劉 文

?

基于大數(shù)據(jù)優(yōu)化網(wǎng)絡(luò)的安全性策略的研究

劉 文

（蘭州資源環(huán)境職業(yè)技術(shù)學(xué)院，甘肅 蘭州 730021）

隨著網(wǎng)絡(luò)信息化建設(shè)的不斷應(yīng)用過(guò)程中，數(shù)據(jù)安全的可靠性是網(wǎng)絡(luò)信息化建設(shè)的重中之重，尤其大數(shù)據(jù)時(shí)代的到臨，對(duì)于數(shù)據(jù)的安全性越來(lái)越重視，以往的網(wǎng)絡(luò)安全性能已經(jīng)不能勝任現(xiàn)有的數(shù)據(jù)量，此外加之內(nèi)控與合規(guī)策略的實(shí)施，使檢測(cè)范圍不斷擴(kuò)大，安全數(shù)據(jù)的種類(lèi)積累越來(lái)越多。本文在大數(shù)據(jù)的基礎(chǔ)上，結(jié)合傳統(tǒng)安全漏洞的利用過(guò)程和不足之處，提出基于SDN（Software Defined Networking，軟件定義網(wǎng)絡(luò)）的安全設(shè)備路由策略，該策略可對(duì)網(wǎng)絡(luò)數(shù)據(jù)的物理面和控制面進(jìn)行有效的剝離，實(shí)現(xiàn)對(duì)數(shù)據(jù)流量的最優(yōu)控制。

大數(shù)據(jù)；安全性；網(wǎng)絡(luò)

0 引言

隨著移動(dòng)終端市場(chǎng)的不斷升級(jí)，網(wǎng)絡(luò)數(shù)據(jù)的流量日益增長(zhǎng)，信息數(shù)據(jù)的傳播途徑和速度更加迅速，對(duì)于網(wǎng)絡(luò)的依賴性大大增強(qiáng)，但隨著而來(lái)的網(wǎng)絡(luò)安全漏洞問(wèn)題也日漸嚴(yán)重，本文在大數(shù)據(jù)的基礎(chǔ)上，結(jié)合傳統(tǒng)安全漏洞的利用過(guò)程和不足之處，提出基于SDN（Software Defined Networking，軟件定義網(wǎng)絡(luò)）[1]的安全設(shè)備路由策略，該策略可對(duì)網(wǎng)絡(luò)數(shù)據(jù)的物理面和控制面進(jìn)行有效的剝離，實(shí)現(xiàn)對(duì)數(shù)據(jù)流量的最高控制，且基于優(yōu)化的最短路由算法和旁路式最短路由算法及神經(jīng)網(wǎng)絡(luò)最短路由算法，使得系統(tǒng)整體的安全性能大大增強(qiáng)，對(duì)提升網(wǎng)絡(luò)的安全性具有現(xiàn)實(shí)意義。

1 安全漏洞發(fā)生過(guò)程及分類(lèi)

1.1 安全漏洞發(fā)生過(guò)程

常規(guī)意義上來(lái)說(shuō)，安全漏洞的發(fā)生環(huán)節(jié)主要包括以下幾個(gè)部分[2]：

構(gòu)建測(cè)試系統(tǒng)環(huán)節(jié)，其中涉及系統(tǒng)的軟件和硬件的測(cè)試，需要提前準(zhǔn)備好測(cè)量安全漏洞所需要的工具。

預(yù)探測(cè)攻擊環(huán)節(jié)，完成數(shù)據(jù)的收集在、整理，鎖定對(duì)象的IP地址獲取終端信息數(shù)據(jù)，此過(guò)程還包括針對(duì)安全漏洞所編寫(xiě)測(cè)試計(jì)劃。

攻擊環(huán)節(jié)，根據(jù)以上環(huán)節(jié)的數(shù)據(jù)信息，此環(huán)節(jié)針對(duì)對(duì)象實(shí)施攻擊行為，其中主要包括漏洞的識(shí)別、非法途徑的獲取等過(guò)程。

后攻擊環(huán)節(jié)，此環(huán)節(jié)主要的目的是消除攻擊環(huán)節(jié)中所留下的痕跡，為實(shí)現(xiàn)深入攻擊做好準(zhǔn)備，其中主要涉及刪除過(guò)程痕跡、木馬病毒的植入、報(bào)告的篡改等。

