（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

面向網(wǎng)絡(luò)大數(shù)據(jù)的安全分析技術(shù)應用

汪來富，金華敏，劉東鑫，王帥

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

大數(shù)據(jù)分析技術(shù)的蓬勃發(fā)展，給安全行業(yè)帶來了許多新的思路和發(fā)展機遇。從電信運營商視角，深入解析了面向Netflow、DPI、DNS等網(wǎng)絡(luò)大數(shù)據(jù)資源的大數(shù)據(jù)安全分析平臺的架構(gòu)、技術(shù)實現(xiàn)機制等，并介紹了大數(shù)據(jù)安全分析產(chǎn)品的相關(guān)功能和應用場景。

大數(shù)據(jù)；安全分析；攻擊檢測

1 引言

在當前萬物互聯(lián)的時代，各類信息應用日益豐富，與安全相關(guān)的各類數(shù)據(jù)呈指數(shù)級增長趨勢，數(shù)據(jù)來源豐富、內(nèi)容更為多維、種類繁多。而具有目標性強、長期潛伏滲透特性的APT（advanced persistent threat，高級持續(xù)性威脅）攻擊更是讓傳統(tǒng)的安全分析技術(shù)防不勝防。因此，在當前不斷發(fā)展的安全形勢下，傳統(tǒng)的基于特征匹配的安全防護技術(shù)難以起效，各類安全威脅更具殺傷力和逃避力。在此背景下，數(shù)據(jù)驅(qū)動安全已逐漸成為業(yè)界共識，而大數(shù)據(jù)技術(shù)的出現(xiàn)，則為其落地和發(fā)展奠定了技術(shù)基礎(chǔ)。

大數(shù)據(jù)技術(shù)可實現(xiàn)大容量、低成本、高效率的數(shù)據(jù)分析能力，滿足海量安全信息的處理和分析需求，將大數(shù)據(jù)技術(shù)應用于網(wǎng)絡(luò)安全分析領(lǐng)域已日趨成熟，由此催生了大數(shù)據(jù)安全分析產(chǎn)業(yè)的快速崛起，并對網(wǎng)絡(luò)安全技術(shù)發(fā)展帶來深遠的影響。大數(shù)據(jù)安全分析技術(shù)是指將大數(shù)據(jù)技術(shù)應用到網(wǎng)絡(luò)和信息安全領(lǐng)域，通過采集、存儲、挖掘和分析流量、日志、事件等與安全相關(guān)的各類網(wǎng)絡(luò)行為數(shù)據(jù)，從更高視角、更廣維度上發(fā)現(xiàn)異常、捕獲威脅，實現(xiàn)對異常行為、未知威脅的早期檢測和快速發(fā)現(xiàn)。與傳統(tǒng)安全分析技術(shù)相比，大數(shù)據(jù)安全分析技術(shù)具有以下兩個重要特征。

· 基于海量異構(gòu)數(shù)據(jù)存儲與快速計算處理能力，可拓展安全分析與監(jiān)控數(shù)據(jù)源的廣度和深度，有助于發(fā)掘更為隱蔽的安全威脅。

· 可在更長時間窗口內(nèi)對多維度數(shù)據(jù)進行深度回溯和關(guān)聯(lián)分析，有助于快速發(fā)現(xiàn)異常行為或未知安全威脅。

2 大數(shù)據(jù)安全分析應用

從應用主體的維度來劃分，目前積極引入大數(shù)據(jù)安全分析技術(shù)的主力軍包括互聯(lián)網(wǎng)安全公司、傳統(tǒng)安全廠商和電信運營商，因安全理念、原有產(chǎn)品體系以及對業(yè)務(wù)流、系統(tǒng)數(shù)據(jù)、日志等資源掌控能力的不同，其應用重點和技術(shù)實現(xiàn)也存在較大差異。

