劉 蘭，林 軍

（1.廣東技術(shù)師范學(xué)院，廣東 廣州 510655，2.工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

大數(shù)據(jù)環(huán)境下安全海量規(guī)則分析技術(shù)研究

劉 蘭1，林 軍2

（1.廣東技術(shù)師范學(xué)院，廣東 廣州 510655，2.工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

大數(shù)據(jù)環(huán)境下異構(gòu)的網(wǎng)絡(luò)安全設(shè)備會產(chǎn)生海量的安全事件，本文針對大數(shù)據(jù)具有的數(shù)據(jù)量巨大、查詢分析復(fù)雜的特點(diǎn)，分析面向大數(shù)據(jù)的網(wǎng)絡(luò)安全海量規(guī)則分析處理的相關(guān)技術(shù)，提出對各類數(shù)據(jù)源進(jìn)行清洗整合，通過安全事件的關(guān)聯(lián)分析，對安全規(guī)則建立描述模型，提出安全事件海量規(guī)則的模糊等量約束的因果關(guān)聯(lián)算法和時空同現(xiàn)模式挖掘安全事件的規(guī)則間關(guān)聯(lián)算法.

大數(shù)據(jù)；關(guān)聯(lián)分析；規(guī)則；時空同現(xiàn)

1 大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全海量規(guī)則研究背景

1.1 大數(shù)據(jù)分析為信息安全帶來機(jī)遇

大數(shù)據(jù)分析為信息安全領(lǐng)域的發(fā)展帶來了新的挑戰(zhàn)和機(jī)遇，在信息安全領(lǐng)域可以歸納為兩個方面：首先是從宏觀上來說我們需要感知網(wǎng)絡(luò)安全的整體態(tài)勢，其次我們需要從微觀上發(fā)現(xiàn)大數(shù)據(jù)環(huán)境下的具體安全問題［1］.

宏觀上大數(shù)據(jù)的信息安全主要表現(xiàn)為利用大數(shù)據(jù)分析技術(shù)的特點(diǎn)，例如并行計(jì)算、海量存儲和高效查詢等，我們可以實(shí)現(xiàn)規(guī)模巨大的異構(gòu)網(wǎng)絡(luò)中安全事件的關(guān)鍵數(shù)據(jù)的有效獲取，在此基礎(chǔ)上對核心數(shù)據(jù)進(jìn)行實(shí)時關(guān)聯(lián)分析，根據(jù)分析結(jié)果建立信息安全評價模型，依據(jù)模型指標(biāo)評估網(wǎng)絡(luò)行為，發(fā)現(xiàn)網(wǎng)絡(luò)的異常事件，從而對網(wǎng)絡(luò)安全進(jìn)行全局的預(yù)警并進(jìn)行防范.

微觀上大數(shù)據(jù)信息安全應(yīng)用指的是從安全信息數(shù)據(jù)中發(fā)現(xiàn)具體的安全事件，例如蠕蟲、DDOS或 APT攻擊.系統(tǒng)可以收集網(wǎng)絡(luò)中的主機(jī)、關(guān)鍵服務(wù)器和交換機(jī)節(jié)點(diǎn)上的流量數(shù)據(jù)和日志信息，對數(shù)據(jù)利用大數(shù)據(jù)分析進(jìn)行去冗余、數(shù)據(jù)清洗、歸一化和特征分析及關(guān)聯(lián)，確定安全事件的具體種類，檢測和還原出具體的安全事件場景，從而及時、動態(tài)的發(fā)現(xiàn)各類安全事件，保護(hù)整體網(wǎng)絡(luò)的安全.

1.2 網(wǎng)絡(luò)安全海量規(guī)則處理優(yōu)勢

因?yàn)榇髷?shù)據(jù)技術(shù)的出現(xiàn)，我們可以跳出信息安全領(lǐng)域以往的 PDR2被動防護(hù)體系：防護(hù)(Protection)、檢測(Detection)、響應(yīng)(Reaction)、恢復(fù)(Restore)，主動發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全風(fēng)險，其優(yōu)勢主要表現(xiàn)為：

（1）分析范圍更大

在網(wǎng)絡(luò)安全規(guī)則處理中，引入大數(shù)據(jù)技術(shù)，能夠全面的找出針對重要資產(chǎn)的攻擊行為.我們可以通過分析面向不同信息資產(chǎn)的業(yè)務(wù)數(shù)據(jù)，發(fā)現(xiàn)其業(yè)務(wù)數(shù)據(jù)模式，從而找出異常操作行為，判斷這些異常操作是否會進(jìn)一步危害網(wǎng)絡(luò).這在傳統(tǒng)的規(guī)則分析中是不會涉及到的.因此，大數(shù)據(jù)分析技術(shù)對數(shù)據(jù)范圍分析的擴(kuò)大使得對網(wǎng)絡(luò)安全的監(jiān)控更為細(xì)致和全面.

