信息安全態(tài)勢(shì)智能預(yù)警分析平臺(tái)淺談

牛霜霞

摘要：隨著信息化發(fā)展速度不斷加快，信息系統(tǒng)用戶規(guī)模不斷擴(kuò)大、需求不斷更新、自動(dòng)化程度不斷提高，信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟(jì)效益越來(lái)越密切，直接影響到企業(yè)的經(jīng)營(yíng)和形象問(wèn)題。本文描述了一個(gè)典型的信息安全態(tài)勢(shì)智能預(yù)警分析平臺(tái)的實(shí)現(xiàn)，介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的相關(guān)概念，并簡(jiǎn)要探討了數(shù)據(jù)挖掘及態(tài)勢(shì)感知等主要技術(shù)及發(fā)展方向。

關(guān)鍵詞：大數(shù)據(jù) 態(tài)勢(shì)感知 信息安全

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）09-0209-01

1 前言

隨著信息化發(fā)展速度不斷加快，信息系統(tǒng)用戶規(guī)模不斷擴(kuò)大、需求不斷更新、自動(dòng)化程度不斷提高，信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟(jì)效益越來(lái)越密切，直接影響到企業(yè)的經(jīng)營(yíng)和形象問(wèn)題。目前，防火墻、IDS、IPS等安全設(shè)備已經(jīng)得到普遍使用，但是同時(shí)這些設(shè)備產(chǎn)生了海量安全數(shù)據(jù)，采用人工分析的方法已經(jīng)無(wú)法實(shí)現(xiàn)安全威脅的及時(shí)預(yù)警與處置。另一方面，現(xiàn)有安全設(shè)備之間相對(duì)孤立，數(shù)據(jù)沒(méi)有得到關(guān)聯(lián)分析和綜合考慮，很難面對(duì)當(dāng)今各種利用先進(jìn)手段、高度隱蔽的網(wǎng)絡(luò)攻擊形式。因此，在現(xiàn)有安全手段的基礎(chǔ)上，獲取和分析海量攻擊行為數(shù)據(jù)，結(jié)合態(tài)勢(shì)感知技術(shù)實(shí)現(xiàn)信息安全行為的準(zhǔn)確定位和智能預(yù)警，在信息安全防護(hù)工作中是非常必要的。

2 平臺(tái)構(gòu)成

信息安全態(tài)勢(shì)智能預(yù)警分析平臺(tái)由系統(tǒng)數(shù)據(jù)接口、數(shù)據(jù)挖掘與融合技術(shù)、態(tài)勢(shì)分析與風(fēng)險(xiǎn)預(yù)警、可視化展示與系統(tǒng)管理六大部分。其中，系統(tǒng)數(shù)據(jù)接口用于查看目前監(jiān)控的設(shè)備及應(yīng)用系統(tǒng)；數(shù)據(jù)挖掘與融合提供有效的數(shù)據(jù)分析處理模型和數(shù)據(jù)分析方法；態(tài)勢(shì)分析和風(fēng)險(xiǎn)預(yù)警提供當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估、未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)及響應(yīng)告警功能；可視化展示定義生成各類表單、圖表、報(bào)告、報(bào)表等用戶界面。

3 關(guān)鍵技術(shù)

3.1 數(shù)據(jù)采集

3.1.1 設(shè)備實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)

信息安全態(tài)勢(shì)智能預(yù)警分析平臺(tái)監(jiān)測(cè)重要網(wǎng)絡(luò)設(shè)備及服務(wù)器的運(yùn)行狀態(tài)，主要對(duì)網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器等進(jìn)行監(jiān)視，獲取CPU、內(nèi)存、網(wǎng)絡(luò)流量等性能或安全參數(shù)信息。通過(guò)該系統(tǒng)數(shù)據(jù)接口，可按照單個(gè)設(shè)備、某類設(shè)備、整個(gè)網(wǎng)絡(luò)設(shè)備來(lái)獲取相關(guān)設(shè)備數(shù)據(jù)。

3.1.2 掃描數(shù)據(jù)

