亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知及主動(dòng)防御技術(shù)研究與應(yīng)用

        2019-10-29 08:55:52
        計(jì)算機(jī)測(cè)量與控制 2019年10期
        關(guān)鍵詞:態(tài)勢(shì)威脅報(bào)警

        (國(guó)網(wǎng)山東省電力公司電力科學(xué)研究院,濟(jì)南 250003)

        0 引言

        近年來(lái),針對(duì)能源電力行業(yè)的網(wǎng)絡(luò)攻擊越來(lái)越多,而國(guó)家電網(wǎng)公司是全國(guó)能源供給核心,電網(wǎng)安全關(guān)乎全國(guó)經(jīng)濟(jì)安全。電力行業(yè)的信息化發(fā)展水平和速度居各行業(yè)前列,并且安全防御體系的建設(shè)一直是電力行業(yè)信息化工作的重點(diǎn)。目前電力信息系統(tǒng)網(wǎng)絡(luò)內(nèi)已部署了豐富的安全設(shè)備,包括防火墻、WEB應(yīng)用防火墻、入侵檢測(cè)系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、數(shù)據(jù)庫(kù)審計(jì)設(shè)備等,安全監(jiān)測(cè)的內(nèi)容不斷細(xì)化,但由于傳統(tǒng)安全設(shè)備的相互孤立性,產(chǎn)生的安全情報(bào)數(shù)據(jù)呈現(xiàn)出分散和孤立的共性,傳統(tǒng)的分析方法和模型已不能滿(mǎn)足目前的安全現(xiàn)狀需求,究其原因在于傳統(tǒng)安全設(shè)備相互孤立,產(chǎn)生的安全日志數(shù)據(jù)的種類(lèi)和數(shù)量增長(zhǎng)迅速,呈現(xiàn)出數(shù)據(jù)量大、異構(gòu)的特性,而目前缺失數(shù)據(jù)統(tǒng)一收集、處理和分析的系統(tǒng)化技術(shù)手段。規(guī)范提升對(duì)這部分?jǐn)?shù)據(jù)的分析、挖掘和有效利用,是改進(jìn)當(dāng)前安全威脅防御方式亟待解決的問(wèn)題。

        國(guó)家電網(wǎng)公司正在大力推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)和泛在電力物聯(lián)網(wǎng)建設(shè),電網(wǎng)數(shù)字化和智能化程度不斷提高,伴隨著各個(gè)信息系統(tǒng)的交互性要求也越來(lái)越高,網(wǎng)絡(luò)信息安全給電力信息系統(tǒng)及泛在電力物聯(lián)網(wǎng)建設(shè)提出了更高的要求。比如相關(guān)安全數(shù)據(jù)的采集和存儲(chǔ)能力、信息系統(tǒng)安全威脅的發(fā)現(xiàn)感知能力、立體化縱深防御能力等方面,都面臨著相比過(guò)去傳統(tǒng)信息系統(tǒng)的安全防護(hù)體系更高的技術(shù)和管理規(guī)范化要求。隨著相關(guān)安全威脅情報(bào)數(shù)據(jù)的數(shù)量及數(shù)據(jù)種類(lèi)不斷增多,數(shù)據(jù)以指數(shù)級(jí)快速增長(zhǎng),大量數(shù)據(jù)的采集、存儲(chǔ)、融合、分析變得越來(lái)越困難。當(dāng)前,網(wǎng)絡(luò)攻擊行為呈現(xiàn)出復(fù)雜化、分布化等特點(diǎn),防火墻、入侵檢測(cè)等網(wǎng)絡(luò)安全設(shè)備已經(jīng)不能滿(mǎn)足網(wǎng)絡(luò)空間變化的需求。因此,需要研究新技術(shù)來(lái)感知預(yù)警網(wǎng)絡(luò)中的攻擊等異常事件,提高網(wǎng)絡(luò)安全防護(hù)能力。

