周亞妹 高一鳴

摘 要：文章首先闡述了等級保護(hù)2.0時代網(wǎng)絡(luò)安全防護(hù)的困境以及態(tài)勢感知研究的目的，介紹了網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)。提出一種以網(wǎng)絡(luò)數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、網(wǎng)絡(luò)態(tài)勢量化技術(shù)、可視化技術(shù)等關(guān)鍵技術(shù)為核心，集網(wǎng)絡(luò)態(tài)勢數(shù)據(jù)采集、融合、挖掘分析功能和安全風(fēng)險監(jiān)測、網(wǎng)絡(luò)攻擊報警、預(yù)判于一體的安全態(tài)勢感知平臺。文章對平臺的數(shù)據(jù)采集器、消息隊(duì)列、數(shù)據(jù)分析引擎、數(shù)據(jù)存儲集群、告警與通知、安全可視化、Web服務(wù)器等六大子系統(tǒng)進(jìn)行了闡述。

關(guān)鍵詞：網(wǎng)絡(luò)態(tài)勢感知;大數(shù)據(jù);網(wǎng)絡(luò)安全;等級保護(hù)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-1064（2021）04-040-02

DOI：10.12310/j.issn.1674-1064.2021.04.020

隨著信息技術(shù)的發(fā)展，經(jīng)過等保標(biāo)準(zhǔn)不斷的完善、更新和充實(shí)，保證了標(biāo)準(zhǔn)的實(shí)用性。等級保護(hù)2.0標(biāo)準(zhǔn)在原標(biāo)準(zhǔn)的基礎(chǔ)上，更加強(qiáng)調(diào)安全防護(hù)的主動性，注重攻擊的主動防御、安全可信、態(tài)勢感知和全面審計(jì)。隨著云計(jì)算技術(shù)、大數(shù)據(jù)技術(shù)和物聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅越來越多，面對當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢，需要應(yīng)用先進(jìn)的信息安全技術(shù)理念建設(shè)一套網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，實(shí)現(xiàn)對網(wǎng)絡(luò)安全風(fēng)險的實(shí)時監(jiān)測和精準(zhǔn)預(yù)警，以及對網(wǎng)絡(luò)安全態(tài)勢的全面感知和響應(yīng)，從而提升網(wǎng)絡(luò)信息安全防護(hù)能力。

1 傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)存在的困境

在等保2.0時代，為了實(shí)現(xiàn)對基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺、大數(shù)據(jù)集群等系統(tǒng)的全面安全防護(hù)，網(wǎng)絡(luò)安全防護(hù)存在著諸多困境，企業(yè)信息化安全架構(gòu)日漸復(fù)雜，接入安全設(shè)備的類型、產(chǎn)生的網(wǎng)絡(luò)安全數(shù)據(jù)越來越多，傳統(tǒng)的分析能力不足以支撐現(xiàn)有的安全需求。隨著APT為代表的網(wǎng)絡(luò)威脅的興起，需要儲存與分析的安全信息越來越多，需要以更加敏捷快速的方式對網(wǎng)絡(luò)威脅做出甄別和響應(yīng)。為了及時應(yīng)對大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全威脅，有效遏制各類網(wǎng)絡(luò)攻擊，預(yù)測網(wǎng)絡(luò)安全發(fā)展態(tài)勢并采取適當(dāng)?shù)膽?yīng)急策略，大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)亟待研究[1]。

2 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知及關(guān)鍵技術(shù)

2.1 網(wǎng)絡(luò)安全態(tài)勢感知概念

網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的安全要素進(jìn)行提取、理解、顯示，并預(yù)測未來發(fā)展趨勢[2]。大數(shù)據(jù)環(huán)境的態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境及海量數(shù)據(jù)中整合用戶終端、網(wǎng)絡(luò)鏈路、應(yīng)用系統(tǒng)、數(shù)據(jù)流量等各類感知數(shù)據(jù)源，采用大數(shù)據(jù)分析挖掘技術(shù)，使用智能算法和安全模型，將看似毫無聯(lián)系、混亂無序的各類安全數(shù)據(jù)轉(zhuǎn)化成直觀的可視化信息，實(shí)現(xiàn)威脅發(fā)現(xiàn)、精準(zhǔn)預(yù)警和態(tài)勢感知[3-4]。

