(國(guó)網(wǎng)山東省電力公司電力科學(xué)研究院，濟(jì)南 250003)

0 引言

近年來(lái)，針對(duì)能源電力行業(yè)的網(wǎng)絡(luò)攻擊越來(lái)越多，而國(guó)家電網(wǎng)公司是全國(guó)能源供給核心，電網(wǎng)安全關(guān)乎全國(guó)經(jīng)濟(jì)安全。電力行業(yè)的信息化發(fā)展水平和速度居各行業(yè)前列，并且安全防御體系的建設(shè)一直是電力行業(yè)信息化工作的重點(diǎn)。目前電力信息系統(tǒng)網(wǎng)絡(luò)內(nèi)已部署了豐富的安全設(shè)備，包括防火墻、WEB應(yīng)用防火墻、入侵檢測(cè)系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、數(shù)據(jù)庫(kù)審計(jì)設(shè)備等，安全監(jiān)測(cè)的內(nèi)容不斷細(xì)化，但由于傳統(tǒng)安全設(shè)備的相互孤立性，產(chǎn)生的安全情報(bào)數(shù)據(jù)呈現(xiàn)出分散和孤立的共性，傳統(tǒng)的分析方法和模型已不能滿(mǎn)足目前的安全現(xiàn)狀需求，究其原因在于傳統(tǒng)安全設(shè)備相互孤立，產(chǎn)生的安全日志數(shù)據(jù)的種類(lèi)和數(shù)量增長(zhǎng)迅速，呈現(xiàn)出數(shù)據(jù)量大、異構(gòu)的特性，而目前缺失數(shù)據(jù)統(tǒng)一收集、處理和分析的系統(tǒng)化技術(shù)手段。規(guī)范提升對(duì)這部分?jǐn)?shù)據(jù)的分析、挖掘和有效利用，是改進(jìn)當(dāng)前安全威脅防御方式亟待解決的問(wèn)題。

國(guó)家電網(wǎng)公司正在大力推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)和泛在電力物聯(lián)網(wǎng)建設(shè)，電網(wǎng)數(shù)字化和智能化程度不斷提高，伴隨著各個(gè)信息系統(tǒng)的交互性要求也越來(lái)越高，網(wǎng)絡(luò)信息安全給電力信息系統(tǒng)及泛在電力物聯(lián)網(wǎng)建設(shè)提出了更高的要求。比如相關(guān)安全數(shù)據(jù)的采集和存儲(chǔ)能力、信息系統(tǒng)安全威脅的發(fā)現(xiàn)感知能力、立體化縱深防御能力等方面，都面臨著相比過(guò)去傳統(tǒng)信息系統(tǒng)的安全防護(hù)體系更高的技術(shù)和管理規(guī)范化要求。隨著相關(guān)安全威脅情報(bào)數(shù)據(jù)的數(shù)量及數(shù)據(jù)種類(lèi)不斷增多，數(shù)據(jù)以指數(shù)級(jí)快速增長(zhǎng)，大量數(shù)據(jù)的采集、存儲(chǔ)、融合、分析變得越來(lái)越困難。當(dāng)前，網(wǎng)絡(luò)攻擊行為呈現(xiàn)出復(fù)雜化、分布化等特點(diǎn)，防火墻、入侵檢測(cè)等網(wǎng)絡(luò)安全設(shè)備已經(jīng)不能滿(mǎn)足網(wǎng)絡(luò)空間變化的需求。因此，需要研究新技術(shù)來(lái)感知預(yù)警網(wǎng)絡(luò)中的攻擊等異常事件，提高網(wǎng)絡(luò)安全防護(hù)能力。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采取針對(duì)性響應(yīng)處置措施。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究涉及到大數(shù)據(jù)分析、數(shù)據(jù)融合處理等相關(guān)技術(shù)[1]。通過(guò)對(duì)采集的網(wǎng)絡(luò)安全日志數(shù)據(jù)進(jìn)行全流量分析處理，可挖掘網(wǎng)絡(luò)中的攻擊事件，進(jìn)而感知公司的網(wǎng)絡(luò)安全態(tài)勢(shì)。

