网络安全分析中的大数据技术应用

2022-09-09叶丽英

电子技术与软件工程 2022年11期

叶丽英

（国家税务总局日照市税务局山东省日照市 276800）

信息技术更新与进步，增强了数据传输能力，丰富了网络功能，出现了多种新型网络风险。木马僵尸、信息窃取、恶意篡改等风险问题，形成了较大的用网威胁，会降低网络运行秩序，增加用网损失。全面的用网安全分析，成为预防用网风险的关键因素，可回避网络风险带来的损失问题，是国内网络建设的重要任务。

1 用于对抗僵尸网络的数据技术

数据查询、数据使用、数据存储各个流程，可增强大数据技术的使用价值，获取较高的数据处理效率。在数据使用期间，系统漏洞、数据技术等先进科技，能够积极展现技术价值，迅速获取风险位置。此技术表现出较高的数据处理能效，僵尸网络具有较高的用网风险性，会危及网络安全，需加强数据技术使用，尝试从DNS 访问、数据流量各层面，有效落实数据处理工作，保证数据分析结果的可信性。如图1所示，是用于抵御僵尸网络的关键技术框架。

图1：抵御僵尸网络的技术框架

2 分析网络结构中的风险因素

2.1 关系矩阵

2.2 总关系矩阵

矩阵处理完成，需要构建整体矩阵结构。矩阵内部的各组参数，应展现出矩阵功能，以区间转化为侧重点。矩阵结构设计的各组参数，对于各组元素关联具有一定影响，反馈出相邻元素的内在关联。为此，需参照矩阵算法，获取总矩阵参数，保证矩阵分析的有效性。

2.3 风险因素分析

矩阵计算的精确性，会直接决定风险分析质量，甚至会作用于综合数据，使后续工作受到干扰。采取有效的风险分析方法，进行风险分析，以此获取符合实际需求的分析结果。各类分析结果，均可参照原因值获取具体风险。如果原因值较大，说明风险影响程序较高，应获得风险管理重视。如果原因值较小，说明风险影响性不高。风险分析期间，结合往期网络出现的风险因素，使用概率模型、风险数据进行数据训练，参照数据训练结果给出风险预测信息；参照各组重要资产的“安全脆性”给出风险分析；依据各类资产安全性，比如资产保密性、资产价值等进行风险分析。

（1）创建风险警示模型：风险警示=<风险警示种类，风险警示级别，风险警示具体编码，受到风险的系统，受到风险的软件程序，处于风险状态的端口>。

（2）资产安全的风险分析模型：信息资产安全性=<系统等级，漏洞问题，补丁情况，软件版本，端口性能，资产价值>。

（3）防火墙风险防护的安全分析模型：防火墙防护=<网络访问，网页源地址，目标访问地址，网页源信息终端，目标访问网页终端，访问协议>。

网络安全分析时，从网络顶层开始进行分析活动，风险警示的各类因素，会受到防火墙防护的影响。如果防火墙无法通过的信息，会返回分析结果“5”，表示有风险。如果防火墙并未屏蔽信息，会给出结果“3”，表示信息安全。

3 安全分析融合数据技术的具体表现

3.1 创建检测框架

安全检测程序的创建，应以Hadoop 程序为技术基础，全面构建网络检测体系，保证安全检测的有效性。数据技术融合后，能够显著增强数据处理有效性，更快捷地锁定漏洞位置，给出相应的漏洞处理方法，以此显著增强系统安全性，使系统安全性处于标准状态，给出客观的安全评价结果。此种安全检测技术，能够深层挖掘信息资料，优化安全评价流程，具有较高的安全评价功能，可高效找出漏洞信息，给出准确标识。现阶段，国内进行漏洞分析时，采取的安全评价方法具有单一性，能够给出数字漏洞的评价结果。