        網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證,幫助安全人員采取針對(duì)性響應(yīng)處置措施。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究涉及到大數(shù)據(jù)分析、數(shù)據(jù)融合處理等相關(guān)技術(shù)[1]。通過(guò)對(duì)采集的網(wǎng)絡(luò)安全日志數(shù)據(jù)進(jìn)行全流量分析處理,可挖掘網(wǎng)絡(luò)中的攻擊事件,進(jìn)而感知公司的網(wǎng)絡(luò)安全態(tài)勢(shì)。

        針對(duì)電力信息系統(tǒng)大數(shù)據(jù)環(huán)境下的安全威脅和各類(lèi)網(wǎng)絡(luò)攻擊,研究了基于大數(shù)據(jù)的電力信息系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及主動(dòng)防御技術(shù)。通過(guò)在公司網(wǎng)絡(luò)出口處部署全流量數(shù)據(jù)采集器,對(duì)安全日志、網(wǎng)絡(luò)流量、APT等多維度異構(gòu)數(shù)據(jù)源進(jìn)行全要素的信息采集,并采用高性能的處理器對(duì)數(shù)據(jù)進(jìn)行處理存儲(chǔ),采用大數(shù)據(jù)相關(guān)技術(shù)對(duì)攻擊數(shù)據(jù)包進(jìn)行回溯分析,對(duì)攻擊態(tài)勢(shì)進(jìn)行圖形化直觀展示,可以提供從攻擊預(yù)警、識(shí)別和分析取證的全面分析能力。

        1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念及技術(shù)

        1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念

        態(tài)勢(shì)感知是一種基于環(huán)境的、動(dòng)態(tài)、整體地洞悉安全風(fēng)險(xiǎn)的能力,是以安全大數(shù)據(jù)為基礎(chǔ),通過(guò)在一定時(shí)間和空間內(nèi)對(duì)公司網(wǎng)絡(luò)信息系統(tǒng)的全部數(shù)據(jù)流量進(jìn)行采集獲取,進(jìn)而匹配攻擊關(guān)聯(lián)規(guī)則,并對(duì)未來(lái)可能發(fā)生的攻擊事件進(jìn)行預(yù)測(cè)。整個(gè)態(tài)勢(shì)感知過(guò)程包括態(tài)勢(shì)要素獲取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)[2-5]。網(wǎng)絡(luò)態(tài)勢(shì)是指對(duì)各類(lèi)網(wǎng)絡(luò)設(shè)備的運(yùn)行數(shù)據(jù)、網(wǎng)絡(luò)中發(fā)生的用戶(hù)訪問(wèn)及攻擊等行為構(gòu)成的網(wǎng)絡(luò)狀態(tài)。網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對(duì)網(wǎng)絡(luò)運(yùn)行中的安全要素進(jìn)行獲取、理解、分析、展示并預(yù)測(cè)最近的發(fā)展趨勢(shì)[6]。

        網(wǎng)絡(luò)安全態(tài)勢(shì)感知通過(guò)對(duì)網(wǎng)絡(luò)中的全部數(shù)據(jù)流量進(jìn)行實(shí)時(shí)采集,再運(yùn)用數(shù)據(jù)融合、數(shù)據(jù)挖掘技術(shù)對(duì)流量進(jìn)行分析處理,再采用大數(shù)據(jù)可視化技術(shù)進(jìn)行直觀展示,實(shí)時(shí)展示網(wǎng)絡(luò)的運(yùn)行安全狀況,為網(wǎng)絡(luò)安全提供保障[7-9]。通過(guò)實(shí)時(shí)感知網(wǎng)絡(luò)中的安全態(tài)勢(shì),可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊事件,并及時(shí)對(duì)公司信息系統(tǒng)存在的漏洞進(jìn)行加固處理,避免和減少公司網(wǎng)絡(luò)被惡意人員攻擊的風(fēng)險(xiǎn)。

        1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)技術(shù)

