一种基于数据分析的网络安全态势感知系统设计与实现.docx

《一种基于数据分析的网络安全态势感知系统设计与实现.docx》由会员分享，可在线阅读，更多相关《一种基于数据分析的网络安全态势感知系统设计与实现.docx（15页珍藏版）》请在优知文库上搜索。

1、OO引随着网络安全防护系统的不断建设，大垃安防设备在使用过程中产生的海量安全日志告警，缺少有效地告警打并措施，给运维人员造成了较大困扰，在安全事件风险分析和应急响应方面也无法形成协同效益.建立一个对各类安全态势信息进行统计分析和多形式的可视化呈现，可基于各类态势信息评估全系统、区域、设备等的安全威胁等级，时网络攻击、威胁重点区域、威胁发展趋势等进行预警的安全态势感知系统，以便网络运维管理人员随时掌握全网安全态势，为运维人分决策提供支掠，具有十分重要的意义.01国内外研究现状趋势及必要性分析1.1 国内外研究现状及趋势现代意义上的态势感知(SitUationAwareness,SA)研究也来自丁

2、战争的需要，其在二战后美国空军对提升飞行员空战能力的人因(HUrnanFaCtor)工程学研究过程中被提出来，是为提升空战能力、分析空战环境信息、快速判断当前及未来形势，以做出正酹反应而进行的研究探索，至今仍是军事科学领域的重要研究课题。对态势感知的经典定义：“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久将来的状态”。20世纪90年代，态势感知的概念开始逐渐被接受，并随若网络的兴起升级为网络态势感知（CVberSPaCeSituationAwareness,CSA,具体指在大规模网络环境中对能够引起网络态筠变化的安全要素进行获取、理解、显示及发展趋势的顺延性预测，

3、而最终的目的是要进行网络空间防御决策与行动。随着网络安全重要性的凸显，态扔感知开始在网络安全领域崭露头角。2009年，美国白宫在公布的网络空间安全战略文件中明确提出，要构建态势感知能力和职贵的国家级网络安全中心或机构，包含国家网络安全中心（NCSC）、情报部门、司法与反间谍部门、美国计算机应急响应小组（US-CERT）、网络作战部门的网络安全中心（CyberSeCUrityCenter）等，覆盖国家安全、情报、司法、公私合作等各个领域.）互联网连接各行各业，网络安全牵一发而动全身，日益成为我国非传统领域的重中之重。维护网络安全迫在眉睫、刻不容缓，网络安全态筠感知便是国家提高整体网络安全保蹄能力

4、的重耍措施,K中华人民共和国网络安全法2笫五十一条规定，国家建立网络安全检测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络信息安全收集、分析和通报工作，按照规定统一发布网络安全检测预警信息。这是从国家层面要建立安全态势感知与信息通报制度。2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上讲到：“要梳理正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”同时指出，“知己知彼，才能百故不殆。感知网络安全态势是最基本最基础的工作,要全面加强网络安全枪查，摸清家底，认消风险,找出漏洞，通报结果，督促盛改。耍

5、建立统一育效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、由势。”“十三五”国家信息化规划也提出要全天候、全方位感知网络安全态势，加强相关能力的建设02017年5月爆发“永恒之蓝”勒索蠕虫攻击事件.360勒索蠕虫专项态势感知系统抗击勒索蛾虫72小时，实时掌握蠕虫传播态势,并及时实施处良策略和相关措施，抑制永恒之蓝”的大面积爆发。在党的十九大网络安全保旧顼目中，公安机关利用态势感知系统实时掌握安全风向，与重保单位进行实时网络安全信息通报，实时处置和响应突发事件，保由会议期间的安全。2020年国家互联网信息办公室、国家发展和改革委分会等12个部门联合发布