3.2 采集漏洞资料

漏洞攻击具体表示对网络具有攻击性的数据或者程序，表现出较强的系统攻击意图。对系统进行全面检测，切实强化系统的数据处理能力，同步给出系统检测的具体流程，利用数据采集程序，全面整合系统数据，以此保证风险防护的有效性。在排除外界干扰因素的情况下，可自行生成网络各层的漏洞资料，参照检测方案进行风险传导，合理分解风险级别，保证风险检测、风险预警的有效性。

例如，某计算机高校以Apriori 挖掘技术，创建了漏洞采集程序，引入关联规则，记录各项数据集。假设m 表示数据的特征个数，如果X 规则与Y 规则具有一定关联性，那么X 与Y 两个规则的并集为空。假设A 集合中含有X、Y 两个规则并集项的可能性为p，可利用Sup（X∪Y）的形式，获取漏洞频率。在漏洞扫描前期，进行数据转化处理。整合网络风险各项资料与Apriori 挖掘方法，创建的漏洞挖掘程序：规范处理风险数据，找寻风险资料的关联信息，准确测算出风险数据，Apriori 分析，创建布尔矩阵、找出频率结合与备选集合，创建第二个候选集合，建立漏洞评估矩阵，给出漏洞风险的关联规则，完成漏洞风险的采集过程。此漏洞挖掘平台运行后，同时运行五个测试程序，逐一添加网络攻击，数据请求次数设计为5000 次，五个测试程序的规则对比次数明显降低，降低幅度处于5.26%至18.61%之间。规则对比次数的减少，证明关联规则的漏洞查找能力有所增强。关联规则的漏洞扫查能力，将会降低漏洞挖掘用时，给予较快的漏洞挖掘反馈。五个测试程序的漏洞挖掘反馈时间，与系统平均响应时间相比有所减少，反馈时间减少范围在7.805s 至9.121s 之间。由此发现：各类程序的漏洞挖掘时间具有一定差异性，反馈时延最大相差1.316s。使用Apriori挖掘进行漏洞扫查时，能够保证漏洞反馈时间的平均性，反馈时延最大相差0.118s。由此说明：Apriori 挖掘具有较强的漏洞扫查能力，可有效筛除风险数据，具有较强安全分析能力；Apriori 算法调整后，能够减少候选数据量，快速完成数据分析过程。

3.3 处理网络漏洞

网络漏洞的处理方式，作为风险检测的重要程序。在风险检测程序中，应以SQL 设备为技术前提条件，以此作为程序中心。在SQL 设备运行期间，应控制网络结构的循环资料，顺应漏洞检测的规范要求，有效控制系统检测时间，获取高效的检测结果，达到检测预期效果。SQL 设备能够存储较多数据，结合数据位置准确找出漏洞方位，将数据传送至数据处理程序，显著强化系统的运行能力，及时排查系统漏洞。参照漏洞分布特点，逐一找出各节点风险。实际进行漏洞处理时，核心模块是主要运行程序。

3.4 评估漏洞

安全分析系统运行时，风险评价程序能够给出全面的漏洞检测资料，将安全分析程序设计在系统终末位置。当程序无法顺应框架部署条件时，应参照漏洞处理程序，进行准确连接。获取驱动程序的技术支持后，准确选择信息文件。系统有序运行时，会使网络结构受到较高威胁，系统各节点极易受到网络攻击。需采取动态切换形式，有效处理外在节点。漏洞评价程序的运行，能够保证系统安全防护的规范性，间接增强漏洞检测的高效性。系统安全分析的漏洞评价单元，拥有自如切换功能，可结合节点实况给出调控处理，使系统拥有较强的系统访问能力，达到系统安全分析的要求。

例如，某高校使用大数据技术，研发出安全漏洞智能识别平台。平台建立了软件漏洞信息的识别程序，采取自相关数据关联检测形式，全面分解软件安全参数，获取软件安全漏洞的风险级别为：