針對(duì)電力信息系統(tǒng)大數(shù)據(jù)環(huán)境下的安全威脅和各類(lèi)網(wǎng)絡(luò)攻擊，研究了基于大數(shù)據(jù)的電力信息系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及主動(dòng)防御技術(shù)。通過(guò)在公司網(wǎng)絡(luò)出口處部署全流量數(shù)據(jù)采集器，對(duì)安全日志、網(wǎng)絡(luò)流量、APT等多維度異構(gòu)數(shù)據(jù)源進(jìn)行全要素的信息采集，并采用高性能的處理器對(duì)數(shù)據(jù)進(jìn)行處理存儲(chǔ)，采用大數(shù)據(jù)相關(guān)技術(shù)對(duì)攻擊數(shù)據(jù)包進(jìn)行回溯分析，對(duì)攻擊態(tài)勢(shì)進(jìn)行圖形化直觀展示，可以提供從攻擊預(yù)警、識(shí)別和分析取證的全面分析能力。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念及技術(shù)

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念

態(tài)勢(shì)感知是一種基于環(huán)境的、動(dòng)態(tài)、整體地洞悉安全風(fēng)險(xiǎn)的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，通過(guò)在一定時(shí)間和空間內(nèi)對(duì)公司網(wǎng)絡(luò)信息系統(tǒng)的全部數(shù)據(jù)流量進(jìn)行采集獲取，進(jìn)而匹配攻擊關(guān)聯(lián)規(guī)則，并對(duì)未來(lái)可能發(fā)生的攻擊事件進(jìn)行預(yù)測(cè)。整個(gè)態(tài)勢(shì)感知過(guò)程包括態(tài)勢(shì)要素獲取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)[2-5]。網(wǎng)絡(luò)態(tài)勢(shì)是指對(duì)各類(lèi)網(wǎng)絡(luò)設(shè)備的運(yùn)行數(shù)據(jù)、網(wǎng)絡(luò)中發(fā)生的用戶(hù)訪問(wèn)及攻擊等行為構(gòu)成的網(wǎng)絡(luò)狀態(tài)。網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)網(wǎng)絡(luò)運(yùn)行中的安全要素進(jìn)行獲取、理解、分析、展示并預(yù)測(cè)最近的發(fā)展趨勢(shì)[6]。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知通過(guò)對(duì)網(wǎng)絡(luò)中的全部數(shù)據(jù)流量進(jìn)行實(shí)時(shí)采集，再運(yùn)用數(shù)據(jù)融合、數(shù)據(jù)挖掘技術(shù)對(duì)流量進(jìn)行分析處理，再采用大數(shù)據(jù)可視化技術(shù)進(jìn)行直觀展示，實(shí)時(shí)展示網(wǎng)絡(luò)的運(yùn)行安全狀況，為網(wǎng)絡(luò)安全提供保障[7-9]。通過(guò)實(shí)時(shí)感知網(wǎng)絡(luò)中的安全態(tài)勢(shì)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊事件，并及時(shí)對(duì)公司信息系統(tǒng)存在的漏洞進(jìn)行加固處理，避免和減少公司網(wǎng)絡(luò)被惡意人員攻擊的風(fēng)險(xiǎn)。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)技術(shù)

目前，網(wǎng)絡(luò)空間數(shù)據(jù)呈爆發(fā)式增長(zhǎng)，各單位都加大了網(wǎng)絡(luò)安全設(shè)備的投入，網(wǎng)絡(luò)拓?fù)湟苍絹?lái)越復(fù)雜，隨著業(yè)務(wù)的增多，業(yè)務(wù)系統(tǒng)平臺(tái)也逐漸增多。但是，網(wǎng)絡(luò)攻擊的手段和方法卻越來(lái)越先進(jìn)，涌現(xiàn)了很多新型的零日漏洞，同時(shí)，隨之出現(xiàn)了很多自動(dòng)化和智能化的攻擊工具，導(dǎo)致網(wǎng)絡(luò)威脅逐漸增多，造成的損失也逐漸增多。為了實(shí)時(shí)、準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)，需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行全流量采集、數(shù)據(jù)預(yù)處理、融合分析等環(huán)節(jié)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量。網(wǎng)絡(luò)安全態(tài)勢(shì)感知涉及的技術(shù)主要包括數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、特征提取技術(shù)、態(tài)勢(shì)預(yù)測(cè)技術(shù)和可視化技術(shù)等[10-11]。

