汤俊明

(广东省电信规划设计院有限公司，广东 广州 510000)

1 引言

伴随着网络基础设施以及网络带宽的大幅度升级，为大规模的数据传输提供了技术保证，大规模的数据运算也随着云计算与大数据技术平台的出现成为可能，同时应用网络数据源分析不安全事件，也是技术发展的必然趋势。

大数据分析就是通过分析与挖掘大数据获取信息的过程。大数据技术在储存、处理以及分析等层面具有很大的突破，不过随之而来就是网络安全事件数量的急剧增加，如网络攻击或者黑客入侵，极大影响了我们的日常生活，因此开展安全分析与监测有十分重要的意义。

2 目前的挑战

目前，网络与信息安全正在面对全新的挑战。首先，随着大数据云计算时代的到来，安全问题正在逐渐变为一个大数据的问题，企业与组织的网络与信息系统每天都在产生大量的数据，同时产生数据信息的速度越来越快。其次，越来越复杂的网络安全形势给国家和企业带来了更多的威胁和挑战，面对于这些新的挑战，现有的管理条件逐渐暴露出其不足，主要表现如下：

2.1 数据的处理能力有限

在目前的情况下，分析工具在面对小数据量的时候是有效的，不过面对大数据量的时候难以继续发挥其功能，海量的异构高维数据在融合、储存以及管理层面都存在难题。安全设备以及网络应用出现的安全事件数量异常巨大，IDS误报较为严重，对于一台IDS系统一天出现的安全事件数量成百上千万，一般99%以上的安全事故都是误报，而真正存在威胁的信息却被淹没在误报信息内。

2.2 识别威胁的能力有限

开展安全分析是基于规则的关联分析，只能识别已知并已经描述的攻击，难以识别复杂模式的攻击，无法识别未知的攻击。对于安全事件之间存在横向与纵向方面的关联缺乏综合分析能力，为此会出现漏报的情况，不能实时开展预测。在一个攻击活动之后一般会接着另一个攻击活动，前一个攻击活动是后一个攻击的必要条件。一个攻击活动会在多个安全设备层面产生应激安全事件，多个不同来源的安全事件其实就是一种协作的攻击模式，对于这些都无法开展有效的分析。

2.3 安全预判的能力不足

安全预判的能力有限，缺少对抗能力，安全运营以被动的应急响应为主，难以对风险开展提前评估以及分析，总是疲于处理已经出现的困难。

3 关联分析类型介绍

3.1 数据关联

数据关联：就是将多个数据源内部的数据开展联合、相关或者是组合分析，进而获得高质量的信息。其就是将不同空间设备层面的日志，不同时间序列的问题，通过特定的关联方法融合到一起，最后得到特定的分析工具。

3.2 交叉关联

交叉关联：其是最为常见的数据关联模式，就是将安全事件与网络拓扑、系统开放服务以及存在的漏洞等模式开展在线的匹配，进而分析攻击成功的可能性，通过这种关联的模式可以检测到某一些威胁，同时发出警告。

3.3 情境关联

情境关联：也就是将安全事件、故障的告警事件与目前的网络、业务以及设备实际的运行情况、状态以及重要程度等开展关联，同时渗透更为广泛的信息相关程度，识别其含有的安全威胁。情境关联是可以依赖于事件的特征并结合不同的情境开展关联分析的，进行扩展之后可以含有几种不同的功能：（1）与漏洞信息的关联，将安全事件与这一事件所针对的目标资产含有的漏洞信息开展关联活动，其含有端口的关联以及漏洞的编号关联等。（2）与资产信息的关联，将事件内部的IP地址与资产的价值、资产具有的类型等开展关联分析，判断事件的准确性以及具有的风险程度。（3）与性能状态的关联，也就是将事件内部的IP地址与设备目前的对应性能指标关联，判别事件的准确性以及具有的风险。（4）与网络状态的关联，将安全事件与这一事件所对应的目标资产当前出现的告警信息以及目前网络告警信息开展关联。

3.4 统计关联与时序关联

对于单位时间内部的日志的某个或者多个属性开展统计计数分析的时候，关联得到一定统计规则的事件。比如在一分钟内部某个源IP连续向某个目的IP发送超过2000个的SYN半连接包。时序的关联，指的为依赖于某些事件发生的时序开展关联分析，依赖于某一些攻击的行为、网络的故障特点，就可以通过时序关联来设定具体的分析规则，达到事前警告、事中阻隔的功能。

4 大数据场景分析

4.1 基线分析

基线分析是将重要的设备或者是业务的安全关键点要素，比如服务器层面的账户信息、权限信息、端口开放信息、进程启动信息、服务启动信息等开展基线分析，通过对单个或多个关键点的变化开展综合的分析，进而达到对于危险的确认。比如，某一台服务器突然增加一个登录账号或者是突然打开某个端口的，同外界出现连接。

4.2 宏观态势分析

宏观态势分析是基于时间周期同比对于某一类或者是整体事件开展宏观的分析，判断目前网络整体性能或者安全情况、预测之后网络的性能或者安全情况发展模式。比如在某一个时段的IDS告警量突然比之前的一段时间增多很多，导致大量数据的切入等，就需要开展宏观态势分析。

4.3 离线分析

离线分析是指生产流取样并将样品送到便于分析器分析的某一地点进行的分析。首先就是态势评估，其包含关联分析、态势分析以及态势评价，其中关联分析是最为核心的分析。关联分析就是通过数据融合技术对多源异构的数据从时间、空间以及协议等多个层面开展关联以及识别。态势评价的结果就是形成调试评价报告或者是网络的综合态势图，通过调试可视化为管理人员提供信息，同时还可以为更高阶段的评估提供必要的基础。

其次为业务评估，包含业务风险评估、业务影响评估、业务合规审计等。业务风险评估主要是通过面向业务的风险评估模式，分析业务的价值、弱点以及威胁情况，得出业务风险的数据。业务影响评估主要分析业务的实际流程，获知业务中断带来的实际影响，从而找到业务对风险的承受程度。

最后为预警与响应，开展态势评估以及业务评估的结果均可以输入到预警与响应模块，它不仅仅可以借助调试可视化进行预警展示，还可以通过流程化响应开展运营维护。

5 结束语

伴随着互联网技术的发展与创新，云计算大数据平台的商业化以及企业化等越来越普遍，云计算大数据分析技术在安全监测层面的应用会越来越深入，应用领域会越来越多。通过大数据的安全分析，不仅可以解决好海量数据的采集与储存问题，还可以更为主动以及更加弹性地应对复杂的违规行为以及未知的风险。

[1]王帅，汪来富，金华敏，等．网络安全分析中的大数据技术应用[J].电信科学，2015，31(7)：139-144．

[2]张传勇．基于大数据时代下的网络安全问题分析[J]．网络安全技术与应用，2015(1)：101．

[3]郑晨阳．面向大数据的网络安全策略研究[J]．数字图书馆论坛，2014(2)：7-10．

[4]刘兰，林军，蔡君．面向大数据的异构网络安全监控及关联算法研究[J]．电信科学，2014，30(7)：84-89．

[5]于涛，何风琴．基于大数据时代下的网络安全问题分析[J]．现代职业教育，2015(7)：74-75．