王学周 莱芜职业技术学院

引言

随着信息技术的应用范围和深度不断加强，信息安全变的越来越重要。当前存在很多由于信息安全问题造成的个人或企业信息泄露或其他问题的发生，如2016 年孟加拉国央行就收到黑客的攻击而造成银行中1 亿美元被转移。这足以说明加强信息安全的重要性。当前传统的信息安全分析技术主要针对恶意代码检测、入侵检测等方面进行信息保护，但是随着信息数据数量、种类的不断增加，加之一些新型的入侵手段出现，给传统的信息安全分析带来巨大的挑战。2012 年Gartner 曾指出大数据分析是信息安全的重要发展方向。以大数据为基础的信息安全分析技术能够有效解决传统方法难以对海量数据进行采集和存储的问题，并且此方法以机器学习以及数据挖掘方法等为基础，在处理信息安全时间是更加的主动和高效，并且能够有效的应对一些新型的信息安全事件发生。

1 大数据分析技术应用于信息安全领域的意义

大数据具有大量化、多样性、高速化和价值化等特点，将其应用于信息安全分析当中能够有效降低分析成本，提高分析效率并增大分析容量，对此将大数据分析技术在信息安全领域进行应用能够有效的催动此领域的进一步发展。随着企业规模不断提升，精细化程度不断加强以及安全设备数量的增加，有关信息安全的数据的类别越来越多，范围越来越广，数据量呈现指数增长，并且增长速度也越来越快，这对安全分析的应答能力提出更高的要求，给传统安全分析带来巨大挑战。信息安全分析的传统方式是以流量和日志等数据信息为基础，并结合相应的资产信息、业务行为信息和外部情报信息实施分析，从而找出信息当中存在的信息安全问题，这种分析的数据信息比较单一，难以对一些新型和深层次的安全问题进行分析。大数据应用到信息安全当中，其能够将一些分散的数据进行整合，通过相应的技术手段采集和存储安全相关数据，将这些数据进行检索和分析，并通过预测模型实施不同阶段和层面的关联分析及其异常行为分类，从而能够有效的发现存在的APT 攻击、骚扰诈骗等信息安全问题，让信息安全防御更加的主动和有效。与传统分析相比，大数据分析的数据内容更加全面，其不仅可以对应用情景产生的数据进行分析，能够对某些活动中所产生的数据进行分析，并且也能够有效的对相关的背景数据和上下文关联数据进行分析。对此大数据分析技术在信息安全领域具有较好的应用价值，如何将其应用是值得探讨的问题。

2 安全大数据分析技术在安全领域中的应用策略

2.1 以用户行为为基础的大数据安全分析

此策略在中国移动的信息安全管理中具有广泛的应用，主要用于对垃圾短信和骚扰诈骗电话等进行查找和治理。在大数据分析当中，通过开源工具如MLlib、Hive、Pig、Hadoop 等，进行大数据平台的搭建，通过平台对使用者的行为数据进行采集，并建立用户行为分析模型，具体包含异常行为分类预测模型、统计预测分析模型、社交网络分析模型等。在这些模型当中，当用户的行为数据输入其中，可以准确并且快速的找出存在异常的电话号码，并且能够有效分析出这些号码与正常号码之间存在的大量不同的行为特征。此应用当中可以依据使用者的行为进行不同维度用户数据库的构建，从而能够更加全面为不良信息的处理提供给服务，智能识别一些不良内容。中国移动在此策略进行信息安全分析，与传统分析方法，其能够更大范围找出一些违规号码，从而有效弥补当前安全分析中的不足。

2.2 以网络流量为基础的大数据分析策略

此应用是采用旁路流量监控的方式，于互联网出口应用Storm、Spark 流分析技术等对相应的业务数据进行梳理和分析，从而找出其中存在的安全风险问题。主要分析的信息内容包含恶意UR 事件、路由器配置数据、Netflow 原始数据等多种数据信息，采用的大数据分析方法包含孤立点分析方法、指纹分析方法、多维度分析等。通过此应用策略能够有效挖掘Web 漏洞，实现CC 攻击的检测，找出其中存在的可疑扫描、异常Bot 行为等。

2.3 以安全日志为基础的大数据安全分析

此应用主要是将各种安全日志的数据进行融合并进行关联分析，通过异常行为模型的构建，找出其中存在的安全问题。其中涉及的安全日志包含DNS 日志、Web 日志、IDC日志、防火墙日志、数据库日志、Web 攻击日志、网管日志、IDS 设备日志和主机服务器日志等。其中常用的大数据分析方法包含情景关联分析法、规则关联分析、历史溯源和攻击行为挖掘等。使用此策略能够有效的找出跨站漏洞、Web 攻击行为、敏感信息泄露、Sql 注入等信息安全问题。其中此策略在很多实际的案例中得到较好的应用。如IBM QRadar 就是将广泛在网络中分布的大量设备端点中和应用中的日志源事件数据进行有效的整合分析，并将其标准化，从而能够通过对比找出错误的信息和威胁安全的信息，并且其还能够与IBM Threat Intelligence 等技术联合进行应用，为用户提供恶意主机等威胁的IP 地址，而且还可以将网络数据与相关的系统安全事件联系到一起，确定相关安全事件的优先级。

2.4 以DNS 为基础的大数据安全分析

此应用是利用大数据分析技术对DNS 系统中的实时流量和日志等数据进行整合和分析，并依据DNS 流量的特征构建模型，进而有效提取出域名生存周期、解析IP 离散度、DNS 分组长、递归路径、发送频率等DNS 报文特征。随后以DNS 报文特征作为基础进行异常行为模型的构建，从而有效实现DNS 系统中DNS 分组异常、DNS劫持等流量攻击的针对性检测，并且有效找出存在的一些恶意域名，及其一些钓鱼网站域名。

2.5 APT 攻击的大数据安全分析

APT 攻击是针对一些特定的对象，经过精密的计划和安排所实施的信息攻击，这种信息安全问题具有潜伏时间较长，隐秘性较高，攻击渠道难以确定等特点。如“震网病毒”，其在经过3 年的潜伏后才发动攻击，并导致伊朗纳坦兹核电站上千台铀浓缩离心机出现严重的故障。针对此类信息安全问题，应用大数据分析技术通过将数据日志、业务系统流量、Web 渗透知识库、Web 访问日志和资产库等信息进行收集，从这些信息中对黑客关注度、系统指纹、行为历史、攻击时间、攻击手段类型和提取攻击种类等事件的特征进行提取，再在以大数据机器学习方法为基础，对系统的脆弱性进行分析，并找出其中Web 渗透行为，对攻击源进行追溯，从而有效提升信息系统运行中对相应安全问题的感知能力，并且对调查取证予以有效的支持。

3 结束语

综上所述，大数据分析技术的发展对于信息安全的提升具有积极的促进作用，将其应用于信息安全领域具有重要的意义。对此在信息安全方面应积极结合实际情况将大数据分析技术应用其中，从而有效提升信息安全程度，其中既可以基于用户行为、网络流量、安全日志、DNS 等进行大数据分析技术的应用，也可以针对APT 攻击等高层次的信息安全问题进行有效的应用。