2.2 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

2.2.1 網(wǎng)絡(luò)數(shù)據(jù)融合技術(shù)

數(shù)據(jù)融合按照不同的方法可進(jìn)行多方向的分類，可以按照數(shù)據(jù)處理的層級分類，可以按照數(shù)據(jù)模型的結(jié)構(gòu)分類，可以按照數(shù)據(jù)收集來源的組合情況分類[5]。在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域中，網(wǎng)絡(luò)數(shù)據(jù)融合技術(shù)更多的是考慮網(wǎng)絡(luò)態(tài)勢感知數(shù)據(jù)的時效性和位置性，因此可以將網(wǎng)絡(luò)數(shù)據(jù)融合分成兩類，即基于時間和基于空間的數(shù)據(jù)融合[6]。

2.2.2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘是指從大量數(shù)據(jù)中挖掘出有用的信息[7]，網(wǎng)絡(luò)態(tài)勢感知數(shù)據(jù)的挖掘就是從大量的、異構(gòu)的、不同數(shù)據(jù)來源的數(shù)據(jù)中，挖掘出有利用價值的數(shù)據(jù)。通過數(shù)據(jù)挖掘技術(shù)能實(shí)現(xiàn)網(wǎng)絡(luò)流量分類、異常流量檢測、威脅行為分析等具體應(yīng)用。

2.2.3 網(wǎng)絡(luò)態(tài)勢量化技術(shù)

網(wǎng)絡(luò)態(tài)勢量化是指將網(wǎng)絡(luò)安全信息歸并融合成分組的一定值域范圍內(nèi)的數(shù)值，通過數(shù)學(xué)方法處理，網(wǎng)絡(luò)運(yùn)行狀況通過這些數(shù)值具體表示。隨著網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量以及網(wǎng)絡(luò)受到威脅程度的不同，特征性也會產(chǎn)生相應(yīng)的變化。這些數(shù)值的獲得過程，也就是網(wǎng)絡(luò)態(tài)勢量化的過程[8]。

2.2.4 可視化技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知的數(shù)據(jù)展示層，主要通過展示界面展示網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)攻擊行為、安全事件、整體安全態(tài)勢等，并能夠持續(xù)的、多維度的監(jiān)測信息資產(chǎn)和相關(guān)的威脅、脆弱性、安全事件、安全風(fēng)險等分類態(tài)勢指標(biāo)變化情況，同時展示告警信息[9]。

3 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺

網(wǎng)絡(luò)安全態(tài)勢感知平臺通過采集網(wǎng)絡(luò)內(nèi)所有IT基礎(chǔ)設(shè)施數(shù)據(jù)，利用數(shù)據(jù)建模、行為識別、關(guān)聯(lián)分析等方法對網(wǎng)絡(luò)內(nèi)的所有機(jī)器數(shù)據(jù)進(jìn)行統(tǒng)一分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊行為、安全異常事件、未知威脅的發(fā)現(xiàn)和告警。系統(tǒng)提供了網(wǎng)絡(luò)內(nèi)信息數(shù)據(jù)的集中存儲、全文檢索、關(guān)聯(lián)分析、可視化展現(xiàn)等功能。網(wǎng)絡(luò)安全態(tài)勢感知平臺整體架構(gòu)包括如下幾個子系統(tǒng)：

3.1 數(shù)據(jù)采集器

數(shù)據(jù)采集器是網(wǎng)絡(luò)安全態(tài)勢感知平臺的數(shù)據(jù)入口。此模塊對外對接網(wǎng)絡(luò)環(huán)境的所有數(shù)據(jù)。日志采集包括主機(jī)和安全設(shè)備，以及與之相關(guān)的上下文信息（如用戶、資產(chǎn)等）。除此之外，隨著需求的逐步推進(jìn)，應(yīng)用程序日志、數(shù)據(jù)庫日志、操作系統(tǒng)日志、AD/LDAP日志等也需要作為重要的數(shù)據(jù)源進(jìn)行收集，為后續(xù)的分析、存儲提供輸入。數(shù)據(jù)采集器對內(nèi)和消息隊(duì)列對接，將采集的數(shù)據(jù)使用數(shù)據(jù)融合中的貝葉斯網(wǎng)絡(luò)和D-S證據(jù)理論解析處理后，構(gòu)造成標(biāo)準(zhǔn)的數(shù)據(jù)格式，輸出到消息隊(duì)列。

