卞春花

（南京機電職業(yè)技術(shù)學(xué)院，江蘇 南京 211306）

1 網(wǎng)絡(luò)安全態(tài)勢感知的內(nèi)涵

網(wǎng)絡(luò)安全態(tài)勢感知是從互聯(lián)網(wǎng)環(huán)境中獲取、理解各種變化所包含的安全因素信息，通過安全因素信息推斷和預(yù)測網(wǎng)絡(luò)環(huán)境的發(fā)展趨勢。大數(shù)據(jù)時代，互聯(lián)網(wǎng)環(huán)境已經(jīng)形成相當大的規(guī)模，大量數(shù)據(jù)處于持續(xù)的流動及變化中，黑客也會從大數(shù)據(jù)中尋找安全漏洞進行惡意入侵，而大數(shù)據(jù)安全管理技術(shù)可以做到“聽其聲、辨其形”。在這種情況下，網(wǎng)絡(luò)安全態(tài)勢感知就成為抵御新型安全威脅的重要技術(shù)，可以幫助網(wǎng)絡(luò)安全管理人員更清晰地了解到實時的網(wǎng)絡(luò)安全狀態(tài)，及時采取針對性的防護措施，提高網(wǎng)絡(luò)環(huán)境的安全性。態(tài)勢感知技術(shù)從系統(tǒng)軟件硬件信息、服務(wù)進程、配置信息、數(shù)據(jù)信息以及安全日志信息中分析網(wǎng)絡(luò)安全狀況，并準確預(yù)判網(wǎng)絡(luò)安全狀況的變化，不僅能夠根據(jù)網(wǎng)絡(luò)安全設(shè)備的告警信息及其他信息進行實時的關(guān)聯(lián)歸并、數(shù)據(jù)融合，將網(wǎng)絡(luò)實際的運行情況實時反映出來，而且能夠?qū)v史數(shù)據(jù)進行離線分析，從而發(fā)現(xiàn)數(shù)據(jù)中潛在的可能威脅[1]。

具體技術(shù)應(yīng)用過程中，首先要提取網(wǎng)絡(luò)安全要素，收集各相關(guān)元素的狀態(tài)、屬性、動態(tài)信息等，如Web服務(wù)日志、防火墻日志、安全情報等，所收集的信息數(shù)據(jù)覆蓋網(wǎng)絡(luò)環(huán)境中的每個節(jié)點、網(wǎng)絡(luò)元素、監(jiān)視數(shù)據(jù)及連接渠道。為保證數(shù)據(jù)信息的完整性，網(wǎng)絡(luò)安全態(tài)勢感知除了監(jiān)控環(huán)境數(shù)據(jù)外，還要對動態(tài)數(shù)據(jù)、靜態(tài)數(shù)據(jù)進行監(jiān)控，并對這些信息進行集成[2]。其次，評估網(wǎng)絡(luò)安全態(tài)勢。評估網(wǎng)絡(luò)安全態(tài)勢就是分析某個時段時黑客攻擊行為對網(wǎng)絡(luò)造成的威脅程度。黑客的攻擊一般分成多個階段逐步深入系統(tǒng)，利用系統(tǒng)漏洞對系統(tǒng)產(chǎn)生持續(xù)的、漸進式的攻擊，隨著攻擊階段不斷深入，網(wǎng)絡(luò)系統(tǒng)所受到的各類威脅越來越大，系統(tǒng)的安全性受到直接影響。網(wǎng)絡(luò)安全態(tài)勢評估可以根據(jù)攻擊信息源的不同分為2種：一種是搜集實際的攻擊信息，通過大數(shù)據(jù)技術(shù)分析其中潛在的各類安全威脅；另一種不僅會對系統(tǒng)受到的潛在威脅做出評估，而且會對攻擊后續(xù)的發(fā)展態(tài)勢、影響程度做出預(yù)測分析。最后，進行網(wǎng)絡(luò)安全態(tài)勢的預(yù)測。網(wǎng)絡(luò)安全態(tài)勢預(yù)測是根據(jù)檢測得到的報告信息利用安全事件預(yù)警技術(shù)對未來的攻擊行為做出準確預(yù)測，為用戶提供高效的響應(yīng)速度及實時、動態(tài)、主動的安全屏障[3]。

