◆桑葳

數(shù)據(jù)安全與云計(jì)算

基于大數(shù)據(jù)與網(wǎng)絡(luò)態(tài)勢感知的網(wǎng)站安全管理研究

◆桑葳

（中華全國總工會信息中心 北京 100000）

信息科技不斷發(fā)展，信息安全的重要性愈發(fā)凸顯。網(wǎng)站安全保障高度依賴安全技術(shù)，安全防御新技術(shù)的應(yīng)用，能夠有效提高網(wǎng)絡(luò)信息安全保障及管理水平。在網(wǎng)站安全管理中，大數(shù)據(jù)技術(shù)和網(wǎng)絡(luò)態(tài)勢感知技術(shù)的應(yīng)用，可以提高網(wǎng)站安全管理的預(yù)測性，變被動(dòng)防御為主動(dòng)防御，從而推動(dòng)網(wǎng)站安全管理水平的提升。本文在闡述大數(shù)據(jù)、網(wǎng)絡(luò)態(tài)勢感知以及網(wǎng)站安全等內(nèi)容的基礎(chǔ)上，對基于大數(shù)據(jù)的網(wǎng)絡(luò)態(tài)勢感知網(wǎng)站安全管理優(yōu)勢以及相關(guān)模型建構(gòu)進(jìn)行了探討，該研究領(lǐng)域作為發(fā)展中的信息安全領(lǐng)域，具有較高的研究價(jià)值，對信息安全的未來發(fā)展有著極為重要的意義。

網(wǎng)站安全；態(tài)勢感知；大數(shù)據(jù)；信息安全

信息時(shí)代已然來臨，信息技術(shù)產(chǎn)品和服務(wù)基本上滲透到了人類社會生產(chǎn)生活的各個(gè)層面，信息安全問題也成為信息社會面臨的最為重要的問題。網(wǎng)站安全關(guān)系到互聯(lián)網(wǎng)企業(yè)以及用戶數(shù)據(jù)信息安全，因此在網(wǎng)站安全管理中需要不斷利用新技術(shù)來提高安全管理水平和能力，大數(shù)據(jù)技術(shù)和網(wǎng)絡(luò)態(tài)勢感知技術(shù)的應(yīng)用，可以提高網(wǎng)站安全管理的技術(shù)水平，強(qiáng)化網(wǎng)站安全保障。

1 研究背景與相關(guān)概念內(nèi)涵

（1）研究背景

信息技術(shù)已經(jīng)對人類工作、學(xué)習(xí)和生活產(chǎn)生了深刻且持續(xù)的影響，人類社會的未來發(fā)展將會更加依賴于信息技術(shù)的進(jìn)步。然而，伴隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)信息安全問題也將變得愈加突出，一旦某些網(wǎng)絡(luò)信息安全問題沒有得到及時(shí)的處理應(yīng)對，其損失是難以估量的。例如，某大型連鎖酒店后臺被攻破，大量客戶的隱私信息被泄露，包括身份證件信息、支付信息等敏感數(shù)據(jù)，對客戶的信息安全帶來了巨大隱患。因此，信息安全已經(jīng)成為信息技術(shù)發(fā)展的重要領(lǐng)域之一，信息安全是信息社會構(gòu)建與發(fā)展的根基。信息技術(shù)是一個(gè)持續(xù)發(fā)展、不斷創(chuàng)新的領(lǐng)域，網(wǎng)絡(luò)安全也處于發(fā)展與變化過程當(dāng)中。在網(wǎng)絡(luò)信息安全領(lǐng)域，新技術(shù)的應(yīng)用能夠提升網(wǎng)絡(luò)安全管理水平。尤其隨著（移動(dòng)）互聯(lián)網(wǎng)的高度普及，以及大數(shù)據(jù)技術(shù)與云計(jì)算技術(shù)的發(fā)展，網(wǎng)站安全管理更加倚重大數(shù)據(jù)技術(shù)，并且變得更加智能化。在大數(shù)據(jù)技術(shù)背景下，網(wǎng)站安全管理可以合理應(yīng)用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，將安全管理監(jiān)控從短時(shí)段、靜態(tài)的、針對性監(jiān)控轉(zhuǎn)變?yōu)殚L周期的、動(dòng)態(tài)的、整體安全監(jiān)控，基于主動(dòng)防御意識來進(jìn)行安全監(jiān)測，保護(hù)網(wǎng)站安全，不再完全依賴傳統(tǒng)互聯(lián)網(wǎng)安全技術(shù)方案提供企業(yè)的技術(shù)支持和警告反饋。在網(wǎng)站安全管理中，基于大數(shù)據(jù)技術(shù)和網(wǎng)絡(luò)態(tài)勢感知技術(shù)建立安全管理模型，能夠提高監(jiān)測預(yù)警能力，從而提高網(wǎng)站安全保障系數(shù)。

