大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析中的應(yīng)用研究摘要：網(wǎng)絡(luò)時(shí)代為社會(huì)發(fā)展、民眾生活提供了多種便利，但也帶來了安全方面的威脅，因此，需要加強(qiáng)安全控制。以網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用要求為切入點(diǎn)，在此基礎(chǔ)上，分析其應(yīng)用方法，對(duì)大數(shù)據(jù)的采集、大數(shù)據(jù)的加工處理、大數(shù)據(jù)的運(yùn)用、大數(shù)據(jù)的復(fù)用與反饋調(diào)整等內(nèi)容進(jìn)行具體論述。最后，簡(jiǎn)單展望網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用趨勢(shì)，以系統(tǒng)呈現(xiàn)技術(shù)優(yōu)勢(shì)，服務(wù)網(wǎng)絡(luò)安全控制工作。關(guān)鍵詞：網(wǎng)絡(luò)安全"大數(shù)據(jù)技術(shù)"數(shù)據(jù)采集"加工處理Research"on"the"Application"of"Big"Data"Technology"in"Network"Security"AnalysisYUAN"XiumingTaiyuan"Preschool"Teachers"College，"Taiyuan，"Shanxi"Province，"030401"ChinaAbstract："The"Internet"era"has"provided"various"conveniences"for"social"development"and"people's"lives，"but"it"has"also"brought"security"threats."Therefore，"it"is"necessary"to"strengthen"security"controls."Starting"from"the"application"requirements"of"big"data"technology"in"network"security"analysis，"this"paper"analyzes"its"application"methods"and"provides"specific"discussions"on"the"collection，"processing，"application，"reuse，"and"feedback"adjustment"of"big"data."Finally，"a"brief"outlook"on"the"application"trends"of"big"data"technology"innbsp;network"security"analysis"is"presented"to"systematically"demonstrate"technological"advantages"and"serve"network"security"control"work.Key"Words："Network"security;"Big"data"technology;"Data"collection;"Processing大數(shù)據(jù)是一種信息化資產(chǎn)，是指無法在短時(shí)間內(nèi)利用常規(guī)技術(shù)收集、處理的海量信息。從廣義上看，與大數(shù)據(jù)運(yùn)用相關(guān)的各類技術(shù)可以統(tǒng)稱為大數(shù)據(jù)技術(shù)。在信息化模式下，網(wǎng)絡(luò)安全工作得到的關(guān)注越來越多。自2016年以來，我國每年因網(wǎng)絡(luò)安全問題造成的經(jīng)濟(jì)損失均在1"000億元以上，客觀要求通過技術(shù)性手段提高網(wǎng)絡(luò)安全分析的質(zhì)量和控制能力，這為大數(shù)據(jù)技術(shù)的運(yùn)用提供了一定空間和思路[1]。1"網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用要求1.1"實(shí)時(shí)性高在網(wǎng)絡(luò)安全分析中，大數(shù)據(jù)技術(shù)應(yīng)用的基本要求在于保持實(shí)時(shí)性。從特點(diǎn)上看，反映目標(biāo)特點(diǎn)的大數(shù)據(jù)一般是在短時(shí)間內(nèi)以信息化方式快速收集、加工、處理的，其基本要求之一在于保證實(shí)時(shí)化。例如：來自校園的網(wǎng)絡(luò)安全問題往往需要針對(duì)學(xué)校進(jìn)行信息采集，其采集周期一般不能超過1年"[2]。