2.1 互聯(lián)網(wǎng)安全公司

新興互聯(lián)網(wǎng)安全公司不受傳統(tǒng)產(chǎn)品線的束縛，主要將大數(shù)據(jù)技術(shù)應用于威脅發(fā)現(xiàn)領(lǐng)域，在云端通過多緯度跨域分析、深度數(shù)據(jù)挖掘和人工智能技術(shù)對海量數(shù)據(jù)進行深度分析，以實時獲取未知安全威脅的發(fā)展動態(tài)，通過構(gòu)建完善的威脅特征庫，提供對未知安全威脅的解決方案?；ヂ?lián)網(wǎng)安全公司基于其擁有的海量樣本庫、日志以及與各類惡意行為相關(guān)的漏洞、網(wǎng)址、域名等信息，可以支持未知威脅發(fā)現(xiàn)所需的存儲、搜索、挖掘、機器學習等資源。互聯(lián)網(wǎng)安全公司一般將大數(shù)據(jù)安全分析平臺作為基礎(chǔ)安全能力平臺，一方面為其他產(chǎn)品提供基礎(chǔ)安全能力，另一方面也面向?qū)PT攻擊敏感的企業(yè)客戶以及有特殊安全需求的政府機構(gòu)或相關(guān)單位進行定制開發(fā)，以滿足其個性化的高等級安全需求。

2.2 傳統(tǒng)安全廠商

傳統(tǒng)安全廠商，尤其是SIEM/SOC廠商，引入大數(shù)據(jù)安全分析技術(shù)的初衷是因其傳統(tǒng)的集中化安全分析平臺在處理、分析海量異構(gòu)數(shù)據(jù)存在性能瓶頸，傳統(tǒng)的基于規(guī)則和特征的分析引擎在未知安全威脅面前無能為力，因此其主要應用大數(shù)據(jù)安全分析技術(shù)對SIEM/SOC進行改造和重塑，側(cè)重于提升SIEM/SOC安全分析平臺的分析處理能力，以提供更具競爭力的整體安全解決方案。在技術(shù)實現(xiàn)上，傳統(tǒng)安全廠商主要利用大數(shù)據(jù)的海量信息采集和處理能力，實現(xiàn)對海量異構(gòu)數(shù)據(jù)的準實時分析、各類安全事件的快速回溯和取證以對安全報表的快速統(tǒng)計、查詢和可視化呈現(xiàn)等。

2.3 電信運營商

電信網(wǎng)絡(luò)作為關(guān)乎國計民生的基礎(chǔ)通信設(shè)施，其自身安全保障及安全能力建設(shè)是國家網(wǎng)絡(luò)空間安全戰(zhàn)略的重要環(huán)節(jié)。在網(wǎng)絡(luò)安全能力體系中，安全風險的快速檢測和早期預警是提升基礎(chǔ)通信設(shè)施安全防護水平的關(guān)鍵要素。隨著網(wǎng)絡(luò)應用的全社會化滲透，網(wǎng)絡(luò)安全分析的數(shù)據(jù)規(guī)模將不斷增大、數(shù)據(jù)來源也日益豐富，重點業(yè)務(wù)、關(guān)鍵網(wǎng)絡(luò)節(jié)點更提出了實時性防護要求，而傳統(tǒng)安全分析方法難以滿足新形勢下提出的安全檢測需求，大數(shù)據(jù)安全分析技術(shù)則為解決這些問題提供了有利契機。