3.5 各类风险分析

3.5.1 分析用户异常行为

用户异常操作的安全分析，主要使用Hadoop、Hive 各类技术，创建大数据分析程序，有效采集各类用户异常行为信息，构建用户异常行为的测评模型，划分用户异常行为种类。利用安全数据分析程序，能够在平台整合各类行为信息，准确掌握用户网络操作的异常情况。结合用户异常表现，建立多层级的用户行为数据存储单元，全面收集整合用户异常行为，为后续风险整治给出决策指导。大数据技术的合理使用，能够高效智能识别用户的风险操作行为。实践中发现：使用大数据分析程序，可高效挖掘更多潜在风险问题，建立完整的安全分析体系。大数据技术可用于准确检测网络安全趋势，分析恶意程序的运行动态，显著增强网络安全分析有效性，及时获取风险因素，给出有效的风险管控，维持网络安全。

3.5.2 分析网络流量问题

网络风险分析，使用大数据技术准确检测网络传输的流量变化情况。比如，使用Hadoop 数据存储程序、数据流分析方法，能够全面测定网络流量的具体表现，再用数据分析程序监控各程序的数据变化，找出系统风险原因、风险位置。网络风险的检测过程：使用数据技术采集Netflow（数据交换技术）的各类初始数据，运行病毒检测程序，获取URL事件的各类资料。利用多维度信息分析方法，收集网络风险问题，使用Wed 漏洞分析、CC 攻击风险分析等技术，准确梳理网络风险行为，按照网络使用的具体实况，给出APT防护、DDos 防范等多种措施。

3.5.3 分析安全日志

安全日志是记录各项用网风险、网络防护的主要程序，融合大数据技术，可搭建多种安全分析方法。安全日志分析过程：前期找出关联数据的内在关系，建立用户异常行为的分析程序，有效找出网络结构的各项违规操作。分析内容有：网页日志、IDS 设备运行记录、网页攻击记录等。此类安全日志信息存在一定内在关联关系，可使用规则管理、攻击分析的联合形式，深层挖掘安全日志的网络风险信息。

例如，ZettaSet 创建了存储单元，能够存储较多数据，以此全面检测系统风险、恶意攻击等问题，此存储单元含有两个程序：Orchestrator，数据更新服务；SDW，具有延展性的数据存储单元。数据更新程序是一种设备连接的Hadoop产品，能够进行多个Hadoop 数据平台的部署。数据存储单元是以Hadoop平台为前提条件，以Hive（数据映射处理工具）为技术条件，高效存储各项数据。使用海量数据存储单元，从防护墙、防护设备、网络流量、业务程序各个视角，共同挖掘网络层面的风险因素，以此保证网络系统运行的安全防护能力。比如，处理30d 内的网络信息时，原有SIEM 技术的数据处理时间介于30min 至60imn 之间。而海量数据存储程序可在60s 以内完成30d 数据的风险分析，具有较强的技术优势。

例如，卓豪单位开发出“日志管理”产品，能够进行无代理/代理两种日志收集，找出750 种类型的日志信息。平台可自行解析日志内容，深入分析系统安全事件。平台开发了三种新功能：

（1）自动扫查利用关联规则进行的网络攻击，在产品相关性程序中，设计了25 种攻击规则，包括勒索程序、暴力破译等；

（2）定期推送国际威胁情报，定制威胁情报程序，利用STIX（威胁信息表达式）、TAXIII（情报可读标准）等规则，有效推送威胁情报，从中分析异常流量，给予风险警报；

（3）内置独立控制程序，各告警程序均设有专门管理，动态跟进事件的反应能力，给予完整的解决方案，在内置工单中给出跟踪事件，使用外部工具，缩短工单处理时间。

日志管理平台使用的漏洞扫描器，能够有效扫描多个程序，拥有不少于50 个前期定义功能的漏洞报表，增强漏洞扫查的高效性。对于网络、端口各位置的漏洞，进行有效检查，设计漏洞检测警告值。如有发现网站存在较大漏洞，会形成告警通知，便于管理人员掌握风险信息。日志管理平台给出了多种风险解除方案，包括“ESET 杀毒程序”、“卡巴斯基杀毒程序”、“FireEye 火眼”等。FireEye 火眼安全防护程序，能够给出火眼报告，增强风险信息的可读性，以图文形式进行风险反馈。火眼日志关联功能，能够有效收集设备各项资料，使其有效进行日志关联，高效检测系统问题，提早发现网络攻击问题。