2 大數(shù)據(jù)安全面臨的問題

大數(shù)據(jù)技術(shù)發(fā)展十分迅速，雖然促進了信息技術(shù)的進步，但是信息安全保障技術(shù)稍顯滯后。大數(shù)據(jù)環(huán)境中，數(shù)據(jù)源不再局限于傳統(tǒng)的類型，還包括交易數(shù)據(jù)、聯(lián)機數(shù)據(jù)、系統(tǒng)采集原始數(shù)據(jù)、用戶在系統(tǒng)應(yīng)用過程中報告的主動數(shù)據(jù)以及各類新聞媒體、社會媒體交互過程中產(chǎn)生的各類數(shù)據(jù)。數(shù)據(jù)信息具有復(fù)雜性，導(dǎo)致大數(shù)據(jù)技術(shù)的應(yīng)用環(huán)境面臨著以下幾個問題。

一是系統(tǒng)復(fù)雜性導(dǎo)致脆弱性增加，不斷增加的系統(tǒng)應(yīng)用及不斷擴展的系統(tǒng)服務(wù)使得系統(tǒng)間的互連越來越復(fù)雜，無形中也增加了遭受非法攻擊的風(fēng)險。二是虛擬化的環(huán)境模糊了安全邊界[4]。大數(shù)據(jù)、云計算等技術(shù)的核心以虛擬化為主，而虛擬化又導(dǎo)致安全邊界模糊，一旦一個系統(tǒng)被非法入侵者攻破，就有可能導(dǎo)致更多的虛擬機被入侵，引發(fā)災(zāi)難性后果。三是數(shù)據(jù)共享過程中存在安全隱患。大數(shù)據(jù)的信息共享需要通過跨部門、跨系統(tǒng)甚至跨機構(gòu)進行數(shù)據(jù)融合與交換，這個過程導(dǎo)致數(shù)據(jù)管理難度增加，數(shù)據(jù)泄露的概率也變大。四是隱私信息的分散存儲與收集增加了保護隱私數(shù)據(jù)的難度，提高了個人隱私信息泄露的風(fēng)險。五是用戶群體對信息安全的敏感性及知識水平存在較大差異，一些缺乏基本信息安全知識、信息安全意識不強的用戶就會成為非法入侵者的突破口，直接影響到整個系統(tǒng)的安全性。六是傳感器等采集設(shè)備很大可能成為大數(shù)據(jù)安全的短板，在大數(shù)據(jù)系統(tǒng)中，傳感層的主要作用就是采集、上傳終端設(shè)備的運行數(shù)據(jù)，如果這些信息采集設(shè)備未得到有效的物理保護，也會導(dǎo)致大數(shù)據(jù)系統(tǒng)遭受非法攻擊。

3 基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺分析

在大規(guī)模的網(wǎng)絡(luò)環(huán)境中，基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺對各類感知數(shù)據(jù)源進行數(shù)據(jù)分析與挖掘。其中，感知數(shù)據(jù)源包括用戶終端、網(wǎng)絡(luò)鏈路、應(yīng)用系統(tǒng)及數(shù)據(jù)流量等，通過智能算法與安全模型將這些混亂無序、毫無關(guān)聯(lián)的數(shù)據(jù)轉(zhuǎn)換為可視化信息，通過各安全要素的理解及顯示準確發(fā)現(xiàn)威脅，并做出精準預(yù)警與態(tài)勢感知。

3.1 技術(shù)整體架構(gòu)

網(wǎng)絡(luò)安全態(tài)勢感知平臺構(gòu)建過程中，需要應(yīng)用大數(shù)據(jù)技術(shù)對整個防御鏈條各個環(huán)節(jié)中的各類數(shù)據(jù)進行采集、分析、處理，包括各類終端、邊界、系統(tǒng)服務(wù)與應(yīng)用等環(huán)節(jié)。其中，與網(wǎng)絡(luò)安全相關(guān)的各類威脅信息是收集與處理的重點對象，這些信息收集完成后再統(tǒng)計存儲于安全數(shù)據(jù)庫中[5]。利用大數(shù)據(jù)安全模型、分析算法及安全規(guī)劃等方法，將數(shù)據(jù)庫中海量的安全數(shù)據(jù)挖掘出來，對安全事件的發(fā)生與發(fā)展、潛在的威脅因素及發(fā)展趨勢等做出分析、預(yù)判，最終生成網(wǎng)絡(luò)威脅情報；以網(wǎng)絡(luò)威脅情報為依據(jù)，實時監(jiān)測網(wǎng)絡(luò)安全威脅報警、重要的安全系統(tǒng)等，并做出網(wǎng)絡(luò)風(fēng)險預(yù)警，感知網(wǎng)絡(luò)安全態(tài)勢。

