基于大数据下的网络安全与情报分析

摘 要：随着现代信息社会的高度发展，网络环境日趋复杂，网络攻击的频繁性、隐蔽性、持续性、趋利性等高级网络威胁增多。一直以来传统的网络安全与情报分析技术又受到数据来源单一、处理能力有限、部署依赖于物理环境等因素的限制。作者通过研究大数据背景下网络安全与情报分析面临的困境，分析了基于大数据技术的网络安全与情报分析，提出了一些关于网络安全与情报分析研究的建议。

关键词：大数据；网络安全；网络情报；情报分析

中图分类号：TP393.08文献标识码：A文章编号：2096-4706（2018）07-0157-03

Abstract：With the high development of the modern information society，the network environment is becoming more and more complex，the frequency of network attack，the threat of concealment，persistence and profit，and other advanced network threats are increasing. The traditional network security and information analysis technology have been limited by the factors such as single data source，limited processing capacity，and the dependence on the physical environment. By studying the difficulties faced by the network security and information analysis under the big data background，the author analyzes the research on the network security and information analysis by big data technology. Some suggestions on network security and intelligence analysis are put forward.

Keywords：big data；network security；network intelligence；intelligence analysis

0 引 言

在信息社会高度发达的今天，互联网已经全面地渗透到人们生活的各行各业、方方面面。互联网让整个世界都成为一个密不可分的整体，信息共享，资源共享，但也正是因为这些开放兼容的特性，互联网也包含着种种不确定的危险因素，成了网络攻击和信息窃取的高发地，尤其是金融、交通、航空、通信还有能源等许多领域，网络安全面临着越来越多的隐患，也让国家和公民的信息安全与财产都受到了巨大的威胁。

1 传统网络安全与情报分析的现状与困境

1.1 传统网络安全与情报分析的现状

现如今，网络技术越来越发达，网络上的活动范围和方式都更加灵活和多样化，网络情报的获取也需要更多的关联信息，但网络攻击和信息窃取的隐患层出不穷，这就对我们的网络安全技术提出了挑战，要求在网络技术安全方面实现进一步的升级。

1.2 网络安全分析的困境

在日趋复杂的IT架构和新应用不断开发的过程中，网络和应用的边界随着数据和业务的更加集中化、规范化也更加模糊不清，仅仅通过单边界、控制点的传统网络安全设备在掌控整个网络或者系统的安全状态上往往有很大的局限性和一定的延缓性，所以网络和应用要具备更高的机动性，随时根据业务和资源的变化来调整。

在传统的安全分析中，往往会借助于保存缓存各种网络流量以及日志，但是在这个过程中，不管是保存还是分析都需要不菲的成本，而且还受到时间、空间等各种因素的限制，很多日志和数据需要定时的清理和删除，而要实现对网络或者云计算系统的全面安全分析，就需要一个完完整整的全局数据，包括用户行为信息、身份信息与访问信息，日志，漏洞信息，网络数据，配置信息等等，不仅仅是这些，还需要来自互联网的外部情报信息等数据。而伴随着网速的不断升级和信息化的不断发展，这些数据的内涵越来越大，产生的速度自然也越来越快，这些也无疑加大了处理的成本，传统的网络安全监测方法是无法有效处理类型涵盖过于庞大的大数据的。另一方面，网络的不断升级让网络攻击的手段更加复杂化多样化，加上各种特种木马与蠕虫、高级持续威胁（Advanced Persistent Threat，简称APT）、僵尸网络等，网络攻击的目标性和趋利性增强，而且具备长期性和隐蔽性、复合性，传统网络攻击检测技术始终受到数据收集和存储的限制，不能持续地对具有长期性、隐蔽性的新型网络攻击进行检测。

1.3 情报分析的困境

传统的情报分析工具往往数据源都比较单一，但是在当前的大环境下，大数据已经成为必然趋势，移动互联信息技术和云计算技术的快速发展都让情报信息的信息源不可能再固定单一，再加上缺乏有效的大规模数据互相关联，根本无法及时挖掘到有效情报。所以想要在当前的环境下更好地进行情报分析，必须建立结合最新的处理技术的高效智能信息技术采集处理方法。在既能够对内部和外部采集的大量非结构化数据进行快速处理和存储的同时，也对复杂多源数据进行有效的处理和跟踪分类。

2 大数据技术在网络安全与情报分析中的应用

2.1 大数据技术的内涵

其实不少人对大数据都做出了定义，通常来说，大数据（big data）是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

2.2 大数据技术在在网络安全与情报分析中的应用

在网络安全分析中，会涉及到海量的日志和流量等相关数据，想要系统高效地处理这些数据，最好的办法就是借助大数据技术对其进行集中，将高效的采集技术进行有效的运用，来缩短分析时间，提升安全分析和处理效果。而且在分析过程中可以根据信息和数据的关联性，对安全漏洞进行有效预测和修护，实现主动防御，提高网络信息安全攻击监测、风险感知、情报分析能力。

2.2.1 APT攻击检测

在当前的信息化的程度下，各种高隐蔽、强渗透和高针对的APT攻击层出不穷，前有火焰病毒盗取大量机密信息，后有乌克兰电力系统被入侵，这些攻击渠道和路径无法在短时间内有效确定，具有高度的隐蔽性，所以如果不借助大数据技术很难有效抵御这种攻击，也很难实现海量网络安全数据的深度智能关联分析。一些研究数据表明，利用大数据确实能够对一些APT攻击进行有效的探查和检测。

