基于大数据的网络安全态势感知平台的应用思考

栏目编辑：梁丽雯 E-mail:liven_01@
2019年·第10期
44
基于大数据的网络安全态势感知平台的
应用思考
■ 中国人民银行池州市中心支行　胡志军
摘要：
随着人民银行系统数据的“省级集中”，云计算和大数据技术越来越多地被应用在关键信息基础设施和重要信息系统中。

同时，数据的集中也带来了安全风险的集中，现有的安全防护措施难以应对大数据环境下的安全新形势。

基于大数据的网络安全态势感知平台，能够利用大数据技术分析系统内的海量安全数据，从全局上动态地反映系统的安全风险状况，实现网络系统的安全、持续监控能力，及时预警各种威胁与异常。

本文针对人行系统的实际情况，分析了大数据技术在网络态势感知平台的应用优势及存在的问题，并提出了相应的建议。

关键词：
大数据；态势感知；数据集中；网络安全作者简介： 胡志军（1991-），男，安徽池州人，工学硕士，工程师，供职于中国人民银行池州市中心支行，研究方向：计算机应用。

收稿日期： 2019-07-12
大数据技术的发展使得数据成为科技发展的关键，并形成新的网络安全形势：海量数据带来的数据分布式存储问题、数据类型的多样性带来的数据标准化问题、数据来源多样性导致的数据源安全问题。

为应对大数据产生的网络安全风险，及时遏制各种新型网络攻击，实现对网络系统可能存在的威胁进行预警，有必要研究基于大数据的网络安全态势感知平台。

目前，网络安全态势感知平台可以处理冗余的、结构化的安全数据，但对于大数据环境下的海量非结构化数据，其具有较大的局限性。

海量数据的分布式存储、高效率的并行计算和智能化的数据分析等大数据技术的优势，可以有效解决这一局限性。

同时，随着
近年来人民银行省级分支机构通过实施“省级数据中心基础环境‘云’化工程”，使得各类网络服务需求快速增长，数据越来越多地被集中在省一级，创建大数据平台成为了趋势，这也使得利用大数据技术构建网络安全态势感知平台具备了可操作的可能。

一、研究背景
（一）数据集中带来的安全风险
大数据技术虽然给日常工作带来了便利，但同时也带来了一些新的安全问题。

大数据的分布式结构带来的海量设备安全管理问题、非结构化数据的存储和融合问题、接口开放导致的被攻击面扩大问题、实时
栏目编辑：梁丽雯 E-mail:liven_01@
2019年·第10期
45
流计算导致的隐私泄露风险等风险突出。

因此，及时发现针对大数据平台的网络攻击和重大网络安全威胁并精确预警和处置，是大数据技术中应该重点关注的问题。

（二）海量安全数据中蕴含着态势感知
网络安全态势感知技术是对引起网络安全状况变化的安全要素进行获取、分析、可视化，并预测其趋势，为之后的决策和处置提供相关依据。

在大数据环境下，每天都会产生海量的安全数据，包括数据流、系统日志、实时告警、入侵检测的安全情报等。

虽然其价值密度不高，但是运用有效的数据挖掘算法深入分析数据之间的联系，就可以发现这些数据所体现出的网络安全的态势和规律，从而有助于人们发现网络安全状况并作出相关决策。

因此，在大数据环境下，网络安全态势感知技术有着很强的应用价值。

（三）现有的安全防护措施难以应对安全新形势传统的安全防护措施具有以下典型的特征：依赖于本地现有的规则库，难以抵御外部攻击；规则库不能动态学习，对于未知威胁束手无策；没有数据追溯的分析能力，不能对攻击者进行溯源分析；对于多方攻击不能全面分析，缺乏联动。

因此，现有的安全防御机制无法应对大数据环境下数据的安全存储和攻击者手段多元化所带来的安全问题。

从目前的技术和发展趋势来看，亟须研究大数据环境下的网络安全态势感知技术，弥补传统安全防护措施存在的数据整合水平差、数据挖掘能力差、缺乏数据可视化能力等缺陷。

二、大数据技术在网络态势感知平台的应用
（一）面向威胁情报的大数据分析
面向威胁情报的大数据分析主要是利用数据挖掘技术，判断分析可疑的数据流是否为威胁情报，主要包含如下过程。

首先，进行数据预处理。

通过特征提取、数据融合、关联分析等方式进行数据加工获得可以处理的基础数据元。

其次，选择合适的数据挖掘
模型。

利用已知攻击中数据报文的数理特征、结构特征、统计学特征等，选择数据挖掘算法模型的流程、策略和规则。

最后，进行数据分析。

利用数据挖掘模型对预处理后的数据元进行深度分析，从而获得潜在的威胁，预判未知的风险，感知目前网络安全的态势，为安全决策提供依据。

（二）实现对网络安全态势的主动预警
大数据时代的来临，使得日常运维过程中生成海量的原始日志信息，包括网络设备运行日志、安全设备运行日志和业务系统日志记录等，但是这些日志信息具有数据量大、冗余性强、非结构化和关联性差等特点，不能够直接被传统的态势感知系统利用。

