張寶飛

一、網(wǎng)絡安全分析和大數(shù)據(jù)技術概述

計算機網(wǎng)絡已經(jīng)成為當前和今后支撐并引領經(jīng)濟社會發(fā)展的一股重要力量，它使社會生產(chǎn)和生活方式發(fā)生了巨大變革，激發(fā)了市場活力，為我國的發(fā)展和進步注入了新動能。但與此同時，我們也要清醒地認識到，隨著計算機網(wǎng)絡尤其是移動互聯(lián)網(wǎng)的普及應用，網(wǎng)絡世界中每天都會誕生海量的信息數(shù)據(jù)，這些數(shù)據(jù)的形態(tài)各異、來源復雜，甚至摻雜了不少危及個人隱私和國家安全的信息，再加上病毒、木馬以及黑客的肆虐影響，網(wǎng)絡安全問題日益嚴重，對網(wǎng)絡安全分析提出了更高的要求。

大數(shù)據(jù)技術作為一種新興的信息處理手段，它在處理大規(guī)模、多元化、結構形態(tài)各異的信息時表現(xiàn)出了得天獨厚的優(yōu)勢，而且大數(shù)據(jù)技術目前還處于不斷發(fā)展完善的階段中，技術能力還在不斷地升級改進，這些都決定了將其應用到網(wǎng)絡安全分析領域正當其時。

二、大數(shù)據(jù)技術在網(wǎng)絡安全分析領域的應用優(yōu)勢

（一）分析資料更加詳實

網(wǎng)絡安全問題涉及的因素眾多，牽扯到與網(wǎng)絡運行相關的所有流程節(jié)點，要求對網(wǎng)絡世界中產(chǎn)生的各種海量數(shù)據(jù)進行廣泛采集和分析。但傳統(tǒng)的數(shù)據(jù)分析手段無法達成這一要求，一般只是圍繞某一具體問題進行資料的收集和分析，這就制約了網(wǎng)絡安全分析結果的可靠性，使工作價值無法得到保障。

大數(shù)據(jù)技術的誕生就為了解決海量、非結構化數(shù)據(jù)的處理問題，利用該技術可以對網(wǎng)絡世界中產(chǎn)生的海量信息進行廣泛采集和處理，這顯然極大地豐富了分析資料，據(jù)此得到的結論也更加可靠。

（二）提升分析效率

與大數(shù)據(jù)技術相比，傳統(tǒng)的數(shù)據(jù)處理手段在處理大規(guī)模且結構形態(tài)各異的復雜信息時，數(shù)據(jù)的分析處理效率偏低。而網(wǎng)絡安全分析立足于互聯(lián)網(wǎng)領域，網(wǎng)絡世界中每天都會產(chǎn)生與安全相關的海量信息，這就造成了過去的數(shù)據(jù)處理技術呈現(xiàn)出了“小馬拉大車”的不利局面，為工作效率的提升造成了阻礙?；诖?，有必要強化大數(shù)據(jù)技術在網(wǎng)絡安全分析領域的應用，尤其要強化基于大數(shù)據(jù)技術的信息分析平臺的構建和使用，通過對采集到的海量異構數(shù)據(jù)進行分布式存儲和并行計算，全面提升數(shù)據(jù)的處理效率。

（三）降低數(shù)據(jù)處理成本

信息數(shù)據(jù)的采集可以通過對現(xiàn)有網(wǎng)絡設施的小幅改動實現(xiàn)，而信息數(shù)據(jù)的處理則可以交由云端進行。因為數(shù)據(jù)處理任務主要放在云端，本地不需要部署海量的計算分析資源，從而有效降低了運行成本。

（四）提升分析結果的可靠度

相對于傳統(tǒng)數(shù)據(jù)處理手段大多圍繞一個具體問題進行有限量數(shù)據(jù)的采集和分析，大數(shù)據(jù)技術在數(shù)據(jù)吞吐方面具有海量的特性，它能夠廣泛收集與當前網(wǎng)絡安全相關的各種信息，并能從不同層級、不同角度對采集的海量異構數(shù)據(jù)進行耦合分析，這樣得到的結論顯然比從單一角度、圍繞一個具體問題得到的結果更加準確可靠。

三、應用流程分析

在網(wǎng)絡安全分析中，利用大數(shù)據(jù)技術可以對網(wǎng)絡運行的日志數(shù)據(jù)和流量數(shù)據(jù)進行整合，并通過綜合采用分布式存儲和集中存儲技術，實現(xiàn)對海量信息數(shù)據(jù)的聚集管理；在此基礎上，進一步應用并行計算、數(shù)據(jù)挖掘等技術手段，就可以及時觀測到涉及安全相關的敏感信息；接著，通過多種層級、不同角度的數(shù)據(jù)耦合計算，對與敏感信息關聯(lián)的安全問題進行可靠性驗證，為安全問題的及時發(fā)現(xiàn)與處理提供依據(jù)。顯而易見，通過應用大數(shù)據(jù)技術，網(wǎng)絡安全問題的主動識別和處理能力將得到有效加強。具體應用流程如下。

（一）數(shù)據(jù)的采集和存儲

一方面，通過應用分布式采集和存儲技術，加強對網(wǎng)絡運行日志數(shù)據(jù)的收集工作；另一方面，可以對當前的網(wǎng)絡設施進行改造，對涉及安全運行的一些關鍵網(wǎng)絡節(jié)點，應重點提升監(jiān)測能力。數(shù)據(jù)的采集是大數(shù)據(jù)產(chǎn)生的前提和基礎，其覆蓋是否全面、信息量是否足夠豐富，將對最終的網(wǎng)絡安全分析結果產(chǎn)生重要影響。

（二）采集信息的預加工

利用大數(shù)據(jù)技術收集到的信息具有體量規(guī)模龐大、結構形態(tài)各異、數(shù)據(jù)來源復雜的特點，如果不加以甄別處理，就會使數(shù)據(jù)分析工作無從下手，增加了數(shù)據(jù)處理的盲目性。此時就需要依據(jù)數(shù)據(jù)的結構形式，構建分門別類的信息預加工庫。針對特定數(shù)據(jù)，調(diào)用相應的數(shù)據(jù)預加工策略，從而使采集到的數(shù)據(jù)由體量龐大、混亂無序、價值隱性向規(guī)模較小、有序、價值顯性的方向轉(zhuǎn)變。

（三）模型分析

數(shù)據(jù)經(jīng)過預加工后，會被大數(shù)據(jù)處理模型識別，從而進入數(shù)據(jù)處理階段?；诖髷?shù)據(jù)技術的網(wǎng)絡安全分析模型是建立在分布式計算、并行計算以及信息融合的基礎之上。分布式計算可以實現(xiàn)對采集數(shù)據(jù)的就近分析處理，與分布式存儲聯(lián)合應用可有效提升數(shù)據(jù)處理效率，并降低大數(shù)據(jù)處理中心的業(yè)務壓力；并行計算可以保證信息數(shù)據(jù)的聚集分類與計算處理同步進行，提升數(shù)據(jù)處理的實時性；信息融合技術主要瞄準采集數(shù)據(jù)結構形態(tài)各異的特點，通過信息融合與耦合計算，可以挖掘到信息數(shù)據(jù)的本質(zhì)特征，為挖掘信息安全的本質(zhì)特征并加以驗證提供了有效手段。