網(wǎng)絡(luò)安全態(tài)勢感知及主動預(yù)警技術(shù)研究

李井泉，劉惠穎，張 緯 ，陳連棟

(1.國網(wǎng)河北省電力公司信息通信分公司，石家莊 050000；2.國網(wǎng)河北省電力公司電力科學(xué)研究院，石家莊 050021)

2017-05-21

李井泉(1979-)，男，高級工程師，主要從事信息技術(shù)工作。

網(wǎng)絡(luò)安全態(tài)勢感知及主動預(yù)警技術(shù)研究

李井泉1，劉惠穎2，張 緯1，陳連棟1

(1.國網(wǎng)河北省電力公司信息通信分公司，石家莊 050000；2.國網(wǎng)河北省電力公司電力科學(xué)研究院，石家莊 050021)

介紹網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，研究安全態(tài)勢感知模型及指標(biāo)體系，提出了安全態(tài)勢感知及主動預(yù)警系統(tǒng)的設(shè)計(jì)方案，從數(shù)據(jù)采集、大數(shù)據(jù)存儲優(yōu)化技術(shù)、關(guān)聯(lián)分析實(shí)現(xiàn)等方面分析該系統(tǒng)的關(guān)鍵技術(shù)，并說明該系統(tǒng)的應(yīng)用效果。

安全防護(hù)；網(wǎng)絡(luò)安全態(tài)勢感知；主動預(yù)警

隨著電力系統(tǒng)信息化水平的提高與信息安全工作的推進(jìn)，電力企業(yè)信息安全防護(hù)已經(jīng)從單一威脅防護(hù)階段進(jìn)入到綜合安全管理階段，在全面部署各類安全防護(hù)產(chǎn)品基礎(chǔ)上，電力企業(yè)越來越關(guān)注安全態(tài)勢的感知以及安全事件的預(yù)測與預(yù)防。當(dāng)前網(wǎng)絡(luò)空間安全對抗的形勢非常嚴(yán)峻。電網(wǎng)信息安全保障異常嚴(yán)峻，迫切要求提升電網(wǎng)信息安全的對抗能力。為此結(jié)合網(wǎng)絡(luò)安全態(tài)勢感知理論，研究面向大規(guī)模電力信息網(wǎng)絡(luò)的態(tài)勢感知及主動預(yù)警技術(shù)具有十分重要的意義。

1 網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)介紹

網(wǎng)絡(luò)安全態(tài)勢感知(Network Security Situational Awareness，NSSA)指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的安全要素進(jìn)行提取、理解、顯示并預(yù)測未來發(fā)展趨勢[1]。

網(wǎng)絡(luò)安全態(tài)勢感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖，使安全管理員能夠快速準(zhǔn)確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)，并以此為依據(jù)采取相應(yīng)的措施[2]。實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知，需要在廣域網(wǎng)環(huán)境中部署大量的、多種類型的安全傳感器，來監(jiān)測目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。通過采集這些傳感器提供的信息，并加以分析、處理，明確所受攻擊的特征，包括攻擊的來源、規(guī)模、速度、危害性等，準(zhǔn)確地描述網(wǎng)絡(luò)的安全狀態(tài)，并通過可視化手段顯示給安全管理員，從而支持對安全態(tài)勢的全局理解和及時做出正確的響應(yīng)[3-5]。

2 安全態(tài)勢感知模型及指標(biāo)體系

2.1 安全態(tài)勢感知模型

研究和建立安全態(tài)勢感知模型，用于實(shí)現(xiàn)安全態(tài)勢分析與預(yù)警技術(shù)。從而能在掌握全網(wǎng)安全態(tài)勢的基礎(chǔ)上，得到詳細(xì)的預(yù)警信息，能夠根據(jù)預(yù)警信息及時調(diào)整安全策略，解決潛在的安全風(fēng)險(xiǎn)、安全隱患。安全態(tài)勢感知模型包括以下模型。

a. IP地址熵模型。信息熵是信息論中用于度量信息量的一個概念。一個系統(tǒng)越是有序，分布越集中，信息熵就越低；反之，一個系統(tǒng)越是混亂，分布越分散，信息熵就越高。許多大規(guī)模網(wǎng)絡(luò)安全事件均反應(yīng)在IP地址分布的異常上，通過觀測特征事件IP地址分布狀況可反映網(wǎng)絡(luò)安全運(yùn)行狀況。研究通過判斷IP地址熵值是否正常，建立IP地址熵模型，用來檢測網(wǎng)絡(luò)中是否存在大規(guī)模安全事件的可能[6-9]。

