葉麗英

（國家稅務總局日照市稅務局 山東省日照市 276800）

信息技術更新與進步，增強了數據傳輸能力，豐富了網絡功能，出現了多種新型網絡風險。木馬僵尸、信息竊取、惡意篡改等風險問題，形成了較大的用網威脅，會降低網絡運行秩序，增加用網損失。全面的用網安全分析，成為預防用網風險的關鍵因素，可回避網絡風險帶來的損失問題，是國內網絡建設的重要任務。

1 用于對抗僵尸網絡的數據技術

數據查詢、數據使用、數據存儲各個流程，可增強大數據技術的使用價值，獲取較高的數據處理效率。在數據使用期間，系統(tǒng)漏洞、數據技術等先進科技，能夠積極展現技術價值，迅速獲取風險位置。此技術表現出較高的數據處理能效，僵尸網絡具有較高的用網風險性，會危及網絡安全，需加強數據技術使用，嘗試從DNS 訪問、數據流量各層面，有效落實數據處理工作，保證數據分析結果的可信性。如圖1所示，是用于抵御僵尸網絡的關鍵技術框架。

圖1：抵御僵尸網絡的技術框架

2 分析網絡結構中的風險因素

2.1 關系矩陣

2.2 總關系矩陣

矩陣處理完成，需要構建整體矩陣結構。矩陣內部的各組參數，應展現出矩陣功能，以區(qū)間轉化為側重點。矩陣結構設計的各組參數，對于各組元素關聯具有一定影響，反饋出相鄰元素的內在關聯。為此，需參照矩陣算法，獲取總矩陣參數，保證矩陣分析的有效性。

2.3 風險因素分析

矩陣計算的精確性，會直接決定風險分析質量，甚至會作用于綜合數據，使后續(xù)工作受到干擾。采取有效的風險分析方法，進行風險分析，以此獲取符合實際需求的分析結果。各類分析結果，均可參照原因值獲取具體風險。如果原因值較大，說明風險影響程序較高，應獲得風險管理重視。如果原因值較小，說明風險影響性不高。風險分析期間，結合往期網絡出現的風險因素，使用概率模型、風險數據進行數據訓練，參照數據訓練結果給出風險預測信息；參照各組重要資產的“安全脆性”給出風險分析；依據各類資產安全性，比如資產保密性、資產價值等進行風險分析。

（1）創(chuàng)建風險警示模型：風險警示=<風險警示種類，風險警示級別，風險警示具體編碼，受到風險的系統(tǒng)，受到風險的軟件程序，處于風險狀態(tài)的端口>。

（2）資產安全的風險分析模型：信息資產安全性=<系統(tǒng)等級，漏洞問題，補丁情況，軟件版本，端口性能，資產價值>。

（3）防火墻風險防護的安全分析模型：防火墻防護=<網絡訪問，網頁源地址，目標訪問地址，網頁源信息終端，目標訪問網頁終端，訪問協議>。

網絡安全分析時，從網絡頂層開始進行分析活動，風險警示的各類因素，會受到防火墻防護的影響。如果防火墻無法通過的信息，會返回分析結果“5”，表示有風險。如果防火墻并未屏蔽信息，會給出結果“3”，表示信息安全。

3 安全分析融合數據技術的具體表現

3.1 創(chuàng)建檢測框架

安全檢測程序的創(chuàng)建，應以Hadoop 程序為技術基礎，全面構建網絡檢測體系，保證安全檢測的有效性。數據技術融合后，能夠顯著增強數據處理有效性，更快捷地鎖定漏洞位置，給出相應的漏洞處理方法，以此顯著增強系統(tǒng)安全性，使系統(tǒng)安全性處于標準狀態(tài)，給出客觀的安全評價結果。此種安全檢測技術，能夠深層挖掘信息資料，優(yōu)化安全評價流程，具有較高的安全評價功能，可高效找出漏洞信息，給出準確標識?，F階段，國內進行漏洞分析時，采取的安全評價方法具有單一性，能夠給出數字漏洞的評價結果。

3.2 采集漏洞資料

漏洞攻擊具體表示對網絡具有攻擊性的數據或者程序，表現出較強的系統(tǒng)攻擊意圖。對系統(tǒng)進行全面檢測，切實強化系統(tǒng)的數據處理能力，同步給出系統(tǒng)檢測的具體流程，利用數據采集程序，全面整合系統(tǒng)數據，以此保證風險防護的有效性。在排除外界干擾因素的情況下，可自行生成網絡各層的漏洞資料，參照檢測方案進行風險傳導，合理分解風險級別，保證風險檢測、風險預警的有效性。