在電信運營商領(lǐng)域，數(shù)以億計的客戶量決定了其龐大的網(wǎng)絡(luò)規(guī)模和不斷拓展并日益復雜的業(yè)務(wù)系統(tǒng)，由此帶來的是海量、異構(gòu)、多變、低密度價值的網(wǎng)絡(luò)大數(shù)據(jù)，其擁有全網(wǎng)Netflow、重要鏈路DPI、DNS數(shù)據(jù)等重要的網(wǎng)絡(luò)大數(shù)據(jù)資源，在開展大數(shù)據(jù)安全分析服務(wù)方面具有先天優(yōu)勢。引入大數(shù)據(jù)安全分析技術(shù)，保障電信網(wǎng)絡(luò)運營安全，開拓新興大數(shù)據(jù)安全分析和安全檢測業(yè)務(wù)，是電信運營商健全網(wǎng)絡(luò)安全防護能力、提升網(wǎng)絡(luò)核心價值的必備選擇。鑒于上述原因，電信運營商積極開展大數(shù)據(jù)安全分析技術(shù)研發(fā)實踐，融聚大網(wǎng)多維安全數(shù)據(jù)資源，以期將豐富的網(wǎng)絡(luò)大數(shù)據(jù)資源轉(zhuǎn)化為強大的安全服務(wù)能力。

本文基于電信運營商視角，提出面向網(wǎng)絡(luò)大數(shù)據(jù)的大數(shù)據(jù)安全分析平臺，系統(tǒng)地闡述該平臺的技術(shù)架構(gòu)和主要功能模塊技術(shù)實現(xiàn)機制，并簡要分析基于該平臺的大數(shù)據(jù)安全分析產(chǎn)品業(yè)務(wù)功能與應用前景。

3 大數(shù)據(jù)安全分析平臺架構(gòu)

該平臺采用基于Hadoop平臺的分布式存儲與計算框架，實現(xiàn)對現(xiàn)網(wǎng)各類安全大數(shù)據(jù)的融合關(guān)聯(lián)分析與可視化展示，通過建模分析 DDoS攻擊、僵尸網(wǎng)絡(luò)/惡意域名、Web攻擊等安全事件及數(shù)據(jù)間的關(guān)聯(lián)關(guān)系；實現(xiàn)對網(wǎng)絡(luò)安全狀況的深度感知，為企業(yè)用戶提供網(wǎng)絡(luò)安全分析及預警服務(wù)，并為網(wǎng)絡(luò)運營管理提供可視化的安全分析工具及分析報表。

該平臺采用分層架構(gòu)，自下而上分為 4層，依次是數(shù)據(jù)采集層、數(shù)據(jù)存儲層、數(shù)據(jù)計算分析層和數(shù)據(jù)呈現(xiàn)層，具體架構(gòu)如圖1所示。

圖1 大數(shù)據(jù)安全分析平臺技術(shù)架構(gòu)

平臺采集的數(shù)據(jù)源包括Netflow、DPI、DNS等多維大網(wǎng)數(shù)據(jù)，同時支持以 Flume/syslog等方式采集的客戶端數(shù)據(jù)。數(shù)據(jù)采集層主要完成數(shù)據(jù)的泛化處理和標準化處理，然后進入數(shù)據(jù)存儲層。數(shù)據(jù)計算層是平臺的核心能力模塊，按功能維度分為攻擊溯源分析模塊、僵尸網(wǎng)絡(luò)/惡意域名分析模塊、Web安全分析模塊和客戶安全分析模塊。數(shù)據(jù)呈現(xiàn)層主要完成分析結(jié)果的可視化呈現(xiàn)，分為管理門戶和客戶門戶，其中管理門戶主要為后臺運維人員提供安全分析視圖、可視化的安全分析手段和數(shù)據(jù)鉆取工具；客戶門戶則是大數(shù)據(jù)安全分析產(chǎn)品的載體，客戶通過登錄自服務(wù)門戶查看自身安全狀況、安全事件等各類數(shù)據(jù)報表。

同時，平臺基于上述各安全分析模塊，可輸出“肉雞”/疑似“肉雞”、CC控制端/疑似CC控制端、惡意URL等數(shù)據(jù)分析結(jié)果，構(gòu)建現(xiàn)網(wǎng)第一手威脅情報庫資源，并可進行持續(xù)滾動分析和動態(tài)更新。

