曹 晨

开封市科学技术情报研究所，河南 开封 475000

如今，大数据技术呈现出喷射式的发展，是推动整个社会发展与创新的关键之所在，任何人、任何地点、任何时间都可以借助网络平台来发表自己的言论，这就使得网络安全与情报分析备受关注。然而，网络攻击频发，在一定程度上对人们的财产安全、信息安全造成一定的威胁，此时就需要在大数据背景下，对网络安全与情报进行全面、系统的分析，以此来降低安全事件的发生率。

1 网络安全与情报分析现状与困境

1.1 网络安全与情报分析现状

目前，科学技术的发展，极大地推动了网络技术的发展，使网络活动范围和方式呈现出多元化的发展趋势，为网络情报的获取提供了极大的便利。 但是，由于受到各方面因素的影响，网络信息窃取和网络攻击等安全隐患层出不穷，对网络安全技术提出了严峻的挑战。因此，急需对网络技术进行改进和升级，更好地发挥网络安全与情报分析的重要性。

1.2 网络安全分析的困境

在新应用不断发展和IT 架构日趋复杂的时代背景下，现有网络和应用的边界变得更加模糊不清，通过传统的单边界、控制点等网络安全设备无法全面了解和掌握整个网络的安全状态，此时就需要对网络安全和应用进行优化和调整，使其具备更高的机动性，为网络安全发展奠定良好的基础。

在传统网络安全分析中，更多侧重于对各种网络流量及日志进行缓存，然而该过程需要投入大量的时间和成本作为支撑，同时会受到空间、时间等因素的限制，要定时清除日志和数据信息。实际上，为了实现对云计算或网络系统的安全分析，要构建一套系统、完善的全局数据，具体内容包括用户身份信息、行为信息、访问信息、漏洞信息、日志信息、网络数据信息以及配置信息等，除此之外还需要对互联网外部情报信息进行收集。如今，随着信息化的快速发展以及5G 时代的到来，这些数据信息产生的速度将会变得越来越快，在增加处理成本的同时，也增加了网络安全监测的难度，以往的网络安全监测手段不能有效覆盖如此庞大的大数据信息。同时，网络的不断升级也会使网络攻击方式呈现出多元化的特点，加之各类特种病毒蠕虫、木马、僵尸网络、高级持续威胁（APT）等的影响，使得网络攻击的趋利性和目标性不断增强，并具备了隐蔽性、长期性和复合性的特点。传统网络攻击检测技术或多或少受到了数据收集与存储的局限，无法对新型网络攻击进行有效检测，致使网络安全受到一定威胁。

1.3 情报分析的困境

通常情况下，传统情报分析所采用的工具具有相对比较单一的数据源，而目前大数据已经成为未来科学技术发展的必然趋势，云计算技术与移动互联信息技术的发展使得情报信息的信息源呈现出多元化的发展趋势，再加上大规模数据互相关联技术的缺失，不能对网络情报进行有效的挖掘。因此，在现有环境下，要想对网络情报进行更好的分析，就需要根据最新的处理技术来对情报信息进行挖掘、采集和处理，这样既可以实现对外部和内部非结构化数据的有效采集、处理和存储，而且还可实现对复杂、多源数据的有效处理、分类和实时跟踪。

2 基于大数据背景下网络安全与情报分析

2.1 APT 攻击检测

在大数据时代背景下，网络APT 攻击具有明显的隐蔽性及渗透性特征，在一定程度上威胁着国家和企业的网络安全，不利于国家和企业的健康发展。例如，2010 年震网病毒的出现；2012 年火焰病毒的出现；2015 年黑暗力量入侵乌克兰铁路系统和矿业系统事件的出现，均是APT 攻击的范畴。实际上，在网络攻击过程中，APT 攻击一般面临着攻击路径和渠道无法明确且隐蔽性强的问题，这就导致传统的安全方案无法有效地抵御APT 攻击，增加了网络安全事件的发生率。

目前，应用效果最佳的APT 攻击抵御方案为数据关联分析方法，而大数据技术可以提升数据关联分析方法的应用效果，可以将其用于APT 攻击检测中。例如，美国RSA 实验室所采用的Beehive 系统就是借助大数据技术来采集和处理大量的日志信息，并检测组织结构中资源使用情况，及时挖掘该组织结构中包含的策略违背内容及被恶意软件感染的内容，并按照一定的方式将看似孤立的事件结合在一起，这样能够清楚地检查出APT 是否攻击过该组织机构。 在2012年，Giura 提出了一项研究成果，其主要是在大数据技术和攻击树技术的基础上构建概念攻击模型，以实现对APT 攻击的有效检测与抵御。实际上，该概念攻击模型又被称之为攻击金字塔，潜在的被攻击目标为顶层，其包括了系统中的数据服务器、敏感数据以及高层职员等数据信息，并根据攻击相关的事件环境和横向平面标注，来将其划分为不同的场景，借助相应的MapReduce 对不同的场景进行并行处理，然后采用不同的算法来检测处理后的信息，这样一来就能够完成对APT 攻击的有效检测。

2.2 网络风险感知

通常情况下，在网络环境中往往会存在不同种类的网络风险，此时就需要国家和企事业单位对网络风险给予高度的重视，实时、动态地了解和掌握网络运行状态，以便能够第一时间感知网络风险，并采取有效措施给予处理，以确保网络安全、可靠、高效运行。在网络风险感知过程中，要对各类潜在的安全因素给予全面系统的分析与评估，以完成对网络安全状况的真实评价。实际上，大数据技术的应用既能够有效提升网络风险感知效率，同时还可以进一步确保网络安全。

