近幾年來,信息化應(yīng)用水平提升到了一個更高的層次,如何從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況,并對網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警是目前的難題。大數(shù)據(jù)技術(shù)特有的海量存儲、并行計算、高效查詢等特點(diǎn),為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的突破創(chuàng)造了機(jī)遇,借助大數(shù)據(jù)分析對成千上萬的網(wǎng)絡(luò)日志等信息進(jìn)行自動分析處理與深度挖掘,對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評價,感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。
網(wǎng)絡(luò)安全態(tài)勢感知的主要任務(wù)包括風(fēng)險感知和事件感知兩個方面。風(fēng)險感知包括網(wǎng)絡(luò)資產(chǎn)感知和網(wǎng)絡(luò)脆弱性感知,網(wǎng)絡(luò)資產(chǎn)感知是自動、快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況、屬性等信息網(wǎng)絡(luò)脆弱性感知是分析、發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性對脆弱性進(jìn)行統(tǒng)一標(biāo)識和管理。網(wǎng)絡(luò)脆弱性包括不可見脆弱性和可見脆弱性。事件感知主要包括安全事件感知和異常行為感知,安全事件感知是指能夠確定安全事件發(fā)生的時間、地點(diǎn)、起因、經(jīng)過和結(jié)果,異常行為感知是指通過異常行為判定風(fēng)險,以彌補(bǔ)對不可見脆弱性、未知安全事件發(fā)現(xiàn)的不足,主要面向的是感知未知的攻擊。
實(shí)現(xiàn)基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知,采集了多種安全設(shè)備上多樣的檢測方式和事件報告機(jī)制生成的海量數(shù)據(jù),而這些原始的日志信息存在海量、冗余和錯誤等缺陷不能作為態(tài)勢感知的直接信息來源,必須進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合等處理。
關(guān)聯(lián)分析。網(wǎng)絡(luò)中的防火墻日志和入侵檢測日志都是對進(jìn)入網(wǎng)絡(luò)的安全事件的流量的刻畫針對某一個可能的攻擊事件會產(chǎn)生大量的日志和相關(guān)報警記錄,這些記錄存在著很多的冗余和關(guān)聯(lián)。因此首先要對得到的原始日志進(jìn)行單源上的關(guān)聯(lián)分析,把海量的原始日志轉(zhuǎn)換為直觀的、能夠為人所理解的、可能對網(wǎng)絡(luò)造成危害的安全事件?;诙嘣慈罩镜木W(wǎng)絡(luò)安全態(tài)勢感知采用基于相似度的報警關(guān)聯(lián)可以較好地控制關(guān)聯(lián)后的報警數(shù)量,有利于減少復(fù)雜度。其處理過程是:
首先,提取報警日志中的主要屬性,形成原始報警,再通過重復(fù)報警聚合生成聚合報警,對聚合報警的各個屬性定義相似度的計算方法,并分配權(quán)重,計算兩個聚合報警的相似度,通過與相似度閥值的比較來決定是否對聚合報警進(jìn)行超報警,最終輸出屬于同一類報警的地址范圍和報警信息,生成安全事件。
融合分析。多源日志存在冗余性、互補(bǔ)性等特點(diǎn),態(tài)勢感知借助數(shù)據(jù)融合技術(shù),能夠使得多個數(shù)據(jù)源之間取長補(bǔ)短,從而為感知過程提供保障,以便更準(zhǔn)確地生成安全態(tài)勢。經(jīng)過單源日志報警關(guān)聯(lián)過程,分別得到各自的安全事件。
態(tài)勢要素分析。通過對網(wǎng)絡(luò)入口處安全設(shè)備日志的安全分析,得到的只是進(jìn)入目標(biāo)網(wǎng)絡(luò)的可能的攻擊信息,而真正對網(wǎng)絡(luò)安全狀況產(chǎn)生決定性影響的安全事件,則需要通過綜合分析攻擊知識庫和具體的網(wǎng)絡(luò)環(huán)境進(jìn)行最終確認(rèn)。主要分為三個步驟:一是通過對大量網(wǎng)絡(luò)攻擊實(shí)例的研究,得到可用的攻擊知識庫,主要包括各種網(wǎng)絡(luò)攻擊的原理、特點(diǎn)以及它們的作用環(huán)境等;二是分析關(guān)鍵主機(jī)上存在的系統(tǒng)漏洞和承載的服務(wù)的可能漏洞,建立當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識庫分析當(dāng)前網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)、性能指標(biāo)等得到網(wǎng)絡(luò)環(huán)境知識庫;三是通過漏洞知識庫來確認(rèn)安全事件的有效性,也即對當(dāng)前網(wǎng)絡(luò)產(chǎn)生影響的網(wǎng)絡(luò)攻擊事件。在網(wǎng)絡(luò)安全事件生成和攻擊事件確認(rèn)的過程中,提取出用于對整個網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估的態(tài)勢要素主要包括整個網(wǎng)絡(luò)面臨的安全威脅、分支網(wǎng)絡(luò)面臨的安全威脅、主機(jī)受到的安全威脅以及這些威脅的程度等。