3.2 消息隊(duì)列

為了適應(yīng)大數(shù)據(jù)海量采集的環(huán)境，特別是為了適應(yīng)因?yàn)榫W(wǎng)絡(luò)流量波動、業(yè)務(wù)高峰，突發(fā)大量攻擊等事件造成的數(shù)據(jù)異常波峰，消息隊(duì)列子系統(tǒng)用于緩沖采集器收集到的數(shù)據(jù)，避免數(shù)據(jù)丟失。消息隊(duì)列緩存數(shù)據(jù)后，對接數(shù)據(jù)分析引擎，提供數(shù)據(jù)獲取接口。數(shù)據(jù)分析引擎通過消息隊(duì)列接口獲取數(shù)據(jù)用于分析。

3.3 數(shù)據(jù)分析引擎

數(shù)據(jù)分析引擎是網(wǎng)絡(luò)態(tài)勢感知安全平臺的核心模塊，內(nèi)部通過規(guī)則匹配、數(shù)據(jù)時序分析、算法分析等方法進(jìn)行網(wǎng)絡(luò)態(tài)勢分析。大數(shù)據(jù)安全分析采用kafka、Elasticsearch、Flink等大數(shù)據(jù)技術(shù)，對日志和流量數(shù)據(jù)進(jìn)行統(tǒng)一采集、存儲、分析，將海量的安全日志利用智能分析引擎進(jìn)行威脅檢測，轉(zhuǎn)化為少量的安全事件。分析引擎通過結(jié)合歷史日志和告警進(jìn)行離線長周期分析，結(jié)合異常分析算法發(fā)現(xiàn)未知威脅事件。使用大數(shù)據(jù)技術(shù)將告警之間的時序關(guān)系、因果關(guān)系關(guān)聯(lián)分析，通過當(dāng)前告警可追溯攻擊鏈模型中與其相關(guān)的各個階段的告警時間，從而實(shí)現(xiàn)海量安全事件事后的溯源追查。應(yīng)用數(shù)據(jù)挖掘分析模型，在海量的紛繁復(fù)雜數(shù)據(jù)中實(shí)時流式分析，定位出安全事件并將標(biāo)記的安全事件再次輸出到消息隊(duì)列。通過分析后的事件數(shù)據(jù)被輸出到數(shù)據(jù)存儲集群保存下來。因此，數(shù)據(jù)分析引擎內(nèi)部對接消息隊(duì)列，輸入原始事件數(shù)據(jù)，分析后輸出安全事件數(shù)據(jù)到消息隊(duì)列。同時，對接存儲集群，輸出通過引擎的事件數(shù)據(jù)。

3.4 數(shù)據(jù)存儲集群

數(shù)據(jù)存儲集群，保存通過分析的原始時間數(shù)據(jù)以及告警通知模塊輸出的告警數(shù)據(jù)。存儲集群提供長時間、大容量的數(shù)據(jù)存儲，被分布式部署在多臺服務(wù)器上構(gòu)成集群。集群方式可以提供更高的系統(tǒng)可用性、數(shù)據(jù)冗余可用性，以及更高的數(shù)據(jù)寫入、檢索性能。從搜索分析效率和數(shù)據(jù)存儲量方面考慮，平臺采用ElasticSearch技術(shù)，能夠存儲網(wǎng)絡(luò)環(huán)境中各種設(shè)備和應(yīng)用的安全信息，并實(shí)現(xiàn)穩(wěn)定、可靠、快速的實(shí)時搜索。存儲在集群里的數(shù)據(jù)可以被Web服務(wù)器訪問，從而在界面上提供數(shù)據(jù)檢索查詢功能。數(shù)據(jù)存儲集群內(nèi)部對接數(shù)據(jù)分析引擎子系統(tǒng)，獲取原始時間數(shù)據(jù)。對接告警通知子系統(tǒng)，獲取告警數(shù)據(jù)。對接Web服務(wù)器子系統(tǒng)，提供數(shù)據(jù)查詢檢索功能。

