網絡安全事件關聯分析與態勢評測技術研究

杜鵬

摘要：隨著計算機網絡技術的不斷發展與進步，全球信息化進程日益加速，特別是高校信息網絡規模日漸壯大，為高校信息化建設帶來了巨大發展動力。但是，高校信息網絡安全問題也引起了高校與社會的關注。基于此，為預防和減少高校網絡安全事件的發生，本文以烏魯木齊職業大學為例，研究了其網絡安全事件關聯分析與態勢評測技術。

關鍵詞：網絡安全事件 關聯分析 態勢評測技術 研究

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）07-0191-01

新時期，隨著計算機網絡技術日漸成熟，教育行業的信息化建設也不斷完善，已逐步由教育行業網絡信息化平臺建設階段，通過擴大教育應用系統和教育內容等內容，傳播和共享階段，發展和普及互聯網技能，知識，介紹了基于電子商務交流的內容材料和成果，形成了基于信息技術教育產業和其他領域的信息。

受各種因素影響，國內高校信息化建設遇到了很多問題，比如缺乏統一規劃和部署的網絡信息、數據標準和接口標準，集成和應用系統集成是困難的品種和數據庫，數據庫結構差異較大，重復了大量的基礎數據存儲和存儲，導致了數據交換和同步的難度增大等，這使得網絡安全態勢評估和預測越來越受到人們的越來越多的預測注意，成為網絡安全管理領域研究的一個熱點問題。本文以烏魯木齊職業大學為例，研究了網絡安全事件相關分析與評價技術。

1 網絡安全事件相關分析與評價技術概念

1.1 網絡安全事件關聯分析概念

對于網絡安全事件關聯分析來說，其主要包括網絡安全數據預處理、網絡安全態勢指標提取和網絡安全事件的關聯分析和聚合三方面內容。其中，網絡安全數據預處理包括數據清洗、數據集成、數據交換、數據規約等幾部分；網絡安全態勢指標提取則主要從網絡技術的可靠性、可用性、危險性和脆弱性四個方面開展；網絡安全事件的關聯分析通常采用貝葉斯網絡、決策樹關聯分析技術，包括屬性關聯、因果關聯和告警關聯三種方法。

1.2 網絡安全態勢評測技術

所謂的網絡安全態勢，主要指的是在網絡運行環境中，采集能夠引起網絡安全態勢發生變化的網絡安全狀態信息，并對這些信息進行分析、理解、處理以及預測未來發展趨勢。分析網絡安全態勢主要包括態勢要素的獲取、態勢理解、態勢評估和態勢預測四部分。

2 網絡安全綜合管理平臺系統及功能

2.1 系統概述

泰合信息安全運營中心（Center Operation Security ）是一個安全管理平臺，用于整個網絡資源。其資源的各種網絡安全領域的劃分，以及大規模異構網絡和安全事件的獲取、處理和分析，建立了一套面向業務的信息系統的可測風險模型，實現了各級管理人員對整個網絡運行監控、事件分析和審計、風險評估與測量、預警及相應、趨勢分析，并用規范化的流程管理實現了持續的安全運行。

烏魯木齊職業大學聯合信息安全運營中心是在原有安全管理平臺的基礎上，進行進一步的需求整理、挖掘，實現監控、監測、考核、服務、管理、運維等功能。

2.2 系的主要功能

2.2.1 網絡運行監控

該系統可以很好的監控網絡設備和相關安全設備，在監控過程中如果發現網絡攻擊或者網絡故障的現象，可以及時的對該網絡設備或者安全設備進行定位，并且發出警報，防止重要信息的遺失或者被盜取，產生較為嚴重的后果。在該系統中，通過用戶的網絡拓撲結構，可以非常容易的在地圖上進行設備的定位，該功能可以很好的對用戶提供安全保障。

2.2.2 事件及交通管理

該套系統在事件及交通管理方面非常的智能化，可以將網絡設別、安全設備等報警事件通過自動整理、歸類，并以一種相同的形式放在一起。在其中包括統一事件的嚴重性、統一的事件類型和名稱，管理員可以在系統管理控制臺方便地瀏覽所有安全事件并確保信息一致性。對于所有的安全事件，該系統可以結合一個獨特的事件相關分析引擎的各種事件相關分析，包括規則，漏洞管理，統計關聯等。

除了收集各種安全事件，該系統還可以收集如NetFlow流量日志。根據采集到的NetFlow流量日志的分析，系統可以建立網絡流量模型，通過基于網絡的特征分析算法，對網絡的異常行為被發現。