1.2"客觀性強(qiáng)在網(wǎng)絡(luò)安全分析中，大數(shù)據(jù)技術(shù)應(yīng)用應(yīng)遵行客觀性強(qiáng)的要求。大數(shù)據(jù)經(jīng)過處理前，一般由海量的原始信息組成，這些信息的總體價(jià)值較高，但單一信息的價(jià)值比較有限。為保證對(duì)目標(biāo)特征的呈現(xiàn)效果，必須保證信息的客觀性。例如：針對(duì)企業(yè)用戶組織的網(wǎng)絡(luò)安全分析必要采集企業(yè)用戶的真實(shí)信息，這些信息可以不是結(jié)構(gòu)化的，但必須客觀真實(shí)[3]。1.3"覆蓋面廣大數(shù)據(jù)具有信息含量高的特點(diǎn)，將其應(yīng)用于網(wǎng)絡(luò)安全分析工作中，此特點(diǎn)可以得到利用，從而保證信息覆蓋效應(yīng)，提升對(duì)網(wǎng)絡(luò)安全工作的服務(wù)效果。大部分大數(shù)據(jù)進(jìn)入應(yīng)用階段后是結(jié)構(gòu)化或半結(jié)構(gòu)化的，然而，在采集過程中，必要保證其覆蓋效應(yīng)[4]。例如：針對(duì)校園詐騙進(jìn)行的原始信息采集需要考慮詐騙形式、詐騙渠道、詐騙金額、詐騙信息歸屬地等各類信息，將覆蓋面較廣的信息匯總到一處，加工成結(jié)構(gòu)化、半結(jié)構(gòu)化信息，呈現(xiàn)大數(shù)據(jù)內(nèi)在規(guī)律，提升網(wǎng)絡(luò)安全分析的總體質(zhì)量。2.網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用方法2.1"大數(shù)據(jù)的采集嘗試應(yīng)用大數(shù)據(jù)技術(shù)提升網(wǎng)絡(luò)安全分析水平。首先，應(yīng)重視對(duì)大數(shù)據(jù)的采集，建議采用多節(jié)點(diǎn)采集模式。以學(xué)校網(wǎng)絡(luò)安全為例，其工作框架如圖1所示。按照?qǐng)D1所示模式，有關(guān)學(xué)校網(wǎng)絡(luò)安全的各類信息分布在網(wǎng)絡(luò)各處。為保證采集質(zhì)量，可以設(shè)定若干獨(dú)立工作的采集節(jié)點(diǎn)，這些節(jié)點(diǎn)根據(jù)大數(shù)據(jù)采集的基本標(biāo)準(zhǔn)、要求，持續(xù)對(duì)分布在各處的原始信息進(jìn)行采集，并通過線上傳輸?shù)男问教峁┙o大數(shù)據(jù)工作中心。該中心按照默認(rèn)程序?qū)Υ髷?shù)據(jù)進(jìn)行加工，形成有價(jià)值的結(jié)構(gòu)化、半結(jié)構(gòu)化結(jié)果，無價(jià)值信息則一體予以淘汰。多節(jié)點(diǎn)工作模式的優(yōu)勢(shì)在于能夠提升信息來源的覆蓋性、保證信息來源豐富，進(jìn)而提升其客觀性和實(shí)時(shí)性水平，為學(xué)校網(wǎng)絡(luò)安全分析提供真實(shí)、可靠的基礎(chǔ)信息[5]。2.2"大數(shù)據(jù)的加工處理完成原始數(shù)據(jù)采集后，需要應(yīng)用默認(rèn)程序或其他可靠的信息化手段對(duì)數(shù)據(jù)進(jìn)行挖掘、加工、處理，以改善其應(yīng)用效果。一般而言，原始信息大多是孤立的，并且不同信息之間的關(guān)聯(lián)也不夠緊密，這就意味著信息應(yīng)用難度較大。我們可以采用關(guān)鍵詞提煉法對(duì)其進(jìn)行篩選。默認(rèn)服務(wù)對(duì)象為某區(qū)域公共服務(wù)網(wǎng)絡(luò)，該網(wǎng)絡(luò)嘗試了解攻擊本地服務(wù)系統(tǒng)的安全問題，并據(jù)此設(shè)定4個(gè)關(guān)鍵詞：[X地區(qū)；信息安全；經(jīng)濟(jì)損失；網(wǎng)絡(luò)災(zāi)害]根據(jù)計(jì)算機(jī)語言進(jìn)行關(guān)鍵詞加工，形成可以為計(jì)算機(jī)快速讀取和分析的數(shù)據(jù)化工作參數(shù)集：[XP；DS；GL；IL]（標(biāo)準(zhǔn)參數(shù)集）將該組參數(shù)代入計(jì)算機(jī)內(nèi)，由核心計(jì)算機(jī)（計(jì)算機(jī)群的主機(jī)）進(jìn)行篩選控制，計(jì)算機(jī)群內(nèi)的所有分機(jī)一體遵照核心計(jì)算機(jī)要求快速對(duì)海量的原始信息進(jìn)行查看、篩選。