基于网络运维的大数据分析安全感知策略研究.docxVIP

?

?

基于网络运维的大数据分析安全感知策略研究

?

?

张明罡

摘要：随着时代进步，网络的全面覆盖和发展，广泛的智能普及，使用户不断提升对感知的要求。与此同时，威胁网络安全的事物也层出不穷。本文旨在说明网络防护单一化已经不能完全解决网络安全面对的问题，需要网络动态安全管制，从整体反映现状，并对安全问题及隐患进行预测。文章将介绍分析网络安全态势以及动态感知技术，建立有效快速的威胁分析、检测、处置能力，促使信息可知可控。旨在为有关人士提供参考与借鉴。

关键词：动态感知;大数据;网络安全;网络运维

引言：随着互联网的发展，多层次、大规模、复杂化的网络安全风险也随之增加，各种网络病毒都威胁着网络的稳定与安全，传统的技术难以有效、及时处理病毒带来的影响，在此情况下，需要新兴技术升级网络安全防护，提前预估风险，降低整体风险等级。结合检测情报、机器学习、图关联分析等技术，使全网的流量实现可视化，解决安全遗漏带来的问题。

一、运营商数据分析背景

运营商掌握着大量的网络数据，生產、传送并使用大数据，处于网络管道的位置。对于运营商来说，其要及时掌握各个行业对大数据的实际使用情况，同时，为了满足自身生存与发展的需求，也要对大数据进行充分、积极与合理的运用，以此适应社会发展。

第一个层面是在业务领域，在DNS日志数据挖掘的基础上，进行对客户访问点击率和归属地的分析，为用户感知提供一些借鉴。还要通过分析网络结构，挖掘测试数据等影响情况，来给规划网络建设提供参考依据，进一步进行结构调整和优化，升级网络系统。第二个层面是在用户领域，在AAA日志数据的基础上，探接入过程中的差异化带宽，之后来分析流量特性的匹配关系，从而对流量情况进行准确的预判，同时也可以为后续的规划奠定基础。实践中可以对比不同的用户的各种行为特征，然后分析其差异性，借助这些数据，核查异常用户，进一步提高投放的准确性，也可以为用户提供更为及时的回访，使用户拥有更好的体验，其对服务的满意度也将大幅度提升，进而将为供应商树立良好的形象，其品牌效应将日益增强。

挖掘用户数据并进行探针数据统计和分析，是技术层面的创新，试着以用户作为出发点来进行分析，一改以往从面、线、区域的传统分析方式，这样可以更加高效便捷，对公司网络建设以及其他拓展业务都补充了可供参考的数据。

二、网络运维的日志采集和分析

Syslog被动监听方式采集，mysql数据库表里的日志，本地local的文件采集以及ftp文件的主动采集等等，都是目前能采用的采集日志的方式。例如，用JDBC来进行采集日志，设置好IP地址，输入监听端口，此外，还包括用户名密码等有效信息，和数据库中指定好的实例连接按照顺序来读取指定的数据。服务器的操作系统、应用系统、数据库和中间件是主要采集Syslog;监控扫描资产安全，全流量包的网络采集，进行自主学习了解网站资产。

从被动防御转变为主动感知，对于现在发生的事件需要与威胁规则等相匹配，然后做出回应，一般是识别出威胁响应。情报系统的能力有以下几种：对事件参与者的诚信度进行威胁评估;倘若参与者具有威胁情报的几种特征，那么其威胁程度就会被随之提高;对于大部分属于较低威胁行为的事件，需要对其进行筛选，接下来会方便分析潜在的威胁;在首次侵害之后，如果再次遇到侵害，需要借助共享机制来发挥作用，这样能高效快速做出反应进行识别;增加侵害者需要的攻击成本，如果侵害者想要绕过这种防御体系，那就需要更高级的隐藏方法;威胁情报通过分析关联方法能发现潜在正常流量之间的威胁，也为安全事件、日志等提供多维的信息。判断流量是否有异常情况，建立模型需要根据流量在正常行为的特征下运行，能发现水平扫描、ARP欺骗、IP地址扫描、网络蠕虫、垂直扫描等。与此同时，深度检测能力也体现在许多方面，这里不一一列举。

就目前来看，检测失陷主机的方式被人们所掌握与了解的已经有二十多种。对病毒行为、黑客常用攻击行为、异常外联行为等特征都可以利用安全感知平台内搭建的算法来进行分析，算法融合iForest、协议模型学习、主机网络流量模型，并结合DGA域名判断构建融合检测模型以及大数据关联分析的引擎所提供的联动分析[1]。各类检测能力和大数据关联分析的能力是由大数据分析引擎来负责的，这个引擎主要由模型融合和预处理数据等主要部分来构成的，支撑失陷主机检测、UEBA和大数据关联分析等。

三、网络动态感知技术和网络安全

（一）动态感知的相应技术

首先是数据融合技术，要通过相应的大数据技术来对不同用途不同来源不同格式不同位置的数据进行统一的预测判断，之后在平台融合操作，给网络安全信息感知技术提供统一平台，在逐步分析筛选后得出结论。其次是数据挖掘技术，是需要通过很多的网络设备进行集中搜集然后整理分析情况，经过统一处理后，通过相应工具和算法，对有效信息系统筛选甄别，然后挑