采集日常運(yùn)維中掃描數(shù)據(jù)，主要包括利用漏洞掃描工具發(fā)現(xiàn)的漏洞、弱口令等安全隱患信息。

3.1.3 日志文件數(shù)據(jù)

采集重要設(shè)備的日志文件數(shù)據(jù)，主要包括網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器的系統(tǒng)日志、安全日志、應(yīng)用日志及告警日志等。

3.1.4 策略配置數(shù)據(jù)

采集重要設(shè)備的策略配置數(shù)據(jù)，主要包括主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的安全策略配置信息以及策略變更信息等。

3.2 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘的方法有很多種，其中關(guān)聯(lián)規(guī)則挖掘方法能夠從大量數(shù)據(jù)中挖掘出有價(jià)值描述數(shù)據(jù)項(xiàng)之間相互聯(lián)系的有關(guān)知識(shí)，挖掘用戶操作行為之間的關(guān)聯(lián)規(guī)則，反映用戶的操作傾向。

現(xiàn)實(shí)中網(wǎng)絡(luò)環(huán)境復(fù)雜，網(wǎng)絡(luò)設(shè)備種類多，影響因素之間相互關(guān)聯(lián)。選取的算法要能有效的對(duì)多源異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并具有自學(xué)習(xí)性，能夠解決決策層的不確定性，不能僅憑專家經(jīng)驗(yàn)確定各指標(biāo)對(duì)網(wǎng)絡(luò)安全狀態(tài)的影響程度。在底層使用關(guān)聯(lián)規(guī)則挖掘算法對(duì)異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析，使用云模型對(duì)異構(gòu)數(shù)據(jù)進(jìn)行融合處理，在決策層使用貝葉斯決策方法進(jìn)行態(tài)勢(shì)預(yù)測(cè)，較好的解決了態(tài)勢(shì)評(píng)估的不確定性。

3.3 態(tài)勢(shì)感知與風(fēng)險(xiǎn)預(yù)警

網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要對(duì)網(wǎng)絡(luò)中部署的各類設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)，對(duì)動(dòng)態(tài)監(jiān)測(cè)數(shù)據(jù)、設(shè)備運(yùn)行日志、脆弱性、策略配置數(shù)據(jù)等進(jìn)行融合分析，對(duì)目前網(wǎng)絡(luò)安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估，同時(shí)也對(duì)未來(lái)幾天網(wǎng)絡(luò)安全狀況進(jìn)行預(yù)測(cè)。

安全風(fēng)險(xiǎn)預(yù)警實(shí)現(xiàn)各類安全隱患的報(bào)警功能。借助安全態(tài)勢(shì)感知功能對(duì)各類數(shù)據(jù)綜合分析，提出信息安全風(fēng)險(xiǎn)的來(lái)源分布以及風(fēng)險(xiǎn)可能帶來(lái)的危害，及時(shí)的對(duì)信息安全隱患或風(fēng)險(xiǎn)進(jìn)行報(bào)警。

3.3.1 網(wǎng)絡(luò)實(shí)時(shí)狀況警報(bào)

實(shí)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件等的實(shí)時(shí)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，并依據(jù)的上下限值提供報(bào)警功能。將告警指標(biāo)和風(fēng)險(xiǎn)處理方法進(jìn)行結(jié)合，實(shí)現(xiàn)在動(dòng)態(tài)地圖上顯示出來(lái)并提供報(bào)警，能夠快速的定位出現(xiàn)問(wèn)題的設(shè)備。實(shí)現(xiàn)網(wǎng)絡(luò)中關(guān)鍵的硬件設(shè)備配置的監(jiān)控，實(shí)現(xiàn)對(duì)硬件的更換、策略的變更的報(bào)警功能。

3.3.2 態(tài)勢(shì)要素提取

態(tài)勢(shì)要素提取是態(tài)勢(shì)評(píng)估與預(yù)測(cè)的基礎(chǔ)。讀取核心交換機(jī)、重要業(yè)務(wù)服務(wù)器及信息系統(tǒng)、門(mén)戶網(wǎng)站、路由器、IPS、IDS等關(guān)鍵核心接入設(shè)備的配置信息、服務(wù)的狀態(tài)、操作日志、關(guān)鍵性能參數(shù)等。

