基于大数据的网络安全防护体系研究

＜ｒ＜　兰　！　堕室全　维普资讯 http://www.cqvip.com 基于大数据的网络安全防护体系研究　◆张中宝　余俊呖　摘要：本文针对大数据时代传统网络安全防护架构所凸显出不足，研究完善网络安全防护体系的　有效方法。它提出以威胁为中心的安全理念，以大数据技术为基础构建网络安全防护体系，并利用云　安全管控技术，实现网络边界和终端的安全联动，为解决安全孤岛和动态防护提供一条新的路径。　关键词：网络安全；大数据；云安全；安全威胁；安全联动　一、前言　纯粹的静态防御措施无法阻止黑客的蓄意攻击，甚至是　漫无目的的随机性攻击，这似乎成为网络安全从业者的无奈，　却是客观事实。如何有效解决内部“安全孤岛”，应对随机　性和持续性恶意攻击，是安全从业人员所面临的重要挑战，　尤其是大数据时代带来的新的网络安全威胁，操作系统、中　间件漏洞，后门程序层出不穷，以“勒索病毒”为代表的网　络攻击手段更加丰富，各类攻击方式工具化、自动化；黑客　门槛越来越低，网络安全形势不容乐观。随着《网络安全法》　的正式推出，将网络安全保障的要求提升到法律层面，而以　安全策略为核心的传统网络安全架构，即由一系列静态防护　策略或阈值来匹配实现安全防护的方式　，已很难满足当前　新形势下的网络安全保障要求。本文针对传统网络安全防护　的问题，提出以威胁为中心的安全理念，探索构建基于大数　据分析的网络安全防护体系，应对新形势的网络安全挑战。　二、当前网络安全的主要挑战　移动互联网、云计算、大数据时代的到来，网络安全保　障正面临着全新的挑战，而安全问题也正在变成为一个大数　据的问题。企业网络、安全防护设备、服务器和应用系统每　天都在产生大量的安全日志，且呈现出越来越快、越来越多　的趋势　。出于制造政治影响，或经济利益驱使，由境外组　织和商业黑客所引发的攻击和威胁日趋严峻，使得现有网络　安全管理局限性显露无遗，主要体现在以下几个方面：　１．安全设备事件数量巨大。企业部署的防火墙、入侵检　测等安全设备，每天所产生的安全事件数量都在万条以上，　令安全人员困扰的是其中９９％的安全事件属于误报，而１％　真正有价值的安全事件淹没在海量的误报信息中，难以识别。　在一定程度上说，安全设备所发挥的作用大打折扣，甚至可　能沦为摆设。　２．安全设备成为安全孤岛。各安全设备各自为战，缺乏　相互关联的分析能力，只能识别已描述的攻击，安全威胁识　别能力不足。一个攻击活动往往由多个安全动作组成，多个　安全攻击动作相互协作，存在不同空间来源、时间前后关系　等，安全设备所形成的安全孤岛很难实现有效的综合分析，　从横向和纵向多个维度来开展关联分析。　８２　信息系统工程｝２０１８　２　２０　３．安全预判能力不够。当前网络安全运营是以被动应急　响应为主，缺乏对抗能力，总是疲于救火。缺乏对安全风险　的提前发现与研判手段，安全防护重点多集中在修补漏洞、　加固基础设施等方面。这就好比修院墙一样，寄希望于修筑　的院墙足够高、足够牢固，攻击者无法翻阅围墙，或者突破　城墙。这种静态的防护方式，总在丰富的进攻手段面前捉襟　见肘。　４．应用漏洞后门层出不穷。核心软硬件基础设施，服务　器、操作系统、中间件等相关产品都由境外企业占据市场垄　断地位，各种安全漏洞，预制后门更是令人堪忧。这也为高　级持续性威胁（ＡＰＴ，Ａｄｖａｎｃｅｄ　Ｐｅｒｓｉｓｔｅｎｔ　Ｔｈｒｅａｔ）攻击提供　了渗透的空间。近年来，具有国家和组织背景的，ＡＰＴ攻击　日益增多，成为网络安全空间危害最大的一种攻击方式。　三、以威胁为中心的安全理念　网络安全攻防是一场没有硝烟的战争，像战争一样再强　的防御也难以御敌于国之外，攻击者总会进入到你的网络中，　但好在入侵和破坏是两回事，虽也存在从入侵发生到产生破　坏之间时间窗口很短的情况，但同时我们也看到，一些重要　信息基础设施由于防护措施较为完备，使得大多数人侵想要　达成目的，需要较长的时间。因而如果安全防护团队可以在　攻击者入侵到完成破坏目的之前阻止其进一步活动，那么就　可能即使遭受入侵，但不会造成破坏而产生负面影响。　