數(shù)據(jù)融合技術(shù)是指利用計(jì)算機(jī)對(duì)按時(shí)序獲得的若干觀測(cè)信息，在一定準(zhǔn)則下加以自動(dòng)分析、綜合，以完成所需的決策和評(píng)估任務(wù)而進(jìn)行的信息處理技術(shù)。這個(gè)處理過(guò)程主要是對(duì)具有相似特征的數(shù)據(jù)進(jìn)行整合，按照數(shù)據(jù)的關(guān)聯(lián)性進(jìn)行合并等融合處理，從而得到更為準(zhǔn)確、可靠的結(jié)論[11-12]。

數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中通過(guò)算法搜索隱藏于其中信息的過(guò)程，通過(guò)統(tǒng)計(jì)、在線分析處理、情報(bào)檢索、機(jī)器學(xué)習(xí)、專(zhuān)家系統(tǒng)和模式識(shí)別等諸多方法來(lái)挖掘出有用的信息，找出能被大家理解的信息和知識(shí)的過(guò)程[10,13]。

網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取技術(shù)是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行融合處理后，與攻擊特征庫(kù)規(guī)則進(jìn)行對(duì)比分析，找出能體現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的數(shù)據(jù)特征以及攻擊特征，從而能夠判斷出網(wǎng)絡(luò)是否安全或者網(wǎng)絡(luò)被黑客攻擊面臨的威脅情況[14]。網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取是評(píng)估預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)的前提，目前網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取方法主要有模糊層次分析法、層次分析法、德?tīng)柗品ê途C合分析法[11,15]。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的重要環(huán)節(jié)，主要通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量分析出網(wǎng)絡(luò)的運(yùn)行狀況，再運(yùn)用科學(xué)的理論方法推測(cè)網(wǎng)絡(luò)在未來(lái)可能發(fā)現(xiàn)的變化。由于網(wǎng)絡(luò)態(tài)勢(shì)在不同時(shí)間段彼此相關(guān)，可以根據(jù)安全態(tài)勢(shì)的變化預(yù)測(cè)未來(lái)可能受到的網(wǎng)絡(luò)攻擊，從而可以有針對(duì)性地對(duì)網(wǎng)絡(luò)設(shè)備配置合理的安全策略，采取主動(dòng)防御的思想，預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生[11-12]。

可視化技術(shù)是指利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái)，并進(jìn)行交互處理的理論、方法和技術(shù)[16]。目前已有很多研究將可視化技術(shù)和可視化工具應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域，通過(guò)可視化方式實(shí)時(shí)展現(xiàn)國(guó)內(nèi)外對(duì)公司網(wǎng)絡(luò)信息系統(tǒng)的攻擊情況，可以準(zhǔn)確定位出攻擊源及攻擊目標(biāo)，從而更方便幫助用戶(hù)從安全態(tài)勢(shì)圖上快速找出安全威脅，更直觀顯示出網(wǎng)絡(luò)安全狀態(tài)。

2 態(tài)勢(shì)感知平臺(tái)部署架構(gòu)

基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)部署架構(gòu)如圖1所示，部署架構(gòu)主要如下：前端服務(wù)器主要分為T(mén)SA服務(wù)器、IDS服務(wù)器、防火墻等服務(wù)器，每種類(lèi)型的前端服務(wù)器都為大數(shù)據(jù)分析技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)提供數(shù)據(jù)來(lái)源，供態(tài)勢(shì)感知預(yù)警監(jiān)測(cè)系統(tǒng)進(jìn)行數(shù)據(jù)分析與檢索。

圖1 基于大數(shù)據(jù)的態(tài)勢(shì)感知平臺(tái)部署架構(gòu)

采集服務(wù)器負(fù)責(zé)對(duì)TSA、IDS、APT、IPS等前端安全服務(wù)器數(shù)據(jù)進(jìn)行集中收集，并對(duì)數(shù)據(jù)進(jìn)行過(guò)濾，緩存，簡(jiǎn)單范式化等處理操作。