例如，某計算機高校以Apriori 挖掘技術，創(chuàng)建了漏洞采集程序，引入關聯規(guī)則，記錄各項數據集。假設m 表示數據的特征個數，如果X 規(guī)則與Y 規(guī)則具有一定關聯性，那么X 與Y 兩個規(guī)則的并集為空。假設A 集合中含有X、Y 兩個規(guī)則并集項的可能性為p，可利用Sup（X∪Y）的形式，獲取漏洞頻率。在漏洞掃描前期，進行數據轉化處理。整合網絡風險各項資料與Apriori 挖掘方法，創(chuàng)建的漏洞挖掘程序：規(guī)范處理風險數據，找尋風險資料的關聯信息，準確測算出風險數據，Apriori 分析，創(chuàng)建布爾矩陣、找出頻率結合與備選集合，創(chuàng)建第二個候選集合，建立漏洞評估矩陣，給出漏洞風險的關聯規(guī)則，完成漏洞風險的采集過程。此漏洞挖掘平臺運行后，同時運行五個測試程序，逐一添加網絡攻擊，數據請求次數設計為5000 次，五個測試程序的規(guī)則對比次數明顯降低，降低幅度處于5.26%至18.61%之間。規(guī)則對比次數的減少，證明關聯規(guī)則的漏洞查找能力有所增強。關聯規(guī)則的漏洞掃查能力，將會降低漏洞挖掘用時，給予較快的漏洞挖掘反饋。五個測試程序的漏洞挖掘反饋時間，與系統(tǒng)平均響應時間相比有所減少，反饋時間減少范圍在7.805s 至9.121s 之間。由此發(fā)現：各類程序的漏洞挖掘時間具有一定差異性，反饋時延最大相差1.316s。使用Apriori挖掘進行漏洞掃查時，能夠保證漏洞反饋時間的平均性，反饋時延最大相差0.118s。由此說明：Apriori 挖掘具有較強的漏洞掃查能力，可有效篩除風險數據，具有較強安全分析能力；Apriori 算法調整后，能夠減少候選數據量，快速完成數據分析過程。

3.3 處理網絡漏洞

網絡漏洞的處理方式，作為風險檢測的重要程序。在風險檢測程序中，應以SQL 設備為技術前提條件，以此作為程序中心。在SQL 設備運行期間，應控制網絡結構的循環(huán)資料，順應漏洞檢測的規(guī)范要求，有效控制系統(tǒng)檢測時間，獲取高效的檢測結果，達到檢測預期效果。SQL 設備能夠存儲較多數據，結合數據位置準確找出漏洞方位，將數據傳送至數據處理程序，顯著強化系統(tǒng)的運行能力，及時排查系統(tǒng)漏洞。參照漏洞分布特點，逐一找出各節(jié)點風險。實際進行漏洞處理時，核心模塊是主要運行程序。

3.4 評估漏洞

安全分析系統(tǒng)運行時，風險評價程序能夠給出全面的漏洞檢測資料，將安全分析程序設計在系統(tǒng)終末位置。當程序無法順應框架部署條件時，應參照漏洞處理程序，進行準確連接。獲取驅動程序的技術支持后，準確選擇信息文件。系統(tǒng)有序運行時，會使網絡結構受到較高威脅，系統(tǒng)各節(jié)點極易受到網絡攻擊。需采取動態(tài)切換形式，有效處理外在節(jié)點。漏洞評價程序的運行，能夠保證系統(tǒng)安全防護的規(guī)范性，間接增強漏洞檢測的高效性。系統(tǒng)安全分析的漏洞評價單元，擁有自如切換功能，可結合節(jié)點實況給出調控處理，使系統(tǒng)擁有較強的系統(tǒng)訪問能力，達到系統(tǒng)安全分析的要求。

例如，某高校使用大數據技術，研發(fā)出安全漏洞智能識別平臺。平臺建立了軟件漏洞信息的識別程序，采取自相關數據關聯檢測形式，全面分解軟件安全參數，獲取軟件安全漏洞的風險級別為：

