数据安全检测评估方法分析

中国电信集团有限公司 董胜亚 黄磊 赵钧 严梦嘉

为了提高业务系统安全性，本文提出了数据安全检测评估方法。首先，收集业务相关信息，对业务行为数据进行分析，创建正常业务行为模型。然后，使用离群挖掘方法计算各行为离群度，对历史安全事件行为信息进行数据训练，使业务数据安全精准性得到提高。

0 引言

为了能够保证信息系统安全的运行，我国创建了电信企业信息系统，根据国家标准对电信企业信息系统进行规划和校验，创建完善电信企业信息管理系统。针对电信企业信息和数据来说，使用此系统能够避免数据和信息丢失，保证业务正常的开展。目前我国电信企业创建信息系统，在大数据技术发展背景下，通过大数据发展的信息、数据统计发现问题，并且对问题进行处理，保证信息安全。

电信企业传统系统在逐渐发展，信息化的建设为我国电信企业智能化模式带来一定需求。我国大部分电信企业在对数据进行统计和访问的时候，要确定数据访问权限，核实访问者身份，查看授权。电信企业发展和数据信息具有密切关系，所以要保护信息完整性，避免信息系统信息被删除、恶意篡改。在大数据背景下，电信企业要对数据进行备份和安全保护，保证电信企业数据运行安全性。针对电信企业内部比较重要业务来说，要加强安全性建设，从而保证信息网络安全性和可靠性。

随着企业逐步发展和市场不断壮大，电信企业的业务量与数据量也在不断增加。在业务经营活动中，会出现业务逻辑不合理、系统程序不足、代理商恶意欺诈等情况，导致出现业务安全问题。如果不及时发现，就会产生收入流失、用户投诉等问题。以此，本文就设计并提出一种基于数据业务流分析的数据安全检测评估方法，通过大量复杂的业务数据挖掘有价值数据，为业务安全保障提供可靠、稳定的平台支撑。

1 数据业务流定义及分析方法

利用数据帧抽象化概念对观测数据帧进行定义，从而构成数据业务流，实现一次连接与呼叫。业务流通过源地址、目标地址、业务流进行判定:

（1）业务流方向性。属于单方向（A→B），规定（B→A）数据帧为同个业务流。定义业务流为双方向（A→B；B→A），两个方向数据帧为同个业务流；（2）业务流端点粒度。包括端用户、网络IP地址、具体用户、主机名等；（3）协议特征。协议特征连接流明显。

利用统计学方法对网络业务流进行分类，要求实时性比较高，而且延迟敏感。Internet服务商对业务战略进行制定，网络管理员对业务类型掌握，精准分配业务流，从而提高服务质量，控制带宽。传统业务流分类是通过包头信号通信端口号实现的，此方法精准度比较低。在应用协议和业务不断增加过程中，利用通机械分类使业务流分类精准性得到提高。利用多重参数构成网络业务模型，通过数据包提取参数，主要包括包的起止时间、大小、包链长度、经过路由等。另外，还能够通过高斯混合模型等方法对业务模型的多重参数和业务流进行分类[1]。

2 终端业务数据传输和存储

大部分应用程序利用HTTP协议对网络数据进行发送与接收，业务数据通过两种不同的方式进行HTTP操作，所有方式都支持HTTPS协议和以流方式开展上传与下载、连接池、配置超时时间等功能。压缩与缓存机制能够降低网络使用率，提高数据传输速度。但是在线程安全与连接管理方面能够提高扩展稳定性，方便升级与扩展。在使用加密算法过程中保护关键信息，在代码关键点要和后台交互位置使用加密算法，能够保护用户信息和关键代码。

3 数据业务流分析检测信息收集

行为分析指的是系统进程、业务用户等在业务使用中行为活动中的规律归纳、监视、总结的各种操作行为，从而对业务、用户的行为开展分析、特征提取、异常判断和模式训练。

3.1 收集来源

分析业务系统行为，全面收集业务系统中信息，具体采集源包括:（1）主机系统:主要包括Linux、Windows等操作系统日志；（2）安全设备:主要包括IPS、IDS、WAF等设备告警日志；（3）监控系统:主要包括网络维护监控系统、web监控系统、IP资产管理等系统日志信息；（4）流量分析控制系统:主要包括DPI设备、流控设备等信息；（5）网络流量:主要包括业务系统网络出口、接入层网络、汇聚等信息[2]。

3.2 收集方法

3.2.1 日志采集

利用文本方式进行日志采集，具体为:（1）基于文本方式。是指利用FIP和Mail的方式收集日志，属于被动采集日志数据的方式；（2）基于SNMP TRAP方式。利用简单网络管理协议对网络进行管理，SNMP TRAP是将SNMP MIB作为基础对设备信息进行收集，只有满足TRAP触发条件才能够被定义。人们都是通过SNMP TRAP机制收集日志数据。SNMP TRAP机制为基于网络节点计算机代理进程，如果设备参数或者状态出现改变，要主动监听网络进程报告；（3）基于Syslog方式。此方式是基于TCP/IP系统所研发的，属于工业标准体系系统日志传输协议。Syslog传输协议为UDP，利用目的端口514在Syslog软件系统日志服务器中配置安全设备日志管理，对日志数据进行接收，在日志文件中写入[3]。

