◆劉資茂

網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)應(yīng)用的分析

◆劉資茂

(調(diào)峰調(diào)頻發(fā)電公司 廣東 510000)

當(dāng)前時代被稱為“網(wǎng)絡(luò)時代”、“信息時代”，其突出特征是網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，但隨之而來的網(wǎng)絡(luò)安全問題也引起了廣泛擔(dān)憂。基于此，本文以當(dāng)前網(wǎng)絡(luò)安全分析的不足作為出發(fā)點，針對網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用進(jìn)行探究，包括大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中的應(yīng)用優(yōu)勢、應(yīng)用步驟等，并結(jié)合實際情況給出相關(guān)具體內(nèi)容。旨在通過分析明確當(dāng)前狀況、完善理論，從而為后續(xù)網(wǎng)絡(luò)安全分析工作提供一定的參考。

網(wǎng)絡(luò)安全分析；大數(shù)據(jù)技術(shù)；分析效率；分析范圍

0 前言

大數(shù)據(jù)（big data），指無法在一定時間范圍內(nèi)用常規(guī)軟件工具進(jìn)行捕捉、管理和處理的數(shù)據(jù)集合，是需要新處理模式才能具有更強的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)。大數(shù)據(jù)技術(shù)則是指大數(shù)據(jù)的收集、應(yīng)用過程，在網(wǎng)絡(luò)安全分析工作中，由于目標(biāo)對象的廣泛性、多變性，傳統(tǒng)分析方法存在一定不足，大數(shù)據(jù)技術(shù)因此擁有了一定的應(yīng)用空間，分析其具體應(yīng)用對后續(xù)工作有一定的幫助。

1 當(dāng)前網(wǎng)絡(luò)安全分析的不足

1.1分析資料不足

網(wǎng)絡(luò)安全分析往往針對全網(wǎng)和與網(wǎng)絡(luò)相關(guān)的各個節(jié)點、各項工作的流程，因此分析資料必須是充足、完善的，當(dāng)前部分網(wǎng)絡(luò)安全分析工作或者只能針對某一個問題進(jìn)行分析、或者存在分析過于籠統(tǒng)，缺乏實際意義的問題，分析的結(jié)果價值并不大。究其原因，可以發(fā)現(xiàn)資料不足是造成上述問題的主要因素，多變的網(wǎng)絡(luò)安全情況和影響要素使得資料收集、整理、匯總都存在問題，導(dǎo)致網(wǎng)絡(luò)安全分析工作難以有效開展。

1.2分析效率低

分析效率方面，鑒于資料的缺乏，人員即便對收集所得所有資料都進(jìn)行詳細(xì)的研究，所獲得的結(jié)果也依然是有限的，而當(dāng)較多資料出現(xiàn)時，傳統(tǒng)分析方法又面臨著效率低下的問題。值得注意的是，網(wǎng)絡(luò)安全分析缺少大量的實際工作經(jīng)驗，小規(guī)模分析可以針對個別問題進(jìn)行，大規(guī)模分析則無從著手，這也進(jìn)一步降低了工作的效率。比如面臨10家網(wǎng)吧提供的網(wǎng)絡(luò)資料，分類整理簡單快速；而如果提供資料的是100家網(wǎng)吧，傳統(tǒng)模式下的分析效率就會顯著下降。

1.3分析范圍較小

分析范圍方面，在進(jìn)行實際研究時，人員往往缺少資料作為分析對象，難以作到全面分析，如某地研究人員準(zhǔn)備分析木馬攻擊導(dǎo)致電腦系統(tǒng)崩潰的概率，傳統(tǒng)模式下的問卷調(diào)查或者網(wǎng)絡(luò)調(diào)查，能夠收集的資料數(shù)目十分有限，可能只能得到當(dāng)?shù)氐纳贁?shù)資料，且資料的普遍性、代表性方面也難以保證，這種情況下，分析工作也難以有序開展。

