（中國(guó)電信股份有限公司廣州研究院，廣東 廣州 510630）

面向網(wǎng)絡(luò)大數(shù)據(jù)的安全分析技術(shù)應(yīng)用

汪來富，金華敏，劉東鑫，王帥

（中國(guó)電信股份有限公司廣州研究院，廣東 廣州 510630）

大數(shù)據(jù)分析技術(shù)的蓬勃發(fā)展，給安全行業(yè)帶來了許多新的思路和發(fā)展機(jī)遇。從電信運(yùn)營(yíng)商視角，深入解析了面向Netflow、DPI、DNS等網(wǎng)絡(luò)大數(shù)據(jù)資源的大數(shù)據(jù)安全分析平臺(tái)的架構(gòu)、技術(shù)實(shí)現(xiàn)機(jī)制等，并介紹了大數(shù)據(jù)安全分析產(chǎn)品的相關(guān)功能和應(yīng)用場(chǎng)景。

大數(shù)據(jù)；安全分析；攻擊檢測(cè)

1 引言

在當(dāng)前萬物互聯(lián)的時(shí)代，各類信息應(yīng)用日益豐富，與安全相關(guān)的各類數(shù)據(jù)呈指數(shù)級(jí)增長(zhǎng)趨勢(shì)，數(shù)據(jù)來源豐富、內(nèi)容更為多維、種類繁多。而具有目標(biāo)性強(qiáng)、長(zhǎng)期潛伏滲透特性的APT（advanced persistent threat，高級(jí)持續(xù)性威脅）攻擊更是讓傳統(tǒng)的安全分析技術(shù)防不勝防。因此，在當(dāng)前不斷發(fā)展的安全形勢(shì)下，傳統(tǒng)的基于特征匹配的安全防護(hù)技術(shù)難以起效，各類安全威脅更具殺傷力和逃避力。在此背景下，數(shù)據(jù)驅(qū)動(dòng)安全已逐漸成為業(yè)界共識(shí)，而大數(shù)據(jù)技術(shù)的出現(xiàn)，則為其落地和發(fā)展奠定了技術(shù)基礎(chǔ)。

大數(shù)據(jù)技術(shù)可實(shí)現(xiàn)大容量、低成本、高效率的數(shù)據(jù)分析能力，滿足海量安全信息的處理和分析需求，將大數(shù)據(jù)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全分析領(lǐng)域已日趨成熟，由此催生了大數(shù)據(jù)安全分析產(chǎn)業(yè)的快速崛起，并對(duì)網(wǎng)絡(luò)安全技術(shù)發(fā)展帶來深遠(yuǎn)的影響。大數(shù)據(jù)安全分析技術(shù)是指將大數(shù)據(jù)技術(shù)應(yīng)用到網(wǎng)絡(luò)和信息安全領(lǐng)域，通過采集、存儲(chǔ)、挖掘和分析流量、日志、事件等與安全相關(guān)的各類網(wǎng)絡(luò)行為數(shù)據(jù)，從更高視角、更廣維度上發(fā)現(xiàn)異常、捕獲威脅，實(shí)現(xiàn)對(duì)異常行為、未知威脅的早期檢測(cè)和快速發(fā)現(xiàn)。與傳統(tǒng)安全分析技術(shù)相比，大數(shù)據(jù)安全分析技術(shù)具有以下兩個(gè)重要特征。

· 基于海量異構(gòu)數(shù)據(jù)存儲(chǔ)與快速計(jì)算處理能力，可拓展安全分析與監(jiān)控?cái)?shù)據(jù)源的廣度和深度，有助于發(fā)掘更為隱蔽的安全威脅。

· 可在更長(zhǎng)時(shí)間窗口內(nèi)對(duì)多維度數(shù)據(jù)進(jìn)行深度回溯和關(guān)聯(lián)分析，有助于快速發(fā)現(xiàn)異常行為或未知安全威脅。

