趙瑩瑩

摘要：大數(shù)據(jù)應(yīng)用范圍的不斷擴(kuò)大，不僅為社會(huì)發(fā)展提供了有力支持，而且還為數(shù)據(jù)網(wǎng)絡(luò)帶來了更多安全風(fēng)險(xiǎn)。為提升現(xiàn)代數(shù)據(jù)網(wǎng)絡(luò)安全性，應(yīng)構(gòu)建完善的數(shù)據(jù)網(wǎng)絡(luò)安防體系?；诖?，文章對(duì)基于大數(shù)據(jù)的安防體系總體設(shè)計(jì)思路做了簡(jiǎn)單介紹，進(jìn)而對(duì)安防體系框架及數(shù)據(jù)安全中臺(tái)進(jìn)行設(shè)計(jì)。

關(guān)鍵詞：大數(shù)據(jù)；安防體系；數(shù)據(jù)湖；安全數(shù)據(jù)服務(wù)；共享平臺(tái)

doi：10.3969/J.ISSN.1672-7274.2024.04.013

中圖分類號(hào)：TP 311.13，TP 393.08? ? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? ? ? ?文章編碼：1672-7274（2024）04-00-03

Analysis of Security System Construction Based on Big Data

ZHAO Yingying

（People's Police University of China， Langfang 065000， China）

Abstract： The continuous expansion of the application scope of big data not only provides strong support for social development， but also brings more security risks to data networks. To enhance the security of modern data networks， a comprehensive data network security system should be established. Based on this， the article provides a brief introduction to the overall design concept of a security system based on big data， and then designs the security system framework and data security platform.

Keywords： big data; security system; data lake; secure data services; shared platform

1? ?基于大數(shù)據(jù)的安防體系建設(shè)思路

傳統(tǒng)安防體系在一定程度上提升了網(wǎng)絡(luò)系統(tǒng)的安全性[1]。由于大數(shù)據(jù)、云計(jì)算等技術(shù)的應(yīng)用，使得網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)量更加龐大，數(shù)據(jù)運(yùn)算難度更高，導(dǎo)致傳統(tǒng)安防體系逐漸體現(xiàn)出滯后性[2]。通過對(duì)既有研究成果的分析，結(jié)合自身對(duì)大數(shù)據(jù)安全防護(hù)的了解，本文提出了一種包含6大模塊的基于大數(shù)據(jù)的安防體系。

（1）智能感知模塊。包括安防裝置、物聯(lián)網(wǎng)等組件，用于自動(dòng)收集與網(wǎng)絡(luò)運(yùn)行安全有關(guān)的數(shù)據(jù)，可為后續(xù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與防范策略的執(zhí)行提供支持。

（2）大數(shù)據(jù)湖。用于對(duì)網(wǎng)絡(luò)安全大數(shù)據(jù)進(jìn)行存儲(chǔ)與管理，可為后續(xù)其他環(huán)節(jié)提供數(shù)據(jù)支持。

（3）安全知識(shí)庫。由多個(gè)分庫構(gòu)成，如威脅情報(bào)庫、漏洞庫、病毒庫等，可為網(wǎng)絡(luò)安全問題的識(shí)別、分析與處理提供支持。

（4）智能分析模塊。通過數(shù)據(jù)挖掘技術(shù)尋找出數(shù)據(jù)中有價(jià)值的信息，并利用人工智能對(duì)數(shù)據(jù)進(jìn)行計(jì)算，以此判斷系統(tǒng)內(nèi)部是否存在安全隱患，并通過可視化平臺(tái)將判斷結(jié)果顯示出來，幫用戶及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。

（5）智能學(xué)習(xí)模塊。平臺(tái)可不斷進(jìn)行學(xué)習(xí)，自動(dòng)完善平臺(tái)功能，以快速、準(zhǔn)確地對(duì)新網(wǎng)絡(luò)安全隱患進(jìn)行識(shí)別與處理。

（6）人機(jī)交互模塊。根據(jù)專家的安全防護(hù)經(jīng)驗(yàn)，結(jié)合智能人機(jī)交互平臺(tái)，為安全隱患的識(shí)別、處理提供輔助指導(dǎo)。

2? ?安防體系的框架設(shè)計(jì)