        目前,網(wǎng)絡(luò)空間數(shù)據(jù)呈爆發(fā)式增長(zhǎng),各單位都加大了網(wǎng)絡(luò)安全設(shè)備的投入,網(wǎng)絡(luò)拓?fù)湟苍絹?lái)越復(fù)雜,隨著業(yè)務(wù)的增多,業(yè)務(wù)系統(tǒng)平臺(tái)也逐漸增多。但是,網(wǎng)絡(luò)攻擊的手段和方法卻越來(lái)越先進(jìn),涌現(xiàn)了很多新型的零日漏洞,同時(shí),隨之出現(xiàn)了很多自動(dòng)化和智能化的攻擊工具,導(dǎo)致網(wǎng)絡(luò)威脅逐漸增多,造成的損失也逐漸增多。為了實(shí)時(shí)、準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì),需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行全流量采集、數(shù)據(jù)預(yù)處理、融合分析等環(huán)節(jié),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量。網(wǎng)絡(luò)安全態(tài)勢(shì)感知涉及的技術(shù)主要包括數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、特征提取技術(shù)、態(tài)勢(shì)預(yù)測(cè)技術(shù)和可視化技術(shù)等[10-11]。

        數(shù)據(jù)融合技術(shù)是指利用計(jì)算機(jī)對(duì)按時(shí)序獲得的若干觀測(cè)信息,在一定準(zhǔn)則下加以自動(dòng)分析、綜合,以完成所需的決策和評(píng)估任務(wù)而進(jìn)行的信息處理技術(shù)。這個(gè)處理過(guò)程主要是對(duì)具有相似特征的數(shù)據(jù)進(jìn)行整合,按照數(shù)據(jù)的關(guān)聯(lián)性進(jìn)行合并等融合處理,從而得到更為準(zhǔn)確、可靠的結(jié)論[11-12]。

        數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中通過(guò)算法搜索隱藏于其中信息的過(guò)程,通過(guò)統(tǒng)計(jì)、在線分析處理、情報(bào)檢索、機(jī)器學(xué)習(xí)、專(zhuān)家系統(tǒng)和模式識(shí)別等諸多方法來(lái)挖掘出有用的信息,找出能被大家理解的信息和知識(shí)的過(guò)程[10,13]。

        網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取技術(shù)是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行融合處理后,與攻擊特征庫(kù)規(guī)則進(jìn)行對(duì)比分析,找出能體現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的數(shù)據(jù)特征以及攻擊特征,從而能夠判斷出網(wǎng)絡(luò)是否安全或者網(wǎng)絡(luò)被黑客攻擊面臨的威脅情況[14]。網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取是評(píng)估預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)的前提,目前網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取方法主要有模糊層次分析法、層次分析法、德?tīng)柗品ê途C合分析法[11,15]。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的重要環(huán)節(jié),主要通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量分析出網(wǎng)絡(luò)的運(yùn)行狀況,再運(yùn)用科學(xué)的理論方法推測(cè)網(wǎng)絡(luò)在未來(lái)可能發(fā)現(xiàn)的變化。由于網(wǎng)絡(luò)態(tài)勢(shì)在不同時(shí)間段彼此相關(guān),可以根據(jù)安全態(tài)勢(shì)的變化預(yù)測(cè)未來(lái)可能受到的網(wǎng)絡(luò)攻擊,從而可以有針對(duì)性地對(duì)網(wǎng)絡(luò)設(shè)備配置合理的安全策略,采取主動(dòng)防御的思想,預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生[11-12]。

        可視化技術(shù)是指利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù),將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái),并進(jìn)行交互處理的理論、方法和技術(shù)[16]。目前已有很多研究將可視化技術(shù)和可視化工具應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域,通過(guò)可視化方式實(shí)時(shí)展現(xiàn)國(guó)內(nèi)外對(duì)公司網(wǎng)絡(luò)信息系統(tǒng)的攻擊情況,可以準(zhǔn)確定位出攻擊源及攻擊目標(biāo),從而更方便幫助用戶(hù)從安全態(tài)勢(shì)圖上快速找出安全威脅,更直觀顯示出網(wǎng)絡(luò)安全狀態(tài)。

