王春林

摘 要 在通信技術(shù)、IT技術(shù)快速發(fā)展的作用下，網(wǎng)絡(luò)環(huán)境復(fù)雜度不斷提高，網(wǎng)絡(luò)攻擊持續(xù)性、破壞性、隱秘性等特征APT隨之增加。然而，傳統(tǒng)互聯(lián)網(wǎng)安全技術(shù)與情報(bào)追蹤存在問(wèn)題較多，難以應(yīng)對(duì)現(xiàn)階段復(fù)雜多變的互聯(lián)網(wǎng)環(huán)境。因此，為增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)信息感知能力，提升網(wǎng)絡(luò)安全檢測(cè)可靠性與網(wǎng)絡(luò)情報(bào)追蹤的真實(shí)性，基于大數(shù)據(jù)的網(wǎng)絡(luò)安全技術(shù)與情報(bào)得以衍生。

關(guān)鍵詞 大數(shù)據(jù)；網(wǎng)絡(luò)情報(bào)追蹤；網(wǎng)絡(luò)安全分析

中圖分類(lèi)號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2019）235-0145-02

1 大數(shù)據(jù)的基本概念

大數(shù)據(jù)（big data，mega data）指的是以多種類(lèi)、多元化的形式，源自于網(wǎng)絡(luò)各個(gè)層面搜集整合而來(lái)的海量數(shù)據(jù)組，大數(shù)據(jù)通常具有實(shí)時(shí)性特點(diǎn)。在技術(shù)的層面上審視大數(shù)據(jù)，其本身與云計(jì)算具有緊密聯(lián)系，對(duì)于大量數(shù)據(jù)信息的搜索極大的依賴(lài)于云計(jì)算分布式數(shù)據(jù)庫(kù)、云端儲(chǔ)存和分布式處理技術(shù)。

現(xiàn)階段，人類(lèi)已經(jīng)入科技高度發(fā)達(dá)、信息流通廣泛、發(fā)展迅速的全新社會(huì)形態(tài)，人與人之間的交流頻率相對(duì)百年前提高了近20倍，現(xiàn)代人一周獲取信息的總量相當(dāng)于古人一生的信息獲取量，與此同時(shí)，大數(shù)據(jù)在科學(xué)技術(shù)不斷進(jìn)步的背景下得以衍生。有學(xué)者將數(shù)據(jù)比作為一個(gè)蘊(yùn)含巨大能量的石油礦，并按站石油的性質(zhì)對(duì)大數(shù)據(jù)進(jìn)行分類(lèi)，例如，將深海石油等的開(kāi)采成本較高的礦井，比喻為搜集難度較大的數(shù)據(jù)信息。再如，將石油儲(chǔ)量豐富、石油品質(zhì)優(yōu)良的油礦比喻為價(jià)值含量較高的大數(shù)據(jù)信息。

2 傳統(tǒng)網(wǎng)絡(luò)情報(bào)與安全探究工作存在的問(wèn)題

2.1 傳統(tǒng)網(wǎng)絡(luò)安全分析中存在的問(wèn)題

隨網(wǎng)絡(luò)技術(shù)的發(fā)展，IT構(gòu)架復(fù)雜度不斷提高，各種各樣應(yīng)用頻頻涌現(xiàn)，使業(yè)務(wù)與數(shù)據(jù)更加集中，應(yīng)用與互聯(lián)網(wǎng)的邊界也隨之模糊，邊界單一、控制點(diǎn)簡(jiǎn)潔的傳統(tǒng)網(wǎng)絡(luò)安全設(shè)施無(wú)法實(shí)際、高效的對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行控制。現(xiàn)階段，我國(guó)網(wǎng)絡(luò)流量、安全日志等數(shù)據(jù)信息合理應(yīng)用于網(wǎng)絡(luò)安全分析的技術(shù)已經(jīng)較為成熟，然而，因?yàn)閮?chǔ)存與分析海量數(shù)據(jù)信息所帶來(lái)的成本消耗極高，系統(tǒng)安全日志對(duì)數(shù)據(jù)信息的儲(chǔ)存受時(shí)間限制嚴(yán)重，進(jìn)而對(duì)網(wǎng)絡(luò)安全問(wèn)題難以實(shí)現(xiàn)實(shí)質(zhì)性應(yīng)對(duì)。同時(shí)，在利益的趨勢(shì)下網(wǎng)絡(luò)黑客攻擊方式不斷優(yōu)化，技術(shù)呈復(fù)雜多變特點(diǎn)，特殊木馬病毒、僵尸網(wǎng)絡(luò)、特殊蠕蟲(chóng)病毒以及多種多樣的互聯(lián)網(wǎng)攻擊逐利性與目的性凸顯，然而，傳統(tǒng)網(wǎng)絡(luò)病毒排查、檢測(cè)具有隱蔽性和長(zhǎng)期性缺點(diǎn)，難以阻擋當(dāng)今千變?nèi)f化的互聯(lián)網(wǎng)攻擊形式。