2 網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用

2.1網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用優(yōu)勢

（1）詳實豐富的資料

大數(shù)據(jù)技術(shù)的突出優(yōu)勢是可以采集海量信息。本質(zhì)上說，大數(shù)據(jù)工作的依托是互聯(lián)網(wǎng)，其資料來源是龐大的互聯(lián)網(wǎng)信息共享池，這種級別的信息來源遠(yuǎn)遠(yuǎn)超過了傳統(tǒng)模式下的信息源，使得任何方面的分析都能夠擁有足夠豐富的資料。人員應(yīng)用大數(shù)據(jù)時，只需在擁有權(quán)限、且網(wǎng)絡(luò)處于有效連接的狀態(tài)下搜索數(shù)據(jù)即可，能夠快速方便的獲取詳實豐富的資料。

（2）較高的分析效率

大數(shù)據(jù)技術(shù)工作的主要技術(shù)支持是計算機，數(shù)據(jù)資料的規(guī)模越大，對計算機性能的要求越高。現(xiàn)代條件下，提供服務(wù)的通常是第三方，人員提供數(shù)據(jù)資料或者資料需求，第三方公司可以利用計算機群、云計算技術(shù)等完成快速的計算工作，以往需要幾個月甚至幾年時間完成的大規(guī)模計算，大數(shù)據(jù)時代下可以在幾天甚至幾小時內(nèi)完成，分析的效率大大增加，這也是網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的主要應(yīng)用優(yōu)勢。

（3）較廣的分析范圍

由于大數(shù)據(jù)技術(shù)的資料來源是整個網(wǎng)絡(luò)，龐大的互聯(lián)網(wǎng)共享池能夠提供來自各個行業(yè)、領(lǐng)域、地區(qū)的數(shù)據(jù)資料，只要這些行業(yè)、領(lǐng)域、地區(qū)的網(wǎng)絡(luò)連接節(jié)點的人員將數(shù)據(jù)信息上傳至網(wǎng)絡(luò)，其他節(jié)點的人員就能在權(quán)限允許的情況下，對共享資源池中的資料進(jìn)行調(diào)取，這使得大數(shù)據(jù)技術(shù)下網(wǎng)絡(luò)安全分析能夠在更廣的范圍內(nèi)進(jìn)行。坐在北京辦公室里的技術(shù)人員能夠在幾秒鐘的時間獲取來自南京甚至紐約的信息資料，因而較廣的分析范圍是網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用優(yōu)勢之一。

2.2網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用步驟

（1）數(shù)據(jù)收集

研究人員一般講大數(shù)據(jù)分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)三類，其中非結(jié)構(gòu)化數(shù)據(jù)越來越成為數(shù)據(jù)的主要部分。據(jù)IDC的調(diào)查報告顯示，互聯(lián)網(wǎng)中90％以上的數(shù)據(jù)屬于非結(jié)構(gòu)化數(shù)據(jù)，這些數(shù)據(jù)的特點是價值信息含量低，需要總結(jié)分析才能發(fā)揮價值，這部分?jǐn)?shù)據(jù)是大數(shù)據(jù)的主要內(nèi)容，其每年都按指數(shù)增長60％。在以云計算為代表的技術(shù)創(chuàng)新大幕的襯托下，這些原本看起來很難收集和使用的數(shù)據(jù)開始容易被利用起來了。實際進(jìn)行網(wǎng)絡(luò)安全分析時，首先要進(jìn)行的是對這些數(shù)據(jù)的收集，假定分析目標(biāo)為網(wǎng)絡(luò)安全事件的發(fā)生率，人員可以在不同終端搜索結(jié)構(gòu)化數(shù)據(jù)作為核心，再收集半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，共同生產(chǎn)數(shù)據(jù)庫。需要注意的是，數(shù)據(jù)收集工作往往需要持續(xù)較長時間，為保證其具有價值，應(yīng)設(shè)定基本的搜索標(biāo)準(zhǔn)，避免無價值數(shù)據(jù)的流入。此外，也可以直接通過第三方大數(shù)據(jù)服務(wù)提供商直接獲取核心數(shù)據(jù)[1]。

（2）參數(shù)確立

參數(shù)的確立是應(yīng)用大數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全分析的中心環(huán)節(jié)，在完成了數(shù)據(jù)收集后，需要通過參數(shù)確立完成數(shù)據(jù)的統(tǒng)計與分析工作。根據(jù)數(shù)據(jù)的結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化進(jìn)行數(shù)據(jù)分析，然后建立分門別類的事件關(guān)系序列庫，使各類數(shù)據(jù)由海量、低價值、無序、復(fù)雜變成少量、高價值、有序、簡單的，然后在大量的信息數(shù)據(jù)中查找網(wǎng)絡(luò)安全的隱患，進(jìn)而針對安全隱患的情況擬定處理策略。