        2 態(tài)勢(shì)感知平臺(tái)部署架構(gòu)

        基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)部署架構(gòu)如圖1所示,部署架構(gòu)主要如下:前端服務(wù)器主要分為T(mén)SA服務(wù)器、IDS服務(wù)器、防火墻等服務(wù)器,每種類(lèi)型的前端服務(wù)器都為大數(shù)據(jù)分析技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)提供數(shù)據(jù)來(lái)源,供態(tài)勢(shì)感知預(yù)警監(jiān)測(cè)系統(tǒng)進(jìn)行數(shù)據(jù)分析與檢索。

        圖1 基于大數(shù)據(jù)的態(tài)勢(shì)感知平臺(tái)部署架構(gòu)

        采集服務(wù)器負(fù)責(zé)對(duì)TSA、IDS、APT、IPS等前端安全服務(wù)器數(shù)據(jù)進(jìn)行集中收集,并對(duì)數(shù)據(jù)進(jìn)行過(guò)濾,緩存,簡(jiǎn)單范式化等處理操作。

        預(yù)處理服務(wù)器匯總所有采集服務(wù)器上報(bào)的數(shù)據(jù),并對(duì)上報(bào)數(shù)據(jù)進(jìn)行統(tǒng)一的范式化處理,對(duì)采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)歸并、數(shù)據(jù)清洗等操作,并根據(jù)不同業(yè)務(wù)把數(shù)據(jù)存儲(chǔ)到不同的存儲(chǔ)系統(tǒng)上。

        預(yù)處理完成的數(shù)據(jù)都存放在hadoop服務(wù)器上,并利用hadoop的存儲(chǔ)與分析能力,對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)統(tǒng)計(jì)與數(shù)據(jù)挖掘,形成結(jié)果數(shù)據(jù)并導(dǎo)入檢索引擎,供web服務(wù)器查詢(xún)數(shù)據(jù)。

        Es節(jié)點(diǎn)(Elasticsearch)服務(wù)器對(duì)hadoop服務(wù)器形成的結(jié)果數(shù)據(jù),進(jìn)行海量數(shù)據(jù)的存儲(chǔ)與簡(jiǎn)單的二次統(tǒng)計(jì),并提供接口給web服務(wù)器檢索數(shù)據(jù)。

        客戶(hù)端服務(wù)器針對(duì)整個(gè)態(tài)勢(shì)感知預(yù)警平臺(tái),提供自動(dòng)化運(yùn)維與監(jiān)控服務(wù),運(yùn)維人員通過(guò)客戶(hù)端服務(wù)器提供的接口去配置與管理系統(tǒng)平臺(tái)的任務(wù)調(diào)度與運(yùn)維監(jiān)控。

        Web服務(wù)器主要分為Web數(shù)據(jù)庫(kù)服務(wù)器和Web展示服務(wù)器。Web數(shù)據(jù)庫(kù)服務(wù)器主要是存放態(tài)勢(shì)感知預(yù)警平臺(tái)系統(tǒng)的業(yè)務(wù)功能數(shù)據(jù);Web展示服務(wù)器利用業(yè)務(wù)服務(wù)器的基礎(chǔ)數(shù)據(jù)和態(tài)勢(shì)感知預(yù)警平臺(tái)系統(tǒng)的數(shù)據(jù)按業(yè)務(wù)功能管理與威脅數(shù)據(jù)分析兩大功能進(jìn)行數(shù)據(jù)可視化展現(xiàn)。