預(yù)處理服務(wù)器匯總所有采集服務(wù)器上報(bào)的數(shù)據(jù)，并對(duì)上報(bào)數(shù)據(jù)進(jìn)行統(tǒng)一的范式化處理，對(duì)采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)歸并、數(shù)據(jù)清洗等操作，并根據(jù)不同業(yè)務(wù)把數(shù)據(jù)存儲(chǔ)到不同的存儲(chǔ)系統(tǒng)上。

預(yù)處理完成的數(shù)據(jù)都存放在hadoop服務(wù)器上，并利用hadoop的存儲(chǔ)與分析能力，對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)統(tǒng)計(jì)與數(shù)據(jù)挖掘，形成結(jié)果數(shù)據(jù)并導(dǎo)入檢索引擎，供web服務(wù)器查詢(xún)數(shù)據(jù)。

Es節(jié)點(diǎn)(Elasticsearch)服務(wù)器對(duì)hadoop服務(wù)器形成的結(jié)果數(shù)據(jù)，進(jìn)行海量數(shù)據(jù)的存儲(chǔ)與簡(jiǎn)單的二次統(tǒng)計(jì)，并提供接口給web服務(wù)器檢索數(shù)據(jù)。

客戶(hù)端服務(wù)器針對(duì)整個(gè)態(tài)勢(shì)感知預(yù)警平臺(tái)，提供自動(dòng)化運(yùn)維與監(jiān)控服務(wù)，運(yùn)維人員通過(guò)客戶(hù)端服務(wù)器提供的接口去配置與管理系統(tǒng)平臺(tái)的任務(wù)調(diào)度與運(yùn)維監(jiān)控。

Web服務(wù)器主要分為Web數(shù)據(jù)庫(kù)服務(wù)器和Web展示服務(wù)器。Web數(shù)據(jù)庫(kù)服務(wù)器主要是存放態(tài)勢(shì)感知預(yù)警平臺(tái)系統(tǒng)的業(yè)務(wù)功能數(shù)據(jù)；Web展示服務(wù)器利用業(yè)務(wù)服務(wù)器的基礎(chǔ)數(shù)據(jù)和態(tài)勢(shì)感知預(yù)警平臺(tái)系統(tǒng)的數(shù)據(jù)按業(yè)務(wù)功能管理與威脅數(shù)據(jù)分析兩大功能進(jìn)行數(shù)據(jù)可視化展現(xiàn)。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知及主動(dòng)防御模型研究

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及網(wǎng)絡(luò)攻擊復(fù)雜度的增加，防火墻、防病毒、IDS、IPS、安全審計(jì)等眾多的安全設(shè)備應(yīng)用廣泛，各省電力公司加大了網(wǎng)絡(luò)安全建設(shè)的投入力度，先后建立并部署了各種類(lèi)型的安全設(shè)備或系統(tǒng)，如APT系統(tǒng)、IDS、IPS、防火墻、殺毒軟件等。但基于特征規(guī)則的傳統(tǒng)安全設(shè)備只能檢測(cè)已知網(wǎng)絡(luò)攻擊，存在較高漏報(bào)和誤報(bào)。而且以純粹攻防理念為主導(dǎo)的APT類(lèi)產(chǎn)品僅對(duì)惡意代碼樣本進(jìn)行分析，與業(yè)務(wù)結(jié)合性差，無(wú)法做到攻擊溯源與取證，仍需人工分析在海量數(shù)據(jù)中尋找線索，對(duì)信息安全專(zhuān)業(yè)人員的分析幫助有限。同時(shí)，雖然安全運(yùn)營(yíng)中心(SOC)和安全信息和事件管理(SIEM)對(duì)安全系統(tǒng)的大量日志進(jìn)行了整合，但數(shù)據(jù)源單一，而且缺乏提供精準(zhǔn)分析的能力與手段，安全分析人員從這些海量數(shù)據(jù)中分析出有效線索無(wú)異于大海撈針。事實(shí)上，無(wú)論是傳統(tǒng)安全設(shè)備與系統(tǒng)，還是SOC等，都是保證網(wǎng)絡(luò)安全的重要組成部分。但是，這些部分彼此間相對(duì)隔離，信息不能及時(shí)共享，針對(duì)發(fā)生的網(wǎng)絡(luò)安全事件，依靠人工效率極低且時(shí)間滯后，無(wú)法發(fā)揮各部分最大的安全性能。