2 大數(shù)據(jù)安全分析應(yīng)用

從應(yīng)用主體的維度來劃分，目前積極引入大數(shù)據(jù)安全分析技術(shù)的主力軍包括互聯(lián)網(wǎng)安全公司、傳統(tǒng)安全廠商和電信運(yùn)營(yíng)商，因安全理念、原有產(chǎn)品體系以及對(duì)業(yè)務(wù)流、系統(tǒng)數(shù)據(jù)、日志等資源掌控能力的不同，其應(yīng)用重點(diǎn)和技術(shù)實(shí)現(xiàn)也存在較大差異。

2.1 互聯(lián)網(wǎng)安全公司

新興互聯(lián)網(wǎng)安全公司不受傳統(tǒng)產(chǎn)品線的束縛，主要將大數(shù)據(jù)技術(shù)應(yīng)用于威脅發(fā)現(xiàn)領(lǐng)域，在云端通過多緯度跨域分析、深度數(shù)據(jù)挖掘和人工智能技術(shù)對(duì)海量數(shù)據(jù)進(jìn)行深度分析，以實(shí)時(shí)獲取未知安全威脅的發(fā)展動(dòng)態(tài)，通過構(gòu)建完善的威脅特征庫(kù)，提供對(duì)未知安全威脅的解決方案?；ヂ?lián)網(wǎng)安全公司基于其擁有的海量樣本庫(kù)、日志以及與各類惡意行為相關(guān)的漏洞、網(wǎng)址、域名等信息，可以支持未知威脅發(fā)現(xiàn)所需的存儲(chǔ)、搜索、挖掘、機(jī)器學(xué)習(xí)等資源。互聯(lián)網(wǎng)安全公司一般將大數(shù)據(jù)安全分析平臺(tái)作為基礎(chǔ)安全能力平臺(tái)，一方面為其他產(chǎn)品提供基礎(chǔ)安全能力，另一方面也面向?qū)PT攻擊敏感的企業(yè)客戶以及有特殊安全需求的政府機(jī)構(gòu)或相關(guān)單位進(jìn)行定制開發(fā)，以滿足其個(gè)性化的高等級(jí)安全需求。

2.2 傳統(tǒng)安全廠商

傳統(tǒng)安全廠商，尤其是SIEM/SOC廠商，引入大數(shù)據(jù)安全分析技術(shù)的初衷是因其傳統(tǒng)的集中化安全分析平臺(tái)在處理、分析海量異構(gòu)數(shù)據(jù)存在性能瓶頸，傳統(tǒng)的基于規(guī)則和特征的分析引擎在未知安全威脅面前無能為力，因此其主要應(yīng)用大數(shù)據(jù)安全分析技術(shù)對(duì)SIEM/SOC進(jìn)行改造和重塑，側(cè)重于提升SIEM/SOC安全分析平臺(tái)的分析處理能力，以提供更具競(jìng)爭(zhēng)力的整體安全解決方案。在技術(shù)實(shí)現(xiàn)上，傳統(tǒng)安全廠商主要利用大數(shù)據(jù)的海量信息采集和處理能力，實(shí)現(xiàn)對(duì)海量異構(gòu)數(shù)據(jù)的準(zhǔn)實(shí)時(shí)分析、各類安全事件的快速回溯和取證以對(duì)安全報(bào)表的快速統(tǒng)計(jì)、查詢和可視化呈現(xiàn)等。

2.3 電信運(yùn)營(yíng)商

電信網(wǎng)絡(luò)作為關(guān)乎國(guó)計(jì)民生的基礎(chǔ)通信設(shè)施，其自身安全保障及安全能力建設(shè)是國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略的重要環(huán)節(jié)。在網(wǎng)絡(luò)安全能力體系中，安全風(fēng)險(xiǎn)的快速檢測(cè)和早期預(yù)警是提升基礎(chǔ)通信設(shè)施安全防護(hù)水平的關(guān)鍵要素。隨著網(wǎng)絡(luò)應(yīng)用的全社會(huì)化滲透，網(wǎng)絡(luò)安全分析的數(shù)據(jù)規(guī)模將不斷增大、數(shù)據(jù)來源也日益豐富，重點(diǎn)業(yè)務(wù)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)更提出了實(shí)時(shí)性防護(hù)要求，而傳統(tǒng)安全分析方法難以滿足新形勢(shì)下提出的安全檢測(cè)需求，大數(shù)據(jù)安全分析技術(shù)則為解決這些問題提供了有利契機(jī)。