3.1 攻擊溯源模塊

攻擊溯源模塊實現(xiàn)的主要功能是對現(xiàn)網(wǎng)各類DDoS攻擊進行深度挖掘、精細化分析和可視化呈現(xiàn)，功能框架如圖2所示。其實現(xiàn)機制是通過采集大網(wǎng)路由器層面的Netflow數(shù)據(jù)和DDoS攻擊事件等數(shù)據(jù)信息，結(jié)合網(wǎng)絡(luò)拓撲信息、路由器接口信息等數(shù)據(jù)，通過數(shù)據(jù)關(guān)聯(lián)和統(tǒng)計分析，實現(xiàn)對DDoS攻擊流量的深度分析、精準溯源和可視化回溯。

該模塊根據(jù)流量分析系統(tǒng)檢測以及系統(tǒng)自身分析發(fā)現(xiàn)攻擊，結(jié)合采集存儲原始Netflow流量信息、路由器端口信息、路由拓撲信息、城域網(wǎng) IP地址庫等多維參數(shù)進行關(guān)聯(lián)分析，通過基于多元廣度遍歷算法，快速全景回溯攻擊流量穿越路徑及流量分布特征，可對互聯(lián)網(wǎng)發(fā)生的網(wǎng)絡(luò)攻擊進行實時監(jiān)測、溯源及攻擊路徑重演，解決了偽地址攻擊溯源難題，并大幅提升攻擊溯源分析效率，具體方案如圖3所示。該技術(shù)方案監(jiān)控范圍大、智能性高、靈活快速，不需過多人工參與分析攻擊源和攻擊路徑，能夠在攻擊發(fā)起初期就進行攻擊發(fā)現(xiàn)和抑制，不但能直觀顯示攻擊源，而且可對攻擊流量穿行路徑進行可視化分析，有效提升DDoS攻擊應急響應處理效率。

圖2 攻擊溯源模塊功能框架

圖3 流量攻擊路徑回溯流程

3.2 僵尸網(wǎng)絡(luò)/惡意域名分析模塊

從Zeus、Cutwail等著名僵尸網(wǎng)絡(luò)的例子來看，一個大型僵尸網(wǎng)絡(luò)的構(gòu)建往往代價不菲，并且需要一定的時間。在僵尸網(wǎng)絡(luò)生命周期的 “傳播—感染—加入—受控—攻擊”等階段，幾乎都存在CC控制端和“肉雞”的交互行為。在數(shù)據(jù)驅(qū)動安全的理念下，只要有一個保持及時更新、惡意IP地址/域名足夠豐富的安全威脅情報庫，就可對僵尸網(wǎng)絡(luò)做有效的檢測和控制。

在本系統(tǒng)中，僵尸網(wǎng)絡(luò)的檢測分析包括定位CC控制端的IP地址、發(fā)現(xiàn)CC控制端所使用的域名和定位“肉雞”的 IP地址。首先，從已部署的“僵木蠕檢”測系統(tǒng)、攻擊溯源系統(tǒng)和移動互聯(lián)網(wǎng)惡意程序監(jiān)控系統(tǒng)等安全系統(tǒng)中歸并生成相關(guān)的惡意IP地址、惡意域名等安全情報；進一步地，在監(jiān)控鏈路中部署DPI系統(tǒng)、采集Netflow數(shù)據(jù)流；最后，根據(jù)已生成的安全情報信息對DPI日志、Netflow數(shù)據(jù)流進行關(guān)聯(lián)匹配，可以檢測得到“肉雞”和疑似“肉雞”的IP地址列表。僵尸網(wǎng)絡(luò)檢測分析處理流程如圖4所示。

