1.山東水利職業(yè)學(xué)院 山東日照 276826 2.日照檢驗(yàn)認(rèn)證有限公司 山東日照 276800

習(xí)近平總書記指出，沒有網(wǎng)絡(luò)安全就沒有國家安全。隨著網(wǎng)絡(luò)環(huán)境變得日益復(fù)雜，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)攻擊已經(jīng)對國家安全和公民的日常生活構(gòu)成了嚴(yán)重的威脅。快速、有效、準(zhǔn)確地從互聯(lián)網(wǎng)中的海量數(shù)據(jù)中關(guān)聯(lián)和挖掘有用的信息，并對信息進(jìn)行分析和研判，幫助網(wǎng)絡(luò)安全管理人員迅速做出響應(yīng)，成為當(dāng)前研究的熱點(diǎn)。大數(shù)據(jù)技術(shù)為網(wǎng)絡(luò)信息安全的發(fā)展帶來了機(jī)遇。

1 大數(shù)據(jù)

所謂大數(shù)據(jù)，是具有數(shù)量巨大、來源多樣、生成極快、多變等特征，且難以用傳統(tǒng)的數(shù)據(jù)體系架構(gòu)出來的包含大量數(shù)據(jù)集的數(shù)據(jù)。簡言之，大數(shù)據(jù)就是密集程度非常高的海量數(shù)據(jù)。我們把大數(shù)據(jù)中所蘊(yùn)含的價(jià)值挖掘和展現(xiàn)出來的技術(shù)手段和方法，稱作大數(shù)據(jù)技術(shù)。包括數(shù)據(jù)采集、預(yù)處理、存儲、分析、研判、輸出等。其中數(shù)據(jù)分析是體現(xiàn)大數(shù)據(jù)核心價(jià)值的關(guān)鍵[1]。

2 網(wǎng)絡(luò)安全大數(shù)據(jù)分析關(guān)鍵技術(shù)

2.1 安全可視分析技術(shù)

安全可視分析就是將數(shù)據(jù)背后隱藏的信息可視化，把網(wǎng)絡(luò)安全信息轉(zhuǎn)換成便于人們理解的圖形圖像或者圖表，以幫助安全分析人員正確的判斷和感知。它需要明確安全分析人員需要什么信息，根據(jù)這些信息設(shè)計(jì)出可視化的結(jié)構(gòu)并與數(shù)據(jù)建立映射，實(shí)時(shí)進(jìn)行人機(jī)交互。

2.2 安全事件關(guān)聯(lián)分析技術(shù)

這是一種將各種復(fù)雜的網(wǎng)絡(luò)安全事件進(jìn)行充分的分析，找出它們之間的關(guān)系，從而及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的本質(zhì)和網(wǎng)絡(luò)攻擊者的入侵行為的技術(shù)。大數(shù)據(jù)分析技術(shù)在海量數(shù)據(jù)基礎(chǔ)上進(jìn)行篩選和分析，可以對多種復(fù)雜事件進(jìn)行智能關(guān)聯(lián)和深度處理。

2.3 用戶行為分析技術(shù)

用戶在使用網(wǎng)絡(luò)時(shí)，會留下痕跡，其行為在網(wǎng)絡(luò)流量、日志、審計(jì)跟蹤等地方都會有記錄。用戶行為分析技術(shù)通過對這些信息的收集，確定用戶的“正常行為”或“非正常行為”。這種技術(shù)還可以用于反數(shù)據(jù)竊取和反詐騙中，保護(hù)組織免受內(nèi)部和外部的威脅。

3 大數(shù)據(jù)在網(wǎng)絡(luò)安全和情報(bào)分析中的應(yīng)用

3.1 網(wǎng)絡(luò)異常檢測

網(wǎng)絡(luò)異常檢測主要包括對流量突變、設(shè)備失效、越權(quán)資源訪問、可疑主機(jī)等的檢測，本質(zhì)是發(fā)現(xiàn)目標(biāo)對象屬性、狀態(tài)與變化的特征，構(gòu)建相應(yīng)的模型，對違背策略或者偏離正常行為模式的行為進(jìn)行判定。作者曾經(jīng)通過對山東水利職業(yè)學(xué)院校園網(wǎng)內(nèi)流量、日志、上網(wǎng)認(rèn)證等數(shù)據(jù)進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)的異常檢測。根據(jù)不同的區(qū)域（教學(xué)樓、辦公區(qū)、公寓）在不同的時(shí)間段的常規(guī)數(shù)據(jù)分布，通過坐標(biāo)比對，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)訪問數(shù)據(jù)的異常偏移。