在電信運(yùn)營(yíng)商領(lǐng)域，數(shù)以億計(jì)的客戶量決定了其龐大的網(wǎng)絡(luò)規(guī)模和不斷拓展并日益復(fù)雜的業(yè)務(wù)系統(tǒng)，由此帶來的是海量、異構(gòu)、多變、低密度價(jià)值的網(wǎng)絡(luò)大數(shù)據(jù)，其擁有全網(wǎng)Netflow、重要鏈路DPI、DNS數(shù)據(jù)等重要的網(wǎng)絡(luò)大數(shù)據(jù)資源，在開展大數(shù)據(jù)安全分析服務(wù)方面具有先天優(yōu)勢(shì)。引入大數(shù)據(jù)安全分析技術(shù)，保障電信網(wǎng)絡(luò)運(yùn)營(yíng)安全，開拓新興大數(shù)據(jù)安全分析和安全檢測(cè)業(yè)務(wù)，是電信運(yùn)營(yíng)商健全網(wǎng)絡(luò)安全防護(hù)能力、提升網(wǎng)絡(luò)核心價(jià)值的必備選擇。鑒于上述原因，電信運(yùn)營(yíng)商積極開展大數(shù)據(jù)安全分析技術(shù)研發(fā)實(shí)踐，融聚大網(wǎng)多維安全數(shù)據(jù)資源，以期將豐富的網(wǎng)絡(luò)大數(shù)據(jù)資源轉(zhuǎn)化為強(qiáng)大的安全服務(wù)能力。

本文基于電信運(yùn)營(yíng)商視角，提出面向網(wǎng)絡(luò)大數(shù)據(jù)的大數(shù)據(jù)安全分析平臺(tái)，系統(tǒng)地闡述該平臺(tái)的技術(shù)架構(gòu)和主要功能模塊技術(shù)實(shí)現(xiàn)機(jī)制，并簡(jiǎn)要分析基于該平臺(tái)的大數(shù)據(jù)安全分析產(chǎn)品業(yè)務(wù)功能與應(yīng)用前景。

3 大數(shù)據(jù)安全分析平臺(tái)架構(gòu)

該平臺(tái)采用基于Hadoop平臺(tái)的分布式存儲(chǔ)與計(jì)算框架，實(shí)現(xiàn)對(duì)現(xiàn)網(wǎng)各類安全大數(shù)據(jù)的融合關(guān)聯(lián)分析與可視化展示，通過建模分析 DDoS攻擊、僵尸網(wǎng)絡(luò)/惡意域名、Web攻擊等安全事件及數(shù)據(jù)間的關(guān)聯(lián)關(guān)系；實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀況的深度感知，為企業(yè)用戶提供網(wǎng)絡(luò)安全分析及預(yù)警服務(wù)，并為網(wǎng)絡(luò)運(yùn)營(yíng)管理提供可視化的安全分析工具及分析報(bào)表。

該平臺(tái)采用分層架構(gòu)，自下而上分為 4層，依次是數(shù)據(jù)采集層、數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)計(jì)算分析層和數(shù)據(jù)呈現(xiàn)層，具體架構(gòu)如圖1所示。

圖1 大數(shù)據(jù)安全分析平臺(tái)技術(shù)架構(gòu)