2.1 安全大數(shù)據(jù)平臺(tái)

在整個(gè)安防體系框架中，安全大數(shù)據(jù)平臺(tái)是核心部分，用于安全大數(shù)據(jù)的管理。從邏輯角度來說，安全大數(shù)據(jù)平臺(tái)共由4個(gè)層次構(gòu)成，由上至下依次為安全底座、安全中臺(tái)、服務(wù)總線及安全應(yīng)用。從總體角度來說，可將平臺(tái)歸納成“一腦雙核，四輪驅(qū)動(dòng)”，即包含6大模塊：①安全數(shù)據(jù)中臺(tái)——主要用于安全數(shù)據(jù)的自動(dòng)采集、整理、計(jì)算等，以挖掘出數(shù)據(jù)中心隱藏的信息。②資源中臺(tái)——在安全數(shù)據(jù)中臺(tái)的輔助下，向安全應(yīng)用提供威脅識(shí)別、策略執(zhí)行等功能。上述兩個(gè)模塊共同作為平臺(tái)的“雙核”，是整個(gè)平臺(tái)最為重要的部分，直接關(guān)系到網(wǎng)絡(luò)安全隱患的識(shí)別與處理能力[3]。③數(shù)據(jù)治理——數(shù)據(jù)管理的主要手段，即針對(duì)大數(shù)據(jù)防護(hù)需求，創(chuàng)建病毒、漏洞等數(shù)據(jù)庫，以此為安全隱患的識(shí)別提供支持。④安全事件——數(shù)據(jù)管理的中心，實(shí)時(shí)對(duì)數(shù)據(jù)檢測(cè)并響應(yīng)，采集安全數(shù)據(jù)后，第一時(shí)間傳輸給安全事件，并對(duì)各種數(shù)據(jù)庫進(jìn)行檢索，以提取相應(yīng)的安全策略，用于對(duì)安全威脅的處理。⑤網(wǎng)絡(luò)安全框架——數(shù)據(jù)管理的指導(dǎo)，以確保整個(gè)大數(shù)據(jù)安全防護(hù)功能有效執(zhí)行。⑥數(shù)據(jù)驅(qū)動(dòng)——可提升安全應(yīng)用功能，更加全面地對(duì)大數(shù)據(jù)進(jìn)行安全管理。后面4大模塊即為平臺(tái)的“四輪驅(qū)動(dòng)”。

2.2 數(shù)據(jù)庫平臺(tái)

通過安全大數(shù)據(jù)平臺(tái)對(duì)數(shù)據(jù)進(jìn)行管理后，將會(huì)改變安全防護(hù)的本質(zhì)，使其變?yōu)閿?shù)據(jù)方面的問題，即如何采集數(shù)據(jù)，采取何種方式對(duì)數(shù)據(jù)計(jì)算，怎樣保證數(shù)據(jù)存儲(chǔ)安全性等，以保證整個(gè)大數(shù)據(jù)網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行。為此，本文在安全大數(shù)據(jù)平臺(tái)的基礎(chǔ)上，構(gòu)建了一個(gè)數(shù)據(jù)庫平臺(tái)（見圖1），其主要由4部分構(gòu)成。

（1）數(shù)據(jù)采集層。數(shù)據(jù)采集層處于整個(gè)數(shù)據(jù)庫的最底層，主要以大數(shù)據(jù)技術(shù)為核心，對(duì)各方面網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行采集。根據(jù)數(shù)據(jù)業(yè)務(wù)類型的不同，可將數(shù)據(jù)劃分成以下四種類型：①日志類數(shù)據(jù)：包含網(wǎng)絡(luò)系統(tǒng)日常運(yùn)行情況的數(shù)據(jù)；②流量類數(shù)據(jù)：用于統(tǒng)計(jì)網(wǎng)絡(luò)內(nèi)部信息流量的數(shù)據(jù)；③知識(shí)情報(bào)類數(shù)據(jù)：是包含網(wǎng)絡(luò)威脅類型、處理策略相關(guān)信息的數(shù)據(jù)；④告警類數(shù)據(jù)：是包含網(wǎng)絡(luò)威脅告警信息的數(shù)據(jù)。在進(jìn)行數(shù)據(jù)庫連接時(shí)，以數(shù)據(jù)抽取技術(shù)為核心，以自定義程序?yàn)檩o助，以此建立出相應(yīng)的數(shù)據(jù)引接工具，以快速、準(zhǔn)確地將數(shù)據(jù)導(dǎo)入到數(shù)據(jù)庫內(nèi)。同時(shí)，在數(shù)據(jù)庫內(nèi)添加Kafka傳輸組件，可對(duì)流量削峰處理，提升數(shù)據(jù)庫的吞吐率，使數(shù)據(jù)庫在整個(gè)平臺(tái)中發(fā)揮更大的作用。