3.5 各類風險分析

3.5.1 分析用戶異常行為

用戶異常操作的安全分析，主要使用Hadoop、Hive 各類技術，創(chuàng)建大數據分析程序，有效采集各類用戶異常行為信息，構建用戶異常行為的測評模型，劃分用戶異常行為種類。利用安全數據分析程序，能夠在平臺整合各類行為信息，準確掌握用戶網絡操作的異常情況。結合用戶異常表現，建立多層級的用戶行為數據存儲單元，全面收集整合用戶異常行為，為后續(xù)風險整治給出決策指導。大數據技術的合理使用，能夠高效智能識別用戶的風險操作行為。實踐中發(fā)現：使用大數據分析程序，可高效挖掘更多潛在風險問題，建立完整的安全分析體系。大數據技術可用于準確檢測網絡安全趨勢，分析惡意程序的運行動態(tài)，顯著增強網絡安全分析有效性，及時獲取風險因素，給出有效的風險管控，維持網絡安全。

3.5.2 分析網絡流量問題

網絡風險分析，使用大數據技術準確檢測網絡傳輸的流量變化情況。比如，使用Hadoop 數據存儲程序、數據流分析方法，能夠全面測定網絡流量的具體表現，再用數據分析程序監(jiān)控各程序的數據變化，找出系統(tǒng)風險原因、風險位置。網絡風險的檢測過程：使用數據技術采集Netflow（數據交換技術）的各類初始數據，運行病毒檢測程序，獲取URL事件的各類資料。利用多維度信息分析方法，收集網絡風險問題，使用Wed 漏洞分析、CC 攻擊風險分析等技術，準確梳理網絡風險行為，按照網絡使用的具體實況，給出APT防護、DDos 防范等多種措施。

3.5.3 分析安全日志

安全日志是記錄各項用網風險、網絡防護的主要程序，融合大數據技術，可搭建多種安全分析方法。安全日志分析過程：前期找出關聯數據的內在關系，建立用戶異常行為的分析程序，有效找出網絡結構的各項違規(guī)操作。分析內容有：網頁日志、IDS 設備運行記錄、網頁攻擊記錄等。此類安全日志信息存在一定內在關聯關系，可使用規(guī)則管理、攻擊分析的聯合形式，深層挖掘安全日志的網絡風險信息。

例如，ZettaSet 創(chuàng)建了存儲單元，能夠存儲較多數據，以此全面檢測系統(tǒng)風險、惡意攻擊等問題，此存儲單元含有兩個程序：Orchestrator，數據更新服務；SDW，具有延展性的數據存儲單元。數據更新程序是一種設備連接的Hadoop產品，能夠進行多個Hadoop 數據平臺的部署。數據存儲單元是以Hadoop平臺為前提條件，以Hive（數據映射處理工具）為技術條件，高效存儲各項數據。使用海量數據存儲單元，從防護墻、防護設備、網絡流量、業(yè)務程序各個視角，共同挖掘網絡層面的風險因素，以此保證網絡系統(tǒng)運行的安全防護能力。比如，處理30d 內的網絡信息時，原有SIEM 技術的數據處理時間介于30min 至60imn 之間。而海量數據存儲程序可在60s 以內完成30d 數據的風險分析，具有較強的技術優(yōu)勢。

例如，卓豪單位開發(fā)出“日志管理”產品，能夠進行無代理/代理兩種日志收集，找出750 種類型的日志信息。平臺可自行解析日志內容，深入分析系統(tǒng)安全事件。平臺開發(fā)了三種新功能：

（1）自動掃查利用關聯規(guī)則進行的網絡攻擊，在產品相關性程序中，設計了25 種攻擊規(guī)則，包括勒索程序、暴力破譯等；

（2）定期推送國際威脅情報，定制威脅情報程序，利用STIX（威脅信息表達式）、TAXIII（情報可讀標準）等規(guī)則，有效推送威脅情報，從中分析異常流量，給予風險警報；

（3）內置獨立控制程序，各告警程序均設有專門管理，動態(tài)跟進事件的反應能力，給予完整的解決方案，在內置工單中給出跟蹤事件，使用外部工具，縮短工單處理時間。

日志管理平臺使用的漏洞掃描器，能夠有效掃描多個程序，擁有不少于50 個前期定義功能的漏洞報表，增強漏洞掃查的高效性。對于網絡、端口各位置的漏洞，進行有效檢查，設計漏洞檢測警告值。如有發(fā)現網站存在較大漏洞，會形成告警通知，便于管理人員掌握風險信息。日志管理平臺給出了多種風險解除方案，包括“ESET 殺毒程序”、“卡巴斯基殺毒程序”、“FireEye 火眼”等。FireEye 火眼安全防護程序，能夠給出火眼報告，增強風險信息的可讀性，以圖文形式進行風險反饋。火眼日志關聯功能，能夠有效收集設備各項資料，使其有效進行日志關聯，高效檢測系統(tǒng)問題，提早發(fā)現網絡攻擊問題。

