張明罡

摘要：隨著時代進步，網(wǎng)絡的全面覆蓋和發(fā)展，廣泛的智能普及，使用戶不斷提升對感知的要求。與此同時，威脅網(wǎng)絡安全的事物也層出不窮。本文旨在說明網(wǎng)絡防護單一化已經不能完全解決網(wǎng)絡安全面對的問題，需要網(wǎng)絡動態(tài)安全管制，從整體反映現(xiàn)狀，并對安全問題及隱患進行預測。文章將介紹分析網(wǎng)絡安全態(tài)勢以及動態(tài)感知技術，建立有效快速的威脅分析、檢測、處置能力，促使信息可知可控。旨在為有關人士提供參考與借鑒。

關鍵詞：動態(tài)感知;大數(shù)據(jù);網(wǎng)絡安全;網(wǎng)絡運維

引言：隨著互聯(lián)網(wǎng)的發(fā)展，多層次、大規(guī)模、復雜化的網(wǎng)絡安全風險也隨之增加，各種網(wǎng)絡病毒都威脅著網(wǎng)絡的穩(wěn)定與安全，傳統(tǒng)的技術難以有效、及時處理病毒帶來的影響，在此情況下，需要新興技術升級網(wǎng)絡安全防護，提前預估風險，降低整體風險等級。結合檢測情報、機器學習、圖關聯(lián)分析等技術，使全網(wǎng)的流量實現(xiàn)可視化，解決安全遺漏帶來的問題。

一、運營商數(shù)據(jù)分析背景

運營商掌握著大量的網(wǎng)絡數(shù)據(jù)，生產、傳送并使用大數(shù)據(jù)，處于網(wǎng)絡管道的位置。對于運營商來說，其要及時掌握各個行業(yè)對大數(shù)據(jù)的實際使用情況，同時，為了滿足自身生存與發(fā)展的需求，也要對大數(shù)據(jù)進行充分、積極與合理的運用，以此適應社會發(fā)展。

第一個層面是在業(yè)務領域，在DNS日志數(shù)據(jù)挖掘的基礎上，進行對客戶訪問點擊率和歸屬地的分析，為用戶感知提供一些借鑒。還要通過分析網(wǎng)絡結構，挖掘測試數(shù)據(jù)等影響情況，來給規(guī)劃網(wǎng)絡建設提供參考依據(jù)，進一步進行結構調整和優(yōu)化，升級網(wǎng)絡系統(tǒng)。第二個層面是在用戶領域，在AAA日志數(shù)據(jù)的基礎上，探接入過程中的差異化帶寬，之后來分析流量特性的匹配關系，從而對流量情況進行準確的預判，同時也可以為后續(xù)的規(guī)劃奠定基礎。實踐中可以對比不同的用戶的各種行為特征，然后分析其差異性，借助這些數(shù)據(jù)，核查異常用戶，進一步提高投放的準確性，也可以為用戶提供更為及時的回訪，使用戶擁有更好的體驗，其對服務的滿意度也將大幅度提升，進而將為供應商樹立良好的形象，其品牌效應將日益增強。

挖掘用戶數(shù)據(jù)并進行探針數(shù)據(jù)統(tǒng)計和分析，是技術層面的創(chuàng)新，試著以用戶作為出發(fā)點來進行分析，一改以往從面、線、區(qū)域的傳統(tǒng)分析方式，這樣可以更加高效便捷，對公司網(wǎng)絡建設以及其他拓展業(yè)務都補充了可供參考的數(shù)據(jù)。

二、網(wǎng)絡運維的日志采集和分析

Syslog被動監(jiān)聽方式采集，mysql數(shù)據(jù)庫表里的日志，本地local的文件采集以及ftp文件的主動采集等等，都是目前能采用的采集日志的方式。例如，用JDBC來進行采集日志，設置好IP地址，輸入監(jiān)聽端口，此外，還包括用戶名密碼等有效信息，和數(shù)據(jù)庫中指定好的實例連接按照順序來讀取指定的數(shù)據(jù)。服務器的操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫和中間件是主要采集Syslog;監(jiān)控掃描資產安全，全流量包的網(wǎng)絡采集，進行自主學習了解網(wǎng)站資產。

從被動防御轉變?yōu)橹鲃痈兄?，對于現(xiàn)在發(fā)生的事件需要與威脅規(guī)則等相匹配，然后做出回應，一般是識別出威脅響應。情報系統(tǒng)的能力有以下幾種：對事件參與者的誠信度進行威脅評估;倘若參與者具有威脅情報的幾種特征，那么其威脅程度就會被隨之提高;對于大部分屬于較低威脅行為的事件，需要對其進行篩選，接下來會方便分析潛在的威脅;在首次侵害之后，如果再次遇到侵害，需要借助共享機制來發(fā)揮作用，這樣能高效快速做出反應進行識別;增加侵害者需要的攻擊成本，如果侵害者想要繞過這種防御體系，那就需要更高級的隱藏方法;威脅情報通過分析關聯(lián)方法能發(fā)現(xiàn)潛在正常流量之間的威脅，也為安全事件、日志等提供多維的信息。判斷流量是否有異常情況，建立模型需要根據(jù)流量在正常行為的特征下運行，能發(fā)現(xiàn)水平掃描、ARP欺騙、IP地址掃描、網(wǎng)絡蠕蟲、垂直掃描等。與此同時，深度檢測能力也體現(xiàn)在許多方面，這里不一一列舉。