2.2 傳統(tǒng)網(wǎng)絡(luò)情報(bào)追蹤中存在的問(wèn)題

在通信、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)等多種現(xiàn)代信息技術(shù)飛速發(fā)展的背景下，互聯(lián)網(wǎng)中存在的威脅性情報(bào)信息不斷增加，陳舊的情報(bào)分析設(shè)備由于數(shù)據(jù)來(lái)源范圍小、內(nèi)容單一且信息之間相對(duì)獨(dú)立，致使難以滿(mǎn)足現(xiàn)階段新型情報(bào)采集與分析的客觀需求。例如，構(gòu)建高質(zhì)量、高效率的人工智能外部數(shù)據(jù)信息搜索系統(tǒng)；對(duì)外部信息大量采集過(guò)程中非系統(tǒng)化數(shù)據(jù)的儲(chǔ)存與處理；開(kāi)展高速檢索、實(shí)時(shí)情報(bào)追蹤等。

3 大數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全與情報(bào)分析的重要意義

為提高網(wǎng)絡(luò)安全與情報(bào)分析的實(shí)效性，相關(guān)研究人員將大數(shù)據(jù)與傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)相結(jié)合，實(shí)現(xiàn)大數(shù)據(jù)在網(wǎng)絡(luò)安全領(lǐng)域的現(xiàn)實(shí)應(yīng)用，即大數(shù)據(jù)安全分析（Big data security analysis）。大數(shù)據(jù)安全分析技術(shù)的誕生，極大地改善了傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題。首先，大數(shù)據(jù)安全分析大幅提升了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)無(wú)法做到的大規(guī)模數(shù)據(jù)搜集，實(shí)現(xiàn)了降低數(shù)據(jù)儲(chǔ)存成本、提高數(shù)據(jù)儲(chǔ)存質(zhì)量以及數(shù)據(jù)提前處理。其次，解決了快速、海量、連續(xù)到達(dá)的數(shù)據(jù)序列——流數(shù)據(jù)（Data stream ）的實(shí)時(shí)有效分析，以及大規(guī)模過(guò)往歷史數(shù)據(jù)信息的離線分析，并具備良好的網(wǎng)絡(luò)安全動(dòng)態(tài)洞察能力，實(shí)現(xiàn)了自主化、彈性化、智能化應(yīng)對(duì)當(dāng)今新型網(wǎng)絡(luò)威脅種種風(fēng)險(xiǎn)變幻莫測(cè)特點(diǎn)的能力。最后，實(shí)現(xiàn)了大數(shù)據(jù)網(wǎng)絡(luò)安全技術(shù)對(duì)網(wǎng)絡(luò)安全日志、威脅情報(bào)、網(wǎng)絡(luò)用戶(hù)操作行為等復(fù)雜多樣且具有關(guān)聯(lián)性數(shù)據(jù)的檢索功能，使網(wǎng)絡(luò)大范圍、多角度、全方位的數(shù)據(jù)信息得以集中分析，并為安全檢測(cè)完成了安全事件深入追蹤與研究的工作。

4 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全與情報(bào)分析技術(shù)要點(diǎn)

4.1 大數(shù)據(jù)計(jì)算模式分類(lèi)

大數(shù)據(jù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的計(jì)算形式分為兩種，一種是批量計(jì)算，另一種則是流計(jì)算。美國(guó)伊利諾伊大學(xué)厄本那香檳分校（University of Illinois，Urbana-？Champaign Urbana， IL）計(jì)算機(jī)實(shí)驗(yàn)室提出了關(guān)于數(shù)據(jù)分析的軟件棧，站在大數(shù)據(jù)信息科學(xué)計(jì)算的視角，將大數(shù)據(jù)現(xiàn)實(shí)處理技術(shù)分為批量數(shù)據(jù)、流數(shù)據(jù)技術(shù)以及數(shù)據(jù)信息查詢(xún)交互系統(tǒng)3個(gè)方面。