2.2.2 网络异常检测

网络异常检测主要是通过探寻表征目标对象属性、状态和变化的特征，来构建起检测模型。大数据技术能够更及时更海量地应用到网络用户行为分析中，所以越来越多的大数据技术被应用到网络异常检测中。而且借助大数据技术的基于行为特征和机器方法摆脱了建模过程中对专家专业知识的依赖，实现了网络异常分析建模和异常检测过程的自动化。

2.2.3 网络安全态势感知

网络安全如果一直依靠事后感知，“六十学鼓手”，难免就会出现“为时已晚”，所以对于网络中的安全状态，我们要更加注重增强事前的安全态势预测，实现自动评估，有效地降低风险，增强网络安全的防御能力和保护能力。在网络安全领域，不少企业都已经提出构建大数据态势感知方案或者构建安全大数据态势感知预警平台，有了这个预警平台，就可以通过海量的大数据来对相关安全要素及时有效地加以处理，同时在处理这些要素的基础上，通过对获取的这些要素信息的理解、评估与可视来对整个网络安全的发展趋势进行一定的预测。目前国内的阿里、360等公司都在这些方面做了不少的研究和应用。

2.2.4 网络威胁情报分析

威胁情报主要是站在攻击者的这一视角，利用大数据、分布式系统或者一些其他的收集方式来尽可能获取的威胁、漏洞、行为以及特征等相关知识信息以提供可行建议，它是立足于传统防御方式上的一种综合性补充，让用户对网络安全威胁根据可见性来进行更深入的了解和更有效的预防应对，从而有效地减少用户已经发生或者可能发生的损失。通常来说，一个完整的安全威胁分析体系主要由三个环节构成：情报源、融合与分析，以及事件响应。根据一些调查了解，目前国内外很多安全威胁情报产品主要服务于防范网络犯罪和清理病毒恶意软件以及反恐怖主义上面。

3 大数据背景下网络安全与情报分析的发展趋势研究

虽然目前大数据技术在网络安全与情报分析方面已经小有成就，不少技术也得到了广泛的应用，但是实际上，随着信息技术的不断升级更新换代，目前的网络安全形势也不容乐观，在面临巨大机遇的同时也带来了巨大挑战：在攻击检测方面，缺乏高级的网络威胁与攻击的有效检测方法；在复杂大规模的安全态势感知上，无法做到全面透彻；而在威胁情报信息的收集和处理上也存在效率和质量的问题。所以在接下来网络安全发展中，需要尽可能关注下面这些研究内容。

3.1 关于高级网络威胁发现方法的研究

高级的僵尸网络、APT攻击以及新型木马等往往具备高度隐蔽性和多阶段的持续性，所以越早发现高级网络威胁，就越能有效地减少损失，这也就要求我们更有效地进行对高级网络威胁的早期检测方法研究，目前的两种检测方法在准确性上来说始终有限。

针对隐蔽性和持续性方面的攻击，则需要设计出在海量网络数据信息流中能够有效区分正常通信行为和具有隐蔽性持续性的异常通信行为的方法。同时也需要在检测模型构建阶段综合多维度的信息，解决多源异构数据关联，获得足够分析和训练的样本。

3.2 复杂网络攻击预测研究

对于网络管理者来说，对网络攻击的预测主要是通过基于攻击图、攻击树等方式来进行的，但是考虑现在的大环境，这类方法始终过于静态，不能够很好地应对复杂的网络攻击预测，所以在大数据环境下，需要通过海量的信息获取与存储，来实现对复杂网络攻击的预测研究。

3.3 网络安全威胁态势感知技术研究

态势是指形势和状态，而“感知网络安全态势是最基本最基础的工作”，所以应使NSSA评估研究具有明确的目标与方向，建立合理完善的面向网络整体的NSSA指标体系，并且结合具体的问题和方法来对NSSA评估对象进行更准确高效的评估。

3.4 威胁情报相关问题研究

大数据时代，情报的获取和来源十分丰富，就需要我们既能全方位立体地进行信息搜集整合，也要能有效地感知威胁情报，在对海量情报进行融合和存储时，能够结合用户实际需求，从海量情报信息中快速提取有用的威胁情报，这都是我们需要解决和研究的问题。

4 结 论

总而言之，大数据技术在许多网络安全问题方面都发挥了不小的作用，但是，当前的网络安全形势仍不容乐观。围绕这些问题，需要研究高级网络威胁发现方法、复杂网络攻击预测方法、大规模网络安全态势感知技术、威胁情报数据采集与共享技术，并实现关键技术上的突破研究，才能更好地提升大数据对网络信息安全的支撑能力，增强网络信息安全风险能力。

参考文献：

[1] 王世伟.论大数据时代信息安全的新特点与新要求 [J].图书情报工作，2016，60（6）：5-14.

[2] 惠志斌.大数据时代国家信息安全风险及其对策研究 [J].复旦国际关系评论，2015（2）：74-82.

[3] 赵大伟，扈士波.大数据时代背景下的网络反恐情报工作 [J].网络安全技术与应用，2015（2）：82+85.

[4] 陈兴蜀，曾雪梅，王文贤，等.基于大数据的网络安全与情报分析 [J].工程科学与技术，2017，49（3）：1-12.

作者简介：杨博涵（1997-），男，汉族，江西九江人，本科在读。研究方向：软件工程。