張明罡

摘要：隨著時代進(jìn)步，網(wǎng)絡(luò)的全面覆蓋和發(fā)展，廣泛的智能普及，使用戶不斷提升對感知的要求。與此同時，威脅網(wǎng)絡(luò)安全的事物也層出不窮。本文旨在說明網(wǎng)絡(luò)防護(hù)單一化已經(jīng)不能完全解決網(wǎng)絡(luò)安全面對的問題，需要網(wǎng)絡(luò)動態(tài)安全管制，從整體反映現(xiàn)狀，并對安全問題及隱患進(jìn)行預(yù)測。文章將介紹分析網(wǎng)絡(luò)安全態(tài)勢以及動態(tài)感知技術(shù)，建立有效快速的威脅分析、檢測、處置能力，促使信息可知可控。旨在為有關(guān)人士提供參考與借鑒。

關(guān)鍵詞：動態(tài)感知;大數(shù)據(jù);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)運(yùn)維

引言：隨著互聯(lián)網(wǎng)的發(fā)展，多層次、大規(guī)模、復(fù)雜化的網(wǎng)絡(luò)安全風(fēng)險也隨之增加，各種網(wǎng)絡(luò)病毒都威脅著網(wǎng)絡(luò)的穩(wěn)定與安全，傳統(tǒng)的技術(shù)難以有效、及時處理病毒帶來的影響，在此情況下，需要新興技術(shù)升級網(wǎng)絡(luò)安全防護(hù)，提前預(yù)估風(fēng)險，降低整體風(fēng)險等級。結(jié)合檢測情報、機(jī)器學(xué)習(xí)、圖關(guān)聯(lián)分析等技術(shù)，使全網(wǎng)的流量實現(xiàn)可視化，解決安全遺漏帶來的問題。

一、運(yùn)營商數(shù)據(jù)分析背景

運(yùn)營商掌握著大量的網(wǎng)絡(luò)數(shù)據(jù)，生產(chǎn)、傳送并使用大數(shù)據(jù)，處于網(wǎng)絡(luò)管道的位置。對于運(yùn)營商來說，其要及時掌握各個行業(yè)對大數(shù)據(jù)的實際使用情況，同時，為了滿足自身生存與發(fā)展的需求，也要對大數(shù)據(jù)進(jìn)行充分、積極與合理的運(yùn)用，以此適應(yīng)社會發(fā)展。

第一個層面是在業(yè)務(wù)領(lǐng)域，在DNS日志數(shù)據(jù)挖掘的基礎(chǔ)上，進(jìn)行對客戶訪問點(diǎn)擊率和歸屬地的分析，為用戶感知提供一些借鑒。還要通過分析網(wǎng)絡(luò)結(jié)構(gòu)，挖掘測試數(shù)據(jù)等影響情況，來給規(guī)劃網(wǎng)絡(luò)建設(shè)提供參考依據(jù)，進(jìn)一步進(jìn)行結(jié)構(gòu)調(diào)整和優(yōu)化，升級網(wǎng)絡(luò)系統(tǒng)。第二個層面是在用戶領(lǐng)域，在AAA日志數(shù)據(jù)的基礎(chǔ)上，探接入過程中的差異化帶寬，之后來分析流量特性的匹配關(guān)系，從而對流量情況進(jìn)行準(zhǔn)確的預(yù)判，同時也可以為后續(xù)的規(guī)劃奠定基礎(chǔ)。實踐中可以對比不同的用戶的各種行為特征，然后分析其差異性，借助這些數(shù)據(jù)，核查異常用戶，進(jìn)一步提高投放的準(zhǔn)確性，也可以為用戶提供更為及時的回訪，使用戶擁有更好的體驗，其對服務(wù)的滿意度也將大幅度提升，進(jìn)而將為供應(yīng)商樹立良好的形象，其品牌效應(yīng)將日益增強(qiáng)。

挖掘用戶數(shù)據(jù)并進(jìn)行探針數(shù)據(jù)統(tǒng)計和分析，是技術(shù)層面的創(chuàng)新，試著以用戶作為出發(fā)點(diǎn)來進(jìn)行分析，一改以往從面、線、區(qū)域的傳統(tǒng)分析方式，這樣可以更加高效便捷，對公司網(wǎng)絡(luò)建設(shè)以及其他拓展業(yè)務(wù)都補(bǔ)充了可供參考的數(shù)據(jù)。

