论文部分内容阅读
摘要:随着时代进步,网络的全面覆盖和发展,广泛的智能普及,使用户不断提升对感知的要求。与此同时,威胁网络安全的事物也层出不穷。本文旨在说明网络防护单一化已经不能完全解决网络安全面对的问题,需要网络动态安全管制,从整体反映现状,并对安全问题及隐患进行预测。文章将介绍分析网络安全态势以及动态感知技术,建立有效快速的威胁分析、检测、处置能力,促使信息可知可控。旨在为有关人士提供参考与借鉴。
关键词:动态感知;大数据;网络安全;网络运维
引言:随着互联网的发展,多层次、大规模、复杂化的网络安全风险也随之增加,各种网络病毒都威胁着网络的稳定与安全,传统的技术难以有效、及时处理病毒带来的影响,在此情况下,需要新兴技术升级网络安全防护,提前预估风险,降低整体风险等级。结合检测情报、机器学习、图关联分析等技术,使全网的流量实现可视化,解决安全遗漏带来的问题。
一、运营商数据分析背景
运营商掌握着大量的网络数据,生產、传送并使用大数据,处于网络管道的位置。对于运营商来说,其要及时掌握各个行业对大数据的实际使用情况,同时,为了满足自身生存与发展的需求,也要对大数据进行充分、积极与合理的运用,以此适应社会发展。
第一个层面是在业务领域,在DNS日志数据挖掘的基础上,进行对客户访问点击率和归属地的分析,为用户感知提供一些借鉴。还要通过分析网络结构,挖掘测试数据等影响情况,来给规划网络建设提供参考依据,进一步进行结构调整和优化,升级网络系统。第二个层面是在用户领域,在AAA日志数据的基础上,探接入过程中的差异化带宽,之后来分析流量特性的匹配关系,从而对流量情况进行准确的预判,同时也可以为后续的规划奠定基础。实践中可以对比不同的用户的各种行为特征,然后分析其差异性,借助这些数据,核查异常用户,进一步提高投放的准确性,也可以为用户提供更为及时的回访,使用户拥有更好的体验,其对服务的满意度也将大幅度提升,进而将为供应商树立良好的形象,其品牌效应将日益增强。
挖掘用户数据并进行探针数据统计和分析,是技术层面的创新,试着以用户作为出发点来进行分析,一改以往从面、线、区域的传统分析方式,这样可以更加高效便捷,对公司网络建设以及其他拓展业务都补充了可供参考的数据。
二、网络运维的日志采集和分析
Syslog被动监听方式采集,mysql数据库表里的日志,本地local的文件采集以及ftp文件的主动采集等等,都是目前能采用的采集日志的方式。例如,用JDBC来进行采集日志,设置好IP地址,输入监听端口,此外,还包括用户名密码等有效信息,和数据库中指定好的实例连接按照顺序来读取指定的数据。服务器的操作系统、应用系统、数据库和中间件是主要采集Syslog;监控扫描资产安全,全流量包的网络采集,进行自主学习了解网站资产。
从被动防御转变为主动感知,对于现在发生的事件需要与威胁规则等相匹配,然后做出回应,一般是识别出威胁响应。情报系统的能力有以下几种:对事件参与者的诚信度进行威胁评估;倘若参与者具有威胁情报的几种特征,那么其威胁程度就会被随之提高;对于大部分属于较低威胁行为的事件,需要对其进行筛选,接下来会方便分析潜在的威胁;在首次侵害之后,如果再次遇到侵害,需要借助共享机制来发挥作用,这样能高效快速做出反应进行识别;增加侵害者需要的攻击成本,如果侵害者想要绕过这种防御体系,那就需要更高级的隐藏方法;威胁情报通过分析关联方法能发现潜在正常流量之间的威胁,也为安全事件、日志等提供多维的信息。判断流量是否有异常情况,建立模型需要根据流量在正常行为的特征下运行,能发现水平扫描、ARP欺骗、IP地址扫描、网络蠕虫、垂直扫描等。与此同时,深度检测能力也体现在许多方面,这里不一一列举。
