摘 要：基于經(jīng)典統(tǒng)計學(xué)的威脅統(tǒng)計分析依然是網(wǎng)絡(luò)安全威脅分析及未知攻擊發(fā)現(xiàn)的重要技術(shù)。但傳統(tǒng)的統(tǒng)計分析技術(shù)往往是線性的、從單一維度發(fā)起的分析，在網(wǎng)絡(luò)安全威脅及攻擊手段日益復(fù)雜的今天，傳統(tǒng)的分析方式帶來的缺點也顯而易見。因此研究新型的基于機器學(xué)習(xí)的網(wǎng)絡(luò)安全威脅智能分析方法是十分必要的。本項從以下幾個方面研究網(wǎng)絡(luò)安全威脅的分析技術(shù)。

關(guān)鍵詞：統(tǒng)計學(xué)，機器學(xué)習(xí)

1）概率統(tǒng)計

對資產(chǎn)、重要信息系統(tǒng)、重點網(wǎng)站等保護對象，通過對資產(chǎn)類型統(tǒng)計、重要信息系統(tǒng)及網(wǎng)站的可用性統(tǒng)計、漏洞類型統(tǒng)計、漏洞類型及系統(tǒng)可用性分布統(tǒng)計等，從單一特征及多個分析特征相結(jié)合對威脅進行分析。

2）聚類關(guān)聯(lián)

研究通過聚類技術(shù)對經(jīng)過預(yù)處理且融合后的網(wǎng)絡(luò)安全數(shù)據(jù)樣本進行聚類分析，通過聚類分析可有效提取網(wǎng)絡(luò)安全威脅行為特征信息。同時由于聚類分析的技術(shù)特點，還可有效的對未知攻擊行為進行有效的識別。關(guān)聯(lián)分析是對聚類分析后的特征進一步進行特征關(guān)聯(lián)分析，通過綜合性的關(guān)聯(lián)分析技術(shù)，實現(xiàn)網(wǎng)絡(luò)安全威脅的全面分析。

3）大數(shù)據(jù)分析算法

將多源安全信息融合后的數(shù)據(jù)，從數(shù)據(jù)量來看往往是巨大的、海量的，從數(shù)據(jù)本身的內(nèi)容及模式來講往往是不完整的、有噪聲的、模糊的、甚至還有一些隨機數(shù)據(jù)。針對數(shù)據(jù)的這些特點，應(yīng)用于大數(shù)據(jù)分析方法往往能取得較好的效果?；诖髷?shù)據(jù)的各種數(shù)據(jù)挖掘算法可實現(xiàn)數(shù)據(jù)高度自動化的分析，作出歸納性的推理，發(fā)現(xiàn)數(shù)據(jù)中潛在的、隱含的關(guān)鍵安全信息[29]。同時基于大數(shù)據(jù)的分析方法還能對于安全知識的積累提供基礎(chǔ)性支持，構(gòu)建安全知識庫。

4）人工智能與機器學(xué)習(xí)技術(shù)

應(yīng)用人工智能與機器學(xué)習(xí)技術(shù)可對融合后的安全數(shù)據(jù)進行智能建模，構(gòu)建威脅分析及預(yù)測模型。模型通過將融合數(shù)據(jù)與外部數(shù)據(jù)進行關(guān)聯(lián)分析，在海量數(shù)據(jù)中發(fā)現(xiàn)關(guān)鍵威脅數(shù)據(jù)線索，通過對威脅數(shù)據(jù)的標記，實現(xiàn)不斷完善可自學(xué)習(xí)的半自動化威脅發(fā)現(xiàn)，同時隨著時間的推移，模型不斷完善，可減少威脅發(fā)現(xiàn)的誤報率。

5）可視化分析

融合后的安全信息數(shù)據(jù)由于數(shù)據(jù)來源較為分散、數(shù)據(jù)結(jié)構(gòu)不一致，若通過人工分析，很難形成固定的分析流程和模式。借助大數(shù)據(jù)可視化分析技術(shù)，可將數(shù)據(jù)進行關(guān)聯(lián)分析并作出完整的分析圖表。通過可視化分析可完整的展示數(shù)據(jù)分析的過程和數(shù)據(jù)鏈走向。