具體的漏洞利用的流程如圖1所示。

圖1 漏洞發(fā)生過(guò)程

1.2 漏洞分類(lèi)

網(wǎng)絡(luò)系統(tǒng)安全漏洞的種類(lèi)眾多，但大體可分為以下幾種類(lèi)型。

（1）認(rèn)證

在此環(huán)節(jié)中，主要存在的潛在隱患包括：用戶的ID號(hào)碼容易被識(shí)別、在登陸系統(tǒng)過(guò)程中缺少必要的驗(yàn)證措施以及用戶可借助其他途徑進(jìn)行訪問(wèn)服務(wù)的機(jī)制。

（2）授權(quán)

發(fā)生此問(wèn)題的主要原因是系統(tǒng)沒(méi)有按照預(yù)先設(shè)定的準(zhǔn)則進(jìn)行系統(tǒng)的訪問(wèn)，從而使系統(tǒng)處于失控的狀態(tài)下。

（3）加密

主要包括，數(shù)據(jù)之間的交互、數(shù)據(jù)經(jīng)過(guò)加密處理后的傳輸過(guò)程和傳輸方式等。

（4）信息泄露

信息泄露主要是指?jìng)€(gè)人敏感信息、數(shù)據(jù)的泄露，包括系統(tǒng)非正常運(yùn)行造成的信息的喪失，其中主要包括：自動(dòng)表達(dá)填充，敏感文件暴露，目錄暴露等，會(huì)提高系統(tǒng)的安全性和可靠性。

（5）輸入驗(yàn)證

為按照安全機(jī)制所制定的準(zhǔn)則，而所造成的輸入驗(yàn)證失效，如文件在傳閱過(guò)程中，存在潛在隱患，造成系統(tǒng)漏洞被攻擊。

（6）Session管理

Session管理主要包括客戶信息儲(chǔ)存能力的設(shè)置和失效期的設(shè)置等。

（7）服務(wù)器配置

服務(wù)器配置發(fā)生的主要原因是系統(tǒng)由于缺少安全配置，造成系統(tǒng)在安全漏洞的條件下運(yùn)行的功能。

2 大數(shù)據(jù)安全分析

隨著網(wǎng)絡(luò)信息化建設(shè)的不斷應(yīng)用過(guò)程中，數(shù)據(jù)安全的可靠性是網(wǎng)絡(luò)信息化建設(shè)的重中之重，尤其大數(shù)據(jù)時(shí)代的到臨，對(duì)于數(shù)據(jù)的安全性越來(lái)越重視，以往的網(wǎng)絡(luò)安全性能已不能勝任現(xiàn)有的數(shù)據(jù)量，此外加之內(nèi)控與合規(guī)策略的實(shí)施，使檢測(cè)范圍不斷擴(kuò)大，安全數(shù)據(jù)的種類(lèi)積累越來(lái)越多?；诖爽F(xiàn)狀，基于大數(shù)據(jù)安全分析就顯得尤為重要。大數(shù)據(jù)安全分析技術(shù)，在控制、核算、軟硬件設(shè)備上占有非常顯著的優(yōu)勢(shì)；優(yōu)勢(shì)是在處理、分析數(shù)據(jù)安全性能方面。

2.1 大數(shù)據(jù)分析平臺(tái)

個(gè)人網(wǎng)絡(luò)以及移動(dòng)終端已經(jīng)成為人們生活必不可少的一份子，基于現(xiàn)有海量終端數(shù)量和網(wǎng)絡(luò)數(shù)據(jù)量的基礎(chǔ)上，大數(shù)據(jù)安全技術(shù)成為當(dāng)前的熱點(diǎn)話題。目前常見(jiàn)的大數(shù)據(jù)分析平臺(tái)主要有Hadoop和Spark[3]。

（1）Hadoop

Hadoop是基于Java模塊來(lái)實(shí)現(xiàn)的安全分析系統(tǒng)，其可在較短的時(shí)間內(nèi)對(duì)數(shù)據(jù)安全系統(tǒng)做出響應(yīng)，且具有較高的信息數(shù)據(jù)和運(yùn)算的能力。改平臺(tái)的主要顯著優(yōu)勢(shì)主要包括以下幾個(gè)方面：