平臺(tái)采集的數(shù)據(jù)源包括Netflow、DPI、DNS等多維大網(wǎng)數(shù)據(jù)，同時(shí)支持以 Flume/syslog等方式采集的客戶端數(shù)據(jù)。數(shù)據(jù)采集層主要完成數(shù)據(jù)的泛化處理和標(biāo)準(zhǔn)化處理，然后進(jìn)入數(shù)據(jù)存儲(chǔ)層。數(shù)據(jù)計(jì)算層是平臺(tái)的核心能力模塊，按功能維度分為攻擊溯源分析模塊、僵尸網(wǎng)絡(luò)/惡意域名分析模塊、Web安全分析模塊和客戶安全分析模塊。數(shù)據(jù)呈現(xiàn)層主要完成分析結(jié)果的可視化呈現(xiàn)，分為管理門戶和客戶門戶，其中管理門戶主要為后臺(tái)運(yùn)維人員提供安全分析視圖、可視化的安全分析手段和數(shù)據(jù)鉆取工具；客戶門戶則是大數(shù)據(jù)安全分析產(chǎn)品的載體，客戶通過登錄自服務(wù)門戶查看自身安全狀況、安全事件等各類數(shù)據(jù)報(bào)表。

同時(shí)，平臺(tái)基于上述各安全分析模塊，可輸出“肉雞”/疑似“肉雞”、CC控制端/疑似CC控制端、惡意URL等數(shù)據(jù)分析結(jié)果，構(gòu)建現(xiàn)網(wǎng)第一手威脅情報(bào)庫(kù)資源，并可進(jìn)行持續(xù)滾動(dòng)分析和動(dòng)態(tài)更新。

3.1 攻擊溯源模塊

攻擊溯源模塊實(shí)現(xiàn)的主要功能是對(duì)現(xiàn)網(wǎng)各類DDoS攻擊進(jìn)行深度挖掘、精細(xì)化分析和可視化呈現(xiàn)，功能框架如圖2所示。其實(shí)現(xiàn)機(jī)制是通過采集大網(wǎng)路由器層面的Netflow數(shù)據(jù)和DDoS攻擊事件等數(shù)據(jù)信息，結(jié)合網(wǎng)絡(luò)拓?fù)湫畔?、路由器接口信息等?shù)據(jù)，通過數(shù)據(jù)關(guān)聯(lián)和統(tǒng)計(jì)分析，實(shí)現(xiàn)對(duì)DDoS攻擊流量的深度分析、精準(zhǔn)溯源和可視化回溯。

該模塊根據(jù)流量分析系統(tǒng)檢測(cè)以及系統(tǒng)自身分析發(fā)現(xiàn)攻擊，結(jié)合采集存儲(chǔ)原始Netflow流量信息、路由器端口信息、路由拓?fù)湫畔?、城域網(wǎng) IP地址庫(kù)等多維參數(shù)進(jìn)行關(guān)聯(lián)分析，通過基于多元廣度遍歷算法，快速全景回溯攻擊流量穿越路徑及流量分布特征，可對(duì)互聯(lián)網(wǎng)發(fā)生的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)、溯源及攻擊路徑重演，解決了偽地址攻擊溯源難題，并大幅提升攻擊溯源分析效率，具體方案如圖3所示。該技術(shù)方案監(jiān)控范圍大、智能性高、靈活快速，不需過多人工參與分析攻擊源和攻擊路徑，能夠在攻擊發(fā)起初期就進(jìn)行攻擊發(fā)現(xiàn)和抑制，不但能直觀顯示攻擊源，而且可對(duì)攻擊流量穿行路徑進(jìn)行可視化分析，有效提升DDoS攻擊應(yīng)急響應(yīng)處理效率。