默認(rèn)數(shù)據(jù)匹配度達(dá)到70%，即滿足“適用”標(biāo)準(zhǔn)；反之，則予以淘汰。某信息提煉結(jié)果為[AP；DS；GL；IL]（隨機(jī)參數(shù)集1）隨機(jī)參數(shù)集1中的3個(gè)關(guān)鍵參數(shù)與標(biāo)準(zhǔn)參數(shù)集相同，匹配度達(dá)到75%，認(rèn)定其符合“適用”標(biāo)準(zhǔn)，可以存儲(chǔ)備用。默認(rèn)某信息提煉結(jié)果為[XP；DS；GL；IL]（隨機(jī)參數(shù)集2）隨機(jī)參數(shù)集2中的4個(gè)關(guān)鍵參數(shù)與標(biāo)準(zhǔn)參數(shù)集相同，匹配度達(dá)到100%，認(rèn)定其符合“適用”標(biāo)準(zhǔn)，可以存儲(chǔ)備用。默認(rèn)某信息提煉結(jié)果為[AP；AF；LF；SL]（隨機(jī)參數(shù)集3）隨機(jī)參數(shù)集3中的4個(gè)關(guān)鍵參數(shù)與標(biāo)準(zhǔn)參數(shù)集均不相同，匹配度0%，認(rèn)定其不符合“適用”標(biāo)準(zhǔn)，應(yīng)予以淘汰。默認(rèn)某信息提煉結(jié)果為[XP；DS；GA；IQ]（隨機(jī)參數(shù)集4）隨機(jī)參數(shù)集4中的2個(gè)關(guān)鍵參數(shù)與標(biāo)準(zhǔn)參數(shù)集相同，匹配度50%，認(rèn)定其不符合“適用”標(biāo)準(zhǔn)，應(yīng)予以淘汰。按照此模式對(duì)所有采集所獲的原始信息進(jìn)行篩選，參與工作的計(jì)算機(jī)越多，篩選工作的效率越高。完成篩選后，根據(jù)工作要求，可以繼續(xù)對(duì)篩出的信息進(jìn)行二次、三次加工，形成符合網(wǎng)絡(luò)安全分析的結(jié)構(gòu)化、半結(jié)構(gòu)化大數(shù)據(jù)結(jié)果，以服務(wù)本地網(wǎng)絡(luò)安全控制活動(dòng)。2.3"大數(shù)據(jù)的運(yùn)用完成篩選加工后，大數(shù)據(jù)已具有較高的結(jié)構(gòu)化、半結(jié)構(gòu)化特點(diǎn)，此時(shí)組織應(yīng)用也比較便捷性。以大學(xué)校園網(wǎng)絡(luò)詐騙分析為例，根據(jù)分析結(jié)果與校園詐騙的一般規(guī)律，可以將核心對(duì)象設(shè)定為大學(xué)生，再將大學(xué)生按照不同群體特點(diǎn)做如下分類。年級(jí)：大一學(xué)生、大二學(xué)生、大三學(xué)生、大四學(xué)生、研究生、博士生；性別：男大學(xué)生、女大學(xué)生；經(jīng)濟(jì)條件：富裕大學(xué)生、貧困大學(xué)生；戶籍所在地：城鎮(zhèn)大學(xué)生、農(nóng)村大學(xué)生；學(xué)校分布：大專學(xué)生、本科學(xué)生。按此規(guī)律，對(duì)所有學(xué)生的一般信息進(jìn)行降維管理，形成若干具有典型特點(diǎn)的分析維度；再對(duì)大數(shù)據(jù)進(jìn)行對(duì)照分析，分析年級(jí)、性別、經(jīng)濟(jì)條件、戶籍所在地、學(xué)校分布情況是否與大學(xué)生遭受詐騙存在關(guān)聯(lián)。根據(jù)分析結(jié)果，再次進(jìn)行信息評(píng)估，了解何種年級(jí)、何種性別、何種經(jīng)濟(jì)條件、何種戶籍特點(diǎn)、何種學(xué)校分布情況下大學(xué)生可能遭受詐騙。假定結(jié)果表明：大一新生遭受詐騙的可能性最高，女大學(xué)生被詐騙的可能性較高，貧困學(xué)生被詐騙的可能性較高，戶籍所在地和學(xué)校分布與大學(xué)生是否遭受詐騙不存在顯著關(guān)聯(lián)。下一階段，首先應(yīng)將貧困大一女大學(xué)生作為重點(diǎn)，指導(dǎo)其加強(qiáng)安全意識(shí)；其次為所有大一貧困學(xué)生；再次為大一所有學(xué)生、普通大學(xué)生，完成網(wǎng)絡(luò)安全分析成果的覆蓋性應(yīng)用。2.4"大數(shù)據(jù)的復(fù)用與反饋調(diào)整完成大數(shù)據(jù)應(yīng)用后，考慮到大數(shù)據(jù)采集、加工的復(fù)雜性及其未來反復(fù)應(yīng)用的基本價(jià)值，還應(yīng)組織信息存儲(chǔ)，并通過反饋調(diào)整的方式對(duì)目標(biāo)可能出現(xiàn)的變化進(jìn)行感知和后續(xù)處理。