就目前来看,检测失陷主机的方式被人们所掌握与了解的已经有二十多种。对病毒行为、黑客常用攻击行为、异常外联行为等特征都可以利用安全感知平台内搭建的算法来进行分析,算法融合iForest、协议模型学习、主机网络流量模型,并结合DGA域名判断构建融合检测模型以及大数据关联分析的引擎所提供的联动分析[1]。各类检测能力和大数据关联分析的能力是由大数据分析引擎来负责的,这个引擎主要由模型融合和预处理数据等主要部分来构成的,支撑失陷主机检测、UEBA和大数据关联分析等。
三、网络动态感知技术和网络安全
(一)动态感知的相应技术
首先是数据融合技术,要通过相应的大数据技术来对不同用途不同来源不同格式不同位置的数据进行统一的预测判断,之后在平台融合操作,给网络安全信息感知技术提供统一平台,在逐步分析筛选后得出结论。其次是数据挖掘技术,是需要通过很多的网络设备进行集中搜集然后整理分析情况,经过统一处理后,通过相应工具和算法,对有效信息系统筛选甄别,然后挑选出合适的信息,以便之后工作进行处理和分析这些信息。最后介绍可视化技术,需要运用相应技术,从而进行数据的图形和图像大的相互转换,可以帮助从事的工作人员对未来趋势进行更好的把控[2]。
(二)动态感知的任务和特点
动态感知的任务主要是包含事件的感知以及以下两个任务和风险的感知。就风险感知层面而言,在海量的资产分析中,评估资产的价值量以及有多少可能性会被攻击,在攻击后所具有的相应防范能力进行估计,为可能会造成的损失进行预测评估。视线感知是包括对异常行为和所有事件的监控,以至于能达到安全事件收集准确高效的目的。但是异常风险感知需要对所有面临的风险和可能的状况进行估测,然后有针对性的制定恰当的解决方案,以防止位置攻击为主要目标。
对于其特点的阐释主要是进行智能分析,然后挖掘网络安全所处的环境,监测发动攻击的源头,然后进行追踪分析。发动攻击的情况发生后,倘若能够主动掌握整个事件的发展方向和脉络,拟好相应规范和保护措施,那么就能及时规避风险降低甚至避免各种经济损失。
(三)大数据分析安全感知平台构建
首先,硬件基础层是核心部分,虚拟化技术可以构建一种身临其境的真实体验感,使人不再受限物理上的界限,将一台服务器变成几十上百台这种相互隔离的虚拟服务器,让内存、CPU、磁盘等硬件变成资源池。可以使系统管理简化、资源的利用率提高、服务器整合实现等,这些都是服务器虚拟化的表现。其次,是安全日志采集层,采集有效的日志并进行记录,符合条件的信息进行规范化处理,之后进行算法分析和计算,再将其运用到大数据的分析之中。再次是大数据的存储层,把网络上的海量数据进行筛选然后分布存储,增强其各方面的存储能力,可以为之后的数据整理分析提供可靠的支撑。最后是安全态势分析层,运用相应的分析技术来快速检索海量数据以及相关联的信息,然后进行筛选整理,分析其所处的安全状况并加以评出风险等级,方便之后的信息管理[3]。
结论:综上所述,在网络安全领域全面开展并运用动态网络安全技术,是为了缓解网络安全日益严重化和复杂化的问题。该技术的运作,与数据支持及相关技术的充分利用是离不开的。对数据的整理搜集、分门别类归置以及统计筛选有效信息,都为网络安全动态感知提供支撑,为日后数据研究分析能更加精准,趋势的动态评估可以更好的实现。如果想要该技术更广泛的使用和认可,还需做出更多探索和努力。
参考文献:
[1]张尧.基于网络运维的大数据分析安全感知策略研究[J].数字通信世界,2020(03):125-126.