二、網(wǎng)絡(luò)運(yùn)維的日志采集和分析

Syslog被動監(jiān)聽方式采集，mysql數(shù)據(jù)庫表里的日志，本地local的文件采集以及ftp文件的主動采集等等，都是目前能采用的采集日志的方式。例如，用JDBC來進(jìn)行采集日志，設(shè)置好IP地址，輸入監(jiān)聽端口，此外，還包括用戶名密碼等有效信息，和數(shù)據(jù)庫中指定好的實例連接按照順序來讀取指定的數(shù)據(jù)。服務(wù)器的操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫和中間件是主要采集Syslog;監(jiān)控掃描資產(chǎn)安全，全流量包的網(wǎng)絡(luò)采集，進(jìn)行自主學(xué)習(xí)了解網(wǎng)站資產(chǎn)。

從被動防御轉(zhuǎn)變?yōu)橹鲃痈兄?，對于現(xiàn)在發(fā)生的事件需要與威脅規(guī)則等相匹配，然后做出回應(yīng)，一般是識別出威脅響應(yīng)。情報系統(tǒng)的能力有以下幾種：對事件參與者的誠信度進(jìn)行威脅評估;倘若參與者具有威脅情報的幾種特征，那么其威脅程度就會被隨之提高;對于大部分屬于較低威脅行為的事件，需要對其進(jìn)行篩選，接下來會方便分析潛在的威脅;在首次侵害之后，如果再次遇到侵害，需要借助共享機(jī)制來發(fā)揮作用，這樣能高效快速做出反應(yīng)進(jìn)行識別;增加侵害者需要的攻擊成本，如果侵害者想要繞過這種防御體系，那就需要更高級的隱藏方法;威脅情報通過分析關(guān)聯(lián)方法能發(fā)現(xiàn)潛在正常流量之間的威脅，也為安全事件、日志等提供多維的信息。判斷流量是否有異常情況，建立模型需要根據(jù)流量在正常行為的特征下運(yùn)行，能發(fā)現(xiàn)水平掃描、ARP欺騙、IP地址掃描、網(wǎng)絡(luò)蠕蟲、垂直掃描等。與此同時，深度檢測能力也體現(xiàn)在許多方面，這里不一一列舉。

就目前來看，檢測失陷主機(jī)的方式被人們所掌握與了解的已經(jīng)有二十多種。對病毒行為、黑客常用攻擊行為、異常外聯(lián)行為等特征都可以利用安全感知平臺內(nèi)搭建的算法來進(jìn)行分析，算法融合iForest、協(xié)議模型學(xué)習(xí)、主機(jī)網(wǎng)絡(luò)流量模型，并結(jié)合DGA域名判斷構(gòu)建融合檢測模型以及大數(shù)據(jù)關(guān)聯(lián)分析的引擎所提供的聯(lián)動分析[1]。各類檢測能力和大數(shù)據(jù)關(guān)聯(lián)分析的能力是由大數(shù)據(jù)分析引擎來負(fù)責(zé)的，這個引擎主要由模型融合和預(yù)處理數(shù)據(jù)等主要部分來構(gòu)成的，支撐失陷主機(jī)檢測、UEBA和大數(shù)據(jù)關(guān)聯(lián)分析等。

三、網(wǎng)絡(luò)動態(tài)感知技術(shù)和網(wǎng)絡(luò)安全

（一）動態(tài)感知的相應(yīng)技術(shù)

首先是數(shù)據(jù)融合技術(shù)，要通過相應(yīng)的大數(shù)據(jù)技術(shù)來對不同用途不同來源不同格式不同位置的數(shù)據(jù)進(jìn)行統(tǒng)一的預(yù)測判斷，之后在平臺融合操作，給網(wǎng)絡(luò)安全信息感知技術(shù)提供統(tǒng)一平臺，在逐步分析篩選后得出結(jié)論。其次是數(shù)據(jù)挖掘技術(shù)，是需要通過很多的網(wǎng)絡(luò)設(shè)備進(jìn)行集中搜集然后整理分析情況，經(jīng)過統(tǒng)一處理后，通過相應(yīng)工具和算法，對有效信息系統(tǒng)篩選甄別，然后挑選出合適的信息，以便之后工作進(jìn)行處理和分析這些信息。最后介紹可視化技術(shù)，需要運(yùn)用相應(yīng)技術(shù)，從而進(jìn)行數(shù)據(jù)的圖形和圖像大的相互轉(zhuǎn)換，可以幫助從事的工作人員對未來趨勢進(jìn)行更好的把控[2]。

