黃正興　鄧小莉　龍文峰

摘 要 從大規(guī)模網(wǎng)絡龐大的數(shù)據(jù)量中找出有用的信息成為網(wǎng)絡安全態(tài)勢感知研究中的棘手問題，根據(jù)大數(shù)據(jù)技術特有的海量存儲、并行計算、高效查詢等特點，對基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知進行了初步探討，對其可行性進行了初步研究。

關鍵詞 大數(shù)據(jù) 網(wǎng)絡安全 態(tài)勢感知

中圖分類號：TP393.08 文獻標識碼：A

0 引言

對于一個大型網(wǎng)絡，在網(wǎng)絡安全層面，除了訪問控制、入侵檢測、身份識別等基礎技術手段，需要安全運維和管理人員能夠及時感知網(wǎng)絡中的異常事件與整體安全態(tài)勢。對于安全運維人員來說，如何從成千上萬的安全事件和日志中找到最有價值、最需要處理和解決的安全問題，從而保障網(wǎng)絡的安全狀態(tài)，是他們最關心也是最需要解決的問題。與此同時，對于安全管理者和高層管理者而言，如何描述當前網(wǎng)絡安全的整體狀況，如何預測和判斷風險發(fā)展的趨勢，如何指導下一步安全建設與規(guī)劃，則是一道持久的難題。

隨著大數(shù)據(jù)技術的成熟、應用與推廣，網(wǎng)絡安全態(tài)勢感知技術有了新的發(fā)展方向，大數(shù)據(jù)技 術特有的海量存儲、并行計算、高效查詢等特點，為大規(guī)模網(wǎng)絡安全態(tài)勢感知的關鍵技術創(chuàng)造了突破的機遇。本文將對大規(guī)模網(wǎng)絡環(huán)境下的安全態(tài)勢感知、大數(shù)據(jù)技術在安全感知方面的促進做一些探討。

1 基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知

隨著網(wǎng)絡的發(fā)展，大規(guī)模網(wǎng)絡所引發(fā)的安全保障的復雜度激增，主要面臨的問題包括：安全數(shù)據(jù)量巨大；安全事件被割裂，從而難以感知；安全的整體狀況無法描述。

網(wǎng)絡安全感知能力具體可分為資產(chǎn)感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產(chǎn)感知是指自動化快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡資產(chǎn)的分布情況、更新情況、屬性等信息；脆弱性感知則包括3個層面的脆弱性感知能力：不可見、可見、可利用；安全事件感知是指能夠確定安全事件發(fā)生的時間、地點、人物、起因、經(jīng)過和結果；異常行為感知是指通過異常行為判定風險，以彌補對不可見脆弱性、未知安全事件發(fā)現(xiàn)的不足，主要面向的是感知未知的攻擊。

隨著Hadoop、NoSQL等技術的興起，BigData大數(shù)據(jù)的應用逐漸增多和成熟，而大數(shù)據(jù)自身擁有Velocity快速處理、Volume大數(shù)據(jù)量存儲、Variety支持多類數(shù)據(jù)格式三大特性。大數(shù)據(jù)的這些天生特性，恰巧可以用于大規(guī)模網(wǎng)絡的安全感知。首先，多類數(shù)據(jù)格式可以使網(wǎng)絡安全感知獲取更多類型的日志數(shù)據(jù)，包括網(wǎng)絡與安全設備的日志、網(wǎng)絡運行情況信息、業(yè)務與應用的日志記錄等；其次，大數(shù)據(jù)量存儲與快速處理為高速網(wǎng)絡流量的深度安全分析提供了技術支持，可以為高智能模型算法提供計算資源；最后，在異常行為的識別過程中，核心是對正常業(yè)務行為與異常攻擊行為之間的未識別行為進行離群度分析，大數(shù)據(jù)使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能。

2目前研究成果

中國移動自2010年起在云計算和大數(shù)據(jù)方面就開始了積極探索。中國移動的“大云”系統(tǒng)目前已實現(xiàn)了分布式海量數(shù)據(jù)倉庫、分布式計算框架、云存儲系統(tǒng)、彈性計算系統(tǒng)、并行數(shù)據(jù)挖掘工具等關鍵功能。在“大云”系統(tǒng)的基礎上，中國移動的網(wǎng)絡安全感知也具備了一定的技術積累，進行了大規(guī)模網(wǎng)絡安全感知和防御體系的技術研究，在利用云平臺進行脆弱性發(fā)現(xiàn)方面的智能型任務調度算法、主機和網(wǎng)絡異常行為發(fā)現(xiàn)模式等關鍵技術上均有突破，在安全運維中取得了一些顯著的效果。

3總結

大數(shù)據(jù)的出現(xiàn)，擴展了計算和存儲資源，提供了基礎平臺和大數(shù)據(jù)量處理的技術支撐，為安全態(tài)勢的分析、預測創(chuàng)造了無限可能。

參考文獻

[1] 龔正虎，卓瑩.網(wǎng)絡態(tài)勢感知研究[J].軟件學報，2010，21（7）：1605-1619.

[2] 韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡安全態(tài)勢評估模型[J].計算機研究與發(fā)展，2009，46（3）：353-362.

[3] 賈焰.大規(guī)模網(wǎng)絡安全態(tài)勢感知——需求、挑戰(zhàn)與技術[R].國防科大計算機學院網(wǎng)絡所，2009.

[4] 張仕斌，許春香，安宇俊.基于云模型的風險評估方法研究[J].電子科技大學學報，2013，1：92-97.