整個網(wǎng)絡(luò)安全態(tài)勢感平臺技術(shù)架構(gòu)主要包括3個層面：一是網(wǎng)絡(luò)安全威脅數(shù)據(jù)匯聚與存儲層，主要用于收集、存儲各類網(wǎng)絡(luò)安全威脅信息數(shù)據(jù)；二是大數(shù)據(jù)分析層，主要針對收集到的各類威脅情報進行分析處理；三是態(tài)勢感知與預(yù)警業(yè)務(wù)應(yīng)用層，主要生成各類預(yù)警業(yè)務(wù)報告、感知網(wǎng)絡(luò)安全態(tài)勢等?；诖髷?shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知平臺整體技術(shù)架構(gòu)

3.2 網(wǎng)絡(luò)安全威脅數(shù)據(jù)匯聚與存儲層

各類數(shù)據(jù)由數(shù)據(jù)匯聚層與存儲層負責(zé)采集與存儲，大數(shù)據(jù)數(shù)據(jù)庫存儲采集到的原始數(shù)據(jù)并形成網(wǎng)絡(luò)安全威脅信息數(shù)據(jù)庫。具體網(wǎng)絡(luò)攻擊追蹤過程包括多個環(huán)節(jié)，首先系統(tǒng)會對網(wǎng)絡(luò)攻擊的身份進行認證，授權(quán)應(yīng)用訪問，檢測終端的操作行為及網(wǎng)絡(luò)流量特征，其次發(fā)現(xiàn)惡意代碼后發(fā)出風(fēng)險報警，最后再進行安全審計[6]。由此可見，系統(tǒng)一旦受到網(wǎng)絡(luò)攻擊，所有環(huán)節(jié)均會有信息記錄，因此態(tài)勢感知數(shù)據(jù)源要盡量覆蓋整個攻擊操作鏈條的每個環(huán)節(jié)及要素。應(yīng)用大數(shù)據(jù)存儲與管理技術(shù)對分布式文件系統(tǒng)進行整合，如關(guān)系數(shù)據(jù)庫、數(shù)據(jù)庫集群等，存儲海量感知數(shù)據(jù)源，并進行集中管理，以滿足結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)及半結(jié)構(gòu)化數(shù)據(jù)的存儲需求。

3.3 面向威脅情報的大數(shù)據(jù)分析層

將安全數(shù)據(jù)轉(zhuǎn)化為威脅情報的主要方法就是數(shù)據(jù)挖掘分析，而數(shù)據(jù)挖掘分析則包括數(shù)據(jù)預(yù)處理、模型設(shè)計、數(shù)據(jù)分析等3個環(huán)節(jié)。

3.3.1 數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理即將格式復(fù)雜、類型多樣的原始數(shù)據(jù)轉(zhuǎn)換成與系統(tǒng)數(shù)據(jù)規(guī)則相匹配的數(shù)據(jù)，這個過程即也可稱為數(shù)據(jù)清洗。通過數(shù)據(jù)處理，原始數(shù)據(jù)就會轉(zhuǎn)換成為更適用于網(wǎng)絡(luò)安全態(tài)勢感知平臺的基礎(chǔ)安全數(shù)據(jù)，將這些基礎(chǔ)安全數(shù)據(jù)按照已知特征合并在一起，形成數(shù)據(jù)族，其中的數(shù)據(jù)都有著相同的屬性。最后再對數(shù)據(jù)按照時序關(guān)系、交互特征、網(wǎng)際互連協(xié)議（Internet Protocol，IP）關(guān)系等關(guān)聯(lián)起來，形成基礎(chǔ)的數(shù)據(jù)關(guān)系網(wǎng)絡(luò)圖譜[7,8]。