圖4 僵尸網(wǎng)絡(luò)檢測分析處理流程

其中，在IP地址或域名匹配檢測中，當一個Netflow數(shù)據(jù)流中發(fā)現(xiàn)與CC控制端IP地址通信的流量，如果在一定的時間窗口（例如30 min）內(nèi)，Netflow條數(shù)大于一定閾值N，則Netflow里的另一個IP地址可以判斷為存活“肉雞”；如果Netflow條數(shù)小于閾值N而落在一個區(qū)間[M，N)，則Netflow里的另一個IP地址可以判斷為疑似“肉雞”。值得注意的是，閾值N可以根據(jù)統(tǒng)計結(jié)果做設(shè)置，降低運維人員工作負擔。相比之下，如果在一個Netflow數(shù)據(jù)流中發(fā)現(xiàn)“肉雞”的 IP地址，但是另一個 IP地址既不是已知的“肉雞”，也不是CC控制端，那么對于這個IP地址的判斷應結(jié)合后續(xù)的DNS等數(shù)據(jù)做進一步分析。

DNS數(shù)據(jù)分析已經(jīng)成為僵尸網(wǎng)絡(luò)檢測的重要入口。為了躲避追蹤、延長生命周期，大部分僵尸網(wǎng)絡(luò)會采用fast-flux技術(shù)，頻繁變換IP地址，而僵尸網(wǎng)絡(luò)內(nèi)部的通信可通過DNS查詢，獲取到最新、及時、有效的IP地址。這些關(guān)鍵網(wǎng)絡(luò)行為特征總結(jié)如下。

· 域名頻繁變換IP地址。

· 所頻繁變換的IP地址地理歸屬地差異較大。

· 域名服務(wù)器有多個IP地址，且跨多個ASN。

·whois信息不完整。

·域名的注冊E-mail地址曾經(jīng)以惡意域名注冊人出

現(xiàn)過。

· 域名通常較長并且字符隨機。

基于以上關(guān)鍵特征定義，可以對DNS流量日志做挖掘分析，得到惡意域名、惡意IP地址等安全情報。依據(jù)DNS流量日志的分析結(jié)果，對僵尸網(wǎng)絡(luò)檢測分析中需要進一步分析的 Netflow數(shù)據(jù)，提取與“肉雞”通信的IP地址，可以在DNS流量日志中做進一步的匹配分析，以確定該IP地址是否為CC控制端或者其他“肉雞”。

3.3 Web安全分析模塊

Web安全模塊的主要功能是對針對Web網(wǎng)站的攻擊行為進行檢測和統(tǒng)計分析。其實現(xiàn)機制是通過采集DPI數(shù)據(jù)，分離出HTTP會話文件，將文件數(shù)據(jù)通過元數(shù)據(jù)提取、數(shù)據(jù)分析、數(shù)據(jù)挖掘及事件呈現(xiàn)在具體檢測方法上，主要通過行為特征庫的匹配和Web入侵規(guī)則檢測，基于正則表達式等方式，實現(xiàn)對各類Web攻擊行為的檢測和識別，并進行可視化呈現(xiàn)。

下面以XSS攻擊檢測為例闡述其具體實現(xiàn)機制。首先XSS跨站腳本攻擊監(jiān)測模塊從數(shù)據(jù)倉庫中提取元數(shù)據(jù)，對元數(shù)據(jù)的內(nèi)容進行抽取、解析，從中獲得待監(jiān)測Web系統(tǒng)的URL，并對其進行提取和還原；然后再結(jié)合XSS跨站腳本規(guī)則庫去比對和發(fā)現(xiàn)該Web系統(tǒng)中的XSS跨站腳本漏洞；最終將所獲得的XSS跨站腳本攻擊分析結(jié)果隊列存儲到內(nèi)存數(shù)據(jù)庫中。此外，還需要結(jié)合如圖5所示的控制流圖（CFG圖）對URL頁面進行靜態(tài)分析檢測，獲知并保存當前URL頁面所有存在的XSS漏洞位置信息，為下一步識別XSS跨站腳本有效攻擊做準備。