（2）處理數(shù)據(jù)時間跨度更長

由于計(jì)算機(jī)處理能力的限制，以往的安全規(guī)則分析一般都是跟系統(tǒng)的內(nèi)存相關(guān)的，實(shí)時的異常分析系統(tǒng)通過探測器采集網(wǎng)絡(luò)中的數(shù)據(jù)，比對系統(tǒng)的規(guī)則庫來發(fā)現(xiàn)攻擊.這樣的規(guī)則匹配技術(shù)其分析能力取決于內(nèi)存的大小，對于時間跨度比較大的慢攻擊往往不能鑒別.通過大數(shù)據(jù)分析，我們可以進(jìn)行海量規(guī)則的處理，分析時間跨度較大的數(shù)據(jù)，有效的發(fā)現(xiàn)和處理隱蔽性和持續(xù)性較強(qiáng)的慢攻擊行為，使系統(tǒng)具備更強(qiáng)的安全事件處理能力.

（3）對安全事件的預(yù)測能力

網(wǎng)絡(luò)安全行業(yè)的傳統(tǒng)防護(hù)技術(shù)大部分是在事件發(fā)生之后才能對安全事件進(jìn)行相應(yīng)的歸類，而大數(shù)據(jù)時代，網(wǎng)絡(luò)安全海量規(guī)則分析的目的是通過已經(jīng)發(fā)生的事件的特征，預(yù)測網(wǎng)絡(luò)中發(fā)生的安全事件及安全態(tài)勢，并通過實(shí)時分析從全局的角度來考慮安全事件對整體安全環(huán)境的影響.

（4）對未知威脅的檢測能力

原有的威脅分析一般有專業(yè)人員依據(jù)個人從業(yè)經(jīng)驗(yàn)進(jìn)行信息的分析和判斷，這依賴于信息安全分析師的已有經(jīng)驗(yàn)和網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況.而大數(shù)據(jù)分析技術(shù)則是通過大規(guī)模數(shù)據(jù)的關(guān)聯(lián)分析，建立各類安全威脅的分析模型，通過數(shù)據(jù)挖掘的方式來實(shí)現(xiàn)對未知威脅的檢測［2、3］.

大數(shù)據(jù)分析擅長的場景是人們對于數(shù)據(jù)中的目標(biāo)幾乎一無所知，而是通過其中的一些相關(guān)數(shù)據(jù)進(jìn)行分析，其產(chǎn)生的結(jié)果數(shù)據(jù)遠(yuǎn)大于數(shù)據(jù)的簡單疊加.大數(shù)據(jù)環(huán)境下安全海量規(guī)則分析系統(tǒng)中最關(guān)鍵的模塊為安全事件的關(guān)聯(lián)分析.異構(gòu)的網(wǎng)絡(luò)環(huán)境中各類網(wǎng)絡(luò)設(shè)備及安全設(shè)備產(chǎn)生海量安全數(shù)據(jù)，對于信息安全的數(shù)據(jù)挖掘技術(shù)，國內(nèi)外學(xué)者有著很多研究成果，比如：貝葉斯網(wǎng)絡(luò)推理理論、支持向量機(jī) SVM、決策樹、人工神經(jīng)網(wǎng)絡(luò)等［4］.這些建模方法的做法通常是從數(shù)據(jù)中抽取出最突出的特征來代替原始數(shù)據(jù)，并將剩余內(nèi)容忽略.在大數(shù)據(jù)環(huán)境下，安全海量規(guī)則分析系統(tǒng)的數(shù)據(jù)處理能力已經(jīng)不是系統(tǒng)的瓶頸了，我們將從建模、算法等方面進(jìn)行考慮，在不損失數(shù)據(jù)價值的前提下規(guī)范分析數(shù)據(jù)，并對核心數(shù)據(jù)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析，發(fā)現(xiàn)海量安全數(shù)據(jù)中的異常事件，及時對網(wǎng)絡(luò)態(tài)勢預(yù)警.