4.2 大數(shù)據(jù)計(jì)算模式分類(lèi)基本性能分析

首先，批量數(shù)據(jù)計(jì)算處理技術(shù)，是先通過(guò)對(duì)海量信息數(shù)據(jù)的儲(chǔ)存，實(shí)現(xiàn)對(duì)靜止數(shù)據(jù)的綜合性集中計(jì)算，提高了海量數(shù)據(jù)信息處理吞吐量，批量數(shù)據(jù)計(jì)算雖然繁瑣復(fù)雜，但是時(shí)間卻較短，普遍計(jì)算時(shí)間從幾分鐘到幾小時(shí)不等。

其次，流數(shù)據(jù)計(jì)算技術(shù)的優(yōu)勢(shì)在于可對(duì)數(shù)據(jù)進(jìn)行及時(shí)性計(jì)算、及時(shí)性反饋，良好的迎接連續(xù)到達(dá)的數(shù)據(jù)序列并在內(nèi)存中加以直接計(jì)算，大幅降低數(shù)據(jù)計(jì)算拖延性，提高網(wǎng)絡(luò)安全技術(shù)時(shí)效性。與此同時(shí)，流數(shù)據(jù)計(jì)算技術(shù)與批量數(shù)據(jù)計(jì)算技術(shù)呈現(xiàn)出相輔相成的共進(jìn)關(guān)系，互補(bǔ)雙方不足，實(shí)現(xiàn)不同應(yīng)用場(chǎng)景的有效差異性對(duì)策，滿(mǎn)足不同時(shí)期數(shù)據(jù)計(jì)算需求。

最后，數(shù)據(jù)信息查詢(xún)交互系統(tǒng)將操作人員作為網(wǎng)絡(luò)安全分析的主體，把人對(duì)網(wǎng)絡(luò)安全的認(rèn)知體現(xiàn)在實(shí)際操作過(guò)程中。例如，工作人員在進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)安全隱患排查時(shí)，通過(guò)對(duì)事件內(nèi)容、主體、客體特點(diǎn)特征的分析，采取針對(duì)性較強(qiáng)的應(yīng)對(duì)方法。再如，工作人員對(duì)谷歌公司Dremel查詢(xún)系統(tǒng)合理應(yīng)用，可直接對(duì)系統(tǒng)不規(guī)則的數(shù)據(jù)信息集合進(jìn)行現(xiàn)實(shí)操作，并快速得到反饋結(jié)果，進(jìn)而根據(jù)結(jié)果采取相應(yīng)的針對(duì)性措施。

5 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全分析與情報(bào)追蹤

大數(shù)據(jù)安全分析是當(dāng)今社會(huì)較為先進(jìn)的網(wǎng)絡(luò)安全分析和情報(bào)追蹤技術(shù)，大幅提升了互聯(lián)網(wǎng)數(shù)據(jù)信息安全檢測(cè)、風(fēng)險(xiǎn)預(yù)警和情報(bào)追蹤的控制水平，使數(shù)據(jù)信息掌控安全的全新網(wǎng)絡(luò)安全與情報(bào)理念得以形成。

5.1 高級(jí)持續(xù)性威脅檢測(cè)

美國(guó)麻省理工大學(xué)KKU計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室提出通過(guò)大數(shù)據(jù)整合分析，在極短的時(shí)間內(nèi)完成海量數(shù)據(jù)信息處理方案。該方案模擬攻擊金字塔模型，在對(duì)縱向攻擊目標(biāo)分類(lèi)后，實(shí)施平面攻擊環(huán)境措施。與此同時(shí)，近年來(lái)大量工作團(tuán)隊(duì)展開(kāi)了利用大數(shù)據(jù)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)高級(jí)持續(xù)性檢測(cè)的深入研究獲得大量成就，實(shí)現(xiàn)隱蔽性加密文件檢測(cè)功能。

