湯俊明

(廣東省電信規(guī)劃設(shè)計(jì)院有限公司，廣東 廣州 510000)

1 引言

伴隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施以及網(wǎng)絡(luò)帶寬的大幅度升級(jí)，為大規(guī)模的數(shù)據(jù)傳輸提供了技術(shù)保證，大規(guī)模的數(shù)據(jù)運(yùn)算也隨著云計(jì)算與大數(shù)據(jù)技術(shù)平臺(tái)的出現(xiàn)成為可能，同時(shí)應(yīng)用網(wǎng)絡(luò)數(shù)據(jù)源分析不安全事件，也是技術(shù)發(fā)展的必然趨勢(shì)。

大數(shù)據(jù)分析就是通過分析與挖掘大數(shù)據(jù)獲取信息的過程。大數(shù)據(jù)技術(shù)在儲(chǔ)存、處理以及分析等層面具有很大的突破，不過隨之而來就是網(wǎng)絡(luò)安全事件數(shù)量的急劇增加，如網(wǎng)絡(luò)攻擊或者黑客入侵，極大影響了我們的日常生活，因此開展安全分析與監(jiān)測(cè)有十分重要的意義。

2 目前的挑戰(zhàn)

目前，網(wǎng)絡(luò)與信息安全正在面對(duì)全新的挑戰(zhàn)。首先，隨著大數(shù)據(jù)云計(jì)算時(shí)代的到來，安全問題正在逐漸變?yōu)橐粋€(gè)大數(shù)據(jù)的問題，企業(yè)與組織的網(wǎng)絡(luò)與信息系統(tǒng)每天都在產(chǎn)生大量的數(shù)據(jù)，同時(shí)產(chǎn)生數(shù)據(jù)信息的速度越來越快。其次，越來越復(fù)雜的網(wǎng)絡(luò)安全形勢(shì)給國家和企業(yè)帶來了更多的威脅和挑戰(zhàn)，面對(duì)于這些新的挑戰(zhàn)，現(xiàn)有的管理?xiàng)l件逐漸暴露出其不足，主要表現(xiàn)如下：

2.1 數(shù)據(jù)的處理能力有限

在目前的情況下，分析工具在面對(duì)小數(shù)據(jù)量的時(shí)候是有效的，不過面對(duì)大數(shù)據(jù)量的時(shí)候難以繼續(xù)發(fā)揮其功能，海量的異構(gòu)高維數(shù)據(jù)在融合、儲(chǔ)存以及管理層面都存在難題。安全設(shè)備以及網(wǎng)絡(luò)應(yīng)用出現(xiàn)的安全事件數(shù)量異常巨大，IDS誤報(bào)較為嚴(yán)重，對(duì)于一臺(tái)IDS系統(tǒng)一天出現(xiàn)的安全事件數(shù)量成百上千萬，一般99%以上的安全事故都是誤報(bào)，而真正存在威脅的信息卻被淹沒在誤報(bào)信息內(nèi)。

2.2 識(shí)別威脅的能力有限

開展安全分析是基于規(guī)則的關(guān)聯(lián)分析，只能識(shí)別已知并已經(jīng)描述的攻擊，難以識(shí)別復(fù)雜模式的攻擊，無法識(shí)別未知的攻擊。對(duì)于安全事件之間存在橫向與縱向方面的關(guān)聯(lián)缺乏綜合分析能力，為此會(huì)出現(xiàn)漏報(bào)的情況，不能實(shí)時(shí)開展預(yù)測(cè)。在一個(gè)攻擊活動(dòng)之后一般會(huì)接著另一個(gè)攻擊活動(dòng)，前一個(gè)攻擊活動(dòng)是后一個(gè)攻擊的必要條件。一個(gè)攻擊活動(dòng)會(huì)在多個(gè)安全設(shè)備層面產(chǎn)生應(yīng)激安全事件，多個(gè)不同來源的安全事件其實(shí)就是一種協(xié)作的攻擊模式，對(duì)于這些都無法開展有效的分析。

2.3 安全預(yù)判的能力不足

安全預(yù)判的能力有限，缺少對(duì)抗能力，安全運(yùn)營以被動(dòng)的應(yīng)急響應(yīng)為主，難以對(duì)風(fēng)險(xiǎn)開展提前評(píng)估以及分析，總是疲于處理已經(jīng)出現(xiàn)的困難。

3 關(guān)聯(lián)分析類型介紹

3.1 數(shù)據(jù)關(guān)聯(lián)