对于网络风险感知过程中所存在的问题，大多数企事业单位会借助大数据技术来创建网络安全数据感知平台，这样就能够确保企事业单位网络系统的安全运行。 例如，阿里巴巴集团借助大数据技术建设了阿里云云盾，可以通过SAAS 来有效感知网络风险；360 创建的NGSOC 平台，能够借助大数据技术来完成对本地所有数据信息的有效采集和存储，并以情报为核心来实现对网络系统的实时监控，与此同时，该平台还具备威胁溯源功能，极大地保障了网络的安全运行；四川大学创建的NTCI.NUBA平台，能够实现校园网的实时动态监控，具体内容有数据中心流量、网络流量及身份认证数据等，并借助Spark 及Hadoop 来完成对数据的分析，极大地提高了校园网的安全性[1]。

2.3 网络异常检测

网络异常检测是网络信息安全管理中比较关键的工作内容，能够完成对网络运行中出现的设备失效、流量异常或越权资源访问等问题给予有效监测和分析。从本质上来讲，网络异常检测主要是结合表征目标状态变化及对象属性清单来构建与之相匹配的检测模型，进而对网络中存在的非正常行为或策略违背行为进行监测与分析。实际上，在网络异常检测过程中，大数据技术更多地被应用在网络用户行为方面，从而有效提升网络异常检测的有效性。 通常情况下，大数据背景下所开展的网络异常检测行为，主要是通过机器学习和行为特征分析，来获取网络数据特征，以确保网络异常检测工作的顺利进行。例如，王占作为360 企业工程师，在黑帽大会演讲中提出：在进行网络流量异常检测工作中，借助深度学习方法能够使异常检测的准确率超过90%。同时，在不确定协议是否加密的同时，通过深度学习的异常检测过程，可以完成对网络中所有网络流的有效识别，且可识别率达到了55%。

2.4 网络情报分析

网络安全与情报工作，主要是借助分布式系统、大数据技术来完成对网络威胁情报的有效收集，该阶段收集的网络威胁情报一般是指包括威胁、漏洞、行为及特征等证据的知识集合体。实际上，网络威胁情报的收集和处理既能够提升防御技术的防御效果，而且还可以避免网络系统遭受攻击。在对网络威胁情报进行收集的过程中，还可以进一步提高系统用户对网络威胁和网络风险的认知，以保证系统用户能够选择更加科学、合理的方式来完成对网络威胁和网络风险的抵御，进而将危害程度降到最低。总之，一套系统完善的网络威胁情报主要涵盖了情报源、事件响应、融合与分析三个部分[2]。

在广大民众网络安全意识不断提升的基础上，国内外越来越多的企业开始提供网络安全威胁情报工作，包括Fire Eye、微步在线、Symantec 等企业，他们能够为用户提供多元化、全方位的网络威胁情报服务和产品，涉及网络犯罪防范、恶意软件清理以及漏洞检测等内容，以确保用户的网络安全。如今，越来越多的研究学者和机构创建了网络数据管理与采集平台，来对网络威胁情报进行有效筛选，进而为系统用户提供所需要的借鉴和帮助[3]。

3 大数据背景下网络安全与情报分析的发展前景

3.1 高级网络威胁挖掘方法的研究

通常情况下，高级的APT 攻击、僵尸网络及新型木马等都存在持续性和隐蔽性的特点，如果能够及时发现这些高级网络威胁，就可以有效降低损失，这就需要对高级网络威胁常用的检测方法进行研究，以此来进一步提高网络监测方法的准确性。实际上，针对网络持续性和隐蔽性的攻击，需要研发出在海量网络数据信息流中可以对持续性、隐蔽性的异常通信行为和正常通信行为进行区分。与此同时，还需要在构建检测模型的基础上，从多个维度进行分析，使多源异构数据关联问题得到有效解决。

3.2 网络安全威胁态势感知技术研究

这里所提及的态势一般是指状态和形势，而感知网络安全态势属于最基础、最基本的工作，此时就需要构建一套科学、合理、系统完善的NSSA 指标体系，以便能够更好地面向网络整体，同时还能够根据具体的方法和问题来实现对NSSA 评估对象的有效评估。

3.3 复杂网络攻击预测研究

任何一位网络管理者都是通过基于攻击树、攻击图等方式来实现对网络攻击的有效预测，然而上述方法始终偏于静态，无法完成对复杂网络攻击的有效预测。实际上，在大数据背景下，可以借助海量信息的获取与存储来完成对复杂网络攻击的有效预测[4]。

3.4 威胁情报相关问题研究

大数据背景下，网络情报具有非常丰富的获取来源，这就需要相关人员能够全方位立体地对其进行搜集与处理，并从中感知威胁情报。在融合和存储海量情报的过程中，还需要根据用户的具体需求，来从海量情报信息中挖掘威胁情报，并采取有效措施给予解决。

4 结语

综上所述，大数据技术具有非常强大的数据处理分析能力，将其应用到网络安全与情报工作中可以发挥巨大的作用。基于大数据背景下的APT 攻击检测、网络风险感知、网络异常检测、网络情报分析等技术不仅可以确保情报工作的顺利进行，而且还可以降低网络安全事件的发生率，在确保网络安全运行的同时，为用户提供更加优质的网络服务。