5.2 互聯(lián)網(wǎng)安全動(dòng)態(tài)感知

網(wǎng)絡(luò)安全技術(shù)領(lǐng)域是大量企業(yè)普遍重視的話題，大數(shù)據(jù)技術(shù)可對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)進(jìn)行有效感知。以國(guó)內(nèi)阿里巴巴集團(tuán)云盾為例，其以大數(shù)據(jù)為基礎(chǔ)，為客戶(hù)源源不斷的提供網(wǎng)絡(luò)動(dòng)態(tài)感知服務(wù)，使大量的使用者真實(shí)感受到網(wǎng)絡(luò)威脅所在。以國(guó)內(nèi)著名互聯(lián)網(wǎng)安全公司360為例，360旗下的網(wǎng)絡(luò)安全平臺(tái)利用互聯(lián)網(wǎng)大數(shù)據(jù)技術(shù)，對(duì)全國(guó)各地?cái)?shù)據(jù)進(jìn)行搜索和儲(chǔ)存，將網(wǎng)絡(luò)情報(bào)作為驅(qū)使動(dòng)力，實(shí)現(xiàn)互聯(lián)網(wǎng)可持續(xù)性監(jiān)控、互聯(lián)網(wǎng)安全分析以及良好的情報(bào)追蹤。

5.3 互聯(lián)網(wǎng)情報(bào)追蹤和分析

在互聯(lián)網(wǎng)信息技術(shù)廣度不斷提高的背景下，滲透性、隱秘性、破壞性、針對(duì)性極強(qiáng)的網(wǎng)絡(luò)高級(jí)持續(xù)性威脅日趨增加，致使家庭、企業(yè)乃至國(guó)家網(wǎng)絡(luò)信息安全面臨嚴(yán)重威脅。例如，2014年伊格雷震網(wǎng)病毒將阿富汗關(guān)鍵性工業(yè)設(shè)施為攻擊目標(biāo)，前后對(duì)阿富汗工業(yè)生產(chǎn)破壞時(shí)間長(zhǎng)達(dá)14個(gè)月。2015年7月出現(xiàn)的爆炸式病毒，利用電腦操作系統(tǒng)自身漏洞對(duì)家庭、個(gè)人電腦不斷侵犯，獲取中東石油國(guó)家大量絕密信息。然而，面對(duì)上述網(wǎng)絡(luò)安全問(wèn)題，傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)難以應(yīng)對(duì)。此時(shí)，大數(shù)據(jù)技術(shù)支持下的網(wǎng)絡(luò)情報(bào)分析功能性得以展現(xiàn)?；诖髷?shù)據(jù)的網(wǎng)絡(luò)情報(bào)追蹤分析技術(shù)，對(duì)成千上萬(wàn)不同的網(wǎng)絡(luò)平臺(tái)進(jìn)行數(shù)據(jù)采集，對(duì)熱點(diǎn)話題內(nèi)容實(shí)時(shí)追蹤，并將最終追蹤內(nèi)容進(jìn)行整合、分析，大幅提高了網(wǎng)絡(luò)數(shù)據(jù)的安全性和溯源性，實(shí)現(xiàn)了網(wǎng)絡(luò)情報(bào)追蹤、分析等多方面內(nèi)容的綜合性服務(wù)。

6 結(jié)論

綜上所述，在網(wǎng)絡(luò)環(huán)境變幻莫測(cè)背景下，網(wǎng)絡(luò)攻擊與防御日趨激烈的對(duì)抗中，網(wǎng)絡(luò)安全問(wèn)題不容樂(lè)觀。傳統(tǒng)互聯(lián)網(wǎng)安全技術(shù)存在問(wèn)題較多，將大數(shù)據(jù)應(yīng)用于互聯(lián)網(wǎng)安全與情報(bào)分析已成為現(xiàn)代科學(xué)發(fā)展的必然趨勢(shì)。

參考文獻(xiàn)

[1]崔傳楨.啟明星辰，持續(xù)構(gòu)建信息安全生態(tài)鏈——透視啟明星辰的信息與網(wǎng)絡(luò)安全戰(zhàn)略[J].信息安全研究，2017，3（2）：98-115.

[2]齊愛(ài)民.論大數(shù)據(jù)時(shí)代數(shù)據(jù)安全法律綜合保護(hù)的完善——以《網(wǎng)絡(luò)安全法》為視角[J].東北師大學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2017（4）：108-114.

[3]劉斌.大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)與應(yīng)對(duì)策略研究[J].科技傳播，2018，10（3）：166-168.

[4]水利部信息中心組織召開(kāi)水利大數(shù)據(jù)中心和水利部網(wǎng)絡(luò)安全防護(hù)能力提升工程項(xiàng)目研討會(huì)[J].水利信息化，2018（4）：19.