為了加強(qiáng)網(wǎng)絡(luò)安全管理，我們提出了基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警技術(shù)，將多維度、多層次的安全數(shù)據(jù)源進(jìn)行整合，構(gòu)建基于大數(shù)據(jù)分析技術(shù)的態(tài)勢(shì)感知預(yù)警監(jiān)測(cè)平臺(tái)，充分利用數(shù)據(jù)之間的內(nèi)在關(guān)系進(jìn)行深度分析和挖掘，發(fā)展全面的態(tài)勢(shì)感知和高效精準(zhǔn)的分析技術(shù)，可以大大地提升網(wǎng)絡(luò)空間態(tài)勢(shì)感知與預(yù)警監(jiān)測(cè)能力。

研究開(kāi)發(fā)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)通過(guò)內(nèi)建以機(jī)器學(xué)習(xí)和智能分析算法為基礎(chǔ)的多種網(wǎng)絡(luò)安全分析模型，采用TEZ，SPARK并行計(jì)算框架，并利用數(shù)據(jù)挖掘，文本分析，流量分析，全文搜索引擎，實(shí)時(shí)處理等方式來(lái)對(duì)數(shù)據(jù)進(jìn)行深度的分析與挖掘，結(jié)合模型庫(kù)內(nèi)的入侵檢測(cè)模型、網(wǎng)絡(luò)異常行為模型、設(shè)備異常行為模型，實(shí)時(shí)甄別未知的安全威脅。通過(guò)對(duì)公司信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，構(gòu)建了“事前發(fā)現(xiàn)、事中控制、事后追蹤”的主動(dòng)防控的信息安全管理體系，變被動(dòng)防御為主動(dòng)防控，完善已發(fā)生的信息事件應(yīng)急處置機(jī)制，通過(guò)主動(dòng)防御技術(shù)措施的實(shí)施和管理體系化的創(chuàng)新，提高對(duì)未知安全威脅的發(fā)現(xiàn)和甄別能力。網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)主要涉及以下3種分析模型的深度研究。

3.1 關(guān)聯(lián)分析模型

網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志描述了安全事件的詳細(xì)過(guò)程，針對(duì)網(wǎng)絡(luò)中疑似攻擊事件會(huì)產(chǎn)生報(bào)警，可對(duì)相應(yīng)的報(bào)警日志信息進(jìn)行關(guān)聯(lián)分析，對(duì)攻擊數(shù)據(jù)包進(jìn)行回溯分析，查看相應(yīng)的TCP會(huì)話等過(guò)程，最終還原出攻擊事件的整個(gè)過(guò)程。通過(guò)采用基于相似度的報(bào)警關(guān)聯(lián)分析，可以降低關(guān)聯(lián)分析的難度，把報(bào)警日志的數(shù)量精確到最小，提高了關(guān)聯(lián)分析的準(zhǔn)確性?；谙嗨贫鹊膱?bào)警關(guān)聯(lián)分析過(guò)程如下：

1) 提取報(bào)警日志中的主要屬性，主要包括：時(shí)間、攻擊源位置、攻擊源IP、攻擊類(lèi)型、攻擊目標(biāo)IP、攻擊目標(biāo)、所屬單位，并將攻擊報(bào)警屬性還原成相應(yīng)的攻擊事件，形成原始報(bào)警；

2) 通過(guò)對(duì)重復(fù)報(bào)警進(jìn)行合并，對(duì)報(bào)警進(jìn)行分類(lèi)匹配，聚合有較高相似度的報(bào)警，生成聚合報(bào)警；

3) 對(duì)聚合后的報(bào)警的各個(gè)屬性定義報(bào)警屬性相似度的計(jì)算方法，并對(duì)每個(gè)屬性分配權(quán)重；

4) 計(jì)算兩個(gè)聚合報(bào)警的相似度，通過(guò)比較相似度閥值，判斷需不需要對(duì)聚合報(bào)警進(jìn)行再次報(bào)警；

