本發(fā)明提供一種基于網(wǎng)絡(luò)安全的大數(shù)據(jù)智能分析應(yīng)用方法，包括：獲取并預(yù)處理網(wǎng)絡(luò)數(shù)據(jù)，存儲所述網(wǎng)絡(luò)數(shù)據(jù)并形成分布式存儲管理系統(tǒng)；根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)建立數(shù)學(xué)模型庫，完成數(shù)據(jù)結(jié)構(gòu)定義；提供數(shù)據(jù)挖掘分析的入口，根據(jù)算法參數(shù)建立相應(yīng)模型，生成分析結(jié)果。本發(fā)明能夠以安全大數(shù)據(jù)為基礎(chǔ)，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢；利用已有實時監(jiān)測技術(shù)，通過長時間數(shù)據(jù)分析發(fā)現(xiàn)異常行為；通過數(shù)據(jù)建模，建立可視化的分析能力，對威脅的影響范圍、攻擊路徑、目的、手段進(jìn)行快速研判，做出有效的安全決策和響應(yīng)；建立風(fēng)險通報和威脅預(yù)警機制，全面掌握攻擊者目的、技戰(zhàn)術(shù)、攻擊工具等信息，并完善防御體系。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于網(wǎng)絡(luò)安全的大數(shù)據(jù)智能分析應(yīng)用方法。

背景技術(shù)

目前，網(wǎng)絡(luò)安全技術(shù)通常是通過已知網(wǎng)絡(luò)威脅和攻擊行為的大數(shù)據(jù)分析和檢測，即通過分析網(wǎng)絡(luò)流量，威脅數(shù)據(jù)及行為等技術(shù)，檢測所有可疑網(wǎng)絡(luò)活動的持續(xù)威脅，從而進(jìn)行防護(hù)。

然而，所述技術(shù)雖能做到網(wǎng)絡(luò)檢測與文件檢測同步進(jìn)行，但缺乏對未知威脅的數(shù)據(jù)采集、分析預(yù)測、研判預(yù)警和解決方案等能力。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于網(wǎng)絡(luò)安全的大數(shù)據(jù)智能分析應(yīng)用方法，其能夠有效監(jiān)控各類網(wǎng)絡(luò)威脅。

為達(dá)到上述目的，本發(fā)明提供了一種基于網(wǎng)絡(luò)安全的大數(shù)據(jù)智能分析應(yīng)用方法，其特征在于，所述應(yīng)用方法包括：獲取并預(yù)處理網(wǎng)絡(luò)數(shù)據(jù)，存儲所述網(wǎng)絡(luò)數(shù)據(jù)并形成分布式存儲管理系統(tǒng)；根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)建立數(shù)學(xué)模型庫，完成數(shù)據(jù)結(jié)構(gòu)定義；提供數(shù)據(jù)挖掘分析的入口，根據(jù)算法參數(shù)建立相應(yīng)模型，生成分析結(jié)果。

較佳的，所述步驟“獲取并預(yù)處理網(wǎng)絡(luò)數(shù)據(jù)，存儲所述網(wǎng)絡(luò)數(shù)據(jù)并形成分布式存儲管理系統(tǒng)”包括：通過威脅情報特征庫，抓取網(wǎng)絡(luò)數(shù)據(jù)，并進(jìn)行數(shù)據(jù)匯聚，依據(jù)大數(shù)據(jù)分布式計算特性與算法特性對所述網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)一預(yù)處理，形成統(tǒng)一的分布式存儲管理系統(tǒng)。

較佳的，所述“依據(jù)大數(shù)據(jù)分布式計算特性與算法特性對所述網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)一預(yù)處理義”包括：利用數(shù)據(jù)切片、數(shù)據(jù)分類、數(shù)據(jù)聚合，數(shù)據(jù)索引標(biāo)記技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行層級化的聚合、重組、清洗、提取、轉(zhuǎn)換、管理、切分等預(yù)處理操作。

較佳的，所述步驟“根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)建立數(shù)學(xué)模型庫，完成數(shù)據(jù)結(jié)構(gòu)定義”包括：對所述網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行智能分析、挖掘、探索，建立數(shù)學(xué)模型庫，實現(xiàn)大數(shù)據(jù)格式的數(shù)據(jù)結(jié)構(gòu)定義，對算法參數(shù)、數(shù)學(xué)模型庫、模型評估體系和挖掘分析的結(jié)果進(jìn)行統(tǒng)一管理。

較佳的，所述步驟“根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)建立數(shù)學(xué)模型庫，完成數(shù)據(jù)結(jié)構(gòu)定義”包括：建立事件理解引擎，將歸并后的安全日志，基于事件理解規(guī)則，進(jìn)行關(guān)聯(lián)分析，將安全日志理解為安全事件，提高告警準(zhǔn)確性；抽象成分析模型，并將分析模型在Spark-streaming中進(jìn)行代碼實現(xiàn)。

較佳的，所述步驟“根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)建立數(shù)學(xué)模型庫，完成數(shù)據(jù)結(jié)構(gòu)定義”包括：建立攻擊鏈分析模型，通過分析各個網(wǎng)絡(luò)安全設(shè)備收集的所述安全日志和流量安全日志生成網(wǎng)絡(luò)安全事件，進(jìn)行正反雙向推理，正向推理預(yù)警潛在威脅，反向推理還原攻擊情景。

較佳的，還包括：攻擊鏈挖掘程序在網(wǎng)絡(luò)安全事件的基礎(chǔ)之上，按照目的資產(chǎn)的維度將各個安全事件進(jìn)行聚合，并對應(yīng)到攻擊鏈的各個階段，從而發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)中的脆弱主機。

較佳的，所述步驟“根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)建立數(shù)學(xué)模型庫，完成數(shù)據(jù)結(jié)構(gòu)定義”包括：建立情報關(guān)聯(lián)模型，通過云端情報與本地事件的關(guān)聯(lián)分析實現(xiàn)潛在威脅報警；其中，所述潛在威脅包括惡意IP、惡意URL。

較佳的，所述步驟“根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)建立數(shù)學(xué)模型庫，完成數(shù)據(jù)結(jié)構(gòu)定義”包括：所述安全日志經(jīng)過分析引擎時，與知識庫進(jìn)行匹配，將所述安全日志打上標(biāo)簽，產(chǎn)生安全事件，事件再上傳到云端情報，進(jìn)行情報驗證，提高分析準(zhǔn)確性。