圖2 攻擊溯源模塊功能框架

圖3 流量攻擊路徑回溯流程

3.2 僵尸網(wǎng)絡(luò)/惡意域名分析模塊

從Zeus、Cutwail等著名僵尸網(wǎng)絡(luò)的例子來看，一個(gè)大型僵尸網(wǎng)絡(luò)的構(gòu)建往往代價(jià)不菲，并且需要一定的時(shí)間。在僵尸網(wǎng)絡(luò)生命周期的 “傳播—感染—加入—受控—攻擊”等階段，幾乎都存在CC控制端和“肉雞”的交互行為。在數(shù)據(jù)驅(qū)動(dòng)安全的理念下，只要有一個(gè)保持及時(shí)更新、惡意IP地址/域名足夠豐富的安全威脅情報(bào)庫(kù)，就可對(duì)僵尸網(wǎng)絡(luò)做有效的檢測(cè)和控制。

在本系統(tǒng)中，僵尸網(wǎng)絡(luò)的檢測(cè)分析包括定位CC控制端的IP地址、發(fā)現(xiàn)CC控制端所使用的域名和定位“肉雞”的 IP地址。首先，從已部署的“僵木蠕檢”測(cè)系統(tǒng)、攻擊溯源系統(tǒng)和移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)控系統(tǒng)等安全系統(tǒng)中歸并生成相關(guān)的惡意IP地址、惡意域名等安全情報(bào)；進(jìn)一步地，在監(jiān)控鏈路中部署DPI系統(tǒng)、采集Netflow數(shù)據(jù)流；最后，根據(jù)已生成的安全情報(bào)信息對(duì)DPI日志、Netflow數(shù)據(jù)流進(jìn)行關(guān)聯(lián)匹配，可以檢測(cè)得到“肉雞”和疑似“肉雞”的IP地址列表。僵尸網(wǎng)絡(luò)檢測(cè)分析處理流程如圖4所示。

圖4 僵尸網(wǎng)絡(luò)檢測(cè)分析處理流程

其中，在IP地址或域名匹配檢測(cè)中，當(dāng)一個(gè)Netflow數(shù)據(jù)流中發(fā)現(xiàn)與CC控制端IP地址通信的流量，如果在一定的時(shí)間窗口（例如30 min）內(nèi)，Netflow條數(shù)大于一定閾值N，則Netflow里的另一個(gè)IP地址可以判斷為存活“肉雞”；如果Netflow條數(shù)小于閾值N而落在一個(gè)區(qū)間[M，N)，則Netflow里的另一個(gè)IP地址可以判斷為疑似“肉雞”。值得注意的是，閾值N可以根據(jù)統(tǒng)計(jì)結(jié)果做設(shè)置，降低運(yùn)維人員工作負(fù)擔(dān)。相比之下，如果在一個(gè)Netflow數(shù)據(jù)流中發(fā)現(xiàn)“肉雞”的 IP地址，但是另一個(gè) IP地址既不是已知的“肉雞”，也不是CC控制端，那么對(duì)于這個(gè)IP地址的判斷應(yīng)結(jié)合后續(xù)的DNS等數(shù)據(jù)做進(jìn)一步分析。

DNS數(shù)據(jù)分析已經(jīng)成為僵尸網(wǎng)絡(luò)檢測(cè)的重要入口。為了躲避追蹤、延長(zhǎng)生命周期，大部分僵尸網(wǎng)絡(luò)會(huì)采用fast-flux技術(shù)，頻繁變換IP地址，而僵尸網(wǎng)絡(luò)內(nèi)部的通信可通過DNS查詢，獲取到最新、及時(shí)、有效的IP地址。這些關(guān)鍵網(wǎng)絡(luò)行為特征總結(jié)如下。

· 域名頻繁變換IP地址。

· 所頻繁變換的IP地址地理歸屬地差異較大。

· 域名服務(wù)器有多個(gè)IP地址，且跨多個(gè)ASN。

·whois信息不完整。

·域名的注冊(cè)E-mail地址曾經(jīng)以惡意域名注冊(cè)人出

現(xiàn)過。

· 域名通常較長(zhǎng)并且字符隨機(jī)。

基于以上關(guān)鍵特征定義，可以對(duì)DNS流量日志做挖掘分析，得到惡意域名、惡意IP地址等安全情報(bào)。依據(jù)DNS流量日志的分析結(jié)果，對(duì)僵尸網(wǎng)絡(luò)檢測(cè)分析中需要進(jìn)一步分析的 Netflow數(shù)據(jù)，提取與“肉雞”通信的IP地址，可以在DNS流量日志中做進(jìn)一步的匹配分析，以確定該IP地址是否為CC控制端或者其他“肉雞”。