（2）數(shù)據(jù)計(jì)算層。隨著現(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)容量的不斷擴(kuò)大，數(shù)據(jù)分析任務(wù)數(shù)量逐漸提升，想要使數(shù)據(jù)體現(xiàn)出最大的加值，系統(tǒng)在對(duì)數(shù)據(jù)進(jìn)行處理時(shí)，應(yīng)具備流、批一體化功能。若數(shù)據(jù)處理的時(shí)延性要求較低，通常進(jìn)行批量處理；若數(shù)據(jù)處理的時(shí)延性要求很高，通常選取流處理引擎，主要流程：在系統(tǒng)庫數(shù)據(jù)量不斷提升的同時(shí)，在同步工具的作用下，將新添加的數(shù)據(jù)導(dǎo)入Kafka內(nèi)，并以此為媒介，將數(shù)據(jù)導(dǎo)入至數(shù)據(jù)湖。此外，這些數(shù)據(jù)還會(huì)傳輸給Flink引擎，由該引擎對(duì)數(shù)據(jù)進(jìn)行計(jì)算與分析，在得到分析結(jié)果后，傳輸給應(yīng)用層，通過可視化技術(shù)處理后將結(jié)果展示給用戶。

另外，在數(shù)據(jù)計(jì)算層當(dāng)中，還根據(jù)分層原理，設(shè)計(jì)了離線與在線數(shù)據(jù)倉，以加強(qiáng)對(duì)龐大數(shù)據(jù)的安全處理。這是因?yàn)閿?shù)據(jù)容量較為龐大，若按照傳統(tǒng)方式進(jìn)行計(jì)算，很容易出現(xiàn)遺漏或重復(fù)使用問題，影響數(shù)據(jù)的應(yīng)用價(jià)值。而采用離線與在線數(shù)據(jù)倉即可從根本上解決這一問題，大大提升數(shù)據(jù)計(jì)算處理效率與質(zhì)量。

（3）數(shù)據(jù)服務(wù)層。對(duì)數(shù)據(jù)計(jì)算后，可得到不同方面的分析結(jié)果，如資源目錄、數(shù)據(jù)標(biāo)準(zhǔn)等，每類數(shù)據(jù)均與相應(yīng)的通信端口相連，以將分析結(jié)果傳輸給應(yīng)用層，驅(qū)動(dòng)平臺(tái)內(nèi)各種應(yīng)用服務(wù)功能的運(yùn)行，從而向用戶提供數(shù)據(jù)安全管理服務(wù)。

（4）數(shù)據(jù)應(yīng)用層。該層在接收到服務(wù)層傳輸?shù)慕Y(jié)果后，可驅(qū)動(dòng)安防平臺(tái)執(zhí)行各種大數(shù)據(jù)安全服務(wù)功能。

3? ?數(shù)據(jù)安全中臺(tái)設(shè)計(jì)

3.1 安全數(shù)據(jù)治理平臺(tái)

在數(shù)據(jù)接入工具的作用下，可獲取大量與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)，如病毒數(shù)據(jù)、漏洞數(shù)據(jù)等，這些數(shù)據(jù)格式不同，字段存在一定差異，因此，想要更好地使用這些數(shù)據(jù)，應(yīng)先對(duì)數(shù)據(jù)進(jìn)行治理，即通過相應(yīng)的技術(shù)手段對(duì)數(shù)據(jù)予以轉(zhuǎn)換，確保在保持其完整的基礎(chǔ)上，使數(shù)據(jù)處于同一水平，以提升數(shù)據(jù)計(jì)算、分析與應(yīng)用效率。在進(jìn)行數(shù)據(jù)處理時(shí)，先要明確具體使用需求，然后以此為基礎(chǔ)，選擇所需要的數(shù)據(jù)，并判斷數(shù)據(jù)的來源。在實(shí)際操作過程中，通過該流程的應(yīng)用，可拉近各模塊間的距離，有效解決傳統(tǒng)安防體系中的數(shù)據(jù)孤島問題。以數(shù)據(jù)流為媒介，將各子模塊集合到一起，以便 用于不同網(wǎng)絡(luò)安全業(yè)務(wù)當(dāng)中。

