黃式敏

關(guān)鍵詞：大數(shù)據(jù)；異構(gòu)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全監(jiān)控

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）03-0072-02

在計算機技術(shù)不斷發(fā)展的過程中，我國也逐漸進入信息化時代。信息化為我們帶來了極大的方便，但也導致出現(xiàn)網(wǎng)絡(luò)安全隱患問題。在大數(shù)據(jù)時代中，網(wǎng)絡(luò)系統(tǒng)安全問題也越來越嚴峻。要想在數(shù)據(jù)庫中尋找安全問題，就要花費大量的時間和精力。在異構(gòu)網(wǎng)絡(luò)模式形成下，會產(chǎn)生大量無法解決、復雜的問題。要想在大數(shù)據(jù)時代中保證網(wǎng)絡(luò)系統(tǒng)的安全，就要創(chuàng)建完全的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，實現(xiàn)全部數(shù)據(jù)的系統(tǒng)、全面和綜合分析，從而尋找問題的所在，使用針對性的措施解決問題，為網(wǎng)絡(luò)安全提供可靠、安全的保障[1]。

1 基于大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控模型

1.1 安全分析需求

在大數(shù)據(jù)發(fā)展的過程中，數(shù)據(jù)預測不僅是重要研究對象，而且是學術(shù)界針對預測問題的研究重點：（1） 趨勢預測。通過事物的屬性與前期態(tài)勢分析，預測事物的發(fā)展軌跡與最終發(fā)展趨勢；（2） 缺失信息預測。所看到的信息為所有真實信息中的小部分，如何通過所得到的已知信息對未知信息進行預測。在現(xiàn)代數(shù)據(jù)時代中，通過這兩種預測角度實現(xiàn)異構(gòu)數(shù)據(jù)元分析，對如何利用已經(jīng)發(fā)生的事件軌跡預測安全態(tài)勢和事件，并且考慮通過安全事件對安全環(huán)境影響進行分析，針對成熟的安全技術(shù)實現(xiàn)，包括防火墻、IPS和IDS等。

在異構(gòu)數(shù)據(jù)源分析模型設(shè)計過程中，要求具備快速反應能力，能夠針對異常安全事件報警使用針對性措施，避免事件對網(wǎng)絡(luò)造成影響。另外，還要通過大量告警數(shù)據(jù)對核心數(shù)據(jù)進行提取，從而及時尋找問題并解決。大數(shù)據(jù)能夠展現(xiàn)數(shù)據(jù)的外部性，通過數(shù)據(jù)的交叉分析，從而提高自身價值?；诖髷?shù)據(jù)環(huán)境的異構(gòu)數(shù)據(jù)源分析為事件關(guān)聯(lián)，網(wǎng)絡(luò)環(huán)境中存在大量安全設(shè)備與網(wǎng)絡(luò)設(shè)備。國內(nèi)針對傳統(tǒng)事件的關(guān)聯(lián)具有一定科研成果，比如人工神經(jīng)網(wǎng)絡(luò)、貝葉斯網(wǎng)絡(luò)推理理論等，此分析方法是對異常檢測系統(tǒng)提出的，并沒有針對網(wǎng)絡(luò)，缺乏全局性，信息網(wǎng)絡(luò)監(jiān)控設(shè)備數(shù)據(jù)缺乏聯(lián)系，無法聯(lián)合數(shù)據(jù)分析。在大數(shù)據(jù)環(huán)境中，異構(gòu)數(shù)據(jù)能夠充分考慮算法和架構(gòu)，在不會導致數(shù)據(jù)價值損失的背景下對數(shù)據(jù)進行清洗，縮減核心數(shù)據(jù)規(guī)模，基于此實現(xiàn)數(shù)據(jù)關(guān)聯(lián)，發(fā)現(xiàn)信息安全異常行為并且預警。

1.2 網(wǎng)絡(luò)安全監(jiān)控模型

現(xiàn)有網(wǎng)絡(luò)安全監(jiān)控缺乏事件分析能力，事件監(jiān)測數(shù)據(jù)為原始數(shù)據(jù)，無法實現(xiàn)知識化處理。在大數(shù)據(jù)環(huán)境中，各種安全技術(shù)在不斷發(fā)展，從而導致網(wǎng)絡(luò)安全環(huán)境數(shù)據(jù)異構(gòu)，缺乏整體網(wǎng)絡(luò)安全態(tài)勢及時、精準的數(shù)據(jù)分析。數(shù)據(jù)量巨大的安全事件包括大量的不可靠信息，降低了數(shù)據(jù)環(huán)境下信息安全原始事件的數(shù)據(jù)分析價值。所以，傳統(tǒng)算法具有適應性問題，復雜度比較高，無法滿足大數(shù)據(jù)環(huán)境需求。相關(guān)研究表示，部分簡單算法對大數(shù)據(jù)處理是有效的。以此，設(shè)計網(wǎng)絡(luò)安全監(jiān)控模式。

