基于大数据分析的网络安全态势感知

张晓

摘要：自从我国普及网络之日起，网络安全问题始终都是重点问题。根据有关数据表明，我国网络安全正直面遇到许多方面的威胁，提升网络安全已经迫不及待。云计算与大数据信息技术的到来，预示着计算机模式的改革与创新，伴随云计算能力的提升以及大数据的应用，能够最大程度上改善网络安全问题。

关键词：大数据;网络安全;态势感知

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2020）05-0186-01

0引言

伴随我国社会经济的快速进步，网络也随之愈来愈普及，网络规模也愈来愈壮大，网络安全事件的增多，使得网络环境变得日趋复杂，网络安全已经成为有关民生的重点话题，然而，要想改变这种局面就应该创建出新型的网络安全平台，更加需要新兴技术的融入。网络安全态势感知的出现打破了固有网络安全防御系统的局限性。本文基于大数据，全方位分析了网络安全，并且针对网络安全问题，搭建出了网络安全态势感知平台，该平台的出现不但能够有针对性改善网络安全问题，而且还可以对收集、处理以及分析数据信息，实时检测网络安全。

1基于大数据的网络安全态势感知平台

1.1态势感知技术架构

采集网络安全态势感知平台数据包含了网络防御链当中的各项安全数据信息。首先，威胁信息收集，将这些信息要集中储存起来，并且创建出安全数据库。其次，根据安全规划和分析算法以及安全模型等全方位分析所刨建的数据库中的安全问题。然后，借助于大数据来分析已经知道的网络威胁情报数据。最后根据威胁情报数据分析出应该怎样预警与感知网络安全风险问题，以及应该怎样应用可视化态势的系统。从上述防御链当中能够分析出，网络态势感知技术总体架构分为三个层面，并且这三个层面之间相得益彰，互成体系。

1.2网络安全威胁数据采收集与储存

威胁数据的收集与储存主要包含了态势感知数据源的收集以及大数据储存而构成的数据库。站在安全角度考量，应该明确一次网络攻击涵盖了确认身份、发掘威胁代码、风险预警等若干环节，这些环节都会与网络攻击存在直接联系，都能够从当中找到非法行为特点。如此，如果网络安全实行防御的态势感知数据源涉及到整个网络中的每一个环节当中时，唯有与网络安全有关的流量数据、监测数据以及睛报数据等多种数据联合起来才可以实现收集与存储，继而为后期管理以及维护工作带来方便。

大数据储存与管理指的是对海量的感知数据源的储存与管理，比如分布形式的文件系统以及关联数据库系统，这些系统组建成了混合形式的数据仓库，符合了各类数据的需求，包含了多种结构化数据、半结构化数据以及非结构化数据等。其储存量高达PB级，比如分布形式文件储存系统，具备了容错性高、吞吐量高的特点，文件数据是通过创建若干副本以及维护多个部分的数据块构成的，可以储存在不同服务器当中。与此同时，由于就近原则以及并行原则，分布式文件储存系统在分布结构环境当中使得数据的读写能力有了最大程度上的提升。

1.3面向威胁情报的大数据分析

（1）数据预处理。数据预处理指的是发掘威胁情报的过程。数据预处理能够利用抽取特征、融合数据以及分析关联将原始数据进行重新组织，构成关系图。所以，数据预处理主要涵盖了三大过程，即清洗数据、融合数据、管理数据。

（2）模型设计。模型设计指的是数据分析模型创建的过程。在模型设计期间，可视化信息也就是通过安全分析日志以及预警数据转换而来的信息，可以构成安全威胁发现以及态势感知机制等等。数据分析模型主要涵盖了三种模型：其一，数值统计模型，在这种模型当中，所表现出来的用户实际行为IP以及网络流量等统计特点能够展现出一个具有规律性的网络动作，并且这些动作难以在短时间内被发现;其二，算法挖掘模型，这种模型可以深度挖掘已有的数据信息，从数据信息中找到安全风险问题，创建这钟模型的方法有很多种，比如社区发现分析算法以及度分析算法等;其三，攻击树推理模型，这种模型是对安全威胁信息创建的模型，其能够将安全威胁信息通过树形结构表达出来，并且树的根节点位置对应表示的是网络攻击的具体目标，叶节点位置表示的则是可采取的手段，两者之间的路径指的是攻击的过程。通过创建攻击树模型，在节点位置的推理期间，就能够预判出主要攻击动作以及分析出隐藏的威胁。

（3）数据分析。根据模型设计，分析数据可以实现实时计算以及离线计算，并且掌握流向、具体行为等诸多方面，其一，在线实时挖掘分析，指的是对实时数据进行分析。借助于Spark框架，可以在线实时分析大批量数据，并且可以对这些数据实现并发处理。其二，离线挖掘分析，指的是反复挖掘与计算历史数据，实现数据的深层次加工处理，同时借助于ETL术来处理数据库当中的全部历史数据。

（4）态势感知以及预警应用。对网络安全威胁自动报警以及核心安全系统实行实时监测以及网络安全风险防备预警等都是态勢感知与防备预警的具体应用。利用大数据技术，将安全态势感知以及防备预警业务都能够应用在网络安全态势平台上面，同时还可以实现试运行，在这个平台上面创建出了大数据储存、收集与分析、计算、扩展容量等全部服务业务。

2态势评估方法分析

现如今，态势评估方法主要分为了两个类别，分别是静态态势评估法以及动态态势评估法。两者之问主要的差异是网络安全状态的时间点，静态态势评估法主要是在发掘攻击之前，而动态态势评估法是在发掘攻击之后;静态态势评估法注重对风险问题以及安全稳患问题进行全方位分析以及评估，主要是做好预防，然而动态态势评估法注重的是收集体现安全问题的有关指标数据，再结合数据来完成评估或是预判。为了能够全面评估网络安全状态，全方位分析出所有攻击信息以及预警信息对网络安全的影响因素以及影响程度。所以，当前有许多研究工作者全方位深度的对比分析了态势评估方法嘲。

基于理论知识推理指的是利用计算机技术仿真模拟人类的思维推理方式，通过形式化的理论知识内容，运用概率论以及实际证据理论等，做出推理与求解，继而得出最终结果的全过程。然而网络安全理论知识推理主要借助于网络状态的不稳定性，有机结合全部要素以及功能属性，利用已经储备的经验构建模型以及做出网络安全态势评估，最终得到可以受到保护的网络安全态势。利用理论知识推理的方法能够分别做出图模型推理以及证据推理。

3结语

总而言之，基于理论知识推理的方法可以对网络安全态势的所有安全事件特点做出评估，不但能够评估目前网络安全的具体状态而且还可以对预测的网络行为可能会对网络安全带来哪些影响做出具体的评估。网络安全态势感知的出现打破了固有网络安全防御系统的局限性。上文基于大数据，系统性分析了网络安全，与此同时针对网络安全问题，创建出了网络安全态势感知平台，这个平台的出现不但能够有针对性改善网络安全问题，而且还可以对收集信息、处理信息以及分析数据信息，实时检测网络安全。