基于大数据进行多源日志分析处理是利用大数据的分布式存储、精确的大数据分析和高效率的处理等特征，对海量的安全日志数据进行网络安全态势的分析处理，并从中获取当前网络安全系统中的安全态势，从而形成可视化的报告并实时向运维人员展示。

（三）利用大数据技术实现网络安全的主动防御传统的态势感知系统对捕捉到的安全隐患进行分析后，仅将分析的结果展示给运维人员，并未对发现的威胁和漏洞进行实时处置。

大数据环境下的态势感知平台在处理已知威胁的同时，会建立威胁处理的特征库，并利用机器学习算法对特征库进行动态维护。

当态势感知系统发现到恶意攻击时，通过大数据分析自动与处理特征库匹配并实时选择处置方案，实现与入侵检测、防火墙等安全管控设备的联动，实时阻断网络攻击，并生成处置报告，有效地抵御了恶意攻击，保证
了网络系统的安全可靠。

三、大数据技术在态势感知运用中存在的问题
（一）缺乏完整制度体系的支撑
目前，人行各分支机构尚未为大数据环境下的态势感知平台的建设和维护建立相应的管理制度体系，如数据标准化制度、人才培养制度、安全运营制度、平
栏目编辑：梁丽雯 E-mail:liven_01@
2019年·第10期
46
台的应用规范等。

若要充分发挥平台的作用，就要加强网络安全运营管理，建立起与之相适应的制度体系。

（二）缺乏合理的算法和有效的技术平台态势感知的准确性与大数据分析中算法选择的科学性息息相关。

对大数据环境下的网络安全态势感知来说，算法选择的正确性直接影响威胁情报的准确性以及应急处置的有效性，关乎整个系统的安全。

因此，大数据环境下的网络安全态势感知平台，需要能够自如地运用不同的智能算法对攻击事件中的数据流进行采集、质疑、假设、分析、验证和决策，要能够主动地学习攻击的特征并将其加入到特征处置库中。

然而有关算法的逻辑基础大多是基于安全人员的经验，目前，关于大数据分析的智能算法很多，但能够灵活应用于态势感知中的算法还需要一定的经验积累。

（三）复合型专业人才短缺
大数据中大多是非结构化的数据，选择合适的算法并生成有效的模型对数据进行深度分析和挖掘，需要专业的技术能力。

同时，为切实提高网络安全防护能力，必须将态势感知预警和实时应急处置相结合，在面对网络安全威胁时，更需要具备专业技术的人才实时调整模型策略，及时进行应急响应处置。

因此，在大数据网络态势感知平台建设中，需要兼通大数据、网络、安全运维的复合型人才。

四、意见建议
（一）加强制度建设，强化网络安全运营管理首先，探索建立健全大数据应用的各项安全管理制度，如数据的存储管理、标准化制度、隐私保护等级标准等。

其次，建立基于大数据态势感知系统的建设、使用和管理相关制度，如系统建设的人员管理、安全部门运维制度、风险管理、安全预警机制等管理制度和操作规程。

最后，要建立大数据趋势下的人才培养制度，尤其是要针对分支机构科技人员安全运维水平较低的现状，制定专项培训制度。

（二）加强安全人员综合素质建设
通过技术人员建设，提高网络安全工作能力和对突发安全事件的应急处置能力，达到网络安全威胁事中阻断、事后溯源的效果。

一方面，加强技术培训力度，进一步拓展和深化安全人员在大数据环境下的运维技能，提高新形势下的网络安全工作能力。

另一方面，提高对安全人员的学习要求。

要求安全人员不仅要熟练掌握和运用传统安全运维知识和工具，还需要强化对态势感知、机器学习和大数据等前沿技术的学习，提高网络安全检测和分析处理的水平。

（三）加强顶层设计，合理建设基础平台在平台建设时可按照统一规划、分级部署的方式，分多个阶段逐步建设。

首先，应加大对基础设施的改造以及加强对智能算法的研究力度，为平台的建设打下基础。

其次，完成基础平台建设包括数据采集、标准化处理、数据分析、可视化展示等模块。

最后，建立完善的网络安全态势感知平台，形成自动调配的智能分析预测模型，实现自动化、智能化、体系化的网络安全防护能力，建立起覆盖全网的态势感知、安全监测、实时预警、主动防御的体系。

FTT
参考文献：
[1]陈洁，袁喜. 利用态势感知发现海量数据背后的安全威胁[J]. 网络安全和信息化，2018(9):114-116.
[2]陶源，黄涛，张墨涵，等. 网络安全态势感知关键技术研究及发展趋势分析[J]. 信息网络安全, 2018(8):79-85.
[3]舒航，王颖颖，程鲁鑫. 网络安全态势感知及关键技术研究[J]. 福建电脑，2018(10):92-93.
[4]周平，马斌，韩冰，等. 基于大数据平台的日志分析预警技术研究[J]. 电脑知识与技术，2016(32):266-268.
[5]杨建. 基于大数据的态势感知运用分析[J]. 国防科技，2018(5):11-15.。