陸艷軍+趙立農(nóng)+王子強

【摘要】 隨著安全防護體系的不斷發(fā)展，防火墻、IDS/IPS、WAF、4A、SMP等安全系統(tǒng)已經(jīng)成為大多數(shù)企業(yè)的安全體系標(biāo)準配置。在安全系統(tǒng)不斷增多的同時，企業(yè)也面臨新的安全問題，即如何將存在各安全系統(tǒng)中的安全審計信息整合起來，形成整體的安全視圖及進行針對性的業(yè)務(wù)安全分析。本文針對企業(yè)安全大數(shù)據(jù)平臺，對其建設(shè)以及實現(xiàn)進行探討和分析。

【關(guān)鍵詞】 企業(yè)安全 大數(shù)據(jù) 平臺建設(shè) 審計 實現(xiàn)

在不同的領(lǐng)域以及不同的時期，人們對于信息安全也具有不一樣的認識，并且在對于安全問題的解決上仍然存在著一定的側(cè)重面的差異性。因此需要借助于大數(shù)據(jù)技術(shù)，整合安全系統(tǒng)的安全信息進行關(guān)聯(lián)分析以及威脅建模，從而將其計算提速，把有效的信息從大量的日志告警的信息之中發(fā)現(xiàn)，將其脆弱性以及安全的威脅進行定位，并且還需要將安全的場景模型進行設(shè)計，強化針對業(yè)務(wù)的安全威脅監(jiān)控，實現(xiàn)俯瞰企業(yè)安全狀況的安全全景視圖。

一、企業(yè)大數(shù)據(jù)平臺建設(shè)的目的與意義

現(xiàn)如今，企業(yè)業(yè)務(wù)的不斷發(fā)展，已經(jīng)漸漸地向著采集方式、數(shù)據(jù)源的分布化、多樣化以及碎片化趨勢發(fā)展，采集分析系統(tǒng)中的條塊化分析將安全分析限制，將系統(tǒng)的分析效能嚴重的降低，因此數(shù)據(jù)采集分析的架構(gòu)亟需優(yōu)化，以便快速提取數(shù)據(jù)的應(yīng)用價值。 企業(yè)安全大數(shù)據(jù)的建設(shè)目標(biāo)是基于大數(shù)據(jù)技術(shù)，實現(xiàn)對應(yīng)用系統(tǒng)操作日志（4A日志）、各類設(shè)備的安全事件日志（SMP日志）、業(yè)務(wù)系統(tǒng)流量數(shù)據(jù)等安全數(shù)據(jù)的采集、存儲與管理的統(tǒng)一處理，實現(xiàn)4A、SMP、業(yè)務(wù)系統(tǒng)日志分析及報表功能的無縫遷移與性能大幅優(yōu)化，進一步實現(xiàn)針對風(fēng)險、事件等高維度的全新分析模型與技術(shù)，提供完整高效的進行安全事件的溯源和處理手段。

二、安全大數(shù)據(jù)平臺設(shè)計與實現(xiàn)

1、安全大數(shù)據(jù)平臺框架。通過大數(shù)據(jù)分析技術(shù)實現(xiàn)對企業(yè)網(wǎng)絡(luò)與信息安全指標(biāo)呈現(xiàn)、安全預(yù)測/預(yù)警以及事件分析體系的研究。安全大數(shù)據(jù)的總體框架包含統(tǒng)一采集、數(shù)據(jù)處理、搜索引擎、挖掘分析和統(tǒng)一展示等模塊。

2、安全數(shù)據(jù)的集中采集。安全大數(shù)據(jù)平臺采用大數(shù)據(jù)集中采集方式收集各類日志數(shù)據(jù)，日志采集主要分為4A審計日志、SMP日志、業(yè)務(wù)流量日志，實現(xiàn)由目前各系統(tǒng)獨立采集向集中化大數(shù)據(jù)架構(gòu)的轉(zhuǎn)換。

3、業(yè)務(wù)系統(tǒng)旁路流量采集。業(yè)務(wù)系統(tǒng)旁路流量采集主要是以網(wǎng)絡(luò)鏡像流量的方式采集業(yè)務(wù)系統(tǒng)流量，根據(jù)http協(xié)議分析、過濾、格式化以及補全操作，分析出需要的數(shù)據(jù)提交給上層數(shù)據(jù)存儲中，為業(yè)務(wù)安全模型分析提供數(shù)據(jù)基礎(chǔ)。