數(shù)據(jù)關(guān)聯(lián)：就是將多個(gè)數(shù)據(jù)源內(nèi)部的數(shù)據(jù)開展聯(lián)合、相關(guān)或者是組合分析，進(jìn)而獲得高質(zhì)量的信息。其就是將不同空間設(shè)備層面的日志，不同時(shí)間序列的問題，通過特定的關(guān)聯(lián)方法融合到一起，最后得到特定的分析工具。

3.2 交叉關(guān)聯(lián)

交叉關(guān)聯(lián)：其是最為常見的數(shù)據(jù)關(guān)聯(lián)模式，就是將安全事件與網(wǎng)絡(luò)拓?fù)洹⑾到y(tǒng)開放服務(wù)以及存在的漏洞等模式開展在線的匹配，進(jìn)而分析攻擊成功的可能性，通過這種關(guān)聯(lián)的模式可以檢測(cè)到某一些威脅，同時(shí)發(fā)出警告。

3.3 情境關(guān)聯(lián)

情境關(guān)聯(lián)：也就是將安全事件、故障的告警事件與目前的網(wǎng)絡(luò)、業(yè)務(wù)以及設(shè)備實(shí)際的運(yùn)行情況、狀態(tài)以及重要程度等開展關(guān)聯(lián)，同時(shí)滲透更為廣泛的信息相關(guān)程度，識(shí)別其含有的安全威脅。情境關(guān)聯(lián)是可以依賴于事件的特征并結(jié)合不同的情境開展關(guān)聯(lián)分析的，進(jìn)行擴(kuò)展之后可以含有幾種不同的功能：（1）與漏洞信息的關(guān)聯(lián)，將安全事件與這一事件所針對(duì)的目標(biāo)資產(chǎn)含有的漏洞信息開展關(guān)聯(lián)活動(dòng)，其含有端口的關(guān)聯(lián)以及漏洞的編號(hào)關(guān)聯(lián)等。（2）與資產(chǎn)信息的關(guān)聯(lián)，將事件內(nèi)部的IP地址與資產(chǎn)的價(jià)值、資產(chǎn)具有的類型等開展關(guān)聯(lián)分析，判斷事件的準(zhǔn)確性以及具有的風(fēng)險(xiǎn)程度。（3）與性能狀態(tài)的關(guān)聯(lián)，也就是將事件內(nèi)部的IP地址與設(shè)備目前的對(duì)應(yīng)性能指標(biāo)關(guān)聯(lián)，判別事件的準(zhǔn)確性以及具有的風(fēng)險(xiǎn)。（4）與網(wǎng)絡(luò)狀態(tài)的關(guān)聯(lián)，將安全事件與這一事件所對(duì)應(yīng)的目標(biāo)資產(chǎn)當(dāng)前出現(xiàn)的告警信息以及目前網(wǎng)絡(luò)告警信息開展關(guān)聯(lián)。

3.4 統(tǒng)計(jì)關(guān)聯(lián)與時(shí)序關(guān)聯(lián)

對(duì)于單位時(shí)間內(nèi)部的日志的某個(gè)或者多個(gè)屬性開展統(tǒng)計(jì)計(jì)數(shù)分析的時(shí)候，關(guān)聯(lián)得到一定統(tǒng)計(jì)規(guī)則的事件。比如在一分鐘內(nèi)部某個(gè)源IP連續(xù)向某個(gè)目的IP發(fā)送超過2000個(gè)的SYN半連接包。時(shí)序的關(guān)聯(lián)，指的為依賴于某些事件發(fā)生的時(shí)序開展關(guān)聯(lián)分析，依賴于某一些攻擊的行為、網(wǎng)絡(luò)的故障特點(diǎn)，就可以通過時(shí)序關(guān)聯(lián)來設(shè)定具體的分析規(guī)則，達(dá)到事前警告、事中阻隔的功能。

4 大數(shù)據(jù)場(chǎng)景分析

4.1 基線分析

基線分析是將重要的設(shè)備或者是業(yè)務(wù)的安全關(guān)鍵點(diǎn)要素，比如服務(wù)器層面的賬戶信息、權(quán)限信息、端口開放信息、進(jìn)程啟動(dòng)信息、服務(wù)啟動(dòng)信息等開展基線分析，通過對(duì)單個(gè)或多個(gè)關(guān)鍵點(diǎn)的變化開展綜合的分析，進(jìn)而達(dá)到對(duì)于危險(xiǎn)的確認(rèn)。比如，某一臺(tái)服務(wù)器突然增加一個(gè)登錄賬號(hào)或者是突然打開某個(gè)端口的，同外界出現(xiàn)連接。