5) 采用基于時(shí)間窗口的報(bào)警選擇方法來(lái)選擇適量的報(bào)警進(jìn)行關(guān)聯(lián)比較，并構(gòu)建關(guān)聯(lián)知識(shí)庫(kù)，挖掘原始報(bào)警之間的關(guān)聯(lián)關(guān)系，繪制報(bào)警事件關(guān)聯(lián)圖；

6) 根據(jù)聚合報(bào)警事件輸出屬于同一類(lèi)的報(bào)警信息，生成相應(yīng)的安全事件。安全事件按照時(shí)間節(jié)點(diǎn)記錄了發(fā)生的攻擊類(lèi)型、攻擊源IP、攻擊目標(biāo)IP、攻擊類(lèi)型、攻擊次數(shù)等詳細(xì)信息。

3.2 融合分析模型

由于安全設(shè)備采集的日志可能存在冗余性，所以需要對(duì)多個(gè)設(shè)備采集的日志信息進(jìn)行融合處理，才能生成更準(zhǔn)確的安全態(tài)勢(shì)。通過(guò)對(duì)單源日志報(bào)警信息進(jìn)行相似度的報(bào)警關(guān)聯(lián)分析，可以還原每個(gè)攻擊事件的原始過(guò)程。針對(duì)多源安全事件，采用Dempster/Shafer證據(jù)理論(D-S證據(jù)理論)方法進(jìn)行日志融合判別[17-20]，對(duì)安全事件的可信度進(jìn)行評(píng)估，進(jìn)一步提高準(zhǔn)確率，減少安全設(shè)備的誤報(bào)率。采用D-S證據(jù)理論對(duì)網(wǎng)絡(luò)安全攻擊事件進(jìn)行融合的過(guò)程為：

1) 針對(duì)安全事件的多維度屬性，包括：時(shí)間、攻擊源位置、攻擊源IP、攻擊類(lèi)型、攻擊目標(biāo)IP、攻擊目標(biāo)、所屬單位，采用多維信息的分域、層次融合方式，利用初始信息確定融合所需的概率分布的近似算法對(duì)安全事件數(shù)據(jù)進(jìn)行融合處理；

2) 對(duì)安全設(shè)備原始報(bào)警日志，根據(jù)初始信任分配方法，分配信息度相似函數(shù)；

3) 通過(guò)采用D-S的組合規(guī)則，計(jì)算安全設(shè)備報(bào)警日志融合之后的安全事件的可信度。

3.3 攻擊要素分析模型

通過(guò)在網(wǎng)絡(luò)出口處部署全流量采集設(shè)備，可以對(duì)全部數(shù)據(jù)流量進(jìn)行實(shí)時(shí)采集，但是采集的全流量數(shù)據(jù)信息巨大，需要進(jìn)一步分析出真實(shí)的攻擊事件。攻擊要素分析主要包括如下過(guò)程：