3.3 Web安全分析模塊

Web安全模塊的主要功能是對(duì)針對(duì)Web網(wǎng)站的攻擊行為進(jìn)行檢測(cè)和統(tǒng)計(jì)分析。其實(shí)現(xiàn)機(jī)制是通過采集DPI數(shù)據(jù)，分離出HTTP會(huì)話文件，將文件數(shù)據(jù)通過元數(shù)據(jù)提取、數(shù)據(jù)分析、數(shù)據(jù)挖掘及事件呈現(xiàn)在具體檢測(cè)方法上，主要通過行為特征庫(kù)的匹配和Web入侵規(guī)則檢測(cè)，基于正則表達(dá)式等方式，實(shí)現(xiàn)對(duì)各類Web攻擊行為的檢測(cè)和識(shí)別，并進(jìn)行可視化呈現(xiàn)。

下面以XSS攻擊檢測(cè)為例闡述其具體實(shí)現(xiàn)機(jī)制。首先XSS跨站腳本攻擊監(jiān)測(cè)模塊從數(shù)據(jù)倉(cāng)庫(kù)中提取元數(shù)據(jù)，對(duì)元數(shù)據(jù)的內(nèi)容進(jìn)行抽取、解析，從中獲得待監(jiān)測(cè)Web系統(tǒng)的URL，并對(duì)其進(jìn)行提取和還原；然后再結(jié)合XSS跨站腳本規(guī)則庫(kù)去比對(duì)和發(fā)現(xiàn)該Web系統(tǒng)中的XSS跨站腳本漏洞；最終將所獲得的XSS跨站腳本攻擊分析結(jié)果隊(duì)列存儲(chǔ)到內(nèi)存數(shù)據(jù)庫(kù)中。此外，還需要結(jié)合如圖5所示的控制流圖（CFG圖）對(duì)URL頁(yè)面進(jìn)行靜態(tài)分析檢測(cè)，獲知并保存當(dāng)前URL頁(yè)面所有存在的XSS漏洞位置信息，為下一步識(shí)別XSS跨站腳本有效攻擊做準(zhǔn)備。

對(duì)于XSS跨站腳本攻擊同樣也需要區(qū)別有效攻擊和一般攻擊。首先比較當(dāng)前URL的XSS注入點(diǎn)和之前通過源碼靜態(tài)檢測(cè)得到的該URL頁(yè)面的XSS漏洞注入點(diǎn)，如果其XSS漏洞的注入點(diǎn)位置相同，則判定為一次有效的XSS跨站腳本有效攻擊。然后再檢測(cè)返回的響應(yīng)報(bào)文，根據(jù)返回的響應(yīng)報(bào)文反饋信息判斷是否有注入點(diǎn)不相同的XSS漏洞攻擊成功，若成功，則對(duì)應(yīng)的XSS跨站腳本攻擊也是一次有效的攻擊。

3.4 用戶安全模塊

圖5 XSS跨站腳本攻擊監(jiān)測(cè)分析流程

客戶關(guān)聯(lián)分析模塊的主要功能是從大數(shù)據(jù)安全分析平臺(tái)中分析、提取與客戶資產(chǎn)相關(guān)的各類安全事件、網(wǎng)絡(luò)行為日志和相關(guān)安全數(shù)據(jù)，其主要機(jī)制是將客戶資產(chǎn)信息以及各類網(wǎng)絡(luò)行為信息和平臺(tái)分析出來的各類安全事件、分析結(jié)果和知識(shí)庫(kù)進(jìn)行自動(dòng)關(guān)聯(lián)和自動(dòng)匹配，從而為用戶安全狀況分析和安全報(bào)表提供原始的數(shù)據(jù)資源。