（2）相關(guān)概念內(nèi)涵

大數(shù)據(jù)，英文全稱為Big Data，是指傳統(tǒng)統(tǒng)計(jì)方法下無法處理的海量的數(shù)據(jù)，通過現(xiàn)代計(jì)算機(jī)技術(shù)進(jìn)行建模處理，從海量數(shù)據(jù)中找出一些關(guān)聯(lián)性規(guī)律，并應(yīng)用該規(guī)律處理一些現(xiàn)實(shí)問題。大數(shù)據(jù)技術(shù)應(yīng)用范圍很廣，在信息安全、商業(yè)金融等領(lǐng)域都有應(yīng)用。在信息安全中，大數(shù)據(jù)技術(shù)與網(wǎng)絡(luò)態(tài)勢感知結(jié)合比較緊密。

網(wǎng)絡(luò)態(tài)勢感知，英文簡寫為CSA，全稱為Cyberspace Situation Awareness，它是互聯(lián)網(wǎng)迅速發(fā)展背景下興起的一個(gè)安全管理概念，具體是指在互聯(lián)網(wǎng)環(huán)境中，通過對可能會引起網(wǎng)絡(luò)態(tài)勢產(chǎn)生變化的安全要素進(jìn)行大規(guī)模的搜集、解讀和分析，然后基于順延趨勢對網(wǎng)絡(luò)安全的可能性發(fā)展進(jìn)行預(yù)測，并作出應(yīng)對性決策。

網(wǎng)站安全，是指網(wǎng)站通過一系列技術(shù)手段防御外來者對網(wǎng)站的入侵，保護(hù)網(wǎng)站的正常運(yùn)行，并且保證網(wǎng)站的數(shù)據(jù)信息不被惡意破壞和泄露。大部分網(wǎng)站在進(jìn)行開發(fā)設(shè)計(jì)的時(shí)候，主要考慮功能與體驗(yàn)，而對安全沒有足夠的考慮，使得網(wǎng)站安全缺乏足夠的保障。

2 基于大數(shù)據(jù)的網(wǎng)絡(luò)態(tài)勢感知的網(wǎng)站安全管理優(yōu)勢

互聯(lián)網(wǎng)安全背景下，網(wǎng)站安全威脅很多，主要有服務(wù)器安全、應(yīng)用程序安全和數(shù)據(jù)庫安全等，常見的安全威脅有釣魚攻擊、木馬攻擊、分布式拒絕服務(wù)攻擊等。傳統(tǒng)安全管理模式下應(yīng)對這些安全攻擊，主要是基于已有安全攻擊類別進(jìn)行識別與防御，遭遇攻擊之后做出應(yīng)對，屬于被動(dòng)型防御?；诖髷?shù)據(jù)和網(wǎng)絡(luò)態(tài)勢感知技術(shù)建立網(wǎng)站安全管理監(jiān)測、預(yù)測和應(yīng)對模型，不僅能夠提高網(wǎng)站安全監(jiān)測、分析與預(yù)測的廣度，而且還可能預(yù)測一些未知的安全威脅，從而讓網(wǎng)站安全管理水平得到提升與發(fā)展。

（1）安全分析與預(yù)測范圍更廣

基于大數(shù)據(jù)技術(shù)應(yīng)用，網(wǎng)站安全管理會收集海量的數(shù)據(jù)進(jìn)行分析，所收集數(shù)據(jù)包括結(jié)構(gòu)化數(shù)據(jù)，也包括非結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)的種類、數(shù)量都極度豐富，與傳統(tǒng)的網(wǎng)站安全分析相比，大數(shù)據(jù)技術(shù)對于安全信息數(shù)據(jù)的處理能力更強(qiáng)，因此安全分析與預(yù)測的范圍更廣。在信息技術(shù)高度發(fā)展的當(dāng)代社會，網(wǎng)站安全威脅的來源很多，類型也很多，并且處于持續(xù)的創(chuàng)新變化當(dāng)中，例如Web服務(wù)器漏洞攻擊、網(wǎng)頁漏洞攻擊、DNS攻擊等，傳統(tǒng)網(wǎng)站安全管理技術(shù)是基于攻擊發(fā)生之后再采取補(bǔ)救措施。大數(shù)據(jù)技術(shù)與網(wǎng)絡(luò)態(tài)勢感知技術(shù)兩者融合應(yīng)用，可以橫向搜集整個(gè)行業(yè)全球范圍內(nèi)的安全數(shù)據(jù)，縱向搜集較長時(shí)間段的安全歷史數(shù)據(jù)等，然后對其進(jìn)行綜合分析，并作出合理分析與預(yù)測，提前進(jìn)行主動(dòng)防御。在網(wǎng)站安全攻擊中，有部分安全攻擊是具有規(guī)律性的，或者是定期爆發(fā)，或者是通過試探持續(xù)加大攻擊力度，或者是將攻擊隱藏于一些零散的數(shù)據(jù)當(dāng)中，大數(shù)據(jù)和網(wǎng)絡(luò)態(tài)勢感知都可以對其進(jìn)行有效分析與預(yù)測，積極做出安全防御。