因而我们知道，传统的安全防护产品并不过时，防火墙、　入侵检测、终端安防套装等产品，共同构筑了多级防御纵深，　对随机性攻击形成有效的阻击，同时可以延缓攻击节奏，扩　大防护者检测和应急响应的时间窗口。这些是安防的重要基　础，没有这些基础性的安全设备，后续的检测和响应就成为　空中楼阁，现实中无法实施。　针对高级持续性威胁攻击，传统安全防护体系仍存在一　定盲区和短板，虽可延缓攻击时间，但很难实际阻止其最终　的攻击目的。因而在传统防护基础上，提出以威胁为中心的　安全理念，不再强调单个防火墙，或入侵检测设备的检测，　也不再追求告警的精确性，而是将若干安全设备关联起来，　以数据为驱动来解决问题。围绕威胁检测这一中心，通过各　类终端设备（服务器、网络设备、安全设备）数据收集、检测、　分析，来发现威胁展开防御，这也是解决ＡＰＴ攻击的有效手段。　维普资讯 http://www.cqvip.com 一ＳＹＳ　ＳＥＣＵＲＩＴＹ　系统安全　＞＞　　四、大数据架构的网络安全防护体系　针对重要信息基础设施的持续性安全攻击，其技术手段　越来越先进，复杂度和隐蔽性也越来越高，很多攻击发现背　后隐藏着某些境外国家或组织，这些支持力量都已经超ｌ叶Ｊ了　传统网络安全防护能力。利用大数据技术应对安全攻击，成　为一种可以选择的有效技术手段。　１．总体设计　当我们建立了以安全威胁为中心的安全理念后，安全问　题实质上演变成数据问题，如何收集数据、分析数据、产生　安全预警则是整个网络安全防护体系需要考虑的核心，闪而　分析，可以判断李四很有可能是绕过防火墙登陆核心数据库。　情景二：Ｂ公司通过ＩＤＳ检测到有针对目标Ｗｅｂ服务器　的漏洞攻击，安全人员检查触发告警的数据包是否经过路由　器，或经过哪个路由器，分析防火墙日志是否拦截攻击包，　再检查服务器文件是否完整，以及文件权限是否修改等。通　过关联分析，可以基本确定一个攻击事件是否发生，以及是　否造成危害。　■＿—●　　在总体架构设计上与大数据标准架构体系类似，主要由　部　分构成，分别为数据收集层、数据分析层和应用层，提供安　全威胁发现、脆弱性应急响应和安全联动等功能　。　ｉｉ　—＿—＿　　图２网络安全威胁发现示意图　３．脆弱性管理应急响应　脆弱性也就是常说的漏洞，是信息基础没施中可能被　威胁利用的薄弱环节，脆弱性一旦被成功利用就可能对信息　资产造成损害。以“勒索病毒”为代表的网络安全攻击，清　楚地警示我们攻击者利崩安全漏洞所带来的破坏性有多么巨　大。根据网络安全术桶理论，对一个受保护的信息主体来说，　图１大数据安全整体架构图　决定它安全性高低的不在于是否采取了最新的加密算法或最　先进的防护设备，而是由系统自身的最薄弱之处，即漏洞所　数据收集。通过ＳＮＭＰ、Ｓｙｓｌｏｇ、　Ｐ等方式获取远端主　机设备的安全日志、运行日志、性能数据等信息。例如，网　络设备、数据库、应用系统、服务器、安全设备等。　决定的。只要这个漏洞被发现，系统就有可能成为网络攻击　的牺牲品，及时发现并修复重要的安全漏洞是体现网络安全　防护强度的关键之一。　数据分析。将收集来的数据进行分类、清洗，并根据分　析规则建立关联模型等不同类型的分析模型，从大量独立的　Ｅｔ志数据中，关联分析ｍ有效的攻击报警信息。　应用层。根据分析结果，我们可以将信息用以网络安全　威胁发现、脆弱性应急响应、安全联动等。　２．网络安全威胁发现　安全漏洞并不能自己突然出现，而必须有人发现它。比　如：黑客，破泽者、安全服务商，或产品发布者。因而在建　立脆弱性管理应急响应时，我们必须借助外部力量，南其提　供高危脆弱性的预警和方案解决，如图３所示。　＿　ｉ　一　　一　。我们发现来白外部的网络攻击不会仅在某个设备上留　下痕迹，只是因为安全设备所形成的安全孤岛，让安全人员　很难通过人力方式从大量安全日志中发现隐藏其中的安全威　【　一．Ａ◆ｕ　翟…一、　警　·　鼍Ｉ＿ｌ◆爱　羔；　－·ｏ◆　证　胁，但是攻击者的行动轨迹必然有它的联系，将这些分散在　１３志中的分动作关联起来，就是网络安全威胁发现的核心思　ｏ　：卜　：卜　尘　图３脆弱性管理应急响应示意图　４．终端安全联动　想。