摘 要：由于網(wǎng)絡安全數(shù)據(jù)規(guī)模日益增長，類型日益繁多，現(xiàn)有安全分析技術(shù)難以滿足精細化的高效安全分析需求。在安全威脅具有更強殺傷力與逃避能力的形勢下，僅靠防范措施已無法應對安全威脅，精確檢測分析和早期預警成為網(wǎng)絡安全能力的關(guān)鍵，這就使得網(wǎng)絡安全分析工作重要性逐漸凸顯出來，而隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)也隨之進入大數(shù)據(jù)時代，大數(shù)據(jù)高速、海量、靈活等特點，能夠滿足海量安全信息的處理和分析需求，易于實現(xiàn)大容量、低成本、精確、快速的網(wǎng)絡安全分析能力，這就使人們意識到將大數(shù)據(jù)技術(shù)應用到網(wǎng)絡安全分析工作領域成為一種必然趨勢。本文將通過對大數(shù)據(jù)技術(shù)在網(wǎng)絡安全分析中運用方式的解讀，以“大數(shù)據(jù)技術(shù)運用價值”為重點，對基于大數(shù)據(jù)技術(shù)構(gòu)建起的網(wǎng)絡安全分析平臺展開探究，旨在提升大數(shù)據(jù)技術(shù)運用水平，保證網(wǎng)絡安全分析質(zhì)量。

關(guān)鍵詞：大數(shù)據(jù)技術(shù)；運用價值；網(wǎng)絡安全分析

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1004-7344（2018）24-0316-02

前 言

將大數(shù)據(jù)技術(shù)運用到網(wǎng)絡安全分析工作之中，不僅能夠有效提升安全分析系統(tǒng)數(shù)據(jù)儲存量，同時還具有降低網(wǎng)絡安全分析成本以及提高安全分析系統(tǒng)運行效率等方面的優(yōu)勢，可以對網(wǎng)絡安全分析領域發(fā)展形成有效帶動，意義重大。

1 大數(shù)據(jù)及其在網(wǎng)絡中的運用

1.1 大數(shù)據(jù)技術(shù)概述

關(guān)于大數(shù)據(jù)技術(shù)，主要指對于海量、多樣化、高增長率數(shù)據(jù)信息在處理中所采用的模式，具有volume、variety、velocity、veracity、value的“5V”特性，其運用主要集中在兩方面：①利用大數(shù)據(jù)技術(shù)，實現(xiàn)采集、分析與處理網(wǎng)絡數(shù)據(jù)；②借助大數(shù)據(jù)技術(shù)多維度關(guān)聯(lián)分析網(wǎng)絡數(shù)據(jù)，在此基礎上對網(wǎng)絡運行安全狀態(tài)監(jiān)測，并進行風險評估、故障判斷與告警[1]。

1.2 大數(shù)據(jù)技術(shù)運用

通過對大數(shù)據(jù)技術(shù)在網(wǎng)絡中的運用：①能夠切實提升整體網(wǎng)絡數(shù)據(jù)儲存數(shù)量，確保數(shù)據(jù)結(jié)構(gòu)化處理效果，并保障數(shù)據(jù)信息完整性[2]。②可以降低網(wǎng)絡系統(tǒng)成本投入，通過對分布式數(shù)據(jù)庫的運用，保證系統(tǒng)維護與構(gòu)建質(zhì)量。③真正提高數(shù)據(jù)處理效率以及準確度，并對網(wǎng)絡問題展開精細檢測，從多層次、多維度展開分析，從而保證網(wǎng)絡數(shù)據(jù)處理的質(zhì)量，優(yōu)勢較為突出。

2 網(wǎng)絡安全分析現(xiàn)狀

網(wǎng)絡各類信息數(shù)據(jù)的不斷提升，為民眾的生活帶來了極大的便利，但卻直接增加了網(wǎng)絡安全工作的難度，而這種壓力主要體現(xiàn)為兩點：①信息數(shù)據(jù)量的不斷增加，使數(shù)據(jù)種類變得更加多樣，分析工作量直接增多，需要依靠更為先進的技術(shù)完成相應任務；②當信息數(shù)據(jù)量增加之后，原有數(shù)據(jù)傳輸速度已經(jīng)不再適用，因此需要加快數(shù)據(jù)采集與分析的操作速度，但高速率的傳輸方式，卻會直接增加網(wǎng)絡維護難度，對網(wǎng)絡分析工作開展也造成直接限制。