4、業(yè)務(wù)安全模型分析。1、異常登錄行為分析，分析登錄日志建立模型，其特征審計模型包括維度包括：非法密碼猜解、使用程序賬號登錄、異常IP地址登錄、非正常時段登錄、維護人員共享賬號、離職人員工號非法盜用等行為進行審計分析，及時發(fā)現(xiàn)運維人員的違規(guī)操作。2、人員違規(guī)操作監(jiān)控分析，關(guān)聯(lián)登錄日志、操作日志建立正常的人員行為特征模型：（1）學(xué)習(xí)建模；（2）冗余范圍建立：標(biāo)準模型*1.2范圍；（3）根據(jù)模型的的規(guī)律，及時營業(yè)員的違規(guī)操作

5、系統(tǒng)安全事件分析。針對安全事件發(fā)生時研究范圍中系統(tǒng)狀態(tài)進行分析，分析不同安全事件時各系統(tǒng)運行狀態(tài)與正常情況下差異。能夠提供每個信息安全資產(chǎn)的安全態(tài)勢，動態(tài)圖表的形式展示，訪問量趨勢圖、攻擊走勢圖等可視化圖，能夠?qū)暨M行溯源分析，能夠分析攻擊的影響范圍，并能夠提供安全預(yù)警。

6、安全趨勢預(yù)測。對研究范圍內(nèi)業(yè)務(wù)系統(tǒng)的安全數(shù)據(jù)進行統(tǒng)一采集整理、從多個維度綜合分析，提升整體的預(yù)警能力，為系統(tǒng)安全預(yù)警與安全事件體系研究做出依據(jù)。同時對業(yè)務(wù)安全和系統(tǒng)安全所面臨的安全風(fēng)險定制化模型分析的結(jié)果進行安全量化指標(biāo)排名，進一步將安全風(fēng)險做到可度量、可視化的動態(tài)展示。

三、實現(xiàn)和應(yīng)用效果

通過對業(yè)務(wù)安全和系統(tǒng)安全所面臨的安全風(fēng)險進行定制化模型分析，建立異常登錄行為模型、內(nèi)部人員違規(guī)操作模型、入侵攻擊事件分析模型，完成后臺運維人員、普通業(yè)務(wù)人員、外部攻擊者的用戶畫像，進一步將安全風(fēng)險做到可度量、可視化的動態(tài)展示，實現(xiàn)了信息安全整體態(tài)勢感知以及發(fā)展趨勢的有效預(yù)警。實現(xiàn)企業(yè)日常運行、維護中所產(chǎn)生的數(shù)據(jù)集中采集、匯總和標(biāo)準化；基于大數(shù)據(jù)分析方法建立用戶日常行為模型，為風(fēng)險預(yù)測和識別提供基準數(shù)據(jù)；實現(xiàn)企業(yè)日常運行、維護等安全數(shù)據(jù)的海量數(shù)據(jù)分析，風(fēng)險識別；實現(xiàn)基于大數(shù)據(jù)進行安全分析和對安全事件進行預(yù)測、預(yù)警的能力；實現(xiàn)企業(yè)整體安全態(tài)勢的多維度展現(xiàn)，為安全管理決策提供支持。

結(jié)語：本文主要研究了基于大數(shù)據(jù)技術(shù)，實現(xiàn)對4A、SMP、應(yīng)用流量等安全數(shù)據(jù)的統(tǒng)一采集、存儲與處理，給出了安全大數(shù)據(jù)具體功能架構(gòu)設(shè)計，實現(xiàn)了審計分析及報表功能的平滑遷移與性能大幅優(yōu)化；建立了用戶異常行為分析模型、入侵攻擊事件分析模型、安全事件預(yù)測模型，提供高效的安全事件分析和預(yù)警方法。

參 考 文 獻

[1]張紅順，王三山.基于大數(shù)據(jù)平臺的云安全體系的建設(shè)[J].中國有線電視，2015，（04）：516-520.

[2]陳明奇，姜禾.大數(shù)據(jù)時代的美國信息網(wǎng)絡(luò)安全新戰(zhàn)略分析[J].2012，（08）：32-35.

[3]楊維永.基于情景感知的企業(yè)級安全大數(shù)據(jù)平臺建設(shè)[J].電氣運用，2015，（12）：526-530.