2 大數(shù)據(jù)環(huán)境下安全海量規(guī)則分析模型

2.1 數(shù)據(jù)特點(diǎn)

大數(shù)據(jù)環(huán)境下的安全數(shù)據(jù)有個非常獨(dú)特的特點(diǎn)：安全數(shù)據(jù)不僅僅只在網(wǎng)絡(luò)終端，而且也還表現(xiàn)在網(wǎng)絡(luò)的各種不同層次和位置，如網(wǎng)絡(luò)服務(wù)器、網(wǎng)站、BBS等網(wǎng)絡(luò)內(nèi)容發(fā)布和支持場所.這就需要我們從多個角度（多維度），多種層次（多粒度）的主動搜索采集數(shù)據(jù).將各種網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，保存在大數(shù)據(jù)平臺上，然后進(jìn)行集中的海量數(shù)據(jù)存儲和深入分析，可以在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的一點(diǎn)蛛絲馬跡后，通過全面分析這些海量數(shù)據(jù)來還原整個安全事件的場景.

通過典型的大數(shù)據(jù)分析平臺如 Hadoop平臺上的分布式文件系統(tǒng) （Hadoop Distributed File System）分布式保存海量數(shù)據(jù)，利用 MapReduce處理大量半結(jié)構(gòu)化數(shù)據(jù)集合，例如對海量數(shù)據(jù)進(jìn)行初步處理，從中取出兩類數(shù)據(jù)，分別是特定類型文件，主要是常用于惡意代碼植入的各類文件如：exe、pdf、flash、word、ppt和 exec等以及包括 SNMP、ODBC及 Log Files等接口收集到的網(wǎng)絡(luò)流量數(shù)據(jù).

2.2 模型

成千萬上億條的海量規(guī)則交由一臺處理機(jī)來進(jìn)行處理幾乎是不可能的事情，為了能夠及時處理用戶設(shè)定的多維度各種粒度的規(guī)則，并能及時對用戶作出響應(yīng)，需要由多臺處理機(jī)同時對規(guī)則網(wǎng)進(jìn)行并行處理，從而改善處理效率.大數(shù)據(jù)環(huán)境下安全海量規(guī)則分析技術(shù)，其中規(guī)則關(guān)聯(lián)行為分析的依據(jù)不再只是單純的行為分析基礎(chǔ)上的邏輯判斷，而是在大數(shù)據(jù)基礎(chǔ)上的廣泛性信息收集，以及從多個維度的數(shù)據(jù)挖掘結(jié)果之上得出的判定結(jié)果.利用行為分析的“相關(guān)性技術(shù)”把安全事件綜合聯(lián)系起來，確定其是否屬于惡意行為.分析和借鑒基于流量行為、神經(jīng)網(wǎng)絡(luò)和模式識別的網(wǎng)絡(luò)異常檢測技術(shù)，充分利用學(xué)科交叉知識來解決大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下的安全事件關(guān)聯(lián)分析問題；通過大數(shù)據(jù)環(huán)境下的規(guī)則關(guān)聯(lián)分析與評估，建立網(wǎng)絡(luò)異常報(bào)警機(jī)制；

模型中有兩個需要考慮的問題：第一，大數(shù)據(jù)本身有可能成為APT攻擊的數(shù)據(jù)載體；第二，大數(shù)據(jù)分析本身也容易為黑客利用，變成新的攻擊.傳統(tǒng)的信息安全數(shù)據(jù)挖掘算法的時間復(fù)雜度較高、算法的誤報(bào)率和漏報(bào)率一直是難以解決的問題，因此并不適合大數(shù)據(jù)環(huán)境，相關(guān)的科學(xué)研究也發(fā)現(xiàn)，在數(shù)據(jù)處理效率得到提高的背景下，反而某些簡單算法對于大數(shù)據(jù)的處理更有效［4］.

在這樣的研究背景下，我們對信息安全海量規(guī)則進(jìn)行分析研究［5、6］，提出面向大數(shù)據(jù)環(huán)境的異構(gòu)網(wǎng)絡(luò)安全海量規(guī)則分析模型，結(jié)構(gòu)圖見圖1.