對于海量網(wǎng)絡(luò)安全日志信息,僅通過網(wǎng)絡(luò)安全設(shè)備提供的網(wǎng)絡(luò)安全日志分析網(wǎng)絡(luò)安全事件通常是滯后的,因此利用大數(shù)據(jù)分析技術(shù)針對海量網(wǎng)絡(luò)安全日志 數(shù)據(jù)進(jìn)行深層次的分析,從中發(fā)現(xiàn)有價值的信息。發(fā)現(xiàn)數(shù)據(jù)中存在的關(guān)系和規(guī)則,根據(jù)現(xiàn)有的數(shù)據(jù)預(yù)測未來的發(fā)展趨勢,從海量的安全數(shù)據(jù)中發(fā)現(xiàn)潛在的安全威脅和攻擊。
網(wǎng)絡(luò)安全事件預(yù)警分析技術(shù)采用基于動態(tài)基線的方法并結(jié)合數(shù)據(jù)挖掘算法進(jìn)行預(yù)警分析。通過設(shè)置的20種指標(biāo)項,利用以存儲的海量日志數(shù)據(jù)獲取網(wǎng)絡(luò)安全事件的標(biāo)準(zhǔn)差及標(biāo)準(zhǔn)誤差,最終針對指標(biāo)項計算其置信區(qū)間,系統(tǒng)針對存儲的歷史數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí),分析日志特征并對于置信區(qū)間進(jìn)行動態(tài)規(guī)則設(shè)置,利用置信區(qū)間及置信區(qū)間規(guī)則,分析實(shí)時采集的日志數(shù)據(jù),如果在置信區(qū)間范圍外的數(shù)據(jù)或置信區(qū)間內(nèi)匹配異常場景的數(shù)據(jù)進(jìn)行攻擊場景及資產(chǎn)脆弱性關(guān)聯(lián)分析,為用戶提供對應(yīng)的預(yù)警信息。預(yù)警分為安全事件預(yù)警和重要信息系統(tǒng)預(yù)警。
安全事件預(yù)警流程為當(dāng)發(fā)生安全事件時,首先判定事件等級,根據(jù)事件等級選擇通知相應(yīng)的負(fù)責(zé)人處理,處置完成后判斷系統(tǒng)運(yùn)行是否正常,如果正常則通知系統(tǒng)管理員填寫信息安全事件和系統(tǒng)故障處理記錄單并結(jié)束流程,并將此次處理填入值班記錄;如果處置完成后系統(tǒng)沒有正常運(yùn)行,則重新判斷事件等級進(jìn)行處理。
重要信息系統(tǒng)預(yù)警流程為當(dāng)發(fā)生系統(tǒng)故障時,首先判斷故障等級,根據(jù)故障等級選擇通知相應(yīng)的負(fù)責(zé)人處理,處置完成后判斷系統(tǒng)運(yùn)行是否正常,如果正常則通知系統(tǒng)管理員填寫信息安全事件和系統(tǒng)故障處理記錄單并結(jié)束流程,并將此次處理填入值班記錄;如果處置完成后系統(tǒng)沒有正常運(yùn)行,則重新判斷故障等級進(jìn)行處理。
由于目前用戶普遍網(wǎng)絡(luò)規(guī)模較大,結(jié)構(gòu)復(fù)雜,網(wǎng)絡(luò)數(shù)據(jù)還存在實(shí)時可變的特征,網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢的可視化是實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢感知的難點(diǎn)?;谥鳈C(jī)的數(shù)據(jù)顯示和基于網(wǎng)絡(luò)的數(shù)據(jù)顯示是態(tài)勢可視化的兩大方面,可視化的結(jié)果既要反應(yīng)區(qū)域內(nèi)主機(jī)網(wǎng)絡(luò)安全威脅等級,也要從宏觀上對整個網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行描繪??梢暬€需考慮人機(jī)交互的可操作性,基于多數(shù)據(jù)源,多視圖的可視化系統(tǒng)才能滿足態(tài)勢可視化要求。
網(wǎng)絡(luò)安全態(tài)勢感知基于全網(wǎng)海量多源異構(gòu)各類告警數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)管與運(yùn)維數(shù)據(jù)和內(nèi)控數(shù)據(jù),通過數(shù)據(jù)的集中分析,構(gòu)建安全場景分析,實(shí)現(xiàn)安全風(fēng)險與態(tài)勢的實(shí)時感知。將事前風(fēng)險合規(guī)性管理運(yùn)維流程成果量化、事中發(fā)生的各類安全告警和異常行為及時感知,事后網(wǎng)管系統(tǒng)監(jiān)測到的業(yè)務(wù)異動和事件處置運(yùn)維流程情況,全部匯總統(tǒng)一成風(fēng)險感知的業(yè)務(wù)數(shù)據(jù)鏈。