1）可進(jìn)行多個(gè)數(shù)據(jù)副本的交叉使用；

2）可靠性高且具有良好的兼容性；

3）數(shù)據(jù)節(jié)點(diǎn)可在自由移動(dòng)，具有較高的可控性；

4）具有較高的容錯(cuò)能力；

5）投入成本低。

（2）Spark

Spark是MR系統(tǒng)一個(gè)重要的分支，它不僅繼承了Hadoop的特性外，還具有以下幾個(gè)方面的優(yōu)勢(shì)。

1）數(shù)據(jù)可被保存在內(nèi)存系統(tǒng)中，從而可大大減少讀寫(xiě)HDFS的次數(shù)，使數(shù)據(jù)可適用多種不同類(lèi)型的系統(tǒng)。

2）Spark支持Scala、Python等多種編程語(yǔ)言，并將Scala用作其應(yīng)用程序框架，可以像操作本地集合對(duì)象一樣輕松地操作分布式數(shù)據(jù)集。

2.2 大數(shù)據(jù)安全分析技術(shù)

基于大數(shù)據(jù)理論來(lái)對(duì)網(wǎng)絡(luò)安全性分析是時(shí)代發(fā)展的需要，利用大數(shù)據(jù)平臺(tái)不僅可實(shí)現(xiàn)數(shù)據(jù)的歸納和分析，還可以借助相關(guān)算法，建立動(dòng)態(tài)觀測(cè)模型，從而識(shí)別系統(tǒng)漏洞的可能性，對(duì)于提高網(wǎng)絡(luò)數(shù)據(jù)安全的可靠性具有重要意義。此外，基于大數(shù)據(jù)理論分析技術(shù)可實(shí)現(xiàn)系統(tǒng)由點(diǎn)及面檢測(cè)范圍的擴(kuò)大，一定程度上提高了系統(tǒng)安全檢測(cè)能力[4]。最后利用大數(shù)據(jù)理論分析技術(shù)可提取出異常行為及其特征，系統(tǒng)處理后，再結(jié)合構(gòu)建的模型訓(xùn)練此數(shù)據(jù)從而獲得精準(zhǔn)的模型。

除以上方面外，系統(tǒng)還會(huì)結(jié)合網(wǎng)絡(luò)所具有的獨(dú)立環(huán)境，實(shí)現(xiàn)數(shù)據(jù)之間的交互。借助大數(shù)據(jù)分析理論，及時(shí)發(fā)現(xiàn)量化數(shù)據(jù)過(guò)程中所存在的漏洞。具體分析技術(shù)主要包含二個(gè)部分：

（1）安全數(shù)據(jù)采集和整理

為防止數(shù)據(jù)安全漏洞和潛在隱患，大數(shù)據(jù)分析通過(guò)優(yōu)化整合多種數(shù)據(jù)結(jié)構(gòu)[5]，如安全模式日志、流量數(shù)據(jù)、用戶安全模式等，當(dāng)確定了數(shù)據(jù)結(jié)構(gòu)后，大數(shù)據(jù)分析理論會(huì)根據(jù)數(shù)據(jù)結(jié)構(gòu)屬性的不同來(lái)進(jìn)行數(shù)據(jù)的采集和匯總，這樣大大提高了數(shù)據(jù)收集的效率。

（2）安全數(shù)據(jù)的優(yōu)化分析

為提高大數(shù)據(jù)安全分析的效率，以往的檢測(cè)方式已經(jīng)無(wú)法適用于當(dāng)前的數(shù)據(jù)安全精度目標(biāo)。因此需要結(jié)合人工智能、模式學(xué)習(xí)、統(tǒng)計(jì)建模和機(jī)器學(xué)習(xí)等基礎(chǔ)算法，來(lái)進(jìn)一步提高系統(tǒng)安全的可靠性。常用的大數(shù)據(jù)分析思路有先驗(yàn)分析、分類(lèi)預(yù)測(cè)分析、關(guān)聯(lián)分析等方法。

如圖2所示為一個(gè)安全大數(shù)據(jù)分析平臺(tái)，它包括數(shù)據(jù)采集層、數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)分析層及數(shù)據(jù)應(yīng)用層共4層。

1）數(shù)據(jù)采集層主要包括數(shù)據(jù)流、數(shù)據(jù)通量、設(shè)備安全數(shù)據(jù)以及配置文本的收集；

2）數(shù)據(jù)存儲(chǔ)層主要包括設(shè)備等具有較高速度儲(chǔ)存性能的裝置來(lái)進(jìn)行數(shù)據(jù)的備份和存儲(chǔ)。