3 在網(wǎng)絡安全分析中運用大數(shù)據(jù)技術(shù)的價值和方法

3.1 運用價值

根據(jù)大數(shù)據(jù)技術(shù)的特性，其在網(wǎng)絡安全分析中的運用價值主要體現(xiàn)以下四個方面：①容量大。大數(shù)據(jù)技術(shù)能夠?qū)崿F(xiàn)對海量異構(gòu)數(shù)據(jù)的計算與儲存，可以為海量原始安全信息分析與儲存操作開展提供保障；②成本低。與傳統(tǒng)數(shù)據(jù)庫價格相比，分布式數(shù)據(jù)庫價格更加低廉，且可以在低價格硬件上完成水平拓展，可以對安全投入實施有效控制；③精度高。由于大數(shù)據(jù)技術(shù)擁有良好的數(shù)據(jù)挖掘能力，能夠為多維多階段關(guān)聯(lián)分析工作開展奠定良好基礎，可以有效提高數(shù)據(jù)間關(guān)聯(lián)性，保證數(shù)據(jù)分析深度與廣度；④速度快。大數(shù)據(jù)技術(shù)對異構(gòu)數(shù)據(jù)的存儲和查詢速度更快，從而加快了信息采集和檢測的響應速度。

3.2 實踐應用

以DDOS攻擊路徑實時監(jiān)測為例。通過對大數(shù)據(jù)技術(shù)的運用，網(wǎng)絡安全分析系統(tǒng)通過對DDOS攻擊歷史數(shù)據(jù)以及歷史流量數(shù)據(jù)等信息展開分析，可以完成攻擊全景溯源以及實時監(jiān)測，能夠?qū)⒐袅髁看┬芯€路以直觀化方式呈現(xiàn)出來，對攻擊路徑進行重演。

在具體操作時：①要展開空活節(jié)點隊列以及空攻擊路徑鏈表設置；②在攻擊告警中對攻擊源攻擊時間、IP地址以及攻擊目標IP地址等數(shù)據(jù)進行獲取，且要做好相關(guān)數(shù)據(jù)儲存與提取工作，展開攻擊流量信息查詢，進而明確攻擊流量大小以及路由器端口等情況；③要對端口、路由器等攻擊源信息進行明確，掌握路由器用戶側(cè)端口輸出流量中的攻擊目的地址等，進而確定攻擊目的端口以及路由器，并要將攻擊目的路由器與子網(wǎng)等連接關(guān)系加入到攻擊路徑鏈表之中；④從攻擊目的路由器開始展開訪問，在完成和R相所有節(jié)點的訪問后，要將節(jié)點隊列第一元素視作是拓展節(jié)點，并對其進行相應處理，直至循環(huán)處理到活節(jié)點隊列空時截止，之后再通過攻擊路徑鏈表獲得攻擊流量路徑。至此，完成運用大數(shù)據(jù)技術(shù)的安全分析過程。

4 以大數(shù)據(jù)技術(shù)為基礎的網(wǎng)絡平臺建設

4.1 平臺架構(gòu)設計與功能分析

在運用大數(shù)據(jù)技術(shù)進行網(wǎng)絡平臺建設時，需要對數(shù)據(jù)呈現(xiàn)層、數(shù)據(jù)采集層以及大數(shù)據(jù)儲存層等內(nèi)容進行科學設計。其中數(shù)據(jù)采集層主要用于用戶身份信息以及事件等信息的采集；而大數(shù)據(jù)儲存層則可以完成對海量信息的長期儲存，可以實現(xiàn)對非結(jié)構(gòu)化、結(jié)構(gòu)化以及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一儲存，并會通過運用均衡算法，將數(shù)據(jù)均勻分布在文件系統(tǒng)之上，以保證數(shù)據(jù)檢索速度；挖掘分析層可以對信息數(shù)據(jù)展開深度分析，以對安全事件展開準確挖掘，確?？梢栽诙虝r間內(nèi)找到網(wǎng)絡異常行為發(fā)生本質(zhì)，并完成對信息數(shù)據(jù)的定位與查詢；呈現(xiàn)層會對大數(shù)據(jù)分析結(jié)構(gòu)展開可視化處理，可以通過以多維度的方式對網(wǎng)絡安全狀態(tài)進行展示[3]。

4.2 平臺運行支持技術(shù)

4.2.1 分析技術(shù)

在該項技術(shù)的支持之下，相關(guān)人員可以通過對該平臺的運用，完成對海量數(shù)據(jù)的統(tǒng)一與分析，且會通過對SQL結(jié)構(gòu)化處理方式，通過對HDFS的應用完成非結(jié)構(gòu)化數(shù)據(jù)的檢索，并會將定制插件運用到其中，從而保證數(shù)據(jù)處理質(zhì)量。在對數(shù)據(jù)進行挖掘過程中，會按照相應數(shù)據(jù)整理過程，根據(jù)事件流完成相應分析，會通過對CPE的運用，將系統(tǒng)數(shù)據(jù)作為各種類型事件，掌握他們之間的關(guān)聯(lián)性，構(gòu)建起與之相符的類別事件庫，保障事件轉(zhuǎn)化質(zhì)量。

4.2.2 采集技術(shù)

