网络安全信息关联分析技术的运用与问题分析施洪美

网络安全信息关联分析技术的运用与问题分析施洪美

施洪美

（云南电网公司大理供电局671099）

摘要：随着计算机和互联网的快速发展，被人们广泛的应用。但在运用过程中出现了许多网络安全问题，这些问题不但给企业、人们的日常生活造成影响，更严重可以给社会、国家造成不良的影响和损失。如何在网络中应用计算机信息管理技术以此保障网络的安全对于现在而言是十分必要也是具有研究意义的。本文主要研究网络安全信息关联分析技术的相关概念以及在应用过程中呈现的特点和问题，综合进行分析为网络安全管理工作提供参考价值。

关键词：关联分析技术；网络安全；应用

互联网在近年来日新月异的高速发展，如今已经深刻渗透到人们的日常生活以及工作学习当中。互联网的崛起虽然给人们的生活带来极大的便利和更多的娱乐但也存在着使用的信息安全问题。除了人们日常使用网络意外，在政治、俊荣以及金融领域也在灌透互联网技术和网络技术，这些领域对于信息安全问题尤为重视，因为一旦被不法分子获取信息造成信息泄露、权力受损有可能导致失分严重的亏损甚至可能会上升到国家权益安全问题等。所以，对于网络信息安全方面要尤为重视，并给予足够的研究空间和人才保证信息安全技术能够稳定快速法阵以此适应目前对于网络安全的需求。

1基本概念

1.1网络安全

信息安全从广义上理解涵盖了主机安全以及互联网安全等，不仅仅包含计算机应用技术还与法律、管理等学科相关，牵连内容广泛。信息安全从狭义上理解德华则是以计算机技术作为核心内容，基础内容为密码学知识。网络安全问题影响着各个层次，于小而言信息安全受到破坏会泄露私密的个人信息，有可能导致个人财产损失等安全问题，于大而言会导致国家和社会的稳定受到威胁。如何提高网络安全水平，是现在必要迫切需要解决的问题。可以以计算机科学与技术作为基础通过计算信息管理技术来提高网络安全管理。人们的日常生活以及工作学习在计算机网络技术的发展下得到便利性，且信息资源等随着网络技术其共享性能越来越好，人们能够通过网络快速筛选出自己所需的资源和信息，通过网络平台能够更快捷的进行联系沟通等。对于各个领域各个阶层之间都起着十分重要的积极作用，日渐成为人们生活以及工作当中重要的一部分。

1.2关联分析技术

关联意在将系统中的事件统一整合格式进行综合性的观察。关联分析在网络安全领域当中的作用是自动对网络全局的安全事件数据进行连续分析，根据用户自行配置定义的规则对网络威胁以及复杂的攻击模式进行识别和阻碍，以此获取事件的真实性，并对有效响应事件对其进行分级。关联分析不但能够提高操作的安全可靠程度，还能提高操作效率以及可视化能力，是一种在安全管理以及应急响应中常见且实用的技术。

若要使用关联分析这一技术要通过采集各个系统的原始数据，对这些数据进行统一管理分配，利用相关知识分析数据后得出结果。一个典型的关联分析系统应当包含代理、数据库、知识库以及关联引擎四个因素。代理只采集各个安全数据源中的原始数据并进行一定的处理将原始数据转换为标准格式，通过安全信道传递给关联引擎。数据库为储存空间，主要为永久性的数据提供存储的空间，将在代理处获取的关联数据进行存放。知识库的用处在于建立一致的分析方法，事件关联的建模可以通过IDMEF格式得以实现，常用文档类型定义的格式在XML文档中描述IDMEF数据，但XML格式并不能使用关联功能直接处理所表示的事件，只能通过针对预先准备好的一系列数据。关联引擎的作用在于聚合各个数据源的数据，在将数据进行规范化格式化后使用各种关联手法提取数据源中所需要的相关信息，并将这些信息应用于安全事件的分析以及处理当中。

2.网络安全分析技术与应用现状及难点

网络安全信息的传统分析工作多以网络管理人员进行人工操作为主，网络管理员通过对网络安全事件情况的收集，针对这些数据进行分析。但通过人工来对信息进行收集容易出现误差，精准度较为低下。除此之外不同的安全时间之间不一定有明显的关联关系，仅仅依靠人工进行分析判断，无法保障正确性，并且当安全事件过多时，人员不足对于分析的效率和效果由于工作力度加强而变低。为解决这一问题在安全信息分析工作中引用了网络安全信息关联分析技术。这种关联分析计算书能够对海量网络安全信息的数据进行提取和处理，挖掘处网络应用当中可能存在的安全事件以及隐患，起到预防的作用。关联分析技术能够高效、有效的对海量信息安全数据进行处理，很大程度的提高分析工作的效率以及结果成效。

3网络安全信息关联分析技术的应用探讨

3.1基于网络安全信息相似性的分析技术

安全时间信息若是从同一源头触发，则有着高度相似的观察结果。因此可以由此推测出若安全信息具有相似的安全事件特征则可判定为其来源于相似或同一源头。对安全信息相似性进行分析以此识别安全问题由何触发并能推测出其原因和发生场景。’对于网络安全信息相似性主要通过概率论中聚类的方法作为分析应用技术。在标准设置合理的情况下通过相关聚类参数能够很好的判断出网络安全事件之间的联系。在进行判断之前先要人为预先设定好聚类的类别以及参数。这种分析技术方法事实上对人的依赖心较高，且分析结果倾向于人为判定。

3.2基于网络安全信息因果关系的分析技术

这种分析技术的理论依据在于：网络安全时间之间存在着相互关联的因果关系，对这些因果关系进行分析和描述能够发现网络安全事件信息之间存在的联系，从而描绘处攻击场景图。这一分析技术使用的关键便是对各个网络安全事件之间的关联知识进行归整梳理。主要的支撑应用法为因果关联算法，以此使安全信息之间的关系得以识别。这种分析技术在实际应用当中也存在一定的缺陷，原因在于攻击场景单纯使用因果分析技术进行描述还原事实上与实际发生场景之间有一定的差异。

3.3基于模式识别的分析技术

使用这种分析技术要预先建模整体网络安全事件，将实际发生的事件与模型相互匹配，然后观察分析两者之间存在的关联关系以此分析导致事件发生的原因并还原场景。这种分析技术效果的影响因素在于建模。建模好坏对于场景还原十分关键，目前常见的建模手段有自动机、时序逻辑模型以及专家系统。这一分析技术也存在一定的问题和缺陷，首先其识别范围受限，范围仅限已发生的安全事件，对于未知的无法起作用。其次由于网络安全事件种类繁多，对所有种类进行建模是一项十分困难庞大的工程，在应用当中效率低下。

参考文献：

[1]程庆梅.软件定义网络技术在职业院校信息化网络安全管理中的研究和应用[J].中国职业技术教育，2015（20）：48-51.

[2]杨成，杜秀春，康文杰.基于关联规则挖掘的关键基础设施安全事件分析[J].计算机技术与发展，2015（10）：154-159.

[3]HANZhengping，CAIFengjuan，XURongsheng，等.ResearchandApplicationofNetworkSecurityInformationCorrelationTechnology网络安全信息关联分析技术研究与应用*[J].計算機應用研究，2006，23（10）：93-94.

[4]刘敬，谷利泽，钮心忻，等.基于神经网络和遗传算法的网络安全事件分析方法[J].北京邮电大学学报，2015，38（2）：50-54.

[5]王红凯，于晓文，张旭东.基于攻击检测和节点脆弱性的网络安全风险分析方法[J].计算机与现代化，2017（1）：96-100.