該功能模塊需要基于客戶的監(jiān)控 IP地址、站點(diǎn)域名、報(bào)表查詢條件等數(shù)據(jù)，從DDoS攻擊統(tǒng)計(jì)數(shù)據(jù)、Web應(yīng)用層安全數(shù)據(jù)、“肉雞”統(tǒng)計(jì)、CC控制端統(tǒng)計(jì)等分析結(jié)果數(shù)據(jù)以及DDoS攻擊事件、僵木蠕事件、惡意程序事件等原始事件數(shù)據(jù)中統(tǒng)計(jì)與客戶相關(guān)的安全事件信息。例如，以客戶IP地址為索引，從平臺(tái)分析結(jié)果中檢索其是否為“肉雞”或CC，是否發(fā)起過DDoS攻擊，攻擊時(shí)間段和攻擊流量大小以及從原始流數(shù)據(jù)中檢索其是否訪問過惡意URL等。這些匹配的數(shù)據(jù)都將作為客戶安全狀況分析和安全報(bào)表具體的數(shù)據(jù)來源。

綜上所述，該平臺(tái)通過融聚電信大網(wǎng)數(shù)據(jù)資源與客戶數(shù)據(jù)，基于大數(shù)據(jù)技術(shù)進(jìn)行存儲(chǔ)、挖掘與可視化展示，實(shí)現(xiàn)安全態(tài)勢(shì)分析、安全威脅與異常檢測(cè)等基礎(chǔ)安全能力，并通過構(gòu)建威脅情報(bào)庫(kù)等方式，實(shí)現(xiàn)安全能力開放。

4 面向SME的大數(shù)據(jù)安全分析產(chǎn)品

當(dāng)前以FireEye公司Threat Analytics Platform等為代表的大數(shù)據(jù)安全分析產(chǎn)品，主要面向政府、金融等高端目標(biāo)客戶，分析的數(shù)據(jù)源以客戶自身網(wǎng)絡(luò)側(cè)的流量數(shù)據(jù)、日志數(shù)據(jù)為主，側(cè)重于APT攻擊檢測(cè)和未知威脅發(fā)現(xiàn)，具有較高的技術(shù)門檻和商用門檻。

本平臺(tái)依托大網(wǎng)DPI、DFI、DNS等海量數(shù)據(jù)資源，具有覆蓋范圍廣、運(yùn)行成本低等特點(diǎn)，具備強(qiáng)大的集約化優(yōu)勢(shì)?；谠撈脚_(tái)面向網(wǎng)絡(luò)大數(shù)據(jù)的安全分析能力，通過和客戶資產(chǎn)的關(guān)聯(lián)匹配實(shí)現(xiàn)用戶安全狀況的快速感知，可為用戶提供持續(xù)安全監(jiān)測(cè)、安全預(yù)警和深度安全診斷服務(wù)。

（1）安全監(jiān)測(cè)

基于大數(shù)據(jù)分析和威脅情報(bào)等技術(shù)，為用戶提供長(zhǎng)時(shí)間周期的持續(xù)安全監(jiān)測(cè)服務(wù)，通過安全事件等信息的主動(dòng)呈現(xiàn)，協(xié)助用戶主動(dòng)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)已經(jīng)發(fā)生和正在發(fā)生的安全威脅。

（2）安全預(yù)警

基于大網(wǎng)DPI、Netflow、DNS、僵木蠕等多維海量安全數(shù)據(jù)，進(jìn)行自動(dòng)挖掘分析，提供安全態(tài)勢(shì)分析、安全威脅等預(yù)警服務(wù)。

（3）深度安全診斷

結(jié)合用戶內(nèi)網(wǎng)業(yè)務(wù)流、日志等數(shù)據(jù)，進(jìn)行深度安全威脅分析和安全評(píng)估，提供專業(yè)安全分析報(bào)告和方案建議。