6、了网络安全审查办法。1.2 必要性分析一是业务承载网信息较链关系或杂，需确保各子网之间实现数据跨网跨域安全交换：二是航天发射测控系统长期与不受控的国际测控系统、国外站互联，易受到来自境外的网络渗透、攻击和破坏，需确保对外受控互联；三是大量采用非自主可控产品和技术，信息系统存在安全隐患，需加大国产自主化要求和应对未知网络入侵的能力：四是业务承载网面临计算机系统信息泄露和病毒传播内部安全威胁，需加强应对内部威胁的有效措施.基丁以上四点，系统从顶层进行安全防护的统殍规划、集中统管、有机结合，进行整体的安全防护体系联动，着眼于当前业务承载网安全建设，立足于现有配备的安全设备，通过时各网络安全情况汇集整

7、编和态势融合展现功能，实现对网络空间态势常态化监控，帮助网络运维人员随时掌握网络空间情况，以提升整体安全防护能力.02系统设计在系统架构设计上，系统按照安全数据接入汇聚、安全数据处理分析和安全态势呈现三个层次的总体架构设计，通过镜像流量、SyS1.og以及安管GCBO1.O-2015标准接口进行安全数据采集，利用大数据技术进行数据预处理和存储，结合互联网喊胁情报大数据进行智能分析以及时发现网络威胁，对分析结果进行态势呈现,同时自动化或结合安全运维人员进行安全事件处置，形成安全事件的监测、分析、预警、呈现、处黄的完整流程。各层级以及模块之间的功能设计具有相对的独立性，采用行业通用接口和军队标准接

8、口进行信息交互，从而使得系统整体具有较高的扩展性。同时，依托业务承我网自身的物理安全、主机安全、应用安全、数据安全,网络安全等多维度安全措施实现业务承我网的安全保明“提早发现关键工作.系统总体架构设计如图1所示。业务水忖安殳而妗BKt)kFR三11Miw11iNai*-wI图1系统架构设计2.1 安全数据接入汇聚安全数据接入汇聚是整个网络安全态势感知的系统输入，是网络安全数据分析和态势感知呈现的前提和基础，安全数据汇聚接入层通过流量采集器、日志采集器、资产探测疑等设备进行数据采集。数据采集按照统一规划和统一标准获取业务承我网的关键网络流量、件设备的日志和告警信息、资产数据，确保系统输入的安全数

9、据全面、充分、详实、准确，为安全分析和掌握整体安全态势打下战础。数据采集框架如图2所示.图2安全数据汇聚接入流量采集器以网络旁路的形式部署各节点核心交换机处，对关键网络镜像流量采集后进行流量还原和分析，生成流量日志和流量告警信息。其中流员日志主要记录数据包的时间、IP地址、端口、协议信息等；流域告警是流量数据还原后与病毒库、特征库等进行比对，分析威胁形成告警信息。通过对网络元数据、网络传输数据、载荷行为数据等信息的全要素、细粒度记录，提升对定向攻击、高级威胁的发现和溯源能力，从而达到对潜在威胁、未知威胁的持续检测效果.日志采集罂进行日志、告警信息的采集。日志信息采集对终端生机（终端防护软件）、

10、网络设备、安全防护设备、漏洞扫描设备等进行日志和告警信息采集，具体包括业务服务器、业务终端、路由罂、交换机、防火堵、流量探针、网络隔离设备、安全管理系统、漏洞扫描设备等。终端主机的数据采集通过终端安全管控软件、杀揖软件等终端现有客户端软件，从业务网中的计算机及各类终端资产中采集各类安全数据，采集终端产生的所有全量数据，包括违规日志数据、补丁信息数据、终端中毒情况、终端日志数据等；网络设备的数据采集主要采集日志信息和状态信息等：安全防护设备的数据采集主要采集接入策略日志、报警日志、操作日志和状态信息等：漏洞扫描设备的数据采集主要采集漏洞信息。资产探测器采用主动探测方式对网络内的所有终端、网络和安

11、全防护设济进行周期性扫描探测和识别，获取资产的类型、IP地址、操作系统、软件版本、协议、服务、开放的端口等信息，信息通过AP1.调用方式上报至安全数据总线。2.2 安全数据处理分析安全数据处理分析是安全态势准施感知呈现的重要保证，系统在安全体系的保障及标准体系的指导下，通过建设数据接入数据处理、数据组织、数据分析、数据治理和信息共享服务，全方位打造“采集”“融合”“服务”于一体的大数据处理分析,数据分析处理逻辑架构如图3所示。图3数据分析处理逻辑架构数据接入部分负近多元异构数据的高效、灵活接入与分发。数据处理利用数据治理的成果以及知识库中的模型、规则等知识，完成数据组织中原始阵、资源阵、主题库