數(shù)據(jù)采集模塊：通過采集海量數(shù)據(jù)，可以搜集多個來源的數(shù)據(jù)，這些數(shù)據(jù)表面上看來沒什么關(guān)系的數(shù)據(jù)之間有時存在著某種內(nèi)在的聯(lián)系.數(shù)據(jù)源包含網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和服務(wù)器等.提供對SNMP、ODBC、Log Files、Socket、SDK、Cisco、NAP等的接口能力.

數(shù)據(jù)整合模塊：通過數(shù)據(jù)整合模塊，我們對源數(shù)據(jù)進(jìn)行規(guī)范化處理，通過特征提取和分類規(guī)則對數(shù)據(jù)進(jìn)行分類.此模塊的核心是特征提取、數(shù)據(jù)降維和分類算法的研究.

關(guān)聯(lián)分析模塊：

圖1 網(wǎng)絡(luò)安全海量規(guī)則分析模型結(jié)構(gòu)圖

通過智能化的分析方法找出海量安全事件之間的關(guān)聯(lián)，從而還原攻擊場景圖，這是整個系統(tǒng)的關(guān)鍵.這個模塊對海量安全事件進(jìn)行診斷和響應(yīng)，識別攻擊意圖，重構(gòu)安全威脅場景.一個完整的安全事件通常由多個步驟構(gòu)成，這些步驟之間又是相互關(guān)聯(lián)的，如果能夠把這種隱含關(guān)系找到，就能夠更加準(zhǔn)確的還原安全事件的行為，更加準(zhǔn)確的確定安全事件對網(wǎng)絡(luò)的影響.

安全評測可視輸出模塊：此模塊將分析過程得到的新知識充實(shí)到自己的知識庫中，完善自身的學(xué)習(xí)能力.基于多維度、多粒度的規(guī)則智能檢測模型會隨著時間的增加而具有越來越強(qiáng)的未知安全事件的識別能力.而可視化以一種更科學(xué)直觀的方式呈現(xiàn)網(wǎng)絡(luò)安全事件場景.先通過分析將安全事件的行為與時間進(jìn)行關(guān)聯(lián)起來，建立起安全事件的時間軸；同時多個網(wǎng)絡(luò)安全事件可能在攻擊中進(jìn)行了協(xié)作來達(dá)到目的，在可視化呈現(xiàn)時要將所有與此事件有關(guān)的行為都囊括進(jìn)來.再根據(jù)整理好的數(shù)據(jù)采用非圖形化或者非圖形化的方式呈現(xiàn)出來.

3 海量規(guī)則描述及并行處理算法

面向大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全規(guī)則的關(guān)聯(lián)算法主要需要考慮幾個問題：

第一，安全事件的規(guī)則描述粒度，安全事件發(fā)生時，不同粒度數(shù)據(jù)項(xiàng)之間存在著關(guān)聯(lián)關(guān)系，在多個來源不同粒度的數(shù)據(jù)之間通過關(guān)聯(lián)分析找到數(shù)據(jù)之間的隱含關(guān)系，文中采用模糊等量約束因果關(guān)聯(lián)分析算法進(jìn)行處理.

第二，一個完整的安全事件通常由多個步驟構(gòu)成，這些步驟之間又是相互聯(lián)系的，異構(gòu)設(shè)備數(shù)據(jù)之間的相關(guān)性也需要協(xié)調(diào)分析，本文采用時空同現(xiàn)模式挖掘安全事件的規(guī)則間關(guān)聯(lián).

第三，如何高效描述異構(gòu)數(shù)據(jù)之間的關(guān)系、如何快速利用關(guān)聯(lián)分析方法進(jìn)行檢測是需要深入研究的內(nèi)容.本文利用云計(jì)算的并行處理能力，提出海量規(guī)則并行處理機(jī)制，并實(shí)現(xiàn)了系統(tǒng)原型.

