钟煜明 陈长辉

摘  要：通过当前的网络安全形势，开展面向大数据分析的网络安全优化研究。结合流量探针、日志审计系统，打造大数据统一综合分析平台，解决了服务器和网络设备日志分散、追踪日志信息时间长效率低、威胁事件识别不够精准的问题，使网络防护得到了更好的保障，更快速地对入侵攻击进行溯源，并对大数据统一综合分析平台下一版本的功能升级进行了需求规划，使系统更加智能，最后对未来网络安全发展趋势进行了探讨。

关键词：网络安全;大数据;流量探针

Abstract：Through the current situation of network security，the research on network security optimization for big data analysis is carried out. Combined with the flow probe and log audit system，a unified and comprehensive analysis platform for big data is built to solve the problems of scattered logs of servers and network devices，long time and low efficiency of tracking log information，and inaccurate threat event identification，So that the network protection can be better guaranteed and the intrusion attack can be traced more quickly，and the function upgrade of the next version of big data unified comprehensive analysis platform is planned to make the system more intelligent. Finally，the development trend of network security in the future is discussed.

Keywords：network security;big data;flow probe

0  引  言

随着信息技术的发展，网络已经是当今社会不可缺少的生态环境之一。新兴信息技术“互联网+”、大数据、人工智能、物联网、智能家居等都依赖于网络。网络安全的问题便成为信息技术发展的重大关键问题之一，全球网络攻防对抗的强度、频率、规模和影响力不断升级。我国对网络安全也尤为重视，习近平总书记多次在大会上提出网络安全的重要性，要求各地提高网络安全意识，提升突发事件应对能力，深化落实工作严防死守，尽职免责失职追责，贯彻《中华人民共和国网络安全法》《国家网络安全事件应急预案》的执行。網络安全的工作也因此推向新高度，同时网络安全技术人才的缺口巨大，需求也急剧上升，广州番禺职业技术学院为如何更好地应对治理网络安全，提出了多样的观点和理论，并进行了实践。

1  网络安全现状

网络和信息安全有着多方面性，包括物理安全、链路安全、网络层安全、数据传输安全、应用安全、主机系统安全等。国家推出的信息安全等级保护方案也从1.0升级到2.0标准，较前者相比，2.0的标准有着更高的要求和更严格的审核测评指标。同时国家各企业各单位组建信息安全应急小组，执行网络安全报告跟踪、入侵事件追溯、网络安全责任追究制度等措施，特点是重要敏感时期的关键基础设施安全保护，层层组织下发落实必须提高警惕，执行7×24小时的值守要求。全国各省也组建了网络安全预警平台，汇总最新攻击手段，第一时间公告最新的漏洞，采取修复应急处理。

网络黑客入侵的方式复杂多样，较为流行的是使用漏洞攻击库工具、病毒木马、结果扫描技术、注入技术等，对目标进行窃取信息或篡改信息，严重的甚至进行破坏。网络攻击行为也逐渐从黑客个人发展至有组织性的规模化攻击，重点对关键信息基础设施进行攻击。

广州番禺职业技术学院的网络安全经过多年的发展，已经有较大规模的防护体系，在技术手段上包括网络架构规划、接入控制、访问控制、安全审计、设备管理、网络安全检查等全方位的保障。应用业务系统严格执行上线前做好安全测评，按照信息系统等级保护2.0的标准进行整改，复检通过后方可上线运行。除技术手段以外，同时还兼顾从管理入手，管技双结合治理网络安全。每月进行网络安全意识、安全态势的培训汇报会，多次会议重点指出网络安全的重要性。

2  打造统一分析平台整体架构

网络综合管理系统是一种面向大型异构网络的管理系统，广州番禺职业技术学院校园网络结构复杂，学校二级学院及行政部门分支较多，网络设备多样，中心机房服务器承载着各类大型业务系统及教学平台，网络安全的责任极大。

本单位打造网络安全大数据统一综合分析平台，使用全流量融合探针传感器+日志审计系统作为大数据支撑，流量探针传感器能识别威胁行为，入侵事件溯源的功能，同时满足信息安全等级保护2.0的需求，结合日志审计系统，对入侵行为进行深度检测，精准、快速、智能地产生告警，提高广州番禺职业技术学院的安全保障等级。大数据智能分析平台展示如图1所示，分析平台架构如图2所示。

首先，需要在网络中部署多个全流量融合探针进行流量抓取，向大数据分析平台传输流量日志及告警日志。为了保证传输中数据安全，流量探针采用AES和SM4加密算法，分析平台收到数据包后进行解密还原，可以有效防止被网络窃听。

流量探针传感器主要部署在网络边界流量进出最大的位置、服务器区前端、核心交换机区等。利用端口流量镜像技术，把流量口的数据1：1全镜像复制一份出来接入探针，这样几乎不会对真实的网络环境造成影响，能让探针有充足的性能去分析和接收流量数据包。接口镜像的流量数据包有数据链路层、网络层、传输层、会话层、应用层等，流量探针传感器附带应用协议分析模块，把数据包解拆后得到数据包的头部信息，对其归属分类分析。流量探针传感器内置威胁检测进程、IDS入侵检测库、Web应用防御库等，可识别现知的广泛应用层威胁，包括木马、webshell、恶意广告、挖矿器等，对疑似威胁打上标签产生告警;同时传感器还能对APT持续性攻击事件进行跟踪分析，并再次把分析数据加密传输给大数据分析平台汇总作进一步的关联性分析。