12、、业务库等的构造，产生数据关联信息，实现数据融合，提升数据价值。数据治理通过管理数据资源目录、元数据、分级分类、血缘关系等信息，定义数据汇聚于融合后的期望效果,规范数据组织形式，对数据质量进行管控，通过运维手段确保数据全生命周期的运行。S1.BKS!RXR内#*检方c11WtJ8iHK.RWX电电,3M4.it1.S.妨TM*.女条”上.02HIA、M1.1.a.林?r*.MPhw钱JW齐-WBtn供铁MIbM41工影反公共依粼合域名62瘠.安童事t.H侬;M.8?WjR霭.俵产仅18唐、或独啕报昨、IfItMH等以M例、aft1.eX1.ft.例力为业务EQ成次置分0支。他敬体w.为生多夕物

13、帆Hets：1（Cata剧、分K优讨大IUU.蛇口烈等.益J欠务&般中明及盟财报识a*.f*.(.tWfiS.匕频。用,同络O为体写IOM“塔交攵（刈境资至存W域格&“IHSiHH版am力然岫合If苏匕电域g.#玳叶、工忘.“MJ备珠慨川等数据组织规范了数据价值逐步提升过程中数据的组织、展示形态。数据组织类别如表1所示。原始库是对所有不同来源的数据按原格式进行存储，支持所有数据类型，因此原始库的数据组织方式与接入时的数据组织方式直接对应.不对数据做任何处理，所有原始日志信息和原始告警信息分别存于原始H志库和原始告警库，用于后期攻击威胁的追踪溯源：资源库对原始库里的数据按照一定的规则进行过渡、清

14、洗、标准化，并按业务使用规则或属性规则等进行整合加工与汇总，为整个平台提供基础数据资源支撑的数据集合：主题库是在资源库的基础之上进行抽象，依据本体逻辑建模（IDM）方法，构建了相关领域的实体及关系；知识库是指网络安全领域或与网络安全专业领域相关的特征知识数据和规则方法集合，包括一些全领域共享的特定知识性数据集合，知识库的数据来源比较广，既有从现有各业务系统中提炼的相关知识类信息，也有在数据处理过程的不同阶段累积的知识类数据，同时这些数据又对进入平台的各类业务数据的汇聚融合、分析挖掘、价值提升等提供了指导性的规则。数据分析通过使用资源库、主题库、业务库的数据，结合已有知识库信息，通过分析、挖掘手

15、段构建分析模型，完成知识库的更新积累，为数据处理及数据服务提供智能化支撵。数据服务给上层应用提供透明、一致、灵活的数据服务。2.3 安全态势呈现以往的安防系统建设往往呈现一种“烟囱林立”的状态，大量的安防设备在功能上重福，数据却无交互，产生的海量告警信息、安全日志信息需要耗贽大贸时间和精力去判别维护。本系统以安全大数据、业务建模、机器学习等先进技术手段为支握，通过改造、集成业务承载网内各类安全基础设施，通过采集网络流量，安全日志、安全告警、威胁情报等安全数据，利用数据分析和机港学习技术，分析网络行为及用户行为等因素，对网络当天状态和发展趋势进行分析和预测，将采集和处理分析的数据结果，依托态势感知系统软件，运用可视化技术将其转化为易于理解的曲线图表形式呈现,实现安全事件、攻击路径、地域可视化,降低运维难度。03系统实现和测忒完成设备安装部署后，进行系统调试测试，对设符参数配置、功能和性能进行检查，录入部分各类参忒硬件设备参数测忒，测试资产管理模块功能,测试表明，资产管理支持按单位、站点管理，支持手动及自动发现软硬件资产：支持对主机设备、网络设备、安全设备、应用系统等设备的识别，具体包括交换机、路由器、防火墙、Windows服务器、1.inUX眼务器、SQ1.Server,Orac1.e.DB2、MySQ