0 引言

近幾年來，信息化應(yīng)用水平提升到了一個更高的層次，如何從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況，并對網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警是目前的難題。大數(shù)據(jù)技術(shù)特有的海量存儲、并行計算、高效查詢等特點(diǎn)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的突破創(chuàng)造了機(jī)遇，借助大數(shù)據(jù)分析對成千上萬的網(wǎng)絡(luò)日志等信息進(jìn)行自動分析處理與深度挖掘，對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評價，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。

1 基于大數(shù)據(jù)技術(shù)的態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知的主要任務(wù)包括風(fēng)險感知和事件感知兩個方面。風(fēng)險感知包括網(wǎng)絡(luò)資產(chǎn)感知和網(wǎng)絡(luò)脆弱性感知，網(wǎng)絡(luò)資產(chǎn)感知是自動、快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況、屬性等信息網(wǎng)絡(luò)脆弱性感知是分析、發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性對脆弱性進(jìn)行統(tǒng)一標(biāo)識和管理。網(wǎng)絡(luò)脆弱性包括不可見脆弱性和可見脆弱性。事件感知主要包括安全事件感知和異常行為感知，安全事件感知是指能夠確定安全事件發(fā)生的時間、地點(diǎn)、起因、經(jīng)過和結(jié)果，異常行為感知是指通過異常行為判定風(fēng)險，以彌補(bǔ)對不可見脆弱性、未知安全事件發(fā)現(xiàn)的不足，主要面向的是感知未知的攻擊。

2 網(wǎng)絡(luò)安全態(tài)勢感知的相關(guān)技術(shù)

實(shí)現(xiàn)基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知，采集了多種安全設(shè)備上多樣的檢測方式和事件報告機(jī)制生成的海量數(shù)據(jù)，而這些原始的日志信息存在海量、冗余和錯誤等缺陷不能作為態(tài)勢感知的直接信息來源，必須進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合等處理。

關(guān)聯(lián)分析。網(wǎng)絡(luò)中的防火墻日志和入侵檢測日志都是對進(jìn)入網(wǎng)絡(luò)的安全事件的流量的刻畫針對某一個可能的攻擊事件會產(chǎn)生大量的日志和相關(guān)報警記錄，這些記錄存在著很多的冗余和關(guān)聯(lián)。因此首先要對得到的原始日志進(jìn)行單源上的關(guān)聯(lián)分析，把海量的原始日志轉(zhuǎn)換為直觀的、能夠為人所理解的、可能對網(wǎng)絡(luò)造成危害的安全事件?；诙嘣慈罩镜木W(wǎng)絡(luò)安全態(tài)勢感知采用基于相似度的報警關(guān)聯(lián)可以較好地控制關(guān)聯(lián)后的報警數(shù)量，有利于減少復(fù)雜度。其處理過程是：

首先，提取報警日志中的主要屬性，形成原始報警，再通過重復(fù)報警聚合生成聚合報警，對聚合報警的各個屬性定義相似度的計算方法，并分配權(quán)重，計算兩個聚合報警的相似度，通過與相似度閥值的比較來決定是否對聚合報警進(jìn)行超報警，最終輸出屬于同一類報警的地址范圍和報警信息，生成安全事件。

融合分析。多源日志存在冗余性、互補(bǔ)性等特點(diǎn)，態(tài)勢感知借助數(shù)據(jù)融合技術(shù)，能夠使得多個數(shù)據(jù)源之間取長補(bǔ)短，從而為感知過程提供保障，以便更準(zhǔn)確地生成安全態(tài)勢。經(jīng)過單源日志報警關(guān)聯(lián)過程，分別得到各自的安全事件。

態(tài)勢要素分析。通過對網(wǎng)絡(luò)入口處安全設(shè)備日志的安全分析，得到的只是進(jìn)入目標(biāo)網(wǎng)絡(luò)的可能的攻擊信息，而真正對網(wǎng)絡(luò)安全狀況產(chǎn)生決定性影響的安全事件，則需要通過綜合分析攻擊知識庫和具體的網(wǎng)絡(luò)環(huán)境進(jìn)行最終確認(rèn)。主要分為三個步驟：一是通過對大量網(wǎng)絡(luò)攻擊實(shí)例的研究，得到可用的攻擊知識庫，主要包括各種網(wǎng)絡(luò)攻擊的原理、特點(diǎn)以及它們的作用環(huán)境等；二是分析關(guān)鍵主機(jī)上存在的系統(tǒng)漏洞和承載的服務(wù)的可能漏洞，建立當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識庫分析當(dāng)前網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)、性能指標(biāo)等得到網(wǎng)絡(luò)環(huán)境知識庫；三是通過漏洞知識庫來確認(rèn)安全事件的有效性，也即對當(dāng)前網(wǎng)絡(luò)產(chǎn)生影響的網(wǎng)絡(luò)攻擊事件。在網(wǎng)絡(luò)安全事件生成和攻擊事件確認(rèn)的過程中，提取出用于對整個網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估的態(tài)勢要素主要包括整個網(wǎng)絡(luò)面臨的安全威脅、分支網(wǎng)絡(luò)面臨的安全威脅、主機(jī)受到的安全威脅以及這些威脅的程度等。