對于XSS跨站腳本攻擊同樣也需要區(qū)別有效攻擊和一般攻擊。首先比較當前URL的XSS注入點和之前通過源碼靜態(tài)檢測得到的該URL頁面的XSS漏洞注入點，如果其XSS漏洞的注入點位置相同，則判定為一次有效的XSS跨站腳本有效攻擊。然后再檢測返回的響應報文，根據(jù)返回的響應報文反饋信息判斷是否有注入點不相同的XSS漏洞攻擊成功，若成功，則對應的XSS跨站腳本攻擊也是一次有效的攻擊。

3.4 用戶安全模塊

圖5 XSS跨站腳本攻擊監(jiān)測分析流程

客戶關(guān)聯(lián)分析模塊的主要功能是從大數(shù)據(jù)安全分析平臺中分析、提取與客戶資產(chǎn)相關(guān)的各類安全事件、網(wǎng)絡(luò)行為日志和相關(guān)安全數(shù)據(jù)，其主要機制是將客戶資產(chǎn)信息以及各類網(wǎng)絡(luò)行為信息和平臺分析出來的各類安全事件、分析結(jié)果和知識庫進行自動關(guān)聯(lián)和自動匹配，從而為用戶安全狀況分析和安全報表提供原始的數(shù)據(jù)資源。

該功能模塊需要基于客戶的監(jiān)控 IP地址、站點域名、報表查詢條件等數(shù)據(jù)，從DDoS攻擊統(tǒng)計數(shù)據(jù)、Web應用層安全數(shù)據(jù)、“肉雞”統(tǒng)計、CC控制端統(tǒng)計等分析結(jié)果數(shù)據(jù)以及DDoS攻擊事件、僵木蠕事件、惡意程序事件等原始事件數(shù)據(jù)中統(tǒng)計與客戶相關(guān)的安全事件信息。例如，以客戶IP地址為索引，從平臺分析結(jié)果中檢索其是否為“肉雞”或CC，是否發(fā)起過DDoS攻擊，攻擊時間段和攻擊流量大小以及從原始流數(shù)據(jù)中檢索其是否訪問過惡意URL等。這些匹配的數(shù)據(jù)都將作為客戶安全狀況分析和安全報表具體的數(shù)據(jù)來源。

綜上所述，該平臺通過融聚電信大網(wǎng)數(shù)據(jù)資源與客戶數(shù)據(jù)，基于大數(shù)據(jù)技術(shù)進行存儲、挖掘與可視化展示，實現(xiàn)安全態(tài)勢分析、安全威脅與異常檢測等基礎(chǔ)安全能力，并通過構(gòu)建威脅情報庫等方式，實現(xiàn)安全能力開放。

4 面向SME的大數(shù)據(jù)安全分析產(chǎn)品

當前以FireEye公司Threat Analytics Platform等為代表的大數(shù)據(jù)安全分析產(chǎn)品，主要面向政府、金融等高端目標客戶，分析的數(shù)據(jù)源以客戶自身網(wǎng)絡(luò)側(cè)的流量數(shù)據(jù)、日志數(shù)據(jù)為主，側(cè)重于APT攻擊檢測和未知威脅發(fā)現(xiàn)，具有較高的技術(shù)門檻和商用門檻。

本平臺依托大網(wǎng)DPI、DFI、DNS等海量數(shù)據(jù)資源，具有覆蓋范圍廣、運行成本低等特點，具備強大的集約化優(yōu)勢。基于該平臺面向網(wǎng)絡(luò)大數(shù)據(jù)的安全分析能力，通過和客戶資產(chǎn)的關(guān)聯(lián)匹配實現(xiàn)用戶安全狀況的快速感知，可為用戶提供持續(xù)安全監(jiān)測、安全預警和深度安全診斷服務(wù)。

（1）安全監(jiān)測

基于大數(shù)據(jù)分析和威脅情報等技術(shù)，為用戶提供長時間周期的持續(xù)安全監(jiān)測服務(wù)，通過安全事件等信息的主動呈現(xiàn)，協(xié)助用戶主動發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)已經(jīng)發(fā)生和正在發(fā)生的安全威脅。