3.5.4 DNS 分析

DNS 程序融合大數據科技后，從網絡使用流量、安全日志等方面，逐一創(chuàng)建風險分析模型，有效提取程序中各類網絡數據，比如DNS 分組、系統(tǒng)響應周期、數據傳輸頻率等。創(chuàng)建多種數據分析程序，深層分析用戶異常操作，積極找出DSN 程序的網絡攻擊問題，比如DNS 數據截流、DNS 程序未響應等，風險分析結果回傳給安全管理中心，對風險問題進行全面防控，切實維持網絡程序的風險控制效果。

例如，中國移動創(chuàng)建了數據平臺，用于分析DNS日志，平臺可進行安全性分析。DNS日志與風險數據關聯，能夠分析用戶、網站的風險問題，保證運營商網絡運行的安全性。此平臺可自行掃描安全風險，統(tǒng)計漏洞數量，給出漏洞處理方案，保證網絡IDC（數據中心）的安全性。參照病毒域名，判斷出現中毒的IP 地址。依據病毒危害級別，給出安全防護措施。系統(tǒng)運行后，DNS日志給出了域名數據單元，便于系統(tǒng)準確掌握域名的存儲情況，營造安全用網體系。數據中心的運行平臺，能夠保證系統(tǒng)運行安全性，有效進行安全分析、漏洞掃查等處理，顯著增強數據中心的網絡安全性。數據中心的備案單位有：騰訊、百度、迅雷等多個互聯網單位，從“本網率”、國外、移動、聯通四個方面進行信息備案。

3.5.5 分析APT 攻擊問題

APT 攻擊具體指攻擊級別較高、持續(xù)時間長的網絡風險，是降低網絡安全性的主要因素。相比其他網絡風險，APT 表現出持續(xù)性、有目標、不易篩除等風險特征，是網絡安全維護的頭號風險類型。大數據技術融合網絡平臺后，從業(yè)務流量、網頁訪問記錄、數據防護日志等多個視角，綜合開展系統(tǒng)風險分析，準確鎖定APT 的風險位置。利用數據機器學習程序，找出APT 的解決路徑，以此加強網絡安全的識別能力，切實維護網絡程序的風險分析能力。

例如，華為單位使用數據分析程序，對于APT 風險問題給出了全面的防控方案：監(jiān)測網絡流量的異常表現、分析終端、用戶的異常操作、全面分析日志惡意代碼、進行APT風險的檢測與處理，溯源分析攻擊過程，形成風險情報報告。如圖2所示，是華為APT 風險分析程序的技術框架。

圖2：華為APT 風險分析程序的技術框架

（1）主動防御風險。初期進行風險檢測時，排查較大數量的用網資料，分析潛在的異常問題，形成APT 風險的警示體系，縮短風險攻擊的時間范圍。

（2）協同處理風險。中期進行風險處理，展示APT 風險的形成位置，準確獲取APT 攻擊特征，建立全網聯動的風險消除體系。

（3）給予動態(tài)防御。后期強化風險控制能力，創(chuàng)建攻擊模型的深度學習機制，全網交互威脅情報信息，切實改善系統(tǒng)整體的風險控制能力。

華為使用大數據技術，以APT 攻擊為防護目標，創(chuàng)建的風控平臺，可實時獲取網絡安全分析結果，給出安全評分。比如，2020年3月一次安全評估得分為63 分，事件1 為“自動下載風險郵件”，風險級別為“8 級”。調取此風險的關聯數據，共查出系統(tǒng)往期出現8 條同類風險，集中于2018年、2015年。排查出的風險日志中，展示了各條風險的“威脅級別”與風險來源。其中，2018年11月的風險郵件，是主機A 設備訪問網頁下載了具有風險的郵件，展示了風險郵件的下載時間與存儲路徑，給予技術人員風險防控的目標，使其準確鎖定風險郵件的來源。

4 結論

綜上所述，各網絡平臺的數據分析需求逐漸增多，在安全分析需求增加的視域下，運行風險分析能力較強的云平臺，可增強網絡使用的安全性。利用數據技術的風險分析矩陣，準確找出風險因素，給出網絡安全防護路徑。