        3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知及主動(dòng)防御模型研究

        隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及網(wǎng)絡(luò)攻擊復(fù)雜度的增加,防火墻、防病毒、IDS、IPS、安全審計(jì)等眾多的安全設(shè)備應(yīng)用廣泛,各省電力公司加大了網(wǎng)絡(luò)安全建設(shè)的投入力度,先后建立并部署了各種類(lèi)型的安全設(shè)備或系統(tǒng),如APT系統(tǒng)、IDS、IPS、防火墻、殺毒軟件等。但基于特征規(guī)則的傳統(tǒng)安全設(shè)備只能檢測(cè)已知網(wǎng)絡(luò)攻擊,存在較高漏報(bào)和誤報(bào)。而且以純粹攻防理念為主導(dǎo)的APT類(lèi)產(chǎn)品僅對(duì)惡意代碼樣本進(jìn)行分析,與業(yè)務(wù)結(jié)合性差,無(wú)法做到攻擊溯源與取證,仍需人工分析在海量數(shù)據(jù)中尋找線索,對(duì)信息安全專(zhuān)業(yè)人員的分析幫助有限。同時(shí),雖然安全運(yùn)營(yíng)中心(SOC)和安全信息和事件管理(SIEM)對(duì)安全系統(tǒng)的大量日志進(jìn)行了整合,但數(shù)據(jù)源單一,而且缺乏提供精準(zhǔn)分析的能力與手段,安全分析人員從這些海量數(shù)據(jù)中分析出有效線索無(wú)異于大海撈針。事實(shí)上,無(wú)論是傳統(tǒng)安全設(shè)備與系統(tǒng),還是SOC等,都是保證網(wǎng)絡(luò)安全的重要組成部分。但是,這些部分彼此間相對(duì)隔離,信息不能及時(shí)共享,針對(duì)發(fā)生的網(wǎng)絡(luò)安全事件,依靠人工效率極低且時(shí)間滯后,無(wú)法發(fā)揮各部分最大的安全性能。

        為了加強(qiáng)網(wǎng)絡(luò)安全管理,我們提出了基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警技術(shù),將多維度、多層次的安全數(shù)據(jù)源進(jìn)行整合,構(gòu)建基于大數(shù)據(jù)分析技術(shù)的態(tài)勢(shì)感知預(yù)警監(jiān)測(cè)平臺(tái),充分利用數(shù)據(jù)之間的內(nèi)在關(guān)系進(jìn)行深度分析和挖掘,發(fā)展全面的態(tài)勢(shì)感知和高效精準(zhǔn)的分析技術(shù),可以大大地提升網(wǎng)絡(luò)空間態(tài)勢(shì)感知與預(yù)警監(jiān)測(cè)能力。

        研究開(kāi)發(fā)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)通過(guò)內(nèi)建以機(jī)器學(xué)習(xí)和智能分析算法為基礎(chǔ)的多種網(wǎng)絡(luò)安全分析模型,采用TEZ,SPARK并行計(jì)算框架,并利用數(shù)據(jù)挖掘,文本分析,流量分析,全文搜索引擎,實(shí)時(shí)處理等方式來(lái)對(duì)數(shù)據(jù)進(jìn)行深度的分析與挖掘,結(jié)合模型庫(kù)內(nèi)的入侵檢測(cè)模型、網(wǎng)絡(luò)異常行為模型、設(shè)備異常行為模型,實(shí)時(shí)甄別未知的安全威脅。通過(guò)對(duì)公司信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控,構(gòu)建了“事前發(fā)現(xiàn)、事中控制、事后追蹤”的主動(dòng)防控的信息安全管理體系,變被動(dòng)防御為主動(dòng)防控,完善已發(fā)生的信息事件應(yīng)急處置機(jī)制,通過(guò)主動(dòng)防御技術(shù)措施的實(shí)施和管理體系化的創(chuàng)新,提高對(duì)未知安全威脅的發(fā)現(xiàn)和甄別能力。網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)主要涉及以下3種分析模型的深度研究。

        3.1 關(guān)聯(lián)分析模型

        網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志描述了安全事件的詳細(xì)過(guò)程,針對(duì)網(wǎng)絡(luò)中疑似攻擊事件會(huì)產(chǎn)生報(bào)警,可對(duì)相應(yīng)的報(bào)警日志信息進(jìn)行關(guān)聯(lián)分析,對(duì)攻擊數(shù)據(jù)包進(jìn)行回溯分析,查看相應(yīng)的TCP會(huì)話等過(guò)程,最終還原出攻擊事件的整個(gè)過(guò)程。通過(guò)采用基于相似度的報(bào)警關(guān)聯(lián)分析,可以降低關(guān)聯(lián)分析的難度,把報(bào)警日志的數(shù)量精確到最小,提高了關(guān)聯(lián)分析的準(zhǔn)確性?;谙嗨贫鹊膱?bào)警關(guān)聯(lián)分析過(guò)程如下:

        1) 提取報(bào)警日志中的主要屬性,主要包括:時(shí)間、攻擊源位置、攻擊源IP、攻擊類(lèi)型、攻擊目標(biāo)IP、攻擊目標(biāo)、所屬單位,并將攻擊報(bào)警屬性還原成相應(yīng)的攻擊事件,形成原始報(bào)警;

        2) 通過(guò)對(duì)重復(fù)報(bào)警進(jìn)行合并,對(duì)報(bào)警進(jìn)行分類(lèi)匹配,聚合有較高相似度的報(bào)警,生成聚合報(bào)警;

        3) 對(duì)聚合后的報(bào)警的各個(gè)屬性定義報(bào)警屬性相似度的計(jì)算方法,并對(duì)每個(gè)屬性分配權(quán)重;

        4) 計(jì)算兩個(gè)聚合報(bào)警的相似度,通過(guò)比較相似度閥值,判斷需不需要對(duì)聚合報(bào)警進(jìn)行再次報(bào)警;

        5) 采用基于時(shí)間窗口的報(bào)警選擇方法來(lái)選擇適量的報(bào)警進(jìn)行關(guān)聯(lián)比較,并構(gòu)建關(guān)聯(lián)知識(shí)庫(kù),挖掘原始報(bào)警之間的關(guān)聯(lián)關(guān)系,繪制報(bào)警事件關(guān)聯(lián)圖;

        6) 根據(jù)聚合報(bào)警事件輸出屬于同一類(lèi)的報(bào)警信息,生成相應(yīng)的安全事件。安全事件按照時(shí)間節(jié)點(diǎn)記錄了發(fā)生的攻擊類(lèi)型、攻擊源IP、攻擊目標(biāo)IP、攻擊類(lèi)型、攻擊次數(shù)等詳細(xì)信息。

        3.2 融合分析模型

        由于安全設(shè)備采集的日志可能存在冗余性,所以需要對(duì)多個(gè)設(shè)備采集的日志信息進(jìn)行融合處理,才能生成更準(zhǔn)確的安全態(tài)勢(shì)。通過(guò)對(duì)單源日志報(bào)警信息進(jìn)行相似度的報(bào)警關(guān)聯(lián)分析,可以還原每個(gè)攻擊事件的原始過(guò)程。針對(duì)多源安全事件,采用Dempster/Shafer證據(jù)理論(D-S證據(jù)理論)方法進(jìn)行日志融合判別[17-20],對(duì)安全事件的可信度進(jìn)行評(píng)估,進(jìn)一步提高準(zhǔn)確率,減少安全設(shè)備的誤報(bào)率。采用D-S證據(jù)理論對(duì)網(wǎng)絡(luò)安全攻擊事件進(jìn)行融合的過(guò)程為:

        1) 針對(duì)安全事件的多維度屬性,包括:時(shí)間、攻擊源位置、攻擊源IP、攻擊類(lèi)型、攻擊目標(biāo)IP、攻擊目標(biāo)、所屬單位,采用多維信息的分域、層次融合方式,利用初始信息確定融合所需的概率分布的近似算法對(duì)安全事件數(shù)據(jù)進(jìn)行融合處理;

        2) 對(duì)安全設(shè)備原始報(bào)警日志,根據(jù)初始信任分配方法,分配信息度相似函數(shù);

        3) 通過(guò)采用D-S的組合規(guī)則,計(jì)算安全設(shè)備報(bào)警日志融合之后的安全事件的可信度。

        3.3 攻擊要素分析模型

        通過(guò)在網(wǎng)絡(luò)出口處部署全流量采集設(shè)備,可以對(duì)全部數(shù)據(jù)流量進(jìn)行實(shí)時(shí)采集,但是采集的全流量數(shù)據(jù)信息巨大,需要進(jìn)一步分析出真實(shí)的攻擊事件。攻擊要素分析主要包括如下過(guò)程:

        1) 通過(guò)對(duì)大量網(wǎng)絡(luò)攻擊實(shí)例進(jìn)行研究,建立攻擊特征庫(kù);

        2) 把攻擊特征庫(kù)加入大數(shù)據(jù)態(tài)勢(shì)感知平臺(tái),自動(dòng)匹配攻擊事件;

        3) 根據(jù)攻擊事件類(lèi)型分析被攻擊服務(wù)器主機(jī)上開(kāi)放的服務(wù)端口可能發(fā)生的漏洞;

        4) 建立平臺(tái)當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識(shí)庫(kù);

        5) 發(fā)現(xiàn)攻擊異常流量,生成攻擊事件;

        6) 通過(guò)與漏洞知識(shí)庫(kù)進(jìn)行比較,確認(rèn)攻擊事件。

        4 實(shí)驗(yàn)結(jié)果分析

        目前公司部署的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)已接入信息外網(wǎng)出口流量及18個(gè)重要資產(chǎn)服務(wù)器流量、內(nèi)網(wǎng)出口流量及24個(gè)重要資產(chǎn)服務(wù)器流量、2臺(tái)IPS、2臺(tái)防火墻、信息外網(wǎng)APT系統(tǒng),共部署高性能硬件服務(wù)器7臺(tái),其中ES節(jié)點(diǎn)3臺(tái),hadoop節(jié)點(diǎn)3臺(tái),前端展示服務(wù)器1臺(tái)。截至目前,已獲取威脅事件數(shù)據(jù)8 TG,記錄威脅數(shù)據(jù)條數(shù)6 180兆條,現(xiàn)已加入互聯(lián)網(wǎng)威脅情報(bào)32萬(wàn)余條。通過(guò)態(tài)勢(shì)感知預(yù)警平臺(tái)監(jiān)控到前端設(shè)備網(wǎng)絡(luò)流量如圖2所示。

        圖2 監(jiān)控前端設(shè)備網(wǎng)絡(luò)流量

        以2018年6月數(shù)據(jù)為例,共發(fā)現(xiàn)外網(wǎng)威脅事件674 311條,重點(diǎn)資產(chǎn)威脅事件1 870條,其中,觸發(fā)Web攻擊類(lèi)2650次,DDoS攻擊2300次,瀏覽器掃描類(lèi)275 500次;從威脅情報(bào)命中占比來(lái)看,威脅ip占比53%,威脅域名占比32%,威脅URL占比12%;從攻擊方式看,主動(dòng)攻擊占比63%,被動(dòng)攻擊占比37%;從攻擊來(lái)源看,國(guó)內(nèi)占比66.84%,美國(guó)占比33.03%。公司外網(wǎng)重點(diǎn)資產(chǎn)被攻擊態(tài)勢(shì)展示結(jié)果如圖3所示,威脅事件及占比分析結(jié)果如圖4所示,威脅源國(guó)家占比數(shù)如圖5所示。2018年10月、11月威脅環(huán)比數(shù)據(jù)如圖6所示,各類(lèi)攻擊威脅次數(shù)差異Top5如圖7所示,攻擊源ip和目的ip的行為畫(huà)像如圖8所示。從態(tài)勢(shì)感知預(yù)警的分析結(jié)果中,我們可以清晰地看到公司信息系統(tǒng)面臨的安全威脅,從而及時(shí)制定相應(yīng)的安全加固措施,保障了公司信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

        圖3 重點(diǎn)資產(chǎn)被攻擊情況

        圖4 威脅事件及占比情況

        圖5 威脅源國(guó)家占比數(shù)

        圖6 月威脅環(huán)比情況

        圖7 各類(lèi)攻擊威脅次數(shù)差異Top5

        圖8 攻擊IP行為畫(huà)像

        5 結(jié)語(yǔ)