參數(shù)的確立需要根據(jù)收集情況具體進(jìn)行，由于各地網(wǎng)絡(luò)安全的問題類型不盡相同，發(fā)生率也存在區(qū)別，不能采用固定參數(shù)的方式進(jìn)行數(shù)據(jù)分析和篩選。假定某地互聯(lián)網(wǎng)覆蓋率較高，每天存在大量的數(shù)據(jù)傳輸工作，那么威脅其網(wǎng)絡(luò)安全的很可能是木馬攻擊以及信息傳輸信道的擁堵問題，在挑選參數(shù)時，就應(yīng)首先考慮木馬和傳輸信道[2]。將木馬攻擊+信道擁堵作為指標(biāo)，挑選數(shù)據(jù)并分析其發(fā)生情況。同樣，如果某低互聯(lián)網(wǎng)覆蓋率較低，數(shù)據(jù)傳輸較少，各類問題的發(fā)生率普遍不高，在挑選參數(shù)時，應(yīng)綜合考慮該地網(wǎng)絡(luò)安全問題的總體情況，選擇高頻率出現(xiàn)的安全事件作為參數(shù)，篩選資料。

（3）模型分析

模型分析是大數(shù)據(jù)技術(shù)的一項衍生技術(shù)，就網(wǎng)絡(luò)安全分析工作而言，其除了能夠直觀了解網(wǎng)絡(luò)安全現(xiàn)狀之外，還可以作為后續(xù)工作的支持，這種支持的主要方式就是在大數(shù)據(jù)基礎(chǔ)上建立的分析模型，即網(wǎng)絡(luò)安全分析架構(gòu)[3]。

網(wǎng)絡(luò)安全分析架構(gòu)分為數(shù)據(jù)采集層、存儲層和挖掘分析層三個部分。數(shù)據(jù)采集層主要指分布于網(wǎng)絡(luò)上的各個節(jié)點以及計算機，其功能是對各類安全事件進(jìn)行收集；存儲層的功能是將采集層收集的各類信息進(jìn)行粗加工和集中存儲，粗加工是指按年月、地區(qū)等進(jìn)行分類，使數(shù)據(jù)帶有一定的規(guī)律性，便于調(diào)??；挖掘分析層能夠?qū)?shù)據(jù)進(jìn)行關(guān)聯(lián)分析，提取數(shù)據(jù)的特征，通過這種方式可以實現(xiàn)安全事件的挖掘，并能夠很快地發(fā)現(xiàn)網(wǎng)絡(luò)異常的安全行為，其是模型的只要應(yīng)用模塊。人員將各類參數(shù)帶入模型中后，可以了解安全級別、危險情況等信息，并根據(jù)模型分析的結(jié)果調(diào)整實際工作。

3 總結(jié)

本文分析、探討了網(wǎng)絡(luò)安全分析的不足以及大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中的應(yīng)用。網(wǎng)絡(luò)安全是被廣泛關(guān)注的問題，目前的網(wǎng)絡(luò)安全分析存在一定不足，包括分析資料不足、分析效率低、分析范圍較小等。應(yīng)用大數(shù)據(jù)技術(shù)則能夠解決上述問題，其具有較高的分析效率、較廣的分析范圍，且資料詳實豐富。網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用步驟為數(shù)據(jù)收集、參數(shù)確立、模型分析三個步驟。后續(xù)工作中，應(yīng)用相關(guān)理論有助于網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的進(jìn)一步應(yīng)用。

[1]陳平陽.淺析基于Spark技術(shù)的網(wǎng)絡(luò)安全大數(shù)據(jù)分析平臺[J].福建電腦，2017.

[2]呂鋮鋼.稅收治理、競爭參與和國家利益——主權(quán)理念下對制稅權(quán)的初步闡釋[J/OL].江漢學(xué)術(shù)，2017.

[3]管磊.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[A].中國計算機學(xué)會.第31次全國計算機安全學(xué)術(shù)交流會論文集[C].中國計算機學(xué)會，2016.