3.2.2 流量采集

利用SNMP和Net Flow的方法采集流量，具体步骤为:（1）基于SNMP方式。通过此技术读取网络设备中SNMP代理管理信息库对象的标识符信息，从而得出流量数据，此方法比较简单，并且应用效率比较高，设备支持广范围的应用。由于流量数据是通过链路层地址聚合，无法得到IP地址、端口号等网络层以上信息；（2）基于Net Flow方式。属于网络数据流统计技术，通过分析网络传输数据包的属性，区分网络传输不同的业务类型数据。对于区分数据流，Net Flow能够单独统计信息，使统计后信息根据一定格式发送到指定接收设备中；（3）基于流量全镜像。流量全镜像指的是拷贝交换机等网络设备端口流量，在另外端口复制[4]。

3.3 生成有向图

以业务流对安全事件信息进行筛选，从而创建有向图，在网络业务流有向图生成中，要重视业务流开始与结束的判定。由于具有明显的业务流协议特征，能够快速的实现业务判断。但是并不是全部网络协议都是面向协议，要对业务流结束判定进行重视。如果无法判断业务流是否结束，业务流数据在不断的增长，在存储空间消耗过程中会有较大的匹配计算处理压力。一般通过基于特征协议、时间戳等算法判定业务流结束。在对网络业务流开始和结束进行判定后，根据业务流信息对有向图进行判断。利用趋势线、节点实现业务流有向图存储模型的创建，记录业务信息，业务流向为趋势线[5]。

4 基于数据业务流安全检测分析方法

4.1 数据分析思路

我国企业信息安全系统在不断改变，大数据能够分析企业安全隐患，全面分析企业潜在风险和敌人，总结风险问题和类型。根据大数据掌握风险根本问题，从而提出针对性的对策解决风险，提高企业信息安全防御。大数据技术主要包括挖掘技术、大数据分析等，使用大数据是以基于技术的安全理念和分析，企业大数据为完善大数据安全分析方法。收集并且存储分散信息，根据分析结果实现分类统计和可视化展示，从而创建完整的架构，实现安全技术的互动。

4.2 数据分析结构

企业在开展数据安全分析过程中，对于不同业务的数据库架构也各有不同。关系数据库为企业信息安全处理的主要方式，用户通过数据的汇总和观察能够开展安全控制。文本数据库能够描述企业的图像，多媒体数据库能够综合梳理企业的视频、图像与音频，对存储内容进行检索。企业实现安全大数据分析与存储后确定目标，开展数据开量化分析与处理，将结果展现出来。所以，通过大数据安全分析与统计能够反映安全数据，从而对风险进行全面的评估[6]。

4.3 数据安全分析

在大数据不断发展的过程中，各种大数据技术都被提出并且逐渐的完善，常见技术包括序列分析法、分类计数法等，此分析技术对大数据安全效果良好。本文提出信息安全分析方法中，针对不同数据库要使用不同分析算法实现。在关系数据库中使用序列分析实现数据挖掘和分析，使用关联分析法实现文本数据库分析，和模式匹配方法结合实现数据挖掘。

4.4 数据安全检测的流程

结合频繁子图和业务流序列，设计安全事件检测模型。此模型通过检测与训练实现，在训练过程中创建子图特征模式集数据库，在检测过程中实现输入业务流序列特征匹配与特征模式集数据库更新。以图遍历两种方式使频繁子图挖掘算法划分为深度DFS、广度BFS两种优先搜索算法。BFS算法是将Apriori作为基础的频繁子结构挖掘算法，挖掘子图搜索起点为小规模图，以自底向上的方式生成顶点、附加边、路径的候选图，主要包括FSG、AGM等算法。DFS算法是基于模式增长的频繁子结构挖掘框架，对于每个图G实现递归扩展，直到所有嵌入G频繁子图，比如CloseGraph、FFSM等算法[7]。

利用训练阶段业务流预处理创建检测模型，转变网络安全事件业务为有向图结构，通过图结构将网络业务流展现出来，根据频繁子图挖掘技术挖掘安全事件特征候选字图结构。部分候选字图将安全事件特征极小值展现出来，也可以表示为原生候选子图；其他候选字体利用原生候选子图衍生出来，实现安全事件的特征分析。原生候选子图能够将安全事件行为特征充分展现出来，衍生候选子图对未知安全事件行为能力与价值进行检测。最后，实现全部候选子图的剪枝操作，通过适当取舍实现特征模式集数据库进行创建。

在模型检测过程中，以流行系统对序列匹配方法进行调用。首先，设置窗口阈值，限定网络业务流检测的范围；之后，进行循环调用。依次输入网络业务流序列，使业务流数据转变为有向图，然后对比特征模式数据库数据，进行特征匹配；匹配窗口序列后在检测窗口转移，开展下一次特征匹配，直到输入业务流序列的结尾，输入检测结果。最后，对检测结果进行分析，更新已有特征模式数据库[8]。

5 结语

总之，在现代社会中，加强企业信息安全建设尤为重要。大数据技术发展为信息安全系统创建提供可能，本文分析了数据安全分析方法，希望能够促进企业信息安全系统的发展和完善。