3）數(shù)據(jù)分析結(jié)構(gòu)層借助優(yōu)化分析和計(jì)算機(jī)強(qiáng)大的處理效率，根據(jù)數(shù)據(jù)結(jié)構(gòu)特性來(lái)建立構(gòu)建分析模型，最后得出檢測(cè)報(bào)告。

4）數(shù)據(jù)應(yīng)用層通過(guò)可視化的應(yīng)用接口管控平臺(tái)并展現(xiàn)分析獲得的系統(tǒng)整體安全狀態(tài)。

圖2 安全大數(shù)據(jù)分析平臺(tái)

3 安全設(shè)備路由策略的研究

大數(shù)據(jù)分析平臺(tái)如檢測(cè)出系統(tǒng)的漏洞后，需要進(jìn)一步核查或者處理則需要借助安全設(shè)備來(lái)進(jìn)行核查。尤其是隨著云計(jì)算、網(wǎng)絡(luò)功能虛擬化等技術(shù)的應(yīng)用，網(wǎng)絡(luò)安全設(shè)備的虛擬化以發(fā)展成為主流趨勢(shì)[6]。

本文結(jié)合實(shí)際網(wǎng)絡(luò)環(huán)境的虛擬化安全設(shè)備路由策略，基于SDN網(wǎng)絡(luò)使安全設(shè)備、旁站的算法和神經(jīng)網(wǎng)絡(luò)的有效結(jié)合，從而實(shí)現(xiàn)高效的安全設(shè)備路由策略。

3.1 基于SDN的安全設(shè)備路由策略

基于SDN的安全設(shè)備路由方案將根據(jù)網(wǎng)絡(luò)中混合部署安全設(shè)備的實(shí)際情況，根據(jù)客戶需求，將數(shù)據(jù)流以合適的路由方式傳送到要求的安全設(shè)備進(jìn)行處理。

本文根據(jù)數(shù)據(jù)中西理論和網(wǎng)絡(luò)框架模式來(lái)構(gòu)建X×Y型的網(wǎng)絡(luò)模型，其中X代表子網(wǎng)數(shù)量，Y代表子網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量。X×Y型網(wǎng)絡(luò)防護(hù)模型參見(jiàn)圖3。

安全系統(tǒng)模塊以旁路模式分布在網(wǎng)絡(luò)節(jié)點(diǎn)38，IPS則分布在32，IDS分布于網(wǎng)絡(luò)節(jié)點(diǎn)33與40之間，則漏洞和攻擊節(jié)點(diǎn)則分布在系統(tǒng)的任何一個(gè)節(jié)點(diǎn)上。利用本文所示的2號(hào)數(shù)據(jù)結(jié)構(gòu)為漏洞點(diǎn)，當(dāng)系統(tǒng)和數(shù)據(jù)節(jié)點(diǎn)40相連后，主控系統(tǒng)會(huì)啟動(dòng)安全機(jī)制，比如安全審計(jì)和IDS互補(bǔ)利用[6]。

圖3 X×Y型網(wǎng)絡(luò)防護(hù)模型

整個(gè)架構(gòu)分為三部分，安全資源池，數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備和安全服務(wù)調(diào)度中心。

（1）安全資源池

安全資源池可發(fā)生在系統(tǒng)的任何節(jié)點(diǎn)數(shù)據(jù)上，如我們常說(shuō)的硬件模塊、軟件模式等都裝有一定的防火墻技術(shù)、IDS和IPS等安全服務(wù)。

（2）數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備

數(shù)據(jù)轉(zhuǎn)發(fā)、共享過(guò)程中常借助路由等媒介來(lái)實(shí)現(xiàn)，在數(shù)據(jù)的傳輸過(guò)程中，需要嚴(yán)格按照SDN協(xié)議控制數(shù)據(jù)的流轉(zhuǎn)規(guī)則，將數(shù)據(jù)轉(zhuǎn)發(fā)到安全設(shè)施和目標(biāo)主機(jī)，是完成最短安全路由的最終執(zhí)行者。

（3）安全服務(wù)調(diào)度中心

安全服務(wù)調(diào)度中心系統(tǒng)安全的重要區(qū)域，主要有相關(guān)的控制系統(tǒng)和硬件模塊構(gòu)成，具有全局拓?fù)涔δ?，進(jìn)而完成數(shù)據(jù)的讀取。

