基于大数据的网络安全与情报探讨

基于大数据的网络安全与情报探讨

何永来

河北工大科雅能源科技股份有限公司 河北省 石家庄市 050021

摘 要：本文通过对大数据、网络安全以及情报分析进行了研究，指出现如今在网络安全严峻的形势下，网络安全与情报分析工作凭借着大数据技术的支持，在APT攻击检测、网络异常检测、网络风险感知以及网络情报分析四个方面的发展情况以及在保障网络信息安全方面的重要价值与意义。

关键词：大数据；网络安全；情报分析；风险排查

在大数据时代，网络作为数据存储管理的重要媒介，亟待解决的网络安全问题引起无数人的警觉，在社会上得到了极高的关注。无论是个人还是企业，数据的泄露或窃取都会造成无法挽回的损失。于是，当今社会对数据处理与分析能力，威胁排查与防御能力有着极高的需求。网络安全与情报工作水平的高低将影响信息安全以及网络的可持续发展。

2019 年 5 月，《信息安全技术网络安全等级保护基本要求》等多项国家标准（“等保 2.0”）正式发布，提出主动防御、安全可信、动态感知、全面审计等新理念，覆盖云计算、大数据、物联网、移动互联和工业控制系统等新领域，有望全面推进网络安全能力建设，带动网络安全产业发展。

一、大数据

大数据拥有数量庞大、来源多种多样、应用范围广泛、产生和转换速度极快的突出优势，是新资源、新科技与新思想的混合产物，在各个领域都具有极高的应用价值。从技术，思想等多种视角来看，大数据反映了人们对资源的新思考与新看法，同时，它的出现也定义了全新的思维方式，代表了当今新技术的发展进程，在社会上也受到了极高的关注。

二、大数据技术下的网络安全风险与情报

2.1 APT攻击检测

伴随信息化与网络攻击技术的不断发展与推进，APT的攻击现象出现的频率日益增加，并且呈现出显著的针对性、侵入性、关联性、隐藏性以及渗透性等突出的特征，然而，这一现象的出现，对我国的数据安全以及网络信息安全构成了极大的威胁与考验。APT攻击的目标对象的不确定性以及攻击方式路径的不明确性，都为设计与实施抵御攻击的方案造成了极大的困难，APT攻击现象所拥有的极强的隐蔽性，使得这些隐藏极深的网络攻击手段难以及时检测与抵御，以至于目前普通的信息与网络安全保护方案无法有效实施，引起了许多情报分析相关技术人员的警觉，加重了人们对大数据的重视程度，也促成了大数据技术的进一步发展与成熟。如今大数据技术的飞速发展，若选择运用大数据技术，便可以充分发挥如今先进科学技术的自动化应用能力与智能水平，大幅度提升数据分析与管理的应用能力，从而实现对APT攻击现象实现极为有效的监测，高效完成对多重数据特性的分析与整理，有力地保障网络安全与数据安全。

2.2 网络异常检测

在网络安全与情报工作中，及时并准确地检测到网络的异常是一项基本的工作能力，其主要内容体现在通过数据采集、异常检测、问题定位、特征提取、原因分析、训练样本等一系列操作，检测并分析网络上产生的流量突变异常、可疑主机检测、设备故障以及未经授权的资源访问等异常情况，它也是在网络安全与情报研究领域内最为重要和突出的一部分。一般情况下，相关工作人员需要根据所需检测目标的基本属性来建立合适的检测模型，以便于进一步分析和判定网络上出现的违反策略等异常行为。同时，如果更多地将检测网络用户的行为上应用大数据技术，并不断地进行行为特性、机器学习与深度学习习得正确获取网络数据，便可以大幅度提升检测网络异常的效率与准确性，其中，识别网络流量时不需要判定协议是否加密，且识别率达到半数以上。除此之外，还能够以较快的速度对网络流进行更为精准的全方位识别，实现对数据采集以及特征的快速提取，搭载着大数据技术的网络异常检测工作，自动化水平与智能化工作水平尤为突出，为网络信息安全保护方面提供了有力保障。

2.3 网络风险感知

如今，在网络风险多样化的情况下，多家企业机构对于网络风险越来越警觉。随着网络安全形势越来越复杂严峻，网络安全风险与安全威胁日益增多，作为承载着企业机构乃至国家的关键机密的数据，无论是丢失还是泄露都会对相关单位与人员造成巨大损失，甚至带来极大的危险。因而精准监测当前网络状态，保障网络风险能够得到及时发现与检测，对网络安全状况进行有效综合分析与评估成为了重中之重。网络风险感知工作需要对网络安全情况进行整体反应，对多重安全因素进行高效评估与分析，实现因素可视化，同时为未来网络安全的发展态势进行准确反应与警示，引进大数据技术，充分发挥其存储海量，查询便捷以及并行计算等特点，收集并储存所有本地数据，并以此为基础，实现对网络安全威胁与攻击的大规模溯源工作，建设网络安全数据感知系统平台，增强预测和感知风险的自动化与应用水准，进一步提高工作效率，为突破现存网络安全态势感知技术创造了有利的机会。当前许多企业已经拥有较强的大数据态势感知能力，例如360建设的NGSOC平台和阿里巴巴集团设计的阿里云云盾，都能够对多种威胁因素进行有效感知、评估、排查与处理，在很大程度上提升抵御网路风险的能力，最终确保企业的网络信息安全。