3.1 安全事件模糊等量約束因果關(guān)聯(lián)分析

文本選擇兩個相關(guān)性最大的特征值作為回歸參數(shù)。由表1可知，t2t和HR與SBP的相關(guān)性較強(qiáng)，逐步分析得到SBP的方程為SBP=-141.3t2/t+0.68HR+145.6。t2t和HR與DBP的相關(guān)性較強(qiáng)，逐步分析得到DBP的方程為DBP=-93.3t2/t+0.15HR+120.6。

在安全事件的關(guān)聯(lián)分析中，對任意安全事件 e1和 e2，引入二元模糊因果關(guān)系R?，R?定義在C(e1)×P(e2)上，表示事件 e1和 e2之間的關(guān)聯(lián)關(guān)系，并定義隸屬度函數(shù) μR?（c，p），此函數(shù)取值范圍是實(shí)軸閉區(qū)間［0,1］，函數(shù)大小表示模糊集合R?上的序偶對(c，p)的隸屬度.其定義如公式 1所示：

0

公式中，ui，vi分別表示 c=pred(u1，u2，...，uk)和 p=pred(v1，v2，...，vk)所對應(yīng)的屬性值.Mat(c，p)為 c與 p相匹配的屬性數(shù)目.W(ui，vi)是 ui，vi的權(quán)值，其中 W(ui，vi)∈［0，1］記為：

對于基本屬性 ui，vi，W（ui，vi）的取值范圍在0-1之間，而對于非基本屬性ui，vi，W（ui，vi）的取值為經(jīng)驗(yàn)值.在此基礎(chǔ)上，可以定義集合 C(e1)×P (e2)上的二元模糊關(guān)系R?的支持度函數(shù)SupR?（C，P）：

如果 SupR?（C，P） 的值大于支持度閾值Tsup∈(0，1)時，算法分析認(rèn)為安全事件 e1和 e2之間存在關(guān)聯(lián)關(guān)系.

3.2 時空同現(xiàn)模式挖掘安全事件的規(guī)則間關(guān)聯(lián)

大數(shù)據(jù)環(huán)境下，攻擊行為可以從多個不同位置發(fā)起并指向相同目標(biāo).采用時空同現(xiàn)模式的數(shù)據(jù)挖掘方法，提出從不同的網(wǎng)絡(luò)位置上分析數(shù)據(jù)，發(fā)現(xiàn)這些規(guī)則之間的聯(lián)系從而檢測出安全攻擊行為.

在這個過程中，我們引入時空復(fù)合興趣度，這個值描述了攻擊行為的空間興趣度與時間興趣度的復(fù)合關(guān)系.

時空同現(xiàn)模式挖掘方法可以基于 Time Aggregate Graph（TAG）算法和基于模式增長的方法.算法處理時，我們需要預(yù)先設(shè)定相關(guān)頻繁子模式的最小置信度和最小支持度，同時可以加入時空復(fù)合興趣度的影響因子.TAG的定義為TAG=（N，E，TF，f1…fk，g1…gm，w1…wp|fi:N-＞RTF，gi:E-＞RTF，wi:E-＞RTF）， 在定義中，N表示一組節(jié)點(diǎn)，E表示發(fā)生安全事件的邊，TF表示事件發(fā)生的時間片，f表示存在事件相鄰關(guān)系的事件集合，g是事件間鄰近的時間序列，w表示邊上的權(quán)值序列，即時空復(fù)合興趣度.

本文通過以上算法來分析安全異常事件的頻繁子模式，如果系統(tǒng)檢測到目前的實(shí)時安全事件和頻繁子模式超過支持度閾值，則預(yù)測為網(wǎng)絡(luò)安全異常行為.檢測過程中，用戶可以通過修改閾值來提高處理效率.

4 實(shí)驗(yàn)測試

將構(gòu)建兩個大數(shù)據(jù)分析平臺，一個平臺用于搜集傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)和SDN架構(gòu)網(wǎng)絡(luò)實(shí)驗(yàn)平臺環(huán)境的數(shù)據(jù)，采集的各種日志和網(wǎng)絡(luò)流量數(shù)據(jù)經(jīng)過處理后導(dǎo)入到大數(shù)據(jù)分析平臺上進(jìn)行分析處理，如圖1所示.

為了測試和驗(yàn)證我們提出的大數(shù)據(jù)環(huán)境下安全海量規(guī)則分析技術(shù)，我們構(gòu)建了一個大數(shù)據(jù)分析測試平臺，采集的各種日志和網(wǎng)絡(luò)流量數(shù)據(jù)經(jīng)過處理后導(dǎo)入到大數(shù)據(jù)分析平臺上進(jìn)行分析處理，對于核心數(shù)據(jù)，我們通過搭建簡單的Hadoop MapReduce集群實(shí)驗(yàn)環(huán)境對其進(jìn)行分析處理.實(shí)驗(yàn)環(huán)境包含 1個控制結(jié)點(diǎn)(JobTracker)和8個數(shù)據(jù)分析結(jié)點(diǎn)(TaskTracker).數(shù)據(jù)分析節(jié)點(diǎn)的配置如表 1所示.