（2）安全預警

基于大網(wǎng)DPI、Netflow、DNS、僵木蠕等多維海量安全數(shù)據(jù)，進行自動挖掘分析，提供安全態(tài)勢分析、安全威脅等預警服務(wù)。

（3）深度安全診斷

結(jié)合用戶內(nèi)網(wǎng)業(yè)務(wù)流、日志等數(shù)據(jù)，進行深度安全威脅分析和安全評估，提供專業(yè)安全分析報告和方案建議。

該產(chǎn)品依托運營商服務(wù)渠道資源優(yōu)勢，基于平臺運營模式，可為全網(wǎng)用戶提供低成本的網(wǎng)絡(luò)安全體檢服務(wù)。該產(chǎn)品主要面向企業(yè)用戶，尤其是沒有專業(yè)安全的運營團隊和缺乏安全分析能力的中小企業(yè)用戶（SME），通過為其提供具有普遍服務(wù)性質(zhì)的網(wǎng)絡(luò)安全體檢服務(wù)，一方面可以提升電信運營商傳統(tǒng)寬帶產(chǎn)品的用戶黏性，另一方面也可帶動其他專業(yè)安全服務(wù)的推介和推廣，具有良好的市場發(fā)展空間。

5 結(jié)束語

數(shù)據(jù)驅(qū)動安全成為安全業(yè)界的發(fā)展共識，而大數(shù)據(jù)安全分析技術(shù)則是體現(xiàn)數(shù)據(jù)驅(qū)動安全這一理念最重要的技術(shù)應用形態(tài)，它將對安全產(chǎn)業(yè)產(chǎn)生非常深遠的影響。在大數(shù)據(jù)蓬勃發(fā)展的時代，電信運營商擁有天然的大數(shù)據(jù)資產(chǎn)，隨著技術(shù)壁壘的打破、管理模式的變革和越來越多的業(yè)務(wù)創(chuàng)新，大數(shù)據(jù)安全分析平臺將成為運營商精細化安全管理和安全數(shù)據(jù)運營的重要支撐平臺。

[1] 王帥,汪來富,金華敏,等.網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應用[J].電信科學,2015,31(7):139-144. WANG S,WANG L F,JIN H M,et al.Big data application in network security analysis[J].Telecommunications Science,2015, 31(7):139-144.

[2] 程學旗,靳小龍,王元卓,等.大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J].軟件學報,2014,25(9):1889-1908. CHENG X Q,JIN X L,WANG Y Z,et al.Survey on big data system and analytic technology[J].Journalof Software,2014,25(9): 1889-1908.

Application of security analysis technology for network big data

WANG Laifu,JIN Huamin,LIU Dongxin,WANG Shuai
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

Big data technology and solutions have been continuously booming for several years,which has broughtmuch innovation ideas and opportunities for security analysis.From the perspective of telecom operators,the architecture and key technology of the big data security analytic platform were analyzed,which were based on the network big data including Netflow,DPI,DNS and so on.At last,some related function and service scenarios of big data security analytic services were introduced.

big data,security analysis,attack detection

TP393.08

：A

10.11959/j.issn.1000-0801.2017061

汪來富（1976-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為大數(shù)據(jù)安全、云計算安全、網(wǎng)絡(luò)安全。

金華敏（1972-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為IP網(wǎng)、云計算、大數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

劉東鑫（1985-），男，中國電信股份有限公司廣州研究院工程師，曾獲得CCIE、CISSP和CISA等認證，主要研究方向為網(wǎng)絡(luò)與信息安全、大數(shù)據(jù)安全。

王帥（1979-），女，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為大數(shù)據(jù)安全、云計算安全、網(wǎng)絡(luò)與信息安全體系及攻防技術(shù)。

2017-01-13；

2017-02-28