4.2 宏觀態(tài)勢(shì)分析

宏觀態(tài)勢(shì)分析是基于時(shí)間周期同比對(duì)于某一類或者是整體事件開展宏觀的分析，判斷目前網(wǎng)絡(luò)整體性能或者安全情況、預(yù)測(cè)之后網(wǎng)絡(luò)的性能或者安全情況發(fā)展模式。比如在某一個(gè)時(shí)段的IDS告警量突然比之前的一段時(shí)間增多很多，導(dǎo)致大量數(shù)據(jù)的切入等，就需要開展宏觀態(tài)勢(shì)分析。

4.3 離線分析

離線分析是指生產(chǎn)流取樣并將樣品送到便于分析器分析的某一地點(diǎn)進(jìn)行的分析。首先就是態(tài)勢(shì)評(píng)估，其包含關(guān)聯(lián)分析、態(tài)勢(shì)分析以及態(tài)勢(shì)評(píng)價(jià)，其中關(guān)聯(lián)分析是最為核心的分析。關(guān)聯(lián)分析就是通過數(shù)據(jù)融合技術(shù)對(duì)多源異構(gòu)的數(shù)據(jù)從時(shí)間、空間以及協(xié)議等多個(gè)層面開展關(guān)聯(lián)以及識(shí)別。態(tài)勢(shì)評(píng)價(jià)的結(jié)果就是形成調(diào)試評(píng)價(jià)報(bào)告或者是網(wǎng)絡(luò)的綜合態(tài)勢(shì)圖，通過調(diào)試可視化為管理人員提供信息，同時(shí)還可以為更高階段的評(píng)估提供必要的基礎(chǔ)。

其次為業(yè)務(wù)評(píng)估，包含業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響評(píng)估、業(yè)務(wù)合規(guī)審計(jì)等。業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估主要是通過面向業(yè)務(wù)的風(fēng)險(xiǎn)評(píng)估模式，分析業(yè)務(wù)的價(jià)值、弱點(diǎn)以及威脅情況，得出業(yè)務(wù)風(fēng)險(xiǎn)的數(shù)據(jù)。業(yè)務(wù)影響評(píng)估主要分析業(yè)務(wù)的實(shí)際流程，獲知業(yè)務(wù)中斷帶來的實(shí)際影響，從而找到業(yè)務(wù)對(duì)風(fēng)險(xiǎn)的承受程度。

最后為預(yù)警與響應(yīng)，開展態(tài)勢(shì)評(píng)估以及業(yè)務(wù)評(píng)估的結(jié)果均可以輸入到預(yù)警與響應(yīng)模塊，它不僅僅可以借助調(diào)試可視化進(jìn)行預(yù)警展示，還可以通過流程化響應(yīng)開展運(yùn)營維護(hù)。

5 結(jié)束語

伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展與創(chuàng)新，云計(jì)算大數(shù)據(jù)平臺(tái)的商業(yè)化以及企業(yè)化等越來越普遍，云計(jì)算大數(shù)據(jù)分析技術(shù)在安全監(jiān)測(cè)層面的應(yīng)用會(huì)越來越深入，應(yīng)用領(lǐng)域會(huì)越來越多。通過大數(shù)據(jù)的安全分析，不僅可以解決好海量數(shù)據(jù)的采集與儲(chǔ)存問題，還可以更為主動(dòng)以及更加彈性地應(yīng)對(duì)復(fù)雜的違規(guī)行為以及未知的風(fēng)險(xiǎn)。

[1]王帥，汪來富，金華敏，等．網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用[J].電信科學(xué)，2015，31(7)：139-144．

[2]張傳勇．基于大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全問題分析[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015(1)：101．

[3]鄭晨陽．面向大數(shù)據(jù)的網(wǎng)絡(luò)安全策略研究[J]．?dāng)?shù)字圖書館論壇，2014(2)：7-10．

[4]劉蘭，林軍，蔡君．面向大數(shù)據(jù)的異構(gòu)網(wǎng)絡(luò)安全監(jiān)控及關(guān)聯(lián)算法研究[J]．電信科學(xué)，2014，30(7)：84-89．

[5]于濤，何風(fēng)琴．基于大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全問題分析[J]．現(xiàn)代職業(yè)教育，2015(7)：74-75．