b. 三元組模型。在網(wǎng)絡(luò)攻擊行為中，源地址、目的地址、攻擊類型三要素體現(xiàn)了攻擊的本質(zhì)，這三個要素在特征事件的屬性中均有記錄。 三要素任意指定和組合，都反應(yīng)了有意義的網(wǎng)絡(luò)攻擊態(tài)勢，通過統(tǒng)計(jì)固定時間間隔內(nèi)三要素的TopN值，可以反應(yīng)當(dāng)前流行的網(wǎng)絡(luò)攻擊態(tài)勢。其與熵模型結(jié)合，還可用來檢測網(wǎng)絡(luò)異常時對異常原因、攻擊源、目標(biāo)進(jìn)行定位。

c. 熱點(diǎn)事件傳播模型。對于Internet蠕蟲等大規(guī)模網(wǎng)絡(luò)事件，最明顯的特征是其歷史發(fā)展趨勢。該模型通過觀測熱點(diǎn)事件的發(fā)展趨勢，幫助SOC用戶依據(jù)熱點(diǎn)事件發(fā)展態(tài)勢分析來判斷其是否會發(fā)展成為大規(guī)模網(wǎng)絡(luò)安全事件的可能。

d. 協(xié)議流量智能基線分析模型。針對網(wǎng)絡(luò)中應(yīng)用某種協(xié)議傳播的大規(guī)模網(wǎng)絡(luò)安全事件通常會引起協(xié)議流量的異常原理，采集網(wǎng)絡(luò)流量，檢測TCP、UDP、ICMP3種協(xié)議比例隨時間的變化趨勢，當(dāng)發(fā)生明顯異常時及時發(fā)出報(bào)警信息。應(yīng)用機(jī)理：在學(xué)習(xí)階段建立3種協(xié)議流量智能基線分析模型，在SOC運(yùn)行階段將采樣值與基線進(jìn)行比較。

e. 主機(jī)行為異常模型。在學(xué)習(xí)階段，建立1臺主機(jī)的正常訪問模型，例如固定統(tǒng)計(jì)間隔內(nèi)的流數(shù)量、連接的主機(jī)數(shù)量、每個流所包含的數(shù)據(jù)包數(shù)量等。對于重點(diǎn)關(guān)注的主機(jī)，比較該類主機(jī)的統(tǒng)計(jì)參數(shù)，與正常值的偏差程度，進(jìn)行異常判斷。

f. 異常Flow流檢測模型。研究應(yīng)用機(jī)理：正常情況下，一個Netflow流中應(yīng)包含TCP標(biāo)識符的全部信息，缺少標(biāo)識符的Flow流的數(shù)量不應(yīng)太大。通過研究建立異常Flow流檢測模型，統(tǒng)計(jì)只含SYN標(biāo)識、RST標(biāo)識的流數(shù)量，檢測網(wǎng)絡(luò)上是否存在掃描、DDoS攻擊等大規(guī)模網(wǎng)絡(luò)異常。

2.2 宏觀態(tài)勢感知指標(biāo)體系

在進(jìn)行安全態(tài)勢評估時，通過構(gòu)造一系列能夠反映網(wǎng)絡(luò)安全狀態(tài)的基準(zhǔn)指標(biāo)，將具體的網(wǎng)絡(luò)流量和各類攻擊數(shù)據(jù)量化為直觀的指標(biāo)值，并以此評估當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)[10-12]。依據(jù)抽象層次的不同，指標(biāo)體系可分為2個層次。

a. 基礎(chǔ)指標(biāo)。基礎(chǔ)指標(biāo)是指從觀測數(shù)據(jù)中直接統(tǒng)計(jì)即可獲得的指標(biāo)，這里的觀測數(shù)據(jù)可以是各類安全報(bào)警事件，也可以是網(wǎng)絡(luò)流量。通過分析日常采集到的統(tǒng)計(jì)數(shù)據(jù)建立基礎(chǔ)指標(biāo)體系，可以掌握網(wǎng)絡(luò)的安全基準(zhǔn)狀況、流量分布狀況以及全網(wǎng)通信的正常基線，以此為依據(jù)對可能出現(xiàn)的異常進(jìn)行評估。基礎(chǔ)指標(biāo)統(tǒng)計(jì)的維度可以是空間信息，如路由器、物理端口、IP地址(段)、AS號、地域名稱等；也可以是時間信息，如時間戳、持續(xù)時間、結(jié)束時間、所在時段等；還可以是描述信息，如協(xié)議類型、事件類型等。

b. 衍生指標(biāo)。衍生指標(biāo)是指無法直接獲取，必須依賴于對基礎(chǔ)指標(biāo)統(tǒng)計(jì)或運(yùn)算后才能得到的參數(shù)。常見的運(yùn)算方法包括：均值、期望、幾何平均，反映參數(shù)平均水平的統(tǒng)計(jì)量；熵運(yùn)算，反映參數(shù)分布狀況的統(tǒng)計(jì)量；方差、標(biāo)準(zhǔn)差，反映參數(shù)偏離程度的統(tǒng)計(jì)量；對數(shù)，在參數(shù)波動幅度較大時，通過對數(shù)運(yùn)算可以降低其量級；增長速率、降低速率，反映參數(shù)變化趨勢的統(tǒng)計(jì)量；極差(全距)，各時段不同應(yīng)用流量最高值和最低值的差值或比值。