以實時監(jiān)測技術(shù)為基礎(chǔ)的大數(shù)據(jù)實時網(wǎng)絡(luò)安全態(tài)勢感知

態(tài)勢感知是以網(wǎng)絡(luò)安全事件與威脅風(fēng)險監(jiān)測為驅(qū)動，對網(wǎng)絡(luò)空間安全相關(guān)信息進行匯聚融合，形成針對人、物、地、事、關(guān)系的多維視圖，從不同視角出發(fā)感知網(wǎng)絡(luò)安全態(tài)勢。

態(tài)勢感知（下圖9）主要包括綜合態(tài)勢、資產(chǎn)態(tài)勢、威脅風(fēng)險態(tài)勢、攻擊態(tài)勢、內(nèi)容態(tài)勢、預(yù)警處置態(tài)勢六大視角。

1）資產(chǎn)態(tài)勢感知技術(shù)

以資產(chǎn)角度出發(fā)，包括重要信息系統(tǒng)、網(wǎng)站、終端等不同資產(chǎn)類型。可實時獲取當前資產(chǎn)總數(shù)，按區(qū)域、類型、高危資產(chǎn)分布。重點監(jiān)控資產(chǎn)的可用性情況，尤其針對重點網(wǎng)站進行重點實時關(guān)注。并結(jié)合地圖、表單、趨勢曲線圖進行生動化展現(xiàn)?？梢圆榭促Y產(chǎn)詳細信息，包括資產(chǎn)所屬的IP或IP段、操作系統(tǒng)、端口、中間件、服務(wù)器類型等。

2）威脅態(tài)勢感知技術(shù)

以安全威脅角度出發(fā)，包括漏洞、木馬、變更、關(guān)鍵字、可用性等不同威脅類型。結(jié)合對本地重要信息系統(tǒng)運營、使用單位的系統(tǒng)的監(jiān)測、第三方信息安全企業(yè)、網(wǎng)安歷史數(shù)據(jù)積累等多個數(shù)據(jù)來源，后期還支持其他數(shù)據(jù)來源接入，形成實時的大數(shù)據(jù)支撐源。

可實時獲取當前安全威脅總數(shù)、各類型數(shù)量、按區(qū)域、數(shù)據(jù)來源分布、可用性分布、典型0day、心臟滴血、僵木蠕漏洞等獲取分布信息。最新監(jiān)測發(fā)現(xiàn)的威脅詳情，如存在威脅風(fēng)險的URL、監(jiān)測發(fā)現(xiàn)時間、等級、詳細描述及威脅處理建議等信息。

3）攻擊態(tài)勢感知技術(shù)

以攻擊角度出發(fā)，從攻擊、訪問兩個維度，可實時獲取當前攻擊、訪問總體情況，并結(jié)合地圖展現(xiàn)攻擊實況，包括攻擊時間、攻擊源IP、目標IP、攻擊類型方式、攻擊路線圖。最近24小時，訪問、攻擊曲線趨勢走向。結(jié)合環(huán)形、條形、熱力圖，對主要攻擊類型、攻擊源、被攻擊目標、訪問源、被訪問對象分布、排行進行實時、可交互的動態(tài)展現(xiàn)。

4）內(nèi)容態(tài)勢感知技術(shù)

以安全內(nèi)容角度出發(fā)，主要包括反共、博彩、色情、暗鏈、黑頁等安全事件類型?？蓪崟r獲取不同事件類型總量，支持按地域、行業(yè)、時間分布，結(jié)合取證式抓取技術(shù)進行證據(jù)留存積累?？刹榭醋钚掳踩录l(fā)生時間、事件類型、涉及的單位重要信息系統(tǒng)IP、所在地區(qū)、行業(yè)、來源、取證截圖等信息。結(jié)合平臺預(yù)警處置功能，還可關(guān)聯(lián)查看對該事件的應(yīng)急處置記錄及處理結(jié)果。

5）內(nèi)容安全事件處置態(tài)勢感知技術(shù)