（2）可能預(yù)測未知安全威脅

從目前網(wǎng)站安全管理來看，基本上都是基于已知類型的網(wǎng)絡(luò)安全攻擊和威脅設(shè)定的安全防范與管理，無法有效防御未知類型的新安全威脅。由于網(wǎng)站設(shè)計(jì)本身方面對于安全防御存在一定缺陷，意味著網(wǎng)站對于新產(chǎn)生的安全威脅缺乏足夠的防御手段與措施，當(dāng)攻擊手段發(fā)生變化時(shí)，傳統(tǒng)的網(wǎng)站安全防御系統(tǒng)就可能不能及時(shí)識別，需要等到攻擊發(fā)生并被識別之后，才能尋找應(yīng)對措施。傳統(tǒng)安全管理對于安全問題的管理，都是基于已知的安全威脅，或者事實(shí)發(fā)生并產(chǎn)生影響的安全威脅。在大數(shù)據(jù)技術(shù)背景下，基于網(wǎng)絡(luò)態(tài)勢感知技術(shù)應(yīng)用，甚至可以預(yù)測一些未知的網(wǎng)絡(luò)安全威脅，從而提前做好預(yù)防，這是與傳統(tǒng)網(wǎng)站安全管理模式不一樣的地方。這種特性與大數(shù)據(jù)分析技術(shù)特點(diǎn)和網(wǎng)絡(luò)態(tài)勢感知特點(diǎn)有一定關(guān)系，大數(shù)據(jù)技術(shù)側(cè)重關(guān)聯(lián)分析，網(wǎng)絡(luò)態(tài)勢感知具有較強(qiáng)的預(yù)測能力，兩者結(jié)合在某種程度上能夠預(yù)測未來可能發(fā)生的某種類型的安全威脅，為主動(dòng)防御提供思路。

（3）安全監(jiān)測與應(yīng)對能力更強(qiáng)

在傳統(tǒng)網(wǎng)站安全防御方式中，主要有加密防御、專業(yè)安全輔助技術(shù)、防火墻防御，以及網(wǎng)站安全監(jiān)控等措施，這些防御方式主要是應(yīng)對已經(jīng)發(fā)生的安全攻擊。網(wǎng)站安全感知系統(tǒng)采用了安全態(tài)勢感知技術(shù)，包括機(jī)器人動(dòng)態(tài)防御和基于一般網(wǎng)絡(luò)安全的系統(tǒng)防御，其中一般網(wǎng)絡(luò)安全的系統(tǒng)防御主要基于已知安全攻擊的特征來進(jìn)行防御，而機(jī)器人動(dòng)態(tài)防御則對網(wǎng)站的服務(wù)器代碼進(jìn)行持續(xù)變化，讓攻擊者無法識別，從而提高網(wǎng)站安全保障系數(shù)。針對網(wǎng)站的安全攻擊之所以能夠造成巨大的損失，很大一部分原因在于其攻擊的未知性和迅速性，當(dāng)一個(gè)網(wǎng)站遭遇安全攻擊的時(shí)候，最初是沒有預(yù)防的，當(dāng)網(wǎng)站安全防護(hù)體系被攻擊破壞，網(wǎng)站沒有及時(shí)應(yīng)對的過程中，會造成較為顯著的破壞或者損失。若是基于大數(shù)據(jù)和網(wǎng)絡(luò)態(tài)勢感知建立安全管理模型的話，對于安全威脅的預(yù)測性會強(qiáng)很多，結(jié)合動(dòng)態(tài)防御技術(shù)，對于大部分可能性的安全威脅和安全攻擊，安全管理模型都能夠做出對應(yīng)的預(yù)測和警告，提示網(wǎng)站動(dòng)態(tài)防御系統(tǒng)主動(dòng)或自動(dòng)做好安全管理預(yù)防措施。當(dāng)相關(guān)安全攻擊發(fā)生之后，也可以第一時(shí)間進(jìn)行處理，從而降低損失，更好地保護(hù)網(wǎng)站安全。從這個(gè)角度來講，基于大數(shù)據(jù)和網(wǎng)絡(luò)態(tài)勢感知模型的網(wǎng)絡(luò)安全管理體系，其安全監(jiān)測能力與安全攻擊應(yīng)對和處理能力更強(qiáng)。