3.3.3 態(tài)勢(shì)評(píng)估與分析

研究信息安全風(fēng)險(xiǎn)評(píng)估和分析方法，制定風(fēng)險(xiǎn)評(píng)估指標(biāo)體系和評(píng)估模型，開(kāi)展基于多協(xié)議和應(yīng)用的關(guān)聯(lián)分析，識(shí)別程序或用戶的惡意行為，追蹤并提供威脅分析。

態(tài)勢(shì)感知的核心是態(tài)勢(shì)評(píng)估，是對(duì)當(dāng)前安全態(tài)勢(shì)的一個(gè)動(dòng)態(tài)理解過(guò)程。識(shí)別態(tài)勢(shì)信息中的安全事件并確定它們之間的關(guān)聯(lián)關(guān)系，根據(jù)所受到的威脅程度生成相應(yīng)的安全態(tài)勢(shì)圖，反映出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況。

研究分層次的安全評(píng)估模型，以攻擊報(bào)警、掃描結(jié)果和網(wǎng)絡(luò)流量等信息為原始數(shù)據(jù)，發(fā)現(xiàn)各關(guān)鍵設(shè)備影響因素的脆弱性或威脅情況，在此基礎(chǔ)上，綜合評(píng)估網(wǎng)絡(luò)系統(tǒng)中各關(guān)鍵設(shè)備的安全狀況，再根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，評(píng)估多個(gè)局部范圍網(wǎng)絡(luò)的安全態(tài)勢(shì)，然后再綜合分析和統(tǒng)計(jì)整個(gè)宏觀網(wǎng)絡(luò)的安全態(tài)勢(shì)。

3.3.4 態(tài)勢(shì)預(yù)測(cè)

態(tài)勢(shì)預(yù)測(cè)主要基于各類網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端設(shè)備以及安全設(shè)備的記錄，進(jìn)行關(guān)聯(lián)性分析，給出總體信息安全趨勢(shì)。態(tài)勢(shì)預(yù)測(cè)數(shù)據(jù)的來(lái)源包括用戶數(shù)據(jù)的輸入和監(jiān)測(cè)到歷史數(shù)據(jù)和實(shí)時(shí)數(shù)據(jù)。

3.3.5 響應(yīng)與報(bào)警

針對(duì)存在的威脅事件、預(yù)知的安全風(fēng)險(xiǎn)以及信息系統(tǒng)故障等進(jìn)行報(bào)警，并提供解決的建議。利用數(shù)據(jù)挖掘與融合技術(shù)處理歷史數(shù)據(jù)和監(jiān)測(cè)數(shù)據(jù)，經(jīng)過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)分析，對(duì)潛在安全風(fēng)險(xiǎn)進(jìn)行分析預(yù)測(cè)，輸出預(yù)警信息。

3.4 可視化展示

根據(jù)用戶的不同需求，定義不同的功能視圖，實(shí)現(xiàn)多樣化、多元化的展示方式，包括漏洞、弱口令、病毒感染、違規(guī)外聯(lián)、威脅報(bào)警等信息。

4 結(jié)語(yǔ)

通過(guò)信息安全態(tài)勢(shì)感知與智能預(yù)警平臺(tái)，利用大數(shù)據(jù)技術(shù)將現(xiàn)有各類監(jiān)測(cè)數(shù)據(jù)、日志數(shù)據(jù)、掃描數(shù)據(jù)等進(jìn)行有效整合，能自動(dòng)識(shí)別未知的新型攻擊、縮短事件響應(yīng)時(shí)間并提高提高人員工作效率，為實(shí)時(shí)掌握網(wǎng)絡(luò)整體安全狀態(tài)和變化趨勢(shì)提供了基礎(chǔ)，從而提升企業(yè)信息安全主動(dòng)防御能力。

參考文獻(xiàn)

[1]卿松.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].《計(jì)算機(jī)安全》，2011（10）：9-12.