3.2 安全設(shè)備路由算法

本文所優(yōu)化的安全設(shè)備路由策略主要適用于于內(nèi)嵌式安全設(shè)備，借助最短的路徑算法實(shí)現(xiàn)內(nèi)嵌式安全設(shè)備算法的最短控制即內(nèi)嵌式最短安全路徑，簡(jiǎn)稱SSPI）。

算法的首要之一是當(dāng)系統(tǒng)安全遭到攻擊后，系統(tǒng)會(huì)調(diào)用自有的安全機(jī)制，當(dāng)系統(tǒng)安全設(shè)備的檢索路徑為S至E時(shí)，此時(shí)系統(tǒng)會(huì)出現(xiàn)多種潛在漏洞，此時(shí)需要確定設(shè)備是否鏈接到安全模式下，計(jì)算出路徑的最短途徑，找出此時(shí)最短的路徑作為最短安全路徑[7]。

如沒(méi)有所對(duì)應(yīng)的最短路徑，則需要檢索S到E的最短路徑為SSPI，利用多路徑最短算法實(shí)現(xiàn)每個(gè)節(jié)點(diǎn)之間數(shù)據(jù)的計(jì)算。

4 結(jié)論

本文在大數(shù)據(jù)的基礎(chǔ)上，結(jié)合傳統(tǒng)安全漏洞的利用過(guò)程和不足之處，提出基于SDN的安全設(shè)備路由策略，該策略可對(duì)網(wǎng)絡(luò)數(shù)據(jù)的物理面和控制面進(jìn)行有效的剝離，實(shí)現(xiàn)對(duì)數(shù)據(jù)流量的最高控制，且基于優(yōu)化的最短路由算法和旁路式最短路由算法及神經(jīng)網(wǎng)絡(luò)最短路由算法，使得系統(tǒng)整體的安全性能大大增強(qiáng)。

[1] 汪東芳, 鞠杰. 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J]. 無(wú)線互聯(lián)科技, 2015(24): 40-41.

[2] 湯東. 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J]. 社會(huì)科學(xué): 全文版: 00277-00278.

[3] 鄭晨陽(yáng). 面向大數(shù)據(jù)的網(wǎng)絡(luò)安全策略研究[J]. 數(shù)字圖書(shū)館論壇, 2014(2): 7-10.

[4] 王書(shū)夢(mèng), 吳曉松. 大數(shù)據(jù)環(huán)境下基于MapReduce的網(wǎng)絡(luò)輿情熱點(diǎn)發(fā)現(xiàn)[J]. 軟件, 2015(7):108-113.

[5] 李慧. 基于大數(shù)據(jù)視角下電子商務(wù)物流策略的優(yōu)化研究[J]. 中國(guó)儲(chǔ)運(yùn), 2015(7): 121-123.

[6] 王正也, 李書(shū)芳. 一種基于Hive日志分析的大數(shù)據(jù)存儲(chǔ)優(yōu)化方法[J]. 軟件, 2014(11): 94-100.

[7] 馬樂(lè). 基于大數(shù)據(jù)時(shí)代分析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的優(yōu)化策略[J]. 中國(guó)新通信, 2017, 19(15).

Research on Security Strategy Based on Big Data Optimization Network

LIU Wen

(Lanzhou Resources & Environment Voc-tech College, Lanzhou 730021, China)

With the continuous application of network information construction, the reliability of data security is the top priority of network information construction. Especially with the advent of the big data era, more and more attention has been paid to the security of data. The former network security performance has been unable to meet the existing data volume, in addition to internal control and compliance strategies. Implementation, so that the scope of detection continues to expand, the accumulation of security data more and more. On the basis of large data, this paper proposes a security device routing strategy based on SDN (Software Defined Networking), which can effectively strip the physical and control surfaces of network data and realize the optimal control of data flow.

Big data; Security; Network

TP391.1

A

10.3969/j.issn.1003-6970.2018.09.042

劉文(1982-)，男，中級(jí)職稱，大學(xué)本科學(xué)歷，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

本文著錄格式：劉文. 基于大數(shù)據(jù)優(yōu)化網(wǎng)絡(luò)的安全性策略的研究[J]. 軟件，2018，39（9）：205-208