3 安全態(tài)勢感知及主動預(yù)警系統(tǒng)的設(shè)計(jì)

在研究的基礎(chǔ)上，國網(wǎng)河北省電力公司研發(fā)了一套安全態(tài)勢感知及主動預(yù)警系統(tǒng)，體系架構(gòu)總體設(shè)計(jì)方案見圖1。

圖1 體系架構(gòu)總體設(shè)計(jì)方案

3.1 面向服務(wù)的技術(shù)架構(gòu)(SOA)

安全態(tài)勢感知及主動預(yù)警系統(tǒng)在總體技術(shù)架構(gòu)上采用面向服務(wù)的體系架構(gòu)和WEB Services技術(shù)，用戶界面全部采用B/S結(jié)構(gòu)，系統(tǒng)各組件之間松耦合，整個系統(tǒng)架構(gòu)靈活可擴(kuò)展[13]。平臺能夠全面結(jié)合多種信息安全產(chǎn)品和管理技術(shù)，在信息和信息系統(tǒng)整個生命周期中實(shí)現(xiàn)安全管理方面人、技術(shù)和流程的結(jié)合，同時該平臺提供多種對外接口，實(shí)現(xiàn)與眾多第三方平臺類產(chǎn)品的融合，以最大化的保障網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的整體安全性。

3.2 一體化功能結(jié)構(gòu)設(shè)計(jì)

安全態(tài)勢感知及主動預(yù)警系統(tǒng)主要由以下部分組成：資產(chǎn)信息管理模塊、安全事件/業(yè)務(wù)監(jiān)控管理模塊、脆弱性管理模塊、漏洞關(guān)聯(lián)分析和基于規(guī)則的關(guān)聯(lián)分析模塊、風(fēng)險(xiǎn)評估管理模塊、安全策略管理模塊、統(tǒng)一安全預(yù)警模塊、綜合顯示和報(bào)表報(bào)告系統(tǒng)、響應(yīng)管理系統(tǒng)、安全信息管理、系統(tǒng)健康管理和用戶管理模塊組成。

系統(tǒng)實(shí)現(xiàn)信息安全管理體系的PDCA循環(huán)，為其計(jì)劃階段提供風(fēng)險(xiǎn)評估和安全策略功能，為執(zhí)行階段提供安全對象風(fēng)險(xiǎn)管理以及流程管理功能，為檢查階段提供系統(tǒng)安全監(jiān)控、事件審計(jì)、殘余風(fēng)險(xiǎn)評估功能，為改進(jìn)階段提供安全事件管理功能。

系統(tǒng)設(shè)計(jì)依據(jù)各個公共功能構(gòu)件的關(guān)聯(lián)關(guān)系，實(shí)現(xiàn)統(tǒng)一的平臺技術(shù)體系架構(gòu)，以解決信息安全風(fēng)險(xiǎn)分析預(yù)警系統(tǒng)在應(yīng)用需求中的共性問題。系統(tǒng)功能體系結(jié)構(gòu)見圖2。

圖2 系統(tǒng)功能體系結(jié)構(gòu)示意

4 關(guān)鍵技術(shù)實(shí)現(xiàn)

4.1 數(shù)據(jù)采集

安全態(tài)勢感知及主動預(yù)警系統(tǒng)監(jiān)控的IT資源和系統(tǒng)應(yīng)用日志包括：安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器等。

系統(tǒng)實(shí)時不間斷地采集網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息，并將這些信息匯集到審計(jì)中心，進(jìn)行集中化存儲、備份、查詢、審計(jì)、告警、響應(yīng)，并出具豐富的報(bào)表報(bào)告，獲悉全網(wǎng)的整體安全運(yùn)行態(tài)勢，實(shí)現(xiàn)全生命周期日志管理。

4.2 大數(shù)據(jù)存儲優(yōu)化技術(shù)

安全態(tài)勢感知及主動預(yù)警系統(tǒng)的核心數(shù)據(jù)架構(gòu)是事件分表，事件分表的核心思想在于利用日志數(shù)據(jù)的特點(diǎn)，將海量日志數(shù)據(jù)進(jìn)行合理的分塊存儲。分表存儲分析邏輯如圖3所示。

圖3 分表存儲分析邏輯示意

根據(jù)日志采集事件的時序特征，中間層將事件表按照時間周期進(jìn)行劃分，依靠網(wǎng)絡(luò)將采集上來的海量數(shù)據(jù)按照規(guī)則分布式的存儲到不同的物理介質(zhì)上。從而通過網(wǎng)絡(luò)將數(shù)據(jù)存儲能力做了深度的擴(kuò)展。