例如，路由器记录的是转发数据包信息；防火墙记录的　是指定的策略下允许和丢弃数据包的访问信息；ＩＤＳ记录可　疑数据包的预警信息；应用服务器记录服务访问和文件操作　信息等。通过关联分析，可以将不同设备中的日志数据组合　分析　有用的告警信息，如图２所示。　大数据安全就是我们常说的云安全体系，基于终端的术　马感知，当内网某终端被未知木马感染时，可以将感染术马　样本自动采集到大数据安全控制中心，形成防护策略．并自　动下发到内网其他终端上产生免疫能力，这样一来内网每个　终端不仅是风险点，也可为风险采集点、感知末梢，能在最　（下转第８５页）　信息系统一Ｉ：程【２０１８．２．２０　８３　情景一：Ａ公司为保障核心数据库的安全，在其前端　部署了数据库防火墙，某天安全监测发现员丁李四层登陆了　ＤＢ２核心数据库，但防火墙日志却没有相关日志。通过关联　维普资讯 http://www.cqvip.com

ＳＹＳ　ＳＥＣＵＲＩＴＹ　带一路战略实施过程中，将起到越来越重要的作用。基础设　施的建设与完善程度，直接影响到其在我国西北大开发、一　带一路走出去重大战略中能否发挥出更大的带动作用。由于　该地区地形地貌南北差异较大，在架空线路基础工程建设过　程中面临的技术难度及问题较多，该地区相关部门要积极开　路基础设计理论与实践体系。∞　参考文献　【１】高明虎．架空线路回路基础工程冬季施工措施的探讨Ｕ］．建材与　装饰，２０１６，（３６）：２０３—２０４．　展国际、国内技术交流与合作，针对宁夏回族自治区内不同　地区，制定符合该地区地形地貌的基础工程实施方案。加强　［２］罗小敏．浅谈高压架空输电线路施工管理的要点１３］．通讯世　界，２ｏ１６，（１６）：１６２—１６３　［３Ｊ司马力高压架空输电线路施工管理的要点探讨ⅡＪ．建材与装　饰，２０１６，（３０）：２３０－２３１．　该地区电网建设与改造，为我国北部电网大通道建设提供完　备的基础性服务，做好该地区架空线路基础工程建设。以此　【４］乔常贵．架空输电线路铁塔基础工程质量影响因素分析与管理　建议Ｕ】．科技展望，２ｏ１６，（０６）：１０３．　同时，针对输电线路杆塔等基础工程的关键性重大技术问题，　应加大科研投入力度。积极发展我国独立知识产权的送电线　（作者单位：国网宁夏电力公司经济技术研究院）　（上接第８３页）　短时间内发现新威胁，分析威胁，以用于边界防护和终端防　护，能够对企业网络进行更佳安全防御　。　终端安全直接关系到每位用户的安全状况，同时也直接　影响到企业整体网络的安全。一般情况下终端安全包含防火　来构建完善网络安全防护技术体系，该体系在结构上能够有　效弥补传统架构的不足，较好的应对大数据时代所暴露出的　新问题。随着大数据防护体系的长期深入应用，安全威胁发　现将会越来越及时，可供攻击者利用的时间窗口将越来越长，　墙技术、防病毒技术和行为监测技术等，而基于大数据的网　络安全架构下，终端安全不仅需及时更新病毒库，更重要的　云管控范围逐步扩大，甚至接入安全服务商的公有云安全，　真正实现网络安全无忧化。啪　参考文献　【１］唐拥政，王春风基于ＰＰＤＲ的动态无线网络安全模型的改进　是终端之间要有统一管控。当某一终端被感染或攻陷后，能　迅速反馈到云集中管控，迅速部署控制疫情进一步扩大，避　免同一病毒或木马的重复感染。　同样当边界设备遭遇攻击时，通过数据捕获分析，及时　更新策略并下发到终端，从而实现智能协同，主动防御，大　研究［Ｉ】．盐城工学院（自然科学版），２０１３，９．　［２】姜茸，马自飞，李彤．云计算安全风险因素挖掘及应对策略卟　现代情报，２０１５．　［３］郇林．基于大数据的信息安全浅析　知识经济，２０１４（０６）：１１４．　［４］孟治强．基于大数据的下一代网络安全架构初探Ｕ】＿　幅提高终端与边界的安全防御能力，有效应对已知或未知的　安全威胁，通过边界和终端的联动实现网络安全最大化。　商，２０１５（３４）：２０７—２０７．　结语　本文给出了以威胁为中心的安全理念，并以大数据技术　（作者单位：武汉市烟草专卖局（公司）科技信息中心）　信息系统工程ｌ　２０１８．２．２０　８５