以大學(xué)校園網(wǎng)絡(luò)詐騙分析為例，可以采用多渠道反饋的形式對(duì)新的大數(shù)據(jù)進(jìn)行采集和復(fù)用。其工作模式如圖2所示。按照?qǐng)D2所示模式，在組織大學(xué)校園網(wǎng)絡(luò)詐騙分析時(shí)，根據(jù)大數(shù)據(jù)收集、初次篩選、加工成果，可以獲取信息，面向不同群體大學(xué)生提供網(wǎng)絡(luò)安全方面的指導(dǎo)，實(shí)現(xiàn)分析結(jié)果應(yīng)用。在此基礎(chǔ)上，對(duì)貧困的大一女大學(xué)生、所有大一貧困學(xué)生、大一所有學(xué)生、普通大學(xué)生4個(gè)群體的后續(xù)信息進(jìn)行采集，以學(xué)生是否遭受詐騙為中心，采集新的繼進(jìn)性大數(shù)據(jù)，重新設(shè)定大數(shù)據(jù)分析和篩選標(biāo)準(zhǔn)，評(píng)估大學(xué)校園網(wǎng)絡(luò)詐騙是否出現(xiàn)了新的變化，再根據(jù)變化結(jié)果做必要的工作調(diào)整，確保大數(shù)據(jù)能夠反復(fù)發(fā)揮作用，服務(wù)網(wǎng)絡(luò)安全分析工作。3"網(wǎng)絡(luò)安全分析中大數(shù)據(jù)技術(shù)的應(yīng)用展望3.1多技術(shù)聯(lián)用未來，網(wǎng)絡(luò)安全分析依然需要大數(shù)據(jù)技術(shù)提供支持，可以嘗試通過多技術(shù)聯(lián)動(dòng)的方式獲取有關(guān)資源，提升網(wǎng)絡(luò)安全分析的效果。以云技術(shù)為例，在實(shí)際工作中，可以加大大數(shù)據(jù)原始信息的采集范圍，以獲取較以往更多的原始信息。在所有原始信息不能第一時(shí)間完成處理的情況下，可以暫時(shí)存儲(chǔ)到云空間內(nèi)，再利用云空間進(jìn)行不同數(shù)據(jù)的加工，發(fā)揮云空間存儲(chǔ)能力強(qiáng)的特點(diǎn)，使原始信息的采集、處理、存儲(chǔ)效應(yīng)得到提升，優(yōu)化大數(shù)據(jù)的運(yùn)用時(shí)效性。3.2信息規(guī)律的深度挖掘大數(shù)據(jù)內(nèi)在規(guī)律較為多樣，在分析對(duì)象、工作目標(biāo)不同的情況下，大數(shù)據(jù)的應(yīng)用形式、方法也有不同。未來可以嘗試在網(wǎng)絡(luò)安全分析過程中加強(qiáng)對(duì)大數(shù)據(jù)信息內(nèi)在規(guī)律的深入挖度。例如：針對(duì)校園網(wǎng)絡(luò)安全的分析可以包括詐騙有關(guān)大數(shù)據(jù)，也可以包括軟件漏洞、硬件損壞帶來的損失，以提升大數(shù)據(jù)應(yīng)用的覆蓋效應(yīng)。3.3大范圍技術(shù)合作目前，大數(shù)據(jù)服務(wù)一般包括商業(yè)合作和非商業(yè)形式兩種新式，前者是大數(shù)據(jù)技術(shù)運(yùn)用的主流形式。未來，基于大范圍網(wǎng)絡(luò)安全管控需求，可以嘗試對(duì)網(wǎng)絡(luò)安全分析需求下的大數(shù)據(jù)技術(shù)進(jìn)行整合，明確技術(shù)應(yīng)用形式和標(biāo)準(zhǔn)，并在本地范圍內(nèi)投入實(shí)踐應(yīng)用。對(duì)付出技術(shù)和資源的企業(yè)給予一定補(bǔ)助，使大數(shù)據(jù)在網(wǎng)絡(luò)安全分析方面的價(jià)值不再局限于某一種形式，能夠全面為社會(huì)提供服務(wù)。綜上所述，網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用具有多樣化優(yōu)勢(shì)，可以保證信息實(shí)時(shí)性、客觀性、覆蓋面，為決策"管控工作提供支持。從具體方法上看，網(wǎng)絡(luò)安全分析中，應(yīng)加強(qiáng)大數(shù)據(jù)原始信息的采集，并在此基礎(chǔ)上做數(shù)據(jù)的加工分析，挖掘其規(guī)律，投入應(yīng)用。最后，還應(yīng)進(jìn)行信息保存、復(fù)用和反饋調(diào)整。從趨勢(shì)施工看，未來，網(wǎng)絡(luò)安全分析工作依然依賴大數(shù)據(jù)技術(shù)提供支持，且更關(guān)注不同技術(shù)的聯(lián)用，從深度挖掘、大范圍合作角度為網(wǎng)絡(luò)安全工作提供支持。[1]"王學(xué)志.基于數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)安全企