2.2.3 漏洞管理

系統支持多種類型的第三方漏洞掃描，應用掃描和人工評估漏洞信息，形成漏洞和資產基礎上的業務信息數據庫，并計算資產和業務的脆弱性。該系統可以提醒新發現的漏洞信息。

2.2.4 安全預警和風險管理

系統能夠以“用戶服務信息系統的風險評估和分析20984-20984 GB T的信息安全風險評估標準的要求一致，信息安全技術、漏洞和威脅對資產和業務信息的價值，并計算資產或業務的風險水平，預警和顯示。系統還可以是一個重要的威脅事件，漏洞信息的早期預警和顯示。

2.2.5 情況分析

泰國聯合安全運營中心系統是第一個有能力分析的宏觀安全管理平臺的情況。收集大量的安全事件系統，解決信息熵分析，三重熱驗證和數據挖掘技術的分析，分析和幫助管理員從宏觀層面把握整體安全狀況，識別，定位，預測和跟蹤的主要威脅。

2.2.6 應對管理

系統具有完善的應急管理功能，可以根據用戶設定的觸發條件，通過各種方式（如電子郵件、短信、語音、SNMP陷阱，等）通知用戶，可以觸發一個自定義的響應過程，直到跟蹤處理完成，從而實現安全事件閉環管理。系統支持設備控制腳本，允許管理員自動控制設備，及時阻止攻擊源。內置的工作流引擎，可以對自定義進程作出反應。系統采用開放式接口，實現了對碼頭的第三方運行和維護管理系統。

2.2.7 知識管理

知識庫系統有最完美的安全管理制度，安全事件數據庫，安全策略數據庫，數據庫安全通報，預警信息圖書館，漏洞數據庫，關聯規則基礎，處理計劃庫，過程數據庫，基本情況，報告數據庫，提供規則或不規則的知識庫更新服務。

2.2.8 用戶管理

在系統管理系統中采用分離，用戶管理系統管理員、安全操作中心經理、審核經理的默認設置。使用基于角色的訪問控制策略的用戶管理系統，它是基于系統資源的訪問限制的作用。

3 泰合安管平臺（SOC）概述

泰和安管網絡平臺作為一個整體網絡資源集中的安全管理平臺，其資源的各種網絡安全領域的劃分，以及大規模異構網絡、安全、采集、處理和分析的時間，業務為導向的信息系統建立了一套可衡量的風險模型，使管理者在各級實現了對整個網絡資產運營的監控、事件分析和評估、風險評估和響應、態勢分析。并借助規范化的流程管理，實現持續的安全運行。泰和安管平臺SOC服務器操作系統windows 2008 r2，數據庫sql server 2008 r2，客戶端操作系統winxp，win7及以上版本，IE版本ie6.0以上。

泰和安系列SOC機系列主要包括網絡運行監控、事件、交通管理、漏洞管理、安全預警、風險管理、動態分析、應急管理、知識管理、用戶管理、系統管理、信息顯示等功能的報告和報表。

4 建立安全體系

安全組織是在綜合管理平臺的基礎上構建數字化校園安全保障體系的。按照“統一領導、分級負責”的原則，由主管信息化工作的學校領導統一指揮，由網絡中心負責組織協調，由各個院（系）、部（處）信息管理員具體貫徹執行，共同構成安全保障體系的完整組織結構。

作為學校信息化建設的核心，網絡中心）信息安全管理功能如下：

（1）開展國家信息安全相關法律法規，開展信息安全技術培訓和知識學習。

（2）負責學校計算機數字校園綜合管理平臺的日常工作。

（3）制定并組織實施信息安全管理學校的規章制度。

（4）監督指導做好管理員的信息的安全性和保密性，定期檢查計算機數字校園綜合管理平臺的安全運行，快速處理安全事故，及時消除安全風險。

參考文獻

[1]王慧強，賴積保等.網絡態勢感知系統研究綜述[J].計算機科學，2006，33（10）：5-10.

[2]李彤巖.基于數據挖掘的通信網告警相關性分析研究[D]，成都：電子科技大學通信與信息工程學院，2010.

[3]王慧強，賴積保等.網絡態勢感知系統研究綜述[J].計算機科學.2006，33（10）：5-10.

[4]張勇.網絡安全態勢感知模型研究與實現[D].合肥：中國科技大學計算機學院，2010.

[5]溫輝，徐開勇，趙彬，汪濱.網絡安全事件關聯分析及主動響應機制的研究[J].計算機應用與軟件，2010，27（4）：60-63.