2.4 网络情报分析

当前信息技术仍在不断进步与更新，与之而来的威胁情报信息的数量也在不断增加，需要相关技术人员加以警觉，并且在科技发展迅猛的浪潮中不断解决在信息采集与搜索等方面的问题，增强数据之间的关联性，以便于后续对情报的准确跟踪与精准分析。网络安全情报分析需要通过分布式系统、大数据等多重方式对漏洞、特征、威胁和行为相关内容进行大规模整合与分析，将来自不同渠道的海量情报信息进行有效融合，并充分利用大数据技术对其进行大量的关联与推理，筛选出所需要的网络威胁情报。同时，从用户需求出发，构建出个性化网络数据收集与处理系统，以便于从中准确搜寻到与用户密切相关的威胁情报，优化过去传统的防御技术对威胁因素的防御功能，深化相关用户对于网络安全的认识以及提高对于网络威胁的断定与防御能力，降低任何不安全因素对用户的所造成的威胁与损失，这在很大程度上能够避免关键网络信息数据被攻击。如此网络情报分析工作能够更有针对性，更合理的安全防护，增强网络安全的抵御能力，提高网络情报分析工作的科学性与规范性，为保护网络安全提供科学的保障。

三、可利用的网络防护工具

3.1防火墙设备

超融合出口防火墙依托于防火墙自身机制、编写安全访问策略，配合使用反病毒、入侵防御、URL过滤功能模块增加互联网出口的安全性。

（1）反病毒安全机制，可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。

（2）入侵防御安全机制，通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。

（3）URL过滤功能，允许或禁止用户访问某些网页资源，达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项，实现针对不同时间段或不同用户/组的URL访问控制，达到更加精细化和准确化控制员工上网权限的需求。

3.2 商业杀毒软件

可抵御已知、未知和高级恶意威胁，确保业务安全稳定运行。

3.3 上网行为管理器

上网行为管理器能够有效的规范员工上网行为、保障单位内部信息安全、防止带宽资源滥用、防止无关网络行为影响工作效率、记录上网轨迹满足法规要求、管控外发信息 降低泄密风险、掌握组织动态、优化员工管理 、为网络管理与优化提供决策依据、防止病毒木马等网络风险等等。

3.4 日志审计系统

综合日志审计平台通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

3.5 数据库审计系统

数据库审计以安全事件为中心，以全面审计和精确审计为基础，实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报，来帮助用户事后生成合规报告、事故追根溯源，同时通过大数据搜索技术提供高效查询审计报告，定位事件原因，以便日后查询、分析、过滤，实现加强内外部数据库网络行为的监控与审计，提高数据资产安全。

3.6 ATP攻击防御平台

ATP攻击防御平台是一种可防御高级可持续威胁攻击（也称为定向威胁攻击），指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

防御手段通过IDS+情报+沙箱+机器学习等综合的判断网络数据是否有威胁。比如：

（1）基于沙箱的恶意代码检测技术——未知威胁检测；构造一个模拟的执行环境，监控可疑文件，分析是否存在威胁。

（2）基于异常的流量检测技术——IDS（已知的特征库的检测）；要从各种开源机构或自发渗透挖掘出利用代码或恶意代码，来加入ids规则库来增强检测能力。

（3）全包捕获与分析技术；借助天量的存储空间和大数据分析（BDA）方法，FPI能够抓取网络中的特定场合下的全量数据报文并存储起来，进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法，协助分析师剖丝抽茧，定位问题。

（4）综合分析技术；要能够从零散的攻击事件背后透视出真正的持续攻击行为，包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术等。

（5）除了监测/检测技术之外，还需要依靠强有力的专业分析服务做支撑，通过专家团队，不断充实安全知识库，进行即时的可疑代码分析、渗透测试、漏洞验证等。

四、类似案例分析

北方供热企业的供热系统是重要的基础设施、民生保障，智慧供热平台应结合4G/5G、人工智能、工业互联网、物联网通讯、网络安全防护技术进行整体规划。智慧供热平台环境中存在生产管控系统、数据报表系统、值班调度系统、收费系统、客服系统、办公OA系统等，需要把网络划分为多个网络区，进行网络分区隔离，把可能的安全风险控制在相对独立的区域内，避免安全风险及相互扩散。