由大量實(shí)踐研究可知，網(wǎng)絡(luò)安全數(shù)據(jù)特點(diǎn)包括以下幾點(diǎn)。①容量大，最高可以達(dá)到EB級(jí)甚至是PE級(jí)以上；②類型眾多，如病毒數(shù)據(jù)、告警數(shù)據(jù)等；③由于網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備眾多，加之設(shè)備運(yùn)行時(shí)間較長，使得安全數(shù)據(jù)產(chǎn)生速度非常快，隨時(shí)產(chǎn)生大量安全數(shù)據(jù)；④價(jià)值密度低，數(shù)據(jù)中包含大量無用數(shù)據(jù)，有用數(shù)據(jù)占比非常小，需要對(duì)整個(gè)數(shù)據(jù)集進(jìn)行全面分析與計(jì)算后，才可提取出有價(jià)值的數(shù)據(jù)。

基于此，結(jié)合上述安防體系框架，可設(shè)計(jì)出如圖2所示公共數(shù)據(jù)模型。其中，共由3層構(gòu)成，分別為：數(shù)據(jù)源層，用于連接數(shù)據(jù)庫和領(lǐng)域邏輯層；受領(lǐng)域邏輯組織方式的影響。數(shù)據(jù)操作層，用于對(duì)數(shù)據(jù)的初步處理與分析；公共維度模型層，數(shù)據(jù)匯總層，按照相應(yīng)的規(guī)律對(duì)明細(xì)數(shù)據(jù)進(jìn)行整理，以此為后續(xù)數(shù)據(jù)加工分析提供支持。

3.2 安全大數(shù)據(jù)湖

為了進(jìn)一步提升安防體系的應(yīng)用效果，本平臺(tái)中設(shè)計(jì)了安全大數(shù)據(jù)湖。數(shù)據(jù)湖最早出現(xiàn)在2010年，指的是除了原始數(shù)據(jù)，其他各種數(shù)據(jù)資產(chǎn)存儲(chǔ)能力的集合。從數(shù)據(jù)層面而言，可將安全大數(shù)據(jù)湖看成數(shù)據(jù)存儲(chǔ)策略；從存儲(chǔ)方式層面而言，安全大數(shù)據(jù)湖不僅包含Hadoop分布式存儲(chǔ)平臺(tái)，而且還有Elasticisearch集群存儲(chǔ)、FastDFS集群存儲(chǔ)、圖數(shù)據(jù)庫集群存儲(chǔ)與TiDB集群存儲(chǔ)等諸多功能，在這些功能共同作用下，有效對(duì)各種類型數(shù)據(jù)進(jìn)行存儲(chǔ)。同時(shí)，由于存在TiDB數(shù)據(jù)庫，可在數(shù)據(jù)混合存儲(chǔ)的基礎(chǔ)上，快速對(duì)數(shù)據(jù)進(jìn)行分析與處理。從技術(shù)層面而言，數(shù)據(jù)湖無法代替?zhèn)鹘y(tǒng)信息基礎(chǔ)框架，只是對(duì)傳統(tǒng)信息框架的完善與優(yōu)化。

3.3 安全數(shù)據(jù)分析平臺(tái)

（1）特征數(shù)據(jù)層。主要功能如下。①異常分析，明確異常行為特點(diǎn)，并自動(dòng)對(duì)網(wǎng)絡(luò)中出現(xiàn)的異常進(jìn)行監(jiān)測(cè)；②流量分析。對(duì)整個(gè)網(wǎng)絡(luò)中病毒數(shù)據(jù)、漏洞數(shù)據(jù)、異常數(shù)據(jù)等進(jìn)行全面分析；③脆弱性分析。判斷網(wǎng)絡(luò)自身是否存在漏洞，分析漏洞引發(fā)的原因，并確定漏洞可造成的危害等。

