎng)絡(luò)安全監(jiān)測(cè)的應(yīng)用實(shí)踐

基于此算法創(chuàng)建安全監(jiān)測(cè)平臺(tái)進(jìn)行實(shí)踐，包括數(shù)據(jù)采集、分析與態(tài)勢(shì)展示等核心功能，通過此技術(shù)實(shí)現(xiàn)全網(wǎng)協(xié)同聯(lián)動(dòng)的態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警與應(yīng)急處置，表1為計(jì)算節(jié)點(diǎn)配置。

（1） 基于多源異構(gòu)大數(shù)據(jù)分析技術(shù)，能夠使全網(wǎng)威脅感知能力得到提高，并且支持多源異構(gòu)安全數(shù)據(jù)的接入，包括安全日志、網(wǎng)絡(luò)流量日志、威脅情報(bào)與應(yīng)用日志等。針對(duì)大數(shù)據(jù)框架，實(shí)現(xiàn)數(shù)據(jù)的關(guān)聯(lián)分析、存儲(chǔ)與秒級(jí)查詢。和威脅感知規(guī)則引擎結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)已知威脅的發(fā)現(xiàn)與告警。

（2） 基于安全事件的全生命周期管理，使網(wǎng)絡(luò)安全運(yùn)營(yíng)能力得到提高，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件與威脅的全生命周期管理，包括分析研判、事件發(fā)現(xiàn)、驗(yàn)證、處理等環(huán)節(jié)。在網(wǎng)絡(luò)安全運(yùn)營(yíng)中，使管理、技術(shù)、人員與流程結(jié)合，使安全運(yùn)維人員實(shí)現(xiàn)問題閉環(huán)處置[7]。

（3） 基于高可信威脅情報(bào)數(shù)據(jù)支撐，使網(wǎng)絡(luò)安全事件響應(yīng)處置能力得到提高，針對(duì)突發(fā)重大安全事件與特定行業(yè)安全威脅分析，支持外部威脅的精準(zhǔn)識(shí)別與追溯。和通報(bào)預(yù)警機(jī)制結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的處置與響應(yīng)。

（4） 基于微觀與宏觀的安全視角，使網(wǎng)絡(luò)安全全局可視能力得到提高，對(duì)全網(wǎng)安全態(tài)勢(shì)實(shí)時(shí)監(jiān)控，通過宏觀視角對(duì)整體安全情況進(jìn)行掌控，通過微觀角度對(duì)安全線索捕獲，從而快速判斷網(wǎng)絡(luò)整體態(tài)勢(shì)和威脅相關(guān)影響范圍、目的和攻擊路徑，支撐有效響應(yīng)和決策[8]。

互聯(lián)網(wǎng)安全防護(hù)是大數(shù)據(jù)環(huán)境下解決安全問題的重點(diǎn)，要維護(hù)互聯(lián)網(wǎng)的安全。目前，維護(hù)互聯(lián)網(wǎng)安全的重點(diǎn)為控制訪問設(shè)置，利用用戶訪問權(quán)限的設(shè)置，對(duì)互聯(lián)網(wǎng)絡(luò)安全使用進(jìn)行保證。比如，通過身份認(rèn)證和密碼避免黑客攻擊，根據(jù)訪問權(quán)限進(jìn)行設(shè)置。其次，設(shè)置數(shù)據(jù)加密，隱藏用戶數(shù)據(jù)信息，保證用戶數(shù)據(jù)的安全性。為了加強(qiáng)網(wǎng)絡(luò)安全，還能夠設(shè)置網(wǎng)絡(luò)隔離，實(shí)現(xiàn)用戶數(shù)據(jù)存儲(chǔ)系統(tǒng)的防火墻，對(duì)大量信息進(jìn)行識(shí)別，篩選有效信息。設(shè)置防火墻能夠?qū)τ?jì)算機(jī)隔離，對(duì)隔離后網(wǎng)絡(luò)安全性進(jìn)行保證。最后，實(shí)現(xiàn)用戶網(wǎng)絡(luò)的入侵檢測(cè)，及時(shí)阻攔非法用戶入侵行為。此種監(jiān)控技術(shù)使用主動(dòng)方式對(duì)網(wǎng)絡(luò)安全防御，消除防火墻不足，也是全方位網(wǎng)絡(luò)化安全實(shí)時(shí)保護(hù)的技術(shù)[9]。

4 結(jié)束語(yǔ)

在信息化時(shí)代下，網(wǎng)絡(luò)安全成為國(guó)家和人們所重視的問題。在現(xiàn)代異構(gòu)網(wǎng)絡(luò)模式中，網(wǎng)絡(luò)安全監(jiān)控難度比較大，只有創(chuàng)建健全、科學(xué)、完全的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控體系，才能夠保證監(jiān)測(cè)信息的可靠性與準(zhǔn)確性，提高監(jiān)測(cè)效率，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全問題。相信在研究人員的努力下，尋找更加先進(jìn)的關(guān)聯(lián)算法，從而準(zhǔn)確、快速地將數(shù)據(jù)轉(zhuǎn)變成有用的信息知識(shí)，為人們提供可靠的網(wǎng)絡(luò)信息數(shù)據(jù)。