3.5.4 DNS 分析

DNS 程序融合大数据科技后，从网络使用流量、安全日志等方面，逐一创建风险分析模型，有效提取程序中各类网络数据，比如DNS 分组、系统响应周期、数据传输频率等。创建多种数据分析程序，深层分析用户异常操作，积极找出DSN 程序的网络攻击问题，比如DNS 数据截流、DNS 程序未响应等，风险分析结果回传给安全管理中心，对风险问题进行全面防控，切实维持网络程序的风险控制效果。

例如，中国移动创建了数据平台，用于分析DNS日志，平台可进行安全性分析。DNS日志与风险数据关联，能够分析用户、网站的风险问题，保证运营商网络运行的安全性。此平台可自行扫描安全风险，统计漏洞数量，给出漏洞处理方案，保证网络IDC（数据中心）的安全性。参照病毒域名，判断出现中毒的IP 地址。依据病毒危害级别，给出安全防护措施。系统运行后，DNS日志给出了域名数据单元，便于系统准确掌握域名的存储情况，营造安全用网体系。数据中心的运行平台，能够保证系统运行安全性，有效进行安全分析、漏洞扫查等处理，显著增强数据中心的网络安全性。数据中心的备案单位有：腾讯、百度、迅雷等多个互联网单位，从“本网率”、国外、移动、联通四个方面进行信息备案。

3.5.5 分析APT 攻击问题

APT 攻击具体指攻击级别较高、持续时间长的网络风险，是降低网络安全性的主要因素。相比其他网络风险，APT 表现出持续性、有目标、不易筛除等风险特征，是网络安全维护的头号风险类型。大数据技术融合网络平台后，从业务流量、网页访问记录、数据防护日志等多个视角，综合开展系统风险分析，准确锁定APT 的风险位置。利用数据机器学习程序，找出APT 的解决路径，以此加强网络安全的识别能力，切实维护网络程序的风险分析能力。

例如，华为单位使用数据分析程序，对于APT 风险问题给出了全面的防控方案：监测网络流量的异常表现、分析终端、用户的异常操作、全面分析日志恶意代码、进行APT风险的检测与处理，溯源分析攻击过程，形成风险情报报告。如图2所示，是华为APT 风险分析程序的技术框架。

图2：华为APT 风险分析程序的技术框架

（1）主动防御风险。初期进行风险检测时，排查较大数量的用网资料，分析潜在的异常问题，形成APT 风险的警示体系，缩短风险攻击的时间范围。

（2）协同处理风险。中期进行风险处理，展示APT 风险的形成位置，准确获取APT 攻击特征，建立全网联动的风险消除体系。

（3）给予动态防御。后期强化风险控制能力，创建攻击模型的深度学习机制，全网交互威胁情报信息，切实改善系统整体的风险控制能力。

华为使用大数据技术，以APT 攻击为防护目标，创建的风控平台，可实时获取网络安全分析结果，给出安全评分。比如，2020年3月一次安全评估得分为63 分，事件1 为“自动下载风险邮件”，风险级别为“8 级”。调取此风险的关联数据，共查出系统往期出现8 条同类风险，集中于2018年、2015年。排查出的风险日志中，展示了各条风险的“威胁级别”与风险来源。其中，2018年11月的风险邮件，是主机A 设备访问网页下载了具有风险的邮件，展示了风险邮件的下载时间与存储路径，给予技术人员风险防控的目标，使其准确锁定风险邮件的来源。