[2]张新淼.基于网络运维的大数据分析安全感知策略研究[J].网络安全技术与应用,2018(09):67+35.
[3]许暖.基于大数据背景下分析网络安全态势感知关键实现技术探索[J].数字化用户,2019,025(001):179-180.
关键词:动态感知;大数据;网络安全;网络运维
引言:随着互联网的发展,多层次、大规模、复杂化的网络安全风险也随之增加,各种网络病毒都威胁着网络的稳定与安全,传统的技术难以有效、及时处理病毒带来的影响,在此情况下,需要新兴技术升级网络安全防护,提前预估风险,降低整体风险等级。结合检测情报、机器学习、图关联分析等技术,使全网的流量实现可视化,解决安全遗漏带来的问题。
一、运营商数据分析背景
运营商掌握着大量的网络数据,生產、传送并使用大数据,处于网络管道的位置。对于运营商来说,其要及时掌握各个行业对大数据的实际使用情况,同时,为了满足自身生存与发展的需求,也要对大数据进行充分、积极与合理的运用,以此适应社会发展。
第一个层面是在业务领域,在DNS日志数据挖掘的基础上,进行对客户访问点击率和归属地的分析,为用户感知提供一些借鉴。还要通过分析网络结构,挖掘测试数据等影响情况,来给规划网络建设提供参考依据,进一步进行结构调整和优化,升级网络系统。第二个层面是在用户领域,在AAA日志数据的基础上,探接入过程中的差异化带宽,之后来分析流量特性的匹配关系,从而对流量情况进行准确的预判,同时也可以为后续的规划奠定基础。实践中可以对比不同的用户的各种行为特征,然后分析其差异性,借助这些数据,核查异常用户,进一步提高投放的准确性,也可以为用户提供更为及时的回访,使用户拥有更好的体验,其对服务的满意度也将大幅度提升,进而将为供应商树立良好的形象,其品牌效应将日益增强。
挖掘用户数据并进行探针数据统计和分析,是技术层面的创新,试着以用户作为出发点来进行分析,一改以往从面、线、区域的传统分析方式,这样可以更加高效便捷,对公司网络建设以及其他拓展业务都补充了可供参考的数据。
二、网络运维的日志采集和分析
Syslog被动监听方式采集,mysql数据库表里的日志,本地local的文件采集以及ftp文件的主动采集等等,都是目前能采用的采集日志的方式。例如,用JDBC来进行采集日志,设置好IP地址,输入监听端口,此外,还包括用户名密码等有效信息,和数据库中指定好的实例连接按照顺序来读取指定的数据。服务器的操作系统、应用系统、数据库和中间件是主要采集Syslog;监控扫描资产安全,全流量包的网络采集,进行自主学习了解网站资产。
从被动防御转变为主动感知,对于现在发生的事件需要与威胁规则等相匹配,然后做出回应,一般是识别出威胁响应。情报系统的能力有以下几种:对事件参与者的诚信度进行威胁评估;倘若参与者具有威胁情报的几种特征,那么其威胁程度就会被随之提高;对于大部分属于较低威胁行为的事件,需要对其进行筛选,接下来会方便分析潜在的威胁;在首次侵害之后,如果再次遇到侵害,需要借助共享机制来发挥作用,这样能高效快速做出反应进行识别;增加侵害者需要的攻击成本,如果侵害者想要绕过这种防御体系,那就需要更高级的隐藏方法;威胁情报通过分析关联方法能发现潜在正常流量之间的威胁,也为安全事件、日志等提供多维的信息。判断流量是否有异常情况,建立模型需要根据流量在正常行为的特征下运行,能发现水平扫描、ARP欺骗、IP地址扫描、网络蠕虫、垂直扫描等。与此同时,深度检测能力也体现在许多方面,这里不一一列举。