        為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅,通過(guò)采用態(tài)勢(shì)感知技術(shù)實(shí)時(shí)感知預(yù)測(cè)網(wǎng)絡(luò)安全威脅。通過(guò)在介紹網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念和技術(shù)的基礎(chǔ)上,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及主動(dòng)防御技術(shù)進(jìn)行了深入研究,重點(diǎn)研究了利用大數(shù)據(jù)進(jìn)行多源日志的關(guān)聯(lián)分析、融合分析和態(tài)勢(shì)要素分析等技術(shù),并將其技術(shù)應(yīng)用于公司網(wǎng)絡(luò)信息系統(tǒng)環(huán)境。通過(guò)在公司內(nèi)外網(wǎng)網(wǎng)絡(luò)出口部署全流量數(shù)據(jù)采集分析器,對(duì)原始網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集和存儲(chǔ),采用大數(shù)據(jù)分析技術(shù)對(duì)安全威脅進(jìn)行實(shí)時(shí)智能分析,對(duì)網(wǎng)絡(luò)攻擊過(guò)程進(jìn)行回溯分析,并借助大數(shù)據(jù)展示組件,實(shí)現(xiàn)對(duì)分析結(jié)果的多維度圖形化直觀展現(xiàn)。通過(guò)構(gòu)建基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái),實(shí)時(shí)監(jiān)控公司電力信息系統(tǒng)面臨的安全威脅,及時(shí)制定相應(yīng)的安全加固措施,保障了公司信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

        猜你喜歡
        態(tài)勢(shì)威脅報(bào)警
        人類(lèi)的威脅
        2019年12月與11月相比汽車(chē)產(chǎn)銷(xiāo)延續(xù)了增長(zhǎng)態(tài)勢(shì)
        匯市延續(xù)小幅震蕩態(tài)勢(shì)
        我國(guó)天然氣供需呈現(xiàn)緊平衡態(tài)勢(shì)
        受到威脅的生命
        LKD2-HS型列控中心驅(qū)采不一致報(bào)警處理
        面對(duì)孩子的“威脅”,我們要會(huì)說(shuō)“不”
        家教世界(2017年11期)2018-01-03 01:28:49
        2015款奔馳E180車(chē)安全氣囊報(bào)警
        Why Does Sleeping in Just Make Us More Tired?
        縣鄉(xiāng)一體化探索呈加速態(tài)勢(shì)
        乱人伦人妻中文字幕无码| 九一精品少妇一区二区三区| 极品美女一区二区三区免费| 99久久精品费精品国产一区二| 亚洲人成网站免费播放| 欧美—iGAO视频网| 高潮精品熟妇一区二区三区| 久久人人爽爽爽人久久久| 女同久久精品国产99国产精品| 狠狠综合亚洲综合亚色| 91久久香蕉国产熟女线看| 国产av夜夜欢一区二区三区| 国产成人av一区二区三区在线| 中文亚洲AV片在线观看无码| 国产一级内射一片视频免费| 亚洲 欧美 国产 制服 动漫 | 伦伦影院午夜理论片| 国产xxxx99真实实拍| 欧美韩国精品另类综合| 亚洲最大不卡av网站| 大地资源高清在线视频播放| 亚洲精品久久久久久| 无遮挡粉嫩小泬| 一区二区三区四区草逼福利视频| 97无码免费人妻超级碰碰夜夜| 秋霞影院亚洲国产精品| 国产精品亚洲一区二区三区妖精| 天天干天天日夜夜操| 亚洲精品综合一区二区| 免费无遮挡毛片中文字幕| 手机在线观看av资源| 国产成人精品久久一区二区三区 | 人人爽人人爽人人爽人人片av | 久久久久久久性潮| 亚洲日韩精品AⅤ片无码富二代| 日本免费一区二区三区在线播放| 97在线观看视频| 中文字幕久久久久久精| 日本av一级视频在线观看| 蜜桃日本免费观看mv| 久久亚洲Av无码专区|