安全態勢感知系統在電力行業的應用研究

劉琪

【摘 要】論文從實用角度出發，通過安全態勢感知系統發現安全事件的脈絡，以及安全事件產生原因和溯源；提供網絡攻擊的發展趨勢信息；并且輔助決策優先處理網絡中重要系統的脆弱性，加固網絡中的主機和服務器，保護客戶的業務連續性，本文提出一種新的技術或新的安全解決方案，來應對由于系統漏洞而引發的安全風險。從而保障電力終端微機的安全防護水平。

【關鍵詞】安全態勢感知 關聯分析 數據挖掘

隨著電力行業計算機和通信技術的迅速發展，伴隨著用戶需求的不斷增加，計算機網絡的應用越來越廣泛，其規模也越來越龐大。同時，網絡安全事件層出不窮，使得計算機網絡面臨著嚴峻的信息安全形勢，傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全態勢感知（NSSA）技術能夠綜合各方面的安全因素，從整體上動態反映網絡安全狀況，并對安全狀況的發展趨勢進行預測和預警，為增強網絡安全性提供可靠的參照依據。因此，針對網絡的安全態勢感知研究已經成為目前網絡安全領域的研究熱點。

1 安全態勢感知技術

態勢感知的定義：一定時間和空間內環境因素的獲取，理解和對未來短期的預測。

網絡安全態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。

國外在網絡安全態勢感知方面正做著積極的研究，比較有代表性的，如Bass提出應用多傳感器數據融合建立網絡空間態勢感知的框架，通過推理識別入侵者身份、速度、威脅性和入侵目標，進而評估網絡空間的安全狀態。Shiffiet采用本體論對網絡安全態勢感知相關概念進行了分析比較研究，并提出基于模塊化的技術無關框架結構。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等。

國內在這方面的研究起步較晚，近年來也有單位在積極探索。馮毅從我軍信息與網絡安全的角度出發，闡述了我軍積極開展網絡態勢感知研究的必要性和重要性，并指出了兩項關鍵技術—多源傳感器數據融合和數據挖掘；北京理工大學機電工程與控制國家蕈點實驗窒網絡安全分室在分析博弈論中模糊矩陣博弈原理和網絡空間威脅評估機理的基礎上，提出了基于模糊矩陣博弈的網絡安全威脅評估模型及其分析方法，并給出了計算實例與研究展望；哈爾濱工程大學提出關于入侵檢測的數據挖掘框架；國防科技大學提出大規模網絡的入侵檢測；文獻中提到西安交通大學網絡化系統與信息安全研究中心和清華大學智能與網絡化系統研究中心研究提出的基于入侵檢測系統（intrusiondetectionsystem，IDS）的海量報警信息和網絡性能指標，結合服務、主機本身的重要性及網絡系統的組織結構，提出采用自下而上、先局部后整體評估策略的層次化安全威脅態勢量化評估方法，并采用該方法在報警發生頻率、報警嚴重性及其網絡帶寬耗用率的統計基礎上，對服務、主機本身的重要性因子進行加權，計算服務、主機以及整個網絡系統的威脅指數，進而評估分析安全威脅態勢。其他研究工作主要是圍繞入侵檢測、網絡監控、網絡應急響應、網絡安全預警、網絡安全評估等方面開展的，這為開展網絡安全態勢感知研究奠定了一定的基礎。

2 安全策略管理系統的總體設計

本文中網絡安全態勢感知系統，數據源目前主要是掃描、蜜網、手機病毒和DDoS流量檢測及僵木蠕檢測系統，其中手機病毒檢測主要是感染手機號和疑似URL信息；DDoS主要提供被攻擊IP地址和web網站信息以及可能是偽造的攻擊源；僵木蠕系統則能夠提供僵尸IP、掛馬網站和控制主機信息；掃描器能夠提供主機和網站脆弱性等信息，并可以部分驗證；蜜網可以提供攻擊源、樣本和攻擊目標和行為。根據以上數據源信息通過關聯分析技術生成各類關聯分析后事件，把事件通過安全策略管理和任務調度管理進行分配，最終通過管理門戶進行呈現。系統的結構描述如下。

（1）管理門戶主要包括：儀表盤、關聯事件、綜合查詢視圖、任務執行狀態和系統管理功能。

（2）安全策略管理主要包括安全策略管理和指標管理。

（3）關聯分析根據采集平臺采集到的DDOS、僵木蠕、手機病毒、蜜網和IPS事件通過規則關聯分析、統計關聯分析和漏洞關聯規則分析生成各類關聯分析后事件。

（4）任務管理包括任務的自動生成、手動生成、任務下發和任務核查等功能。

（5）數據庫部分存儲原始事件、關聯分析后事件、各種策略規則和不同的安全知識庫。

（6）新資產發現模塊。

3 系統組成結構

安全態勢感知平臺系統結構如圖1所示。

3.1 管理門戶

管理門戶集成了系統的一些摘要信息、個人需要集中操作/處理的功能部分；它包括態勢儀表盤（Dashboard）、個人工作臺、綜合查詢視圖、系統任務執行情況以及系統管理功能。

（1）態勢儀表盤提供了監控范圍內的整體安全態勢整體展現，以地圖形式展現網絡安全形勢，詳細顯示低于的安全威脅、弱點和風險情況，展示完成的掃描任務情況和掃描發現的漏洞的基本情況，系統層面的掃描和web掃描分開展示，展示新設備上線及其漏洞的發現。

（2）個人工作臺關聯事件分布地圖以全國地圖的形式向用戶展現當前系統內關聯事件的情況——每個地域以關聯事件的不同級別（按最高）顯示其情況，以列表的形式向用戶展現系統內的關聯事件。

（3）綜合查詢視圖包含關聯事件的查詢和漏洞查詢。關聯事件的查詢可以通過指定的字段對事件的相關信息進行查詢。漏洞查詢的查詢條件：包括時間段、IP段（可支持多個段同時查詢）、漏洞名稱、級別等；結果以IP為列表，點擊詳情可按時間倒序查詢歷史掃描。