就目前来看,检测失陷主机的方式被人们所掌握与了解的已经有二十多种。对病毒行为、黑客常用攻击行为、异常外联行为等特征都可以利用安全感知平台内搭建的算法来进行分析,算法融合iForest、协议模型学习、主机网络流量模型,并结合DGA域名判断构建融合检测模型以及大数据关联分析的引擎所提供的联动分析[1]。各类检测能力和大数据关联分析的能力是由大数据分析引擎来负责的,这个引擎主要由模型融合和预处理数据等主要部分来构成的,支撑失陷主机检测、UEBA和大数据关联分析等。
三、网络动态感知技术和网络安全
(一)动态感知的相应技术
首先是数据融合技术,要通过相应的大数据技术来对不同用途不同来源不同格式不同位置的数据进行统一的预测判断,之后在平台融合操作,给网络安全信息感知技术提供统一平台,在逐步分析筛选后得出结论。其次是数据挖掘技术,是需要通过很多的网络设备进行集中搜集然后整理分析情况,经过统一处理后,通过相应工具和算法,对有效信息系统筛选甄别,然后挑选出合适的信息,以便之后工作进行处理和分析这些信息。最后介绍可视化技术,需要运用相应技术,从而进行数据的图形和图像大的相互转换,可以帮助从事的工作人员对未来趋势进行更好的把控[2]。
(二)动态感知的任务和特点
动态感知的任务主要是包含事件的感知以及以下两个任务和风险的感知。就风险感知层面而言,在海量的资产分析中,评估资产的价值量以及有多少可能性会被攻击,在攻击后所具有的相应防范能力进行估计,为可能会造成的损失进行预测评估。视线感知是包括对异常行为和所有事件的监控,以至于能达到安全事件收集准确高效的目的。但是异常风险感知需要对所有面临的风险和可能的状况进行估测,然后有针对性的制定恰当的解决方案,以防止位置攻击为主要目标。
对于其特点的阐释主要是进行智能分析,然后挖掘网络安全所处的环境,监测发动攻击的源头,然后进行追踪分析。发动攻击的情况发生后,倘若能够主动掌握整个事件的发展方向和脉络,拟好相应规范和保护措施,那么就能及时规避风险降低甚至避免各种经济损失。
(三)大数据分析安全感知平台构建
首先,硬件基础层是核心部分,虚拟化技术可以构建一种身临其境的真实体验感,使人不再受限物理上的界限,将一台服务器变成几十上百台这种相互隔离的虚拟服务器,让内存、CPU、磁盘等硬件变成资源池。可以使系统管理简化、资源的利用率提高、服务器整合实现等,这些都是服务器虚拟化的表现。其次,是安全日志采集层,采集有效的日志并进行记录,符合条件的信息进行规范化处理,之后进行算法分析和计算,再将其运用到大数据的分析之中。再次是大数据的存储层,把网络上的海量数据进行筛选然后分布存储,增强其各方面的存储能力,可以为之后的数据整理分析提供可靠的支撑。最后是安全态势分析层,运用相应的分析技术来快速检索海量数据以及相关联的信息,然后进行筛选整理,分析其所处的安全状况并加以评出风险等级,方便之后的信息管理[3]。
结论:综上所述,在网络安全领域全面开展并运用动态网络安全技术,是为了缓解网络安全日益严重化和复杂化的问题。该技术的运作,与数据支持及相关技术的充分利用是离不开的。对数据的整理搜集、分门别类归置以及统计筛选有效信息,都为网络安全动态感知提供支撑,为日后数据研究分析能更加精准,趋势的动态评估可以更好的实现。如果想要该技术更广泛的使用和认可,还需做出更多探索和努力。
参考文献:
[1]张尧.基于网络运维的大数据分析安全感知策略研究[J].数字通信世界,2020(03):125-126.
[2]张新淼.基于网络运维的大数据分析安全感知策略研究[J].网络安全技术与应用,2018(09):67+35.
[3]许暖.基于大数据背景下分析网络安全态势感知关键实现技术探索[J].数字化用户,2019,025(001):179-180.