4.3 關(guān)聯(lián)分析實(shí)現(xiàn)

通過將防火墻、IDS、漏掃和防病毒系統(tǒng)等設(shè)備的日志和事件的集中收集、統(tǒng)一分析來協(xié)助解決安全措施不完善、安全信息孤島等問題，通過關(guān)聯(lián)來自不同地點(diǎn)、不同時間、不同層次、不同類型的安全事件，來發(fā)現(xiàn)真正的安全風(fēng)險(xiǎn)，提高安全報(bào)警的信噪比，對收集上來的安全事件進(jìn)行關(guān)聯(lián)性分析，發(fā)現(xiàn)事件之間的關(guān)聯(lián)性，以便進(jìn)行有效的響應(yīng)。

4.4 圖形化業(yè)務(wù)監(jiān)控視圖

以總體的業(yè)務(wù)監(jiān)控視圖的圖形化方式，將單個資產(chǎn)的監(jiān)控以業(yè)務(wù)鏈條的方式組合起來，對組成業(yè)務(wù)系統(tǒng)的關(guān)鍵資產(chǎn)統(tǒng)一組合監(jiān)控。動態(tài)顯示客戶計(jì)算環(huán)境中業(yè)務(wù)的依賴關(guān)系和運(yùn)行狀態(tài)，直觀展現(xiàn)業(yè)務(wù)的結(jié)構(gòu)和邏輯關(guān)系，實(shí)時反映業(yè)務(wù)的健康狀態(tài)，傳遞業(yè)務(wù)總覽信息，從而反映某個業(yè)務(wù)系統(tǒng)整體的運(yùn)行狀況。

5 應(yīng)用效果

目前，該套系統(tǒng)已經(jīng)在國網(wǎng)河北省電力公司中得到應(yīng)用，系統(tǒng)自投運(yùn)以來，各項(xiàng)功能運(yùn)行正常，效果良好。通過對各大信息系統(tǒng)的安全審計(jì)和對業(yè)務(wù)系統(tǒng)的實(shí)時監(jiān)控，找到面臨的風(fēng)險(xiǎn)，并及時進(jìn)行預(yù)警和實(shí)時告警，定期對安全運(yùn)行情況進(jìn)行匯總分析并輸出報(bào)表，使得各業(yè)務(wù)系統(tǒng)安全、高效、穩(wěn)定運(yùn)行。

6 結(jié)論

以上研究了網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，構(gòu)建了面向大規(guī)模電力信息網(wǎng)絡(luò)的安全態(tài)勢預(yù)測模型。設(shè)計(jì)了信息安全態(tài)勢感知及主動預(yù)警系統(tǒng)體系架構(gòu)總體設(shè)計(jì)方案，最終實(shí)現(xiàn)系統(tǒng)并應(yīng)用。安全態(tài)勢感知及主動預(yù)警系統(tǒng)可以獲得對全網(wǎng)安全的可視化，洞悉業(yè)務(wù)信息系統(tǒng)的運(yùn)行狀況與安全狀況；對全網(wǎng)的安全事件進(jìn)行綜合分析與審計(jì)，識別和定位外部攻擊、內(nèi)部違規(guī)；進(jìn)行業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)度量、安全態(tài)勢度量和安全管理建設(shè)水平度量；進(jìn)行持續(xù)的安全巡檢、應(yīng)急響應(yīng)與知識積累，不斷提升電力系統(tǒng)安全管理的能力。

該系統(tǒng)為國網(wǎng)河北省電力公司信息安全管理系統(tǒng)化方面提供一種新思路、新辦法，能從多個層面了解信息安全工作的當(dāng)前態(tài)勢，固化信息安全常態(tài)工作流程，加強(qiáng)了信息安全工作的系統(tǒng)性和有效性。但是仍然有其他問題需要深入研究，如，對識別和定位外部攻擊、內(nèi)部違規(guī)的高效優(yōu)化，持續(xù)的安全巡檢、應(yīng)急響應(yīng)與知識積累的增加等，有關(guān)這些方面的問題還有待更進(jìn)一步的研究。

[1] Tim Bass．Intrusion Detection System and Muhi-sensor Data Fusion[J]．Communications of the ACM，2000，43(4)：99-105.

[2] 王慧強(qiáng)，賴積保，朱 亮，等．網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J]．計(jì)算機(jī)科學(xué)，2006，33(10)：5-10.

[3] 馮學(xué)偉，王東霞，馬國慶，等．網(wǎng)絡(luò)安全態(tài)勢感知中態(tài)勢評估關(guān)鍵技術(shù)研究[J]．計(jì)算機(jī)工程與應(yīng)用，2011，47(19)：88-92.