1.2.1 大數(shù)據(jù)收集模塊

利用此模塊收集信息網(wǎng)絡(luò)安全環(huán)境數(shù)據(jù)源，原始數(shù)據(jù)為安全設(shè)備、網(wǎng)絡(luò)設(shè)備、日志與事件信息等。其次，提供SNMP、SDK和KAP等接口。

1.2.2 大數(shù)據(jù)整合模塊

通過大數(shù)據(jù)收集的數(shù)據(jù)比較凌亂，假如各信息源存在不同的數(shù)據(jù)格式，就會導致監(jiān)測系統(tǒng)處理存在問題。利用此模塊處理問題，并且對源數(shù)據(jù)進行過濾處理，根據(jù)用戶設(shè)置的分類規(guī)則對數(shù)據(jù)進行分類。要充分考慮隱私信息的去隱私化處理，利用源數(shù)據(jù)得出隱私數(shù)據(jù)的索引字段[2]。

1.2.3 大數(shù)據(jù)關(guān)聯(lián)分析

雖然通過上述階段已經(jīng)去除數(shù)據(jù)冗余，但是整體網(wǎng)絡(luò)安全監(jiān)控大部分為初始數(shù)據(jù)，要求尋找核心數(shù)據(jù)。關(guān)聯(lián)信息指的是實時事件與歷史趨勢對比，此種指的是真實的攻擊行為。此模塊能夠?qū)r間規(guī)則庫進行分析，事件庫中存儲相應異常行為模式與安全漏洞等。在出現(xiàn)網(wǎng)絡(luò)安全事件的過程中，通過大數(shù)據(jù)關(guān)聯(lián)分析模塊對核心數(shù)據(jù)進行細化，與邏輯拓撲對應，跟蹤事件。利用安全行為流程的解析，對真正攻擊行為進行鑒別，實現(xiàn)安全事件發(fā)生位置的定位。在大數(shù)據(jù)關(guān)聯(lián)分析過程中，算法和時間規(guī)則為重點，從而提出了流量規(guī)則和關(guān)聯(lián)規(guī)則，從而解決大數(shù)據(jù)挖掘問題。

1.2.4 大數(shù)據(jù)綜合評測

此模塊綜合處理分析的結(jié)果，以此實現(xiàn)可視化輸出顯示。利用大數(shù)據(jù)分析對當前網(wǎng)絡(luò)安全情況和發(fā)展趨勢進行預測，利用針對性的對策分析結(jié)果實現(xiàn)相應流程的制定，對特定管理員進行反饋。在此模塊中，能夠?qū)芾韱T提供指導和幫助信息[3]。

2 基于大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全關(guān)聯(lián)算法

2.1 關(guān)聯(lián)算法

大數(shù)據(jù)異構(gòu)網(wǎng)絡(luò)安全監(jiān)控體系的邏輯推理重點為分析數(shù)據(jù)關(guān)聯(lián)性，在對異構(gòu)網(wǎng)絡(luò)安全關(guān)聯(lián)算法設(shè)計過程中，主要內(nèi)容為：（1） 對處理后核心數(shù)據(jù)的數(shù)據(jù)項關(guān)聯(lián)規(guī)則進行處理；（2） 對大數(shù)據(jù)環(huán)境中異構(gòu)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)流量進行分析，對流量規(guī)則進行提取；（3） 對異構(gòu)設(shè)備核心數(shù)據(jù)和流量數(shù)據(jù)相關(guān)性進行分析。如何轉(zhuǎn)變數(shù)據(jù)為研究主要內(nèi)容。在設(shè)計現(xiàn)代異構(gòu)網(wǎng)絡(luò)模式的過程中，網(wǎng)絡(luò)安全監(jiān)控尤為重要[4]。

2.2 異構(gòu)網(wǎng)絡(luò)安全管理算法的設(shè)計

在大數(shù)據(jù)環(huán)境中，明確有效、核心的數(shù)據(jù)內(nèi)在聯(lián)系，對各種信息進行組織，從而使開發(fā)人員、研究人員得出數(shù)據(jù)關(guān)聯(lián)信息。數(shù)據(jù)關(guān)聯(lián)分析指的是異構(gòu)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)研究重點，所以網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)設(shè)計的復雜規(guī)則為：（1） 處理核心數(shù)據(jù)關(guān)系；（2） 對網(wǎng)絡(luò)中所有設(shè)備流量的使用情況分析，得到流量規(guī)則，運行在網(wǎng)絡(luò)中[5]。

以相關(guān)研究表示，使用規(guī)范化處理與去除冗余方式對數(shù)據(jù)聚集，并且導出全新屬性，使用四元組（A，P， C，O） 對不同事件因果聯(lián)系進行分析與描述，指的是安全事件、前提條件、安全事件集合和安全事件相關(guān)的屬性集合。如果其中兩個事件屬性不同，說明兩個事件存在不同實例?；谀：碚摚琫₁和e₂指的是安全事件，C（e₁） ×（e₂） 指的是安全事件之間二元模糊因果關(guān)系。μ_R（c，p）指的是隸屬度函數(shù)，取值區(qū)間為[0，1]。所以，在模糊集合R中的隸屬度表示為（c，p） ，1說明c 和p 的模糊因果關(guān)系最大，0說明兩者沒有關(guān)系。