3.5 告警與通知

告警與通知子系統(tǒng)，通過消息隊(duì)列獲取數(shù)據(jù)分析引擎對日志的分析后，生成安全告警并提供實(shí)時響應(yīng)機(jī)制，對于發(fā)生的安全告警能夠及時通知運(yùn)維人員，并觸發(fā)響應(yīng)處理流程。響應(yīng)方式包含但不限于以下方式：郵件、短信、工單、等方式。子系統(tǒng)根據(jù)定制配置，可形成郵件或者短信告警。同時，告警數(shù)據(jù)被輸出到數(shù)據(jù)存儲集群存儲，支持告警類型、告警級別、告警階段、告警狀態(tài)等多個維度的查詢。

3.6 安全可視化

網(wǎng)絡(luò)態(tài)勢感知安全平臺可提供用戶網(wǎng)絡(luò)內(nèi)整體網(wǎng)絡(luò)安全態(tài)勢感知，展示包括外部態(tài)勢、內(nèi)網(wǎng)態(tài)勢、告警態(tài)勢。外部態(tài)勢通過3D全球態(tài)勢感知展示大屏，將安全事件通過2D和3D的形式展示出攻擊源、攻擊路徑和攻擊目標(biāo);內(nèi)網(wǎng)態(tài)勢展示當(dāng)前內(nèi)網(wǎng)告警數(shù)量、事件數(shù)量以及攻擊源、攻擊目的TOPN等信息;告警態(tài)勢展現(xiàn)整個網(wǎng)絡(luò)的告警態(tài)勢，包括告警階段、告警總數(shù)、告警級別、最新告警、重點(diǎn)關(guān)注告警類型、重點(diǎn)關(guān)注資產(chǎn)告警、目的地址告警TOP10、告警趨勢、告警分布等;點(diǎn)擊相應(yīng)告警，可進(jìn)行數(shù)據(jù)下鉆。

3.7 Web服務(wù)器

Web服務(wù)器是網(wǎng)絡(luò)安全態(tài)勢感知平臺的用戶管理操作入口。通過Web服務(wù)器，網(wǎng)絡(luò)安全管理人員可以配置數(shù)據(jù)采集、分析規(guī)則、可視化展現(xiàn)儀表盤等功能，全面控制平臺運(yùn)行，獲取最終的安全分析結(jié)果。

參考文獻(xiàn)

[1] 陳彥德，趙陸文，潘志松，等.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)工程與應(yīng)用，2014，22（18）：784-785.

[2] 趙夢.基于大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知[J].信息網(wǎng)絡(luò)安全，2016（9）：90-93.

[3] 陳興蜀，曾雪梅，王文賢，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全與情報分析[J].工程科學(xué)與技術(shù)，2017（4）：23.

[4] 管磊.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[EB/OL].廈門：第31次全國計(jì)算機(jī)安全學(xué)術(shù)交流會，2016-09-01.

[5] 楊露菁，余華.多源信息融合理論與應(yīng)用[M].北京：北京郵電大學(xué)出版社，2006.

[6] 林加潤，殷建平，程杰仁，等.網(wǎng)絡(luò)安全中多源傳感器數(shù)據(jù)融合技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué)，2010，32（6）：23-25.

[7] 張?jiān)茲徚?數(shù)據(jù)挖掘原理與技術(shù)[M].北京：電子工業(yè)出版社，2004.

[8] 李碩，戴欣，周渝霞.網(wǎng)絡(luò)安全態(tài)勢感知研究進(jìn)展[J].計(jì)算機(jī)應(yīng)用研究，2010（3）：9.

[9] 陳妍，李京春，李斌，等.網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)標(biāo)準(zhǔn)化白皮書[R].北京：公安部第三研究所，2020.