3.3.2 模型設(shè)計

大數(shù)據(jù)模型設(shè)計的主要目的是將其所收集到的看似毫無關(guān)系的安全數(shù)據(jù)利用特定的計算與分析規(guī)則轉(zhuǎn)化成可視化的信息。在網(wǎng)絡(luò)安全態(tài)勢感知平臺中應(yīng)用大數(shù)據(jù)技術(shù)構(gòu)建的信息模型包括3種，即數(shù)值統(tǒng)計模型、算法挖掘模型與攻擊樹推理模型。大數(shù)據(jù)所面對的工作對象是海量的、混亂無序的安全數(shù)據(jù)，這些信息會體現(xiàn)出某些特定的統(tǒng)計特征，系統(tǒng)能夠通過分析統(tǒng)計特征發(fā)現(xiàn)與之對應(yīng)的網(wǎng)絡(luò)攻擊。算法挖掘模型是分析海量數(shù)據(jù)中潛在的安全風(fēng)險。攻擊樹推理模型是在海量信息數(shù)據(jù)中將原子級攻擊識別并標記出來。在具體工作中分析這些步驟、原子攻擊的先后關(guān)系等因素，可以將實際的網(wǎng)絡(luò)攻擊行為抽象為攻擊鏈。由于攻擊鏈中包括多個原子級攻擊動作、多個基本攻擊行為，這些動作、行為按照先后關(guān)系、時序關(guān)系及因果關(guān)系組成，攻擊起點、攻擊手法及攻擊流程不同，所產(chǎn)生的攻擊結(jié)構(gòu)也有所不同，根據(jù)攻擊樹模型確定每個攻擊行為在整個攻擊鏈中的大致位置[9]。

3.3.3 數(shù)據(jù)分析

數(shù)據(jù)分析的主要作用就是分析數(shù)據(jù)的流向、行為、脈絡(luò)及層次，以算法程序?qū)用娴臄?shù)據(jù)、實時模型設(shè)計及離線數(shù)據(jù)為主要依據(jù)，能夠更好地發(fā)現(xiàn)海量數(shù)據(jù)中可能會對網(wǎng)絡(luò)安全產(chǎn)生威脅的安全風(fēng)險因素。一般情況下，數(shù)據(jù)分析包括在線實時挖掘分析與離線挖掘分析2個環(huán)節(jié)。在線實時挖掘就是基于Spark框架即時分析實時數(shù)據(jù)，先收集整個安全區(qū)域內(nèi)各防護設(shè)備及安全系統(tǒng)的節(jié)點數(shù)據(jù)，利用數(shù)據(jù)倉庫技術(shù)（Extract Transform Load，ETL）預(yù)處理多源異構(gòu)原始數(shù)據(jù)，將處理過的數(shù)據(jù)存儲于Hive數(shù)據(jù)庫，通過命令接口的解析將其翻譯成Spark實時計算框架上的RDD操作，再獲取數(shù)據(jù)庫里的表信息，從中取出相關(guān)文件、數(shù)據(jù)進行計算。離線挖掘分析的主要數(shù)據(jù)是數(shù)據(jù)庫中的歷史數(shù)據(jù)，對數(shù)據(jù)庫中歷史數(shù)據(jù)循環(huán)、反復(fù)的挖掘?qū)崿F(xiàn)深加工及累加利用。離線分析模型還需要維護一個來自離線分析的結(jié)果與實時分析反饋結(jié)果的已知安全事件倉庫。

4 結(jié) 論

綜上所述，大數(shù)據(jù)技術(shù)的飛速發(fā)展形成新的網(wǎng)絡(luò)安全形勢，即海量的數(shù)據(jù)不僅數(shù)量大，而且類型多，必然會帶來諸如數(shù)據(jù)分布式存儲、數(shù)據(jù)標準化處理等一系列問題，其中數(shù)據(jù)源安全問題也是一個重要挑戰(zhàn)。態(tài)勢感知的部署有利于統(tǒng)一管理機構(gòu)內(nèi)部的網(wǎng)絡(luò)安全，實時掌握網(wǎng)絡(luò)運行的安全狀況，并進一步優(yōu)化網(wǎng)絡(luò)安全策略。雖然現(xiàn)在各類信息化技術(shù)的發(fā)展日新月異，如大數(shù)據(jù)技術(shù)、人工智能技術(shù)、機器學(xué)習(xí)技術(shù)以及云計算技術(shù)的應(yīng)用也越來越普及，基于這種信息環(huán)境中，網(wǎng)絡(luò)安全態(tài)勢感知也取得了可喜的成績，但是目前網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)、理論的研究才剛剛起步，后續(xù)需要廣大研究者針對網(wǎng)絡(luò)安全態(tài)勢感知做更深入的研究，以進一步提高感知的精確度，優(yōu)化安全事件的響應(yīng)方式等，以提高網(wǎng)絡(luò)安全態(tài)勢感知的實用性、有效性。