3 安全風(fēng)險態(tài)勢感知的預(yù)警分析技術(shù)

對于海量網(wǎng)絡(luò)安全日志信息，僅通過網(wǎng)絡(luò)安全設(shè)備提供的網(wǎng)絡(luò)安全日志分析網(wǎng)絡(luò)安全事件通常是滯后的，因此利用大數(shù)據(jù)分析技術(shù)針對海量網(wǎng)絡(luò)安全日志 數(shù)據(jù)進(jìn)行深層次的分析，從中發(fā)現(xiàn)有價值的信息。發(fā)現(xiàn)數(shù)據(jù)中存在的關(guān)系和規(guī)則，根據(jù)現(xiàn)有的數(shù)據(jù)預(yù)測未來的發(fā)展趨勢，從海量的安全數(shù)據(jù)中發(fā)現(xiàn)潛在的安全威脅和攻擊。

網(wǎng)絡(luò)安全事件預(yù)警分析技術(shù)采用基于動態(tài)基線的方法并結(jié)合數(shù)據(jù)挖掘算法進(jìn)行預(yù)警分析。通過設(shè)置的20種指標(biāo)項，利用以存儲的海量日志數(shù)據(jù)獲取網(wǎng)絡(luò)安全事件的標(biāo)準(zhǔn)差及標(biāo)準(zhǔn)誤差，最終針對指標(biāo)項計算其置信區(qū)間，系統(tǒng)針對存儲的歷史數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)，分析日志特征并對于置信區(qū)間進(jìn)行動態(tài)規(guī)則設(shè)置，利用置信區(qū)間及置信區(qū)間規(guī)則，分析實(shí)時采集的日志數(shù)據(jù)，如果在置信區(qū)間范圍外的數(shù)據(jù)或置信區(qū)間內(nèi)匹配異常場景的數(shù)據(jù)進(jìn)行攻擊場景及資產(chǎn)脆弱性關(guān)聯(lián)分析，為用戶提供對應(yīng)的預(yù)警信息。預(yù)警分為安全事件預(yù)警和重要信息系統(tǒng)預(yù)警。

安全事件預(yù)警流程為當(dāng)發(fā)生安全事件時，首先判定事件等級，根據(jù)事件等級選擇通知相應(yīng)的負(fù)責(zé)人處理，處置完成后判斷系統(tǒng)運(yùn)行是否正常，如果正常則通知系統(tǒng)管理員填寫信息安全事件和系統(tǒng)故障處理記錄單并結(jié)束流程，并將此次處理填入值班記錄；如果處置完成后系統(tǒng)沒有正常運(yùn)行，則重新判斷事件等級進(jìn)行處理。

重要信息系統(tǒng)預(yù)警流程為當(dāng)發(fā)生系統(tǒng)故障時，首先判斷故障等級，根據(jù)故障等級選擇通知相應(yīng)的負(fù)責(zé)人處理，處置完成后判斷系統(tǒng)運(yùn)行是否正常，如果正常則通知系統(tǒng)管理員填寫信息安全事件和系統(tǒng)故障處理記錄單并結(jié)束流程，并將此次處理填入值班記錄；如果處置完成后系統(tǒng)沒有正常運(yùn)行，則重新判斷故障等級進(jìn)行處理。

4 尚存在的技術(shù)難題分析

由于目前用戶普遍網(wǎng)絡(luò)規(guī)模較大，結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)數(shù)據(jù)還存在實(shí)時可變的特征，網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢的可視化是實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢感知的難點(diǎn)?；谥鳈C(jī)的數(shù)據(jù)顯示和基于網(wǎng)絡(luò)的數(shù)據(jù)顯示是態(tài)勢可視化的兩大方面，可視化的結(jié)果既要反應(yīng)區(qū)域內(nèi)主機(jī)網(wǎng)絡(luò)安全威脅等級，也要從宏觀上對整個網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行描繪?？梢暬€需考慮人機(jī)交互的可操作性，基于多數(shù)據(jù)源，多視圖的可視化系統(tǒng)才能滿足態(tài)勢可視化要求。

5 總結(jié)

網(wǎng)絡(luò)安全態(tài)勢感知基于全網(wǎng)海量多源異構(gòu)各類告警數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)管與運(yùn)維數(shù)據(jù)和內(nèi)控數(shù)據(jù)，通過數(shù)據(jù)的集中分析，構(gòu)建安全場景分析，實(shí)現(xiàn)安全風(fēng)險與態(tài)勢的實(shí)時感知。將事前風(fēng)險合規(guī)性管理運(yùn)維流程成果量化、事中發(fā)生的各類安全告警和異常行為及時感知，事后網(wǎng)管系統(tǒng)監(jiān)測到的業(yè)務(wù)異動和事件處置運(yùn)維流程情況，全部匯總統(tǒng)一成風(fēng)險感知的業(yè)務(wù)數(shù)據(jù)鏈。