（二）動態(tài)感知的任務(wù)和特點(diǎn)

動態(tài)感知的任務(wù)主要是包含事件的感知以及以下兩個任務(wù)和風(fēng)險的感知。就風(fēng)險感知層面而言，在海量的資產(chǎn)分析中，評估資產(chǎn)的價值量以及有多少可能性會被攻擊，在攻擊后所具有的相應(yīng)防范能力進(jìn)行估計，為可能會造成的損失進(jìn)行預(yù)測評估。視線感知是包括對異常行為和所有事件的監(jiān)控，以至于能達(dá)到安全事件收集準(zhǔn)確高效的目的。但是異常風(fēng)險感知需要對所有面臨的風(fēng)險和可能的狀況進(jìn)行估測，然后有針對性的制定恰當(dāng)?shù)慕鉀Q方案，以防止位置攻擊為主要目標(biāo)。

對于其特點(diǎn)的闡釋主要是進(jìn)行智能分析，然后挖掘網(wǎng)絡(luò)安全所處的環(huán)境，監(jiān)測發(fā)動攻擊的源頭，然后進(jìn)行追蹤分析。發(fā)動攻擊的情況發(fā)生后，倘若能夠主動掌握整個事件的發(fā)展方向和脈絡(luò)，擬好相應(yīng)規(guī)范和保護(hù)措施，那么就能及時規(guī)避風(fēng)險降低甚至避免各種經(jīng)濟(jì)損失。

（三）大數(shù)據(jù)分析安全感知平臺構(gòu)建

首先，硬件基礎(chǔ)層是核心部分，虛擬化技術(shù)可以構(gòu)建一種身臨其境的真實體驗感，使人不再受限物理上的界限，將一臺服務(wù)器變成幾十上百臺這種相互隔離的虛擬服務(wù)器，讓內(nèi)存、CPU、磁盤等硬件變成資源池?？梢允瓜到y(tǒng)管理簡化、資源的利用率提高、服務(wù)器整合實現(xiàn)等，這些都是服務(wù)器虛擬化的表現(xiàn)。其次，是安全日志采集層，采集有效的日志并進(jìn)行記錄，符合條件的信息進(jìn)行規(guī)范化處理，之后進(jìn)行算法分析和計算，再將其運(yùn)用到大數(shù)據(jù)的分析之中。再次是大數(shù)據(jù)的存儲層，把網(wǎng)絡(luò)上的海量數(shù)據(jù)進(jìn)行篩選然后分布存儲，增強(qiáng)其各方面的存儲能力，可以為之后的數(shù)據(jù)整理分析提供可靠的支撐。最后是安全態(tài)勢分析層，運(yùn)用相應(yīng)的分析技術(shù)來快速檢索海量數(shù)據(jù)以及相關(guān)聯(lián)的信息，然后進(jìn)行篩選整理，分析其所處的安全狀況并加以評出風(fēng)險等級，方便之后的信息管理[3]。

結(jié)論：綜上所述，在網(wǎng)絡(luò)安全領(lǐng)域全面開展并運(yùn)用動態(tài)網(wǎng)絡(luò)安全技術(shù)，是為了緩解網(wǎng)絡(luò)安全日益嚴(yán)重化和復(fù)雜化的問題。該技術(shù)的運(yùn)作，與數(shù)據(jù)支持及相關(guān)技術(shù)的充分利用是離不開的。對數(shù)據(jù)的整理搜集、分門別類歸置以及統(tǒng)計篩選有效信息，都為網(wǎng)絡(luò)安全動態(tài)感知提供支撐，為日后數(shù)據(jù)研究分析能更加精準(zhǔn)，趨勢的動態(tài)評估可以更好的實現(xiàn)。如果想要該技術(shù)更廣泛的使用和認(rèn)可，還需做出更多探索和努力。

參考文獻(xiàn)：

[1]張堯.基于網(wǎng)絡(luò)運(yùn)維的大數(shù)據(jù)分析安全感知策略研究[J].數(shù)字通信世界，2020（03）：125-126.

[2]張新淼.基于網(wǎng)絡(luò)運(yùn)維的大數(shù)據(jù)分析安全感知策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（09）：67+35.

[3]許暖.基于大數(shù)據(jù)背景下分析網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵實現(xiàn)技術(shù)探索[J].數(shù)字化用戶，2019，025（001）：179-180.