3 網(wǎng)絡(luò)安全監(jiān)測的應用實踐

基于此算法創(chuàng)建安全監(jiān)測平臺進行實踐，包括數(shù)據(jù)采集、分析與態(tài)勢展示等核心功能，通過此技術(shù)實現(xiàn)全網(wǎng)協(xié)同聯(lián)動的態(tài)勢感知、監(jiān)測預警與應急處置，表1為計算節(jié)點配置。

（1） 基于多源異構(gòu)大數(shù)據(jù)分析技術(shù)，能夠使全網(wǎng)威脅感知能力得到提高，并且支持多源異構(gòu)安全數(shù)據(jù)的接入，包括安全日志、網(wǎng)絡(luò)流量日志、威脅情報與應用日志等。針對大數(shù)據(jù)框架，實現(xiàn)數(shù)據(jù)的關(guān)聯(lián)分析、存儲與秒級查詢。和威脅感知規(guī)則引擎結(jié)合，實現(xiàn)網(wǎng)絡(luò)已知威脅的發(fā)現(xiàn)與告警。

（2） 基于安全事件的全生命周期管理，使網(wǎng)絡(luò)安全運營能力得到提高，實現(xiàn)網(wǎng)絡(luò)安全事件與威脅的全生命周期管理，包括分析研判、事件發(fā)現(xiàn)、驗證、處理等環(huán)節(jié)。在網(wǎng)絡(luò)安全運營中，使管理、技術(shù)、人員與流程結(jié)合，使安全運維人員實現(xiàn)問題閉環(huán)處置[7]。

（3） 基于高可信威脅情報數(shù)據(jù)支撐，使網(wǎng)絡(luò)安全事件響應處置能力得到提高，針對突發(fā)重大安全事件與特定行業(yè)安全威脅分析，支持外部威脅的精準識別與追溯。和通報預警機制結(jié)合，實現(xiàn)網(wǎng)絡(luò)安全事件的處置與響應。

（4） 基于微觀與宏觀的安全視角，使網(wǎng)絡(luò)安全全局可視能力得到提高，對全網(wǎng)安全態(tài)勢實時監(jiān)控，通過宏觀視角對整體安全情況進行掌控，通過微觀角度對安全線索捕獲，從而快速判斷網(wǎng)絡(luò)整體態(tài)勢和威脅相關(guān)影響范圍、目的和攻擊路徑，支撐有效響應和決策[8]。

互聯(lián)網(wǎng)安全防護是大數(shù)據(jù)環(huán)境下解決安全問題的重點，要維護互聯(lián)網(wǎng)的安全。目前，維護互聯(lián)網(wǎng)安全的重點為控制訪問設(shè)置，利用用戶訪問權(quán)限的設(shè)置，對互聯(lián)網(wǎng)絡(luò)安全使用進行保證。比如，通過身份認證和密碼避免黑客攻擊，根據(jù)訪問權(quán)限進行設(shè)置。其次，設(shè)置數(shù)據(jù)加密，隱藏用戶數(shù)據(jù)信息，保證用戶數(shù)據(jù)的安全性。為了加強網(wǎng)絡(luò)安全，還能夠設(shè)置網(wǎng)絡(luò)隔離，實現(xiàn)用戶數(shù)據(jù)存儲系統(tǒng)的防火墻，對大量信息進行識別，篩選有效信息。設(shè)置防火墻能夠?qū)τ嬎銠C隔離，對隔離后網(wǎng)絡(luò)安全性進行保證。最后，實現(xiàn)用戶網(wǎng)絡(luò)的入侵檢測，及時阻攔非法用戶入侵行為。此種監(jiān)控技術(shù)使用主動方式對網(wǎng)絡(luò)安全防御，消除防火墻不足，也是全方位網(wǎng)絡(luò)化安全實時保護的技術(shù)[9]。

4 結(jié)束語

在信息化時代下，網(wǎng)絡(luò)安全成為國家和人們所重視的問題。在現(xiàn)代異構(gòu)網(wǎng)絡(luò)模式中，網(wǎng)絡(luò)安全監(jiān)控難度比較大，只有創(chuàng)建健全、科學、完全的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控體系，才能夠保證監(jiān)測信息的可靠性與準確性，提高監(jiān)測效率，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題。相信在研究人員的努力下，尋找更加先進的關(guān)聯(lián)算法，從而準確、快速地將數(shù)據(jù)轉(zhuǎn)變成有用的信息知識，為人們提供可靠的網(wǎng)絡(luò)信息數(shù)據(jù)。