平臺可以在stom以及Flume等技術(shù)的借助之下，完成對數(shù)據(jù)的采集工作，并可以完成對數(shù)據(jù)的傳輸與整合工作，具有可用性高以及可靠性強等特征，可以通過對特定數(shù)據(jù)的運用，完成對不同數(shù)據(jù)源數(shù)據(jù)的收集，且能夠?qū)^為活躍的數(shù)據(jù)展開處理，能夠?qū)?shù)據(jù)儲存和采集部分進行明確，能夠形成高效化分布系統(tǒng)，實現(xiàn)負載平衡。

4.2.3 存儲技術(shù)

通過對HDFS的運用，可以在完成數(shù)據(jù)采集之后對其進行儲存，主要是因為HDFS分布式文件系統(tǒng)具有容錯性高以及吞吐量強等方面的優(yōu)勢，會通過元數(shù)據(jù)對管理節(jié)點文件系統(tǒng)發(fā)出空間使用命令，并會將數(shù)據(jù)節(jié)點作為數(shù)據(jù)主要儲存文件，會將64兆字節(jié)數(shù)據(jù)塊當作最基本的儲存單位。

4.3 網(wǎng)絡安全系統(tǒng)構(gòu)建

在進行安全系統(tǒng)構(gòu)建時，要重點對以下四個模塊進行構(gòu)建：①數(shù)據(jù)源模塊。會通過對采集器的運用，完成對系統(tǒng)內(nèi)所有硬件設備與軟件系統(tǒng)的采集工作，并會將結(jié)果放置在存儲部分之中，且會為了保證網(wǎng)絡安全，在采取入侵檢測與防火墻等防護措施的同時，做好儲存器以及服務器的檢查與維護工作，會對系統(tǒng)數(shù)據(jù)庫以及其他軟件展開檢查與分析；②存儲采集模塊。該模塊會實現(xiàn)對數(shù)據(jù)采集存儲操作的優(yōu)化，可以構(gòu)建起高質(zhì)量的分布式數(shù)據(jù)基礎，能夠?qū)υL問功能以及存儲穩(wěn)定性進行有效保證，在數(shù)據(jù)海量化方向發(fā)展的今天，分布式的儲存方式能夠?qū)W(wǎng)絡安全系統(tǒng)運行形成有效輔助，可以達到切實提升系統(tǒng)數(shù)據(jù)儲存量以及保證數(shù)據(jù)庫運行穩(wěn)定程度的目標；③分析模塊。此模塊會對歷史數(shù)據(jù)分析以及實時數(shù)據(jù)分析操作進行優(yōu)化，能夠保證其功能呈現(xiàn)，會在分布式處理結(jié)構(gòu)的基礎上，完成數(shù)據(jù)分析模塊構(gòu)建工作，以保證數(shù)據(jù)分析高效性以及穩(wěn)定性，確保可以在有效時間內(nèi)完成數(shù)據(jù)聯(lián)合分析處理以及多維度分析處理工作；④展示模塊。與其他模塊有所不同，該模塊更加注重用戶體驗，強調(diào)要從用戶層面入手，讓用戶通過模塊對各項功能進行了解，實現(xiàn)對網(wǎng)絡安全系統(tǒng)的運用，確保用戶可以在該系統(tǒng)的輔助之下，做好網(wǎng)絡安全分析操作。

5 結(jié)束語

通過本文對網(wǎng)絡安全分析相關(guān)內(nèi)容的論述，使我們對大數(shù)據(jù)技術(shù)在網(wǎng)絡安全分析中的運用方式有了更加清晰的認知，分析人員應認識到大數(shù)據(jù)技術(shù)所具有的價值，要按照網(wǎng)絡安全分析工作特征將其科學運用到分析工作之中，借助大數(shù)據(jù)技術(shù)完成對數(shù)據(jù)的采集、分析和挖掘操作，并展開相應分析平臺構(gòu)建，有效發(fā)揮大數(shù)據(jù)技術(shù)效能，使該技術(shù)在網(wǎng)絡安全分析領域中得到更好地運用和發(fā)展，達到高效化、精準化分析效果。

參考文獻

[1]李廣川.大數(shù)據(jù)在通信網(wǎng)絡安全中的應用[J].信息通信，2017（09）.

[2]肖 霞.基于大數(shù)據(jù)時代計算機網(wǎng)絡安全技術(shù)應用研究[J].遼寧高職學報，2018（1）.

[3]任小成.基于大數(shù)據(jù)時代人工智能在計算機網(wǎng)絡技術(shù)中的應用分析[J].中國戰(zhàn)略新興產(chǎn)業(yè)，2018（4）.

收稿日期：2018-7-2

作者簡介：王昱輝（1972-），女，漢族，工程師，本科，研究方向為計算機與指揮自動化。

溫志鵬（1981-），男，漢族，工程師，碩士，研究方向為軍事裝備和營房設施管理。