該產(chǎn)品依托運(yùn)營(yíng)商服務(wù)渠道資源優(yōu)勢(shì)，基于平臺(tái)運(yùn)營(yíng)模式，可為全網(wǎng)用戶提供低成本的網(wǎng)絡(luò)安全體檢服務(wù)。該產(chǎn)品主要面向企業(yè)用戶，尤其是沒有專業(yè)安全的運(yùn)營(yíng)團(tuán)隊(duì)和缺乏安全分析能力的中小企業(yè)用戶（SME），通過為其提供具有普遍服務(wù)性質(zhì)的網(wǎng)絡(luò)安全體檢服務(wù)，一方面可以提升電信運(yùn)營(yíng)商傳統(tǒng)寬帶產(chǎn)品的用戶黏性，另一方面也可帶動(dòng)其他專業(yè)安全服務(wù)的推介和推廣，具有良好的市場(chǎng)發(fā)展空間。

5 結(jié)束語(yǔ)

數(shù)據(jù)驅(qū)動(dòng)安全成為安全業(yè)界的發(fā)展共識(shí)，而大數(shù)據(jù)安全分析技術(shù)則是體現(xiàn)數(shù)據(jù)驅(qū)動(dòng)安全這一理念最重要的技術(shù)應(yīng)用形態(tài)，它將對(duì)安全產(chǎn)業(yè)產(chǎn)生非常深遠(yuǎn)的影響。在大數(shù)據(jù)蓬勃發(fā)展的時(shí)代，電信運(yùn)營(yíng)商擁有天然的大數(shù)據(jù)資產(chǎn)，隨著技術(shù)壁壘的打破、管理模式的變革和越來越多的業(yè)務(wù)創(chuàng)新，大數(shù)據(jù)安全分析平臺(tái)將成為運(yùn)營(yíng)商精細(xì)化安全管理和安全數(shù)據(jù)運(yùn)營(yíng)的重要支撐平臺(tái)。

[1] 王帥,汪來富,金華敏,等.網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用[J].電信科學(xué),2015,31(7):139-144. WANG S,WANG L F,JIN H M,et al.Big data application in network security analysis[J].Telecommunications Science,2015, 31(7):139-144.

[2] 程學(xué)旗,靳小龍,王元卓,等.大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J].軟件學(xué)報(bào),2014,25(9):1889-1908. CHENG X Q,JIN X L,WANG Y Z,et al.Survey on big data system and analytic technology[J].Journalof Software,2014,25(9): 1889-1908.

Application of security analysis technology for network big data

WANG Laifu,JIN Huamin,LIU Dongxin,WANG Shuai
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

Big data technology and solutions have been continuously booming for several years,which has broughtmuch innovation ideas and opportunities for security analysis.From the perspective of telecom operators,the architecture and key technology of the big data security analytic platform were analyzed,which were based on the network big data including Netflow,DPI,DNS and so on.At last,some related function and service scenarios of big data security analytic services were introduced.

big data,security analysis,attack detection

TP393.08

：A

10.11959/j.issn.1000-0801.2017061

汪來富（1976-），男，中國(guó)電信股份有限公司廣州研究院高級(jí)工程師，主要研究方向?yàn)榇髷?shù)據(jù)安全、云計(jì)算安全、網(wǎng)絡(luò)安全。

金華敏（1972-），男，中國(guó)電信股份有限公司廣州研究院高級(jí)工程師，主要研究方向?yàn)镮P網(wǎng)、云計(jì)算、大數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

劉東鑫（1985-），男，中國(guó)電信股份有限公司廣州研究院工程師，曾獲得CCIE、CISSP和CISA等認(rèn)證，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、大數(shù)據(jù)安全。

王帥（1979-），女，中國(guó)電信股份有限公司廣州研究院高級(jí)工程師，主要研究方向?yàn)榇髷?shù)據(jù)安全、云計(jì)算安全、網(wǎng)絡(luò)與信息安全體系及攻防技術(shù)。

2017-01-13；

2017-02-28