表1 計(jì)算節(jié)點(diǎn)配置情況

我們通過Mapreduce的并行處理能力對實(shí)驗(yàn)環(huán)境中產(chǎn)生的分布式安全數(shù)據(jù)進(jìn)行處理，在測試環(huán)境中初步實(shí)現(xiàn)了安全海量規(guī)則的高效并行分析，對于不同類型的安全事件可以做出初步判別和分析.

5 結(jié)論

大數(shù)據(jù)時代國家的核心競爭力在很大程度上依賴于把大數(shù)據(jù)量低價值的數(shù)據(jù)轉(zhuǎn)化成核心知識的能力，本文提出了大數(shù)據(jù)環(huán)境下的安全海量規(guī)則分析系統(tǒng)的一些關(guān)鍵問題和解決思路，從體系模型和算法分析等方面提出大數(shù)據(jù)環(huán)境下安全海量規(guī)則分析技術(shù)的行為機(jī)制.在實(shí)驗(yàn)室模擬了一個測試環(huán)境來對算法進(jìn)行模擬測試和分析，通過測試系統(tǒng)可以對部分安全事件發(fā)現(xiàn)并響應(yīng)，需進(jìn)一步對模型中的規(guī)則表示和算法進(jìn)行優(yōu)化.

［1］王元卓，靳小龍，程學(xué)旗.網(wǎng)絡(luò)大數(shù)據(jù)：現(xiàn)狀與展望［J］.計(jì)算機(jī)學(xué)報(bào)，2013,36(6)：1125-1138.

［2］Bahadori M T,Liu Y,Zhang D.Learning with minimum supervision：a general framework for transductive transfer learning.IEEE International Conference on Data Mining (ICDM),2011.

［3］Shahreza S,Ganjali Y.FleXam：Flexible Sampling Extension for Monitoring and Security Applications in OpenFlow［C］.HotSDN.2013：167-168.

［4］Zhitang Li,Binbin Wang,Dong Li,Hao Chen,Feng Liu, ZhengBin Hu.The Aggregation and Stability Analysis of Network Traffic for Structured-P2P-based Botnet Detection［J］.Journal of Networks.2010,5(5)：517-526.

［5］劉蘭,林軍,蔡君,面向大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控及關(guān)聯(lián)算法研究［J］.電信科學(xué),2014(7)：30-33.

［6］Lan Liu,Xiaoping Xu etc.A kind of fuzzy constraint correlation algorithm based on prerequisites and consequences of security event.In：Proceedings of IEEE International Computer and Information Technology.2009 (10)：225-229.

［責(zé)任編輯：王曉軍］

Research on Network Security Analysis Technique of Massive Rules in the Age of Big Data

LIU Lan1LIN Jun2
（1.Guangdong Polytechnic Normal University,Guangzhou 510655; 2.China Elecrtonic Product Reliability and Environmental Testing Research Institute,Guangzhou 510610）

In the age of Big Data,we should consider large-scale,heterogeneous network security behavior.In this paper,according to the features of huge amount and complex,Big Data analysis technologies for network security massive rules were proposed.Various types of heterogeneous data sources by data cleaning were analysised.The key data through security event correlation and spatiotemporal co-occurrence pattern mining security event correlation rules were proposed.

Big Data;Correlation Analysis;Rule;Spatiotemporal co-occurrence

TP 309

A

1672-402X（2016）08-0041-05

2016-03-10

國家自然科學(xué)基金（61571141）；2015年廣東省教育廳本科高校教學(xué)質(zhì)量與教學(xué)改革工程項(xiàng)目（粵教[2015] 133號網(wǎng)絡(luò)工程專業(yè)綜合改革）

劉蘭（1977-），女，湖南益陽人，博士，廣東技術(shù)師范學(xué)院副教授.研究方向：網(wǎng)絡(luò)技術(shù)、信息安全.

林軍(1976-)，男，廣東廉江人，碩士，高級工程師.研究方向：網(wǎng)絡(luò)安全，大數(shù)據(jù).