以內(nèi)容安全事件、威脅風(fēng)險預(yù)警處置的角度出發(fā)，主要包括預(yù)警、處置兩種類型。針對存在威脅風(fēng)險隱患，通常進行預(yù)警通報，針對已經(jīng)發(fā)生的內(nèi)容安全事件，可發(fā)布內(nèi)容安全事件通報，要求單位、屬地公安配合開展應(yīng)急響應(yīng)工作。產(chǎn)生的預(yù)警處置數(shù)據(jù)可實時傳輸?shù)狡脚_。結(jié)合預(yù)警處置各類型分布、時間趨勢分布、區(qū)域、行業(yè)響應(yīng)處理效率、最新預(yù)警處置處理進度等信息進行實時展現(xiàn)，把握預(yù)警處置工作開展情況。

安全風(fēng)險智能研判及內(nèi)容安全事件的通報預(yù)警機制

1）通報預(yù)警信息來源

通報預(yù)警是根據(jù)態(tài)勢感知、安全監(jiān)測、追蹤溯源、情報信息、偵查調(diào)查等模塊獲取的態(tài)勢、趨勢、攻擊、威脅、風(fēng)險、隱患、問題等情況，利用通報預(yù)警機制匯總、分析、研判，并及時將情況上報、通報、下達，進行預(yù)警及快速處置。

2）預(yù)警處置方式

當態(tài)勢感知平臺監(jiān)測到重要信息系統(tǒng)運營、使用單位的系統(tǒng)存在重大風(fēng)險威脅隱患，或受到攻擊、入侵、已被植入后門、篡改、植入暗鏈、拖庫等形成重大安全事件時，根據(jù)屬地管理原則，屬于其他省、單列市管轄的重要信息系統(tǒng)可通過平臺將事件情況通過預(yù)警、通報處置等流程手段進行通報下發(fā)，再由省、單列市通報機構(gòu)進行通報處置，并反饋處置結(jié)果。

安全事件匯總分析平臺的構(gòu)建

根據(jù)安全監(jiān)測發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、重大安全隱患等情況以及相關(guān)部門通報的情況，下達網(wǎng)絡(luò)內(nèi)容安全事件快速處置指令。指令接收部門按照處置要求和規(guī)范進行事件處置，及時消除影響和危害，開展現(xiàn)場勘察， 固定證據(jù)，快速恢復(fù)。對事件處置情況、現(xiàn)場勘察情況以及證據(jù)等方面情況及時建檔、歸檔并入庫?？焖偬幹米酉到y(tǒng)支持與應(yīng)急處置專用設(shè)備進行對接，可將應(yīng)急處置專用設(shè)備收集的數(shù)據(jù)進行固定、管理。內(nèi)容安全事件的調(diào)查處置包括以下幾個方面的工作：

1）安全事件數(shù)據(jù)采集

通過對事發(fā)單位情況及內(nèi)容安全事件信息進行登記、現(xiàn)場快速分析（事件原因）、證據(jù)收集（源碼、日志）及各種漏洞驗證工具實現(xiàn)安全事件的數(shù)據(jù)采集，為后續(xù)的分析工作提供數(shù)據(jù)支撐及線索來源。

2）安全事件數(shù)據(jù)分析

對于內(nèi)容安全事件的分析需要依賴事件分析知識庫（如日志分析知識庫），構(gòu)建自動分析知識庫可為安全事件分析提供自動化的支持。另外，由于內(nèi)容安全事件的分析往往較為復(fù)雜、事件的特性化程度往往較高，因此有必要提供更加靈活的專家分析模式以便提高事件分析的可定制性。

將采集的日志及鏡像數(shù)據(jù)與調(diào)查對象（服務(wù)器、網(wǎng)絡(luò)設(shè)備、日志存儲設(shè)備）進行關(guān)聯(lián)并可進行自動分析與專家分析。

3）安全事件處置結(jié)論

通過內(nèi)容安全事件原因分析、內(nèi)容安全事件事發(fā)過程記錄和分析、內(nèi)容安全事件電子證據(jù)分析確定安全事件的原因并形成出事報告。對于安全威脅隱患提供整改建議，對于系統(tǒng)恢復(fù)提出處置措施。

作者簡介：

翟立超（1993-），男，山西靈石人，山西財經(jīng)大學(xué)信息管理學(xué)院計算機應(yīng)用技術(shù)研究生，研究方向：網(wǎng)絡(luò)安全態(tài)勢感知.