基于大数据分析的网络安全风险挖掘与估计研究

基于大数据分析的网络安全风险挖掘与估计研究

苗雨欣   李沛洋  魏一凡

北方自动控制技术研究所 山西太原 030006

摘要：大数据时代，针对企业网络的攻击愈发多样。而企业网络是现代企业运行管理的核心载体，网络安全关乎整个企业运行效益。虽然多数企业部署了包括入侵检测系统、防火墙、入侵防御系统、数据库审计设备在内的安全设备，但是，由于相关安全设备处于独立运作状态，所产生的安全情报数据应用概率较低，无法为企业网络安全治理模式的优化提供参考。因此，立足大数据视角，分析企业网络安全治理模式的应用，具有非常重要的意义

关键词：网络安全；数据融合技术；人工智能

前言：互联网给人们的日常生活带来了极大的便利，但是也存在着诸多风险。目前，人们的生活和企业的运营已经与网络息息相关，不论是个人还是企业，其相关网络信息安全都受到了一定的威胁。基于此，必须借助数据融合技术建立健全网络安全相关防护系统，提高个人与企业在网络安全方面的抗风险能力。

1.大数据视角下企业网络安全隐患

1.1电脑病毒

大数据视角下的企业网络病毒多源于文件下载、电子邮件，如格式化的介绍性文件、Java形式的恶意小程序、附带格式化文档的邮件等。常见的企业网络病毒包括后门病毒Backdoor/FakeStudy、木马病毒HEUR：Trojan/VBS，Sendmail、广告软件Adware/Whenu、感染型病毒Virus/Sality、勒索病毒Ransom/GanCrab、宏病毒OMacro/Downloader等，可以直接导致企业网络瘫痪。

1.2系统漏洞

大数据视角下的企业网络结构为开放的分布式结构，存储虚拟化特征较为显著，极易发生大规模Oday漏洞。一旦企业内部使用者无法明晰数据存储的介质、位置与模式，将导致数据风险点定位错误，埋下越权访问、数据泄密等数据安全隐患。

1.3黑客攻击

大数据视角下，新型电脑攻击手段不断出现，如基于动态IP（网际互连协议）的持续性DDOS攻击（分布式拒绝服务攻击）、APT攻击（高级可持续威胁攻击）等，给大数据视角下的企业网络安全造成了新的威胁。黑客攻击兼具强隐蔽性、大破坏力、长攻击周期的特点，可以长期隐藏在企业网络内，借助社交网络、系统漏洞窃取、监听企业网络数据包，威胁企业网络安全。

1.4基于工控协议的安全保护机制欠缺，缺乏针对性

专有的工业控制通信协议或规约在设计时通常更强调通信的实时性及可用性，对安全性普遍考虑不足，比如缺少足够强度的认证、加密、授权等。随着Modbus、OPC、SiemensS7、IECl04等工业协议的广泛认知提升．攻击者更容易掌握协议的格式和内容，对PLC等系统的攻击变得更加容易，因此针对工控协议的安全防范就更加重要。    1.5缺乏网络攻击行为动态监测部署，主动防御能力欠缺

随着针对工控系统的攻击行为的增加，互联网中攻击方式多、病毒传播快、变种快等特征也很快被应用到工业领域。传统防御以不断丰富病毒知识和攻击特征来预防非法网络行为，缺乏主动学习能力．因此如何动态监测攻击行为并进行预测性主动防御将是未来工控安全建设的关键技术。

1.6重要操作站和工程师站数据备份恢复措施缺失

工控现场重要的组态数据会通过移动存储介质进行离线备份，通常备份周期很长，难以做到定期自动备份。当前勒索病毒频发，现有备份方案面对勒索病毒等严重病毒危害不足以有效应对。