3 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知網(wǎng)站安全管理模型建構(gòu)

在IT環(huán)境變得更加復(fù)雜的時(shí)代，網(wǎng)站安全遭遇的威脅也在發(fā)生深刻變化，移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、虛擬化、網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈等，都給網(wǎng)站安全管理帶來了各種變化因素，提高了安全管理要求。在大數(shù)據(jù)技術(shù)和網(wǎng)絡(luò)態(tài)勢感知技術(shù)背景下，建構(gòu)網(wǎng)站安全管理模型，將傳統(tǒng)被動(dòng)安全防御轉(zhuǎn)變?yōu)橹鲃?dòng)安全防御，對于網(wǎng)絡(luò)安全管理水平的提高是有效的，并且能夠更好地適應(yīng)信息技術(shù)時(shí)代互聯(lián)網(wǎng)安全攻擊變化更快的特征。

基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知網(wǎng)站安全管理模型建構(gòu)采用的技術(shù)是大數(shù)據(jù)和網(wǎng)絡(luò)態(tài)勢感知技術(shù)，其安全管理模式主要特征是“預(yù)測+主動(dòng)防御”，目標(biāo)是保護(hù)網(wǎng)站安全。具體建構(gòu)思路如下：大數(shù)據(jù)技術(shù)應(yīng)用（收集、整理和分析數(shù)據(jù)）→網(wǎng)絡(luò)感知態(tài)勢要素獲取與整理（基于大數(shù)據(jù)分析結(jié)果）→態(tài)勢理解（對所收集的有關(guān)網(wǎng)絡(luò)安全的態(tài)勢要素進(jìn)行分析和解讀）→態(tài)勢預(yù)測（基于大數(shù)據(jù)和態(tài)勢感知模型對可能出現(xiàn)的安全威脅和攻擊進(jìn)行預(yù)測）→態(tài)勢評估（評估發(fā)生的可能性，以及風(fēng)險(xiǎn)，包括可能的應(yīng)對措施）→主動(dòng)安全防御措施提出及安全防御體系建構(gòu)→實(shí)現(xiàn)網(wǎng)站安全保護(hù)目標(biāo)。

總之，傳統(tǒng)網(wǎng)站安全管理具有“監(jiān)測+被動(dòng)防御”技術(shù)特征，并且網(wǎng)站本身在防御能力方面比較弱，需要借助輔助安全技術(shù)來進(jìn)行安全防御，且大部分時(shí)候?qū)儆诎踩舭l(fā)生之后的事后防御方式；大數(shù)據(jù)網(wǎng)絡(luò)態(tài)勢感知安全管理模型具有“預(yù)測+主動(dòng)防御”技術(shù)特征，能夠基于已有數(shù)據(jù)，對可能遭遇的安全攻擊做出預(yù)測，并通過一般網(wǎng)站安全防御技術(shù)或者機(jī)器人動(dòng)態(tài)防御技術(shù)提前做出預(yù)測與應(yīng)對，主動(dòng)防御攻擊。傳統(tǒng)網(wǎng)站安全防御技術(shù)的作用是在安全問題發(fā)生之后，采取對應(yīng)的應(yīng)對措施，容易在防護(hù)不及時(shí)的情況下造成財(cái)產(chǎn)損失；態(tài)勢感知網(wǎng)站安全防御技術(shù)因?yàn)榫哂蓄A(yù)測性，所以提前做了主動(dòng)預(yù)防，因此能將可能發(fā)生的網(wǎng)絡(luò)攻擊提前化解，從而更好地保護(hù)網(wǎng)站安全，降低安全損失。

[1]王以伍，張牧.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J].電腦知識與技術(shù)，2020，16（15）：43-46.

[2]牛霞紅.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究[J].信息技術(shù)與信息化，2020（03）：101-103.

[3]戴祥華，張?zhí)K炯.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)的研究[J].中國信息化，2020（04）：81-82.