网络安全边界部署防火墙，实现区域边界隔离控制，同时部署有VPN服务器，实现数据传输的加密和身份认证。区域边界包括安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件，部署必要的网络安全设备。

可参照如下规划方案：

图 平台调整网络架构图

4.1 加固网络安全

筑牢主动防御技术屏障。在边界安全域部署入侵防御系统（IPS）和防火墙，对进入校园网的所有数据流动进行实时检测分析。在安全管理域部署管理交换机和防火墙，将入侵检测、漏洞扫描、主机综合防护、堡垒机和数据库审计等安全管理设备通过管理交换机、防火墙接入核心交换机限制区外用户对安全管理设备的访问；把终端监控与审计、综合日志审计、终端安全管控等设备集中通过业务交换机、防火墙接入核心交换，实现管理与业务的操作隔离；通过部署安全管理日志收集与分析系统，接受所有安全设备上报的审计数据，识别攻击行为和违规操作，实现对网络访问行为的审计记录；在核心数据计算域，通过数据管理交换机、防火墙接入核心交换机，实现数据层安全隔离；制定数据安全建设方案，实现数据异地灾备安全备份、数据库访问控制、数据脱密处理等，从而在数据层面保障信息安全；利用防火墙的包过滤和隔离功能，设置 DMZ 区域来保障邮件和 DNS 等服务器的安全；在终端接入域通过终端安全管控系统，实现用户注册管理和身份鉴别，有效防范非授权用户登录。除此之外，建立网络安全监测预警。在安全防护的基础上，建立对于漏洞、木马、篡改等多层次的监测，实现更为主动、有计划的抵御，研究并充分利用网络数据及安全设备产生的日志。

4.2 数据存储加密技术

数据存储在保证数据运算效率的同时还需要确保其安全性，需要对数据信息进行加密保护，保证生产系统的数据移机备份。数据的加密传输是指在数据的传输过程中在网络链路层 、传输层等区域使用加密技术，以此确保生产系统数据的可用性和完整性。采用必要手段防止非法用户对数据的窃取，进而维护生产系统的数据安全 、数据加密传输。

4.3应急保障措施

4.3.1通信与信息保障 

  领导小组各成员应保证电话24小时开机，以确保发生信息安全事故时能及时联系到位。 

4.3.2应急装备保障 

各重要信息系统在建设系统时应事先预留出一定的应急设备，做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时，由领导小组负责统一调用。 

4.3.3数据保障 

重要信息系统建立容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。

4.3.4应急队伍保障 

按照一专多能的要求建立网络与信息安全应急保障队伍。

5.5交通运输保障 

确定信息网络安全突发事件应急交通工具，确保应急期间人员、物资、信息传递的需要，并根据应急处置工作需要，由领导小组统一调配。 

4.4 应急漏洞常用整改方案

4.4.1弱口令整改

针对信息系统弱口令进行整改，统一选择使用密码安全强度较高的密码，禁止使用重复数字、生日、电话号码、字典单词等容易猜测的用户密码。其具体要求如下：

（1）．密码最小长度：8位。

（2）．密码字符组成复杂度：密码由数字、大小写字母及特殊字符组成。

（3）．密码历史：修改后的密码至少与前几次密码不同。

（4）．密码最长有效期限建议90 天，可根据系统重要性和用户权限采取不同的有效期。

4.4.2数据库漏洞整改

（1）．针对渗透测试扫描出的数据库漏洞逐一分析，安装升级补丁修复此安全问题。

（2）、关闭数据库对外公网端口。

4.4.3任意文件下载整改

（1）．用户下载文件之前添加权限判断，无相应权限不允许用户进行下载操作。

（2）. 文件放在web无法直接访问的目录下。

（3）. 禁止提供目录遍历服务。

（4）. 文件路径保存至数据库，让用户提交文件对应ID才允许下载文件。

五、结语

目前，大数据技术虽然能为人们抵御网络安全威胁提供强有力的技术支持，但是随着未来科学技术的持续发展，所面临的风险种类会层出不穷，网络安全与情报工作所需要面临的考验仍会持续增加，相关技术人员需要保持警惕性，充分发挥大数据技术的特性，不断增强自身网络信息安全的风险预测排查与应对处理能力。

参考文献：

[1]杨沛安,刘宝旭,杜翔宇.面向攻击识别的威胁情报画像分析[J].计算机工程,2020,46(1):136-143.

[2]石志鑫,马瑜汝,张悦,等.威胁情报相关标准综述[J].信息安全研究,2019,5(7):560-569.

[3]邹勤,余毅,袁俊.试论基于大数据的网络安全与情报分析[J].电脑知识与技术,2019,15(12):8-9.