就目前來看，檢測失陷主機的方式被人們所掌握與了解的已經有二十多種。對病毒行為、黑客常用攻擊行為、異常外聯(lián)行為等特征都可以利用安全感知平臺內搭建的算法來進行分析，算法融合iForest、協(xié)議模型學習、主機網(wǎng)絡流量模型，并結合DGA域名判斷構建融合檢測模型以及大數(shù)據(jù)關聯(lián)分析的引擎所提供的聯(lián)動分析[1]。各類檢測能力和大數(shù)據(jù)關聯(lián)分析的能力是由大數(shù)據(jù)分析引擎來負責的，這個引擎主要由模型融合和預處理數(shù)據(jù)等主要部分來構成的，支撐失陷主機檢測、UEBA和大數(shù)據(jù)關聯(lián)分析等。

三、網(wǎng)絡動態(tài)感知技術和網(wǎng)絡安全

（一）動態(tài)感知的相應技術

首先是數(shù)據(jù)融合技術，要通過相應的大數(shù)據(jù)技術來對不同用途不同來源不同格式不同位置的數(shù)據(jù)進行統(tǒng)一的預測判斷，之后在平臺融合操作，給網(wǎng)絡安全信息感知技術提供統(tǒng)一平臺，在逐步分析篩選后得出結論。其次是數(shù)據(jù)挖掘技術，是需要通過很多的網(wǎng)絡設備進行集中搜集然后整理分析情況，經過統(tǒng)一處理后，通過相應工具和算法，對有效信息系統(tǒng)篩選甄別，然后挑選出合適的信息，以便之后工作進行處理和分析這些信息。最后介紹可視化技術，需要運用相應技術，從而進行數(shù)據(jù)的圖形和圖像大的相互轉換，可以幫助從事的工作人員對未來趨勢進行更好的把控[2]。

（二）動態(tài)感知的任務和特點

動態(tài)感知的任務主要是包含事件的感知以及以下兩個任務和風險的感知。就風險感知層面而言，在海量的資產分析中，評估資產的價值量以及有多少可能性會被攻擊，在攻擊后所具有的相應防范能力進行估計，為可能會造成的損失進行預測評估。視線感知是包括對異常行為和所有事件的監(jiān)控，以至于能達到安全事件收集準確高效的目的。但是異常風險感知需要對所有面臨的風險和可能的狀況進行估測，然后有針對性的制定恰當?shù)慕鉀Q方案，以防止位置攻擊為主要目標。

對于其特點的闡釋主要是進行智能分析，然后挖掘網(wǎng)絡安全所處的環(huán)境，監(jiān)測發(fā)動攻擊的源頭，然后進行追蹤分析。發(fā)動攻擊的情況發(fā)生后，倘若能夠主動掌握整個事件的發(fā)展方向和脈絡，擬好相應規(guī)范和保護措施，那么就能及時規(guī)避風險降低甚至避免各種經濟損失。

（三）大數(shù)據(jù)分析安全感知平臺構建

首先，硬件基礎層是核心部分，虛擬化技術可以構建一種身臨其境的真實體驗感，使人不再受限物理上的界限，將一臺服務器變成幾十上百臺這種相互隔離的虛擬服務器，讓內存、CPU、磁盤等硬件變成資源池?？梢允瓜到y(tǒng)管理簡化、資源的利用率提高、服務器整合實現(xiàn)等，這些都是服務器虛擬化的表現(xiàn)。其次，是安全日志采集層，采集有效的日志并進行記錄，符合條件的信息進行規(guī)范化處理，之后進行算法分析和計算，再將其運用到大數(shù)據(jù)的分析之中。再次是大數(shù)據(jù)的存儲層，把網(wǎng)絡上的海量數(shù)據(jù)進行篩選然后分布存儲，增強其各方面的存儲能力，可以為之后的數(shù)據(jù)整理分析提供可靠的支撐。最后是安全態(tài)勢分析層，運用相應的分析技術來快速檢索海量數(shù)據(jù)以及相關聯(lián)的信息，然后進行篩選整理，分析其所處的安全狀況并加以評出風險等級，方便之后的信息管理[3]。

結論：綜上所述，在網(wǎng)絡安全領域全面開展并運用動態(tài)網(wǎng)絡安全技術，是為了緩解網(wǎng)絡安全日益嚴重化和復雜化的問題。該技術的運作，與數(shù)據(jù)支持及相關技術的充分利用是離不開的。對數(shù)據(jù)的整理搜集、分門別類歸置以及統(tǒng)計篩選有效信息，都為網(wǎng)絡安全動態(tài)感知提供支撐，為日后數(shù)據(jù)研究分析能更加精準，趨勢的動態(tài)評估可以更好的實現(xiàn)。如果想要該技術更廣泛的使用和認可，還需做出更多探索和努力。

參考文獻：

[1]張堯.基于網(wǎng)絡運維的大數(shù)據(jù)分析安全感知策略研究[J].數(shù)字通信世界，2020（03）：125-126.

[2]張新淼.基于網(wǎng)絡運維的大數(shù)據(jù)分析安全感知策略研究[J].網(wǎng)絡安全技術與應用，2018（09）：67+35.

[3]許暖.基于大數(shù)據(jù)背景下分析網(wǎng)絡安全態(tài)勢感知關鍵實現(xiàn)技術探索[J].數(shù)字化用戶，2019，025（001）：179-180.