（2）中間數(shù)據(jù)層。主要功能如下。①ATT&CK知識(shí)框架用于存儲(chǔ)攻擊策略、技術(shù)等相關(guān)信息，為攻擊行為的識(shí)別與應(yīng)對(duì)提供支持；②威脅情報(bào)知識(shí)。其中存儲(chǔ)了各種威脅情報(bào)特點(diǎn)及其對(duì)網(wǎng)絡(luò)造成危害的相關(guān)信息；③安全資源知識(shí)庫。主要存儲(chǔ)安全資源相關(guān)信息等。

（3）應(yīng)用場(chǎng)景層。通過對(duì)網(wǎng)絡(luò)脆弱性分析、安全時(shí)間分析等，判斷網(wǎng)絡(luò)具體情況，并根據(jù)分析結(jié)果，激活相應(yīng)的安全防護(hù)功能，以保證網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運(yùn)行。

3.4 安全數(shù)據(jù)服務(wù)共享平臺(tái)

（1）資源目錄與元數(shù)據(jù)管理。用于可交換數(shù)據(jù)源數(shù)據(jù)的結(jié)構(gòu)化展示，支持?jǐn)?shù)據(jù)庫、大數(shù)據(jù)、Web服務(wù)等多類型數(shù)據(jù)資源技術(shù)元數(shù)據(jù)的采集與業(yè)務(wù)元數(shù)據(jù)的維護(hù)能力；能夠根據(jù)不同的主題，創(chuàng)建相應(yīng)的業(yè)務(wù)視圖，用戶可在視圖界面內(nèi)注冊(cè)資源、檢索信息等。

（2）數(shù)據(jù)使用。用戶向平臺(tái)提交申請(qǐng)后，由平臺(tái)審批員對(duì)請(qǐng)求進(jìn)行處理；利用平臺(tái)內(nèi)的注冊(cè)功能，注冊(cè)具有相應(yīng)權(quán)限的賬號(hào)，用于對(duì)用戶操作行為的監(jiān)管；在歷史信息界面內(nèi)，瀏覽以往操作行為信息等。

（3）數(shù)據(jù)服務(wù)管理。利用相應(yīng)的服務(wù)發(fā)布組件，開發(fā)人員可快速完成數(shù)據(jù)服務(wù)及數(shù)據(jù)服務(wù)共享平臺(tái)的開發(fā)。在平臺(tái)內(nèi)，開發(fā)人員可查詢用戶請(qǐng)求信息，并對(duì)用戶請(qǐng)求進(jìn)行審批。

4? ?結(jié)束語

在大數(shù)據(jù)安全網(wǎng)絡(luò)問題不斷嚴(yán)重的今天，應(yīng)更加注重大數(shù)據(jù)安全防護(hù)體系的構(gòu)建，通過安全防護(hù)體系的應(yīng)用，加強(qiáng)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的監(jiān)管，通過對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部數(shù)據(jù)流的分析與評(píng)估，準(zhǔn)確判斷網(wǎng)絡(luò)系統(tǒng)是否被病毒攻擊、自身是否存在漏洞等，并根據(jù)評(píng)估結(jié)果，采取科學(xué)、合理的方式對(duì)系統(tǒng)內(nèi)異常行為進(jìn)行處理，以確保網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運(yùn)行?！?/p>

參考文獻(xiàn)

[1] 韋蕊．基于邊緣計(jì)算的非結(jié)構(gòu)化大數(shù)據(jù)動(dòng)態(tài)安全存儲(chǔ)算法[J]．吉林大學(xué)學(xué)報(bào)（信息科學(xué)版），2023（3）：559-565.

[2] 鄭飛．大數(shù)據(jù)視域下的計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)及關(guān)鍵技術(shù)研究[J]．中國管理信息化，2022（23）：156-158.

[3] 卞咸杰．大數(shù)據(jù)時(shí)代智慧檔案信息服務(wù)平臺(tái)數(shù)據(jù)安全風(fēng)險(xiǎn)及其對(duì)策[J]．檔案管理，2022（6）：38-41.