3.2 網(wǎng)絡(luò)安全感知

在網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)不斷增加的情況下，利用大數(shù)據(jù)技術(shù)對各方面的安全數(shù)據(jù)進(jìn)行獲取、分析和評估，對正常訪問和非正常的訪問加以識別和區(qū)分，從而從一定層面上反映網(wǎng)絡(luò)安全狀況，實(shí)時(shí)進(jìn)行預(yù)測和預(yù)警。這種方式可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件，將安全漏洞由事后的修補(bǔ)轉(zhuǎn)向事前防御，從而提高網(wǎng)絡(luò)安全防護(hù)能力。阿里云的云盾和360的態(tài)勢感知及安全運(yùn)營平臺均是以此為基礎(chǔ)實(shí)現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢感知和監(jiān)測的[2]。網(wǎng)絡(luò)安全感知能力。

3.3 網(wǎng)絡(luò)威脅分析

系統(tǒng)在感知到網(wǎng)絡(luò)威脅后，會通過特定方式獲取一系列關(guān)于漏洞、威脅特征和行為等證據(jù)數(shù)據(jù)，并將這些數(shù)據(jù)與大數(shù)據(jù)平臺中的知識集合進(jìn)行比對，提出可操作性的建議，幫助用戶更好的了解威脅，及時(shí)采取必要的行動(dòng)，從而避免或者減少損失。FireEye、Symantec等公司在這個(gè)方面擁有技術(shù)優(yōu)勢，開發(fā)的產(chǎn)品和服務(wù)可以滿足防范網(wǎng)絡(luò)犯罪、惡意軟件清理等方面的特定需求。

4 大數(shù)據(jù)時(shí)代加強(qiáng)網(wǎng)絡(luò)安全的措施

4.1 網(wǎng)絡(luò)簽名防御機(jī)制與 P2P 網(wǎng)絡(luò)技術(shù)協(xié)同發(fā)展

網(wǎng)絡(luò)簽名防御機(jī)制是一種強(qiáng)制性和實(shí)用性的安全機(jī)制，它可以有效地對數(shù)據(jù)進(jìn)行快速處理。隨著P2P 網(wǎng)絡(luò)技術(shù)高速發(fā)展，通過網(wǎng)絡(luò)簽名防御機(jī)制可以對普通數(shù)據(jù)實(shí)現(xiàn)一定程度上的加密處理，各個(gè)用戶之間需要對信息進(jìn)行安全驗(yàn)證后才可以傳遞，其他信息都將被攔截。將網(wǎng)絡(luò)簽名防御機(jī)制與 P2P 網(wǎng)絡(luò)技術(shù)相結(jié)合共同發(fā)展，可以有效提高網(wǎng)絡(luò)安全性。

4.2 建立完整的網(wǎng)絡(luò)安全病毒預(yù)防系統(tǒng)

當(dāng)前，網(wǎng)絡(luò)病毒是威脅網(wǎng)絡(luò)安全的主要因素，各種新式病毒層出不窮，傳統(tǒng)的殺毒方式已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足病毒防御的需求。針對大數(shù)據(jù)時(shí)代病毒的特點(diǎn)，我們要有針對性地采取相應(yīng)措施，尤其是將數(shù)據(jù)庫作為防護(hù)的重中之重，設(shè)置多重防護(hù)軟件進(jìn)行保護(hù)[3]。同時(shí)，通過大數(shù)據(jù)分析網(wǎng)絡(luò)病毒特征，持續(xù)關(guān)注病毒庫的更新，切實(shí)有效的發(fā)揮殺毒軟件的作用，利用技術(shù)手段在被動(dòng)防御之前學(xué)會主動(dòng)出擊，在病毒入侵之前就打擊病毒要害，對網(wǎng)絡(luò)用戶的信息安全進(jìn)行保障。

5 結(jié)語

新的網(wǎng)絡(luò)威脅和攻擊層出不窮，網(wǎng)絡(luò)安全形勢仍然不容樂觀。在網(wǎng)絡(luò)攻擊和防御的激烈對抗中，研究者還需要不斷的摸索和嘗試，從技術(shù)手段、標(biāo)準(zhǔn)制定和分析應(yīng)用等方面繼續(xù)深入研究，提升大數(shù)據(jù)對網(wǎng)絡(luò)安全和情報(bào)分析的支撐能力。