2.数据融合技术与相关要素

数据融合技术利用传感器资源对相关数据和观测信息进行分析、支配以及使用，对数据进行时间和空间上的整合，进而获得一致性解释。数据融合技术被提出后，在全世界范围内引起了广泛关注，相关学者将其用于重大科研项目的部署和实施，取得了多项突破。虽然数据融合技术没有自己单独的理论体系，但是在不同领域相关应用背景下的融合方法是成熟有效的。人工智能和随机类算法是数据融合中经常应用的方法，同时神经网络等新概念或新技术对于数据融合将产生重要影响。目前，网络安全环境中存在很多风险，为了对企业和个人的关键信息进行有效保护，使其免受干扰和破坏，维持良好的网络空间秩序，需要积极构建相关联动协作机制，加强应对网络安全威胁的系统化防御。随着时代信息化的发展，物联网、移动互联网等已经和网络空间紧密结合，各种网络安全要素信息需要被人们掌握，从而更好地维护网络空间安全。各种数据之间具有关联、隐含以及互补关系，通过对数据进行充分合理的融合，从而实现大数据支持下的相关安全监测、研判分析以及合理应对。数据融合主要包括融合对象、目标以及方法等要素。用于数据融合的很多网络安全数据主要来源于计算设备、安全设备、外部数据源以及安全系统等，这些网络安全数据是多源异构的，具有很好的延伸性和拓展性。数据融合技术可以对网络安全中涉及到的多种信息数据进行一定的筛选和整合，建立网络安全相关知识、发展状态以及事件的完整框架，从而完成相应的保护目标，对问题进行有效解决。

3.算网融合安全

3.1基础设施层安全

随着云网边端算力的泛在化分布，算网融合连接面临安全风险的环境更加复杂。算力的动态调度对跨系统、跨域的多场景网络连接以及动态连接机制提出了新的需求，为攻击者提供了更多的攻击路径，增加了网络安全风险。此外，SRv6/G-SRv6、确定性网络、新一代SDWAN等新技术的应用会对算力网络带来潜在的安全问题。因此，只有全方位提升网络安全感知、监测、预警、处置和评估能力，加速数据资源全生命周期安全防护水平，才能切实提升算力安全监测和科学调度保障能力。

3.2编排管理层安全

算网信息在编排管理层汇聚，算网信息的正确性、完整性、安全性将影响算力网络正常编排调度服务的开展。算力节点具有多源泛在特性，一旦节点被攻击或仿冒，造成虚假算力信息上传，将严重影响算网的可靠性。同时，基础设施信息的大量集中存储，增加了黑客对编排管理层进行攻击、窃取和篡改数据的风险。因此，应引入一体编排、算力解构、泛在调度等技术，通过编排管理层构建一体编排、融数注智的“算网大脑”，协同调度算网各域安全资源。

3.3运营服务层安全

算力网络为多方算力节点提供算力对外输出的平台，使闲散算力资源也能被充分利用。但这种做法也存在引入不安全节点或恶意节点的可能性，影响计算结果可信度，攻击者或恶意节点还可能发起网络攻击或执行数据窃取等攻击行为。算力网络为海量用户及节点提供算力交易服务，交易管理复杂，需要构建包含算力交易、算力并网、算力封装、算力卸载、意图感知等关键技术的运营服务安全技术体系。

4.应用前景

网络安全数据具有多样性和复杂性，如果对其进行整理和划分，需要搭建异构多源数据和数据清洗融合的一系列原型系统。在系统中，对网络数据安全中涉及到的各种数据采用插件进行融合分析，重点分析数据中掺杂的不安全因素，应用相关统计学知识对这些数据进行清洗，判定出不安全数据，从而找出威胁，保护网络安全。数据融合技术在目前的日志管理与流量检测设备中有所应用，通过融合维度策略等可以对相关日志进行一定程度的压缩，将数以万计的数据融合成可供人们进行人工判断的精简日志，这在一定程度上有效减少了网络安全威胁对数据进行攻击所产生的运维工作量。除此之外，当前人工智能技术快速发展，通过对人工智能技术进行充分有效地利用，可以对攻击线索进行一定分析，还可以强化网络威胁的具象化表达。

5.结束语：

综上所述，企业网络安全治理过程中产生的安全日志数据量庞大，种类繁多，且具有异构特性，规范应用企业网络安全治理数据，是改善当前企业网络安全治理模式的有效手段。在网络安全防护中，还可以利用数据融合技术对一些安全隐患进行排查并进行相应的风险评估，从而制定出行之有效的解决方法，减少不必要的损失。

参考文献：

[1]毛铂明，段立军，王荣汉.大数据网络安全态势感知中数据融合技术分析[J].科学与信息化，2020（24）：68.

[2]王永恒.浅析网络安全管理平台中的数据融合技术[J].IT经理世界，2020，23（5）：14.

[3]苑顺周，姚晓冬，邢　羽.基于超融合技术的数据中心网络安全设计[J].网络安全技术与应用，2021（2）：14-17.

[4]牛霞红.大数据网络安全态势感知中数据融合技术研究[J].信息技术与信息化，2020（3）：101-103.