1) 通過(guò)對(duì)大量網(wǎng)絡(luò)攻擊實(shí)例進(jìn)行研究，建立攻擊特征庫(kù)；

2) 把攻擊特征庫(kù)加入大數(shù)據(jù)態(tài)勢(shì)感知平臺(tái)，自動(dòng)匹配攻擊事件；

3) 根據(jù)攻擊事件類(lèi)型分析被攻擊服務(wù)器主機(jī)上開(kāi)放的服務(wù)端口可能發(fā)生的漏洞；

4) 建立平臺(tái)當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識(shí)庫(kù)；

5) 發(fā)現(xiàn)攻擊異常流量，生成攻擊事件；

6) 通過(guò)與漏洞知識(shí)庫(kù)進(jìn)行比較，確認(rèn)攻擊事件。

4 實(shí)驗(yàn)結(jié)果分析

目前公司部署的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)已接入信息外網(wǎng)出口流量及18個(gè)重要資產(chǎn)服務(wù)器流量、內(nèi)網(wǎng)出口流量及24個(gè)重要資產(chǎn)服務(wù)器流量、2臺(tái)IPS、2臺(tái)防火墻、信息外網(wǎng)APT系統(tǒng)，共部署高性能硬件服務(wù)器7臺(tái)，其中ES節(jié)點(diǎn)3臺(tái)，hadoop節(jié)點(diǎn)3臺(tái)，前端展示服務(wù)器1臺(tái)。截至目前，已獲取威脅事件數(shù)據(jù)8 TG，記錄威脅數(shù)據(jù)條數(shù)6 180兆條，現(xiàn)已加入互聯(lián)網(wǎng)威脅情報(bào)32萬(wàn)余條。通過(guò)態(tài)勢(shì)感知預(yù)警平臺(tái)監(jiān)控到前端設(shè)備網(wǎng)絡(luò)流量如圖2所示。

圖2 監(jiān)控前端設(shè)備網(wǎng)絡(luò)流量

以2018年6月數(shù)據(jù)為例，共發(fā)現(xiàn)外網(wǎng)威脅事件674 311條，重點(diǎn)資產(chǎn)威脅事件1 870條，其中，觸發(fā)Web攻擊類(lèi)2650次，DDoS攻擊2300次，瀏覽器掃描類(lèi)275 500次；從威脅情報(bào)命中占比來(lái)看，威脅ip占比53%，威脅域名占比32%，威脅URL占比12%；從攻擊方式看，主動(dòng)攻擊占比63%，被動(dòng)攻擊占比37%；從攻擊來(lái)源看，國(guó)內(nèi)占比66.84%，美國(guó)占比33.03%。公司外網(wǎng)重點(diǎn)資產(chǎn)被攻擊態(tài)勢(shì)展示結(jié)果如圖3所示，威脅事件及占比分析結(jié)果如圖4所示，威脅源國(guó)家占比數(shù)如圖5所示。2018年10月、11月威脅環(huán)比數(shù)據(jù)如圖6所示，各類(lèi)攻擊威脅次數(shù)差異Top5如圖7所示，攻擊源ip和目的ip的行為畫(huà)像如圖8所示。從態(tài)勢(shì)感知預(yù)警的分析結(jié)果中，我們可以清晰地看到公司信息系統(tǒng)面臨的安全威脅，從而及時(shí)制定相應(yīng)的安全加固措施，保障了公司信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

圖3 重點(diǎn)資產(chǎn)被攻擊情況

圖4 威脅事件及占比情況

圖5 威脅源國(guó)家占比數(shù)

圖6 月威脅環(huán)比情況

圖7 各類(lèi)攻擊威脅次數(shù)差異Top5

圖8 攻擊IP行為畫(huà)像

5 結(jié)語(yǔ)

為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅，通過(guò)采用態(tài)勢(shì)感知技術(shù)實(shí)時(shí)感知預(yù)測(cè)網(wǎng)絡(luò)安全威脅。通過(guò)在介紹網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念和技術(shù)的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及主動(dòng)防御技術(shù)進(jìn)行了深入研究，重點(diǎn)研究了利用大數(shù)據(jù)進(jìn)行多源日志的關(guān)聯(lián)分析、融合分析和態(tài)勢(shì)要素分析等技術(shù)，并將其技術(shù)應(yīng)用于公司網(wǎng)絡(luò)信息系統(tǒng)環(huán)境。通過(guò)在公司內(nèi)外網(wǎng)網(wǎng)絡(luò)出口部署全流量數(shù)據(jù)采集分析器，對(duì)原始網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集和存儲(chǔ)，采用大數(shù)據(jù)分析技術(shù)對(duì)安全威脅進(jìn)行實(shí)時(shí)智能分析，對(duì)網(wǎng)絡(luò)攻擊過(guò)程進(jìn)行回溯分析，并借助大數(shù)據(jù)展示組件，實(shí)現(xiàn)對(duì)分析結(jié)果的多維度圖形化直觀展現(xiàn)。通過(guò)構(gòu)建基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)，實(shí)時(shí)監(jiān)控公司電力信息系統(tǒng)面臨的安全威脅，及時(shí)制定相應(yīng)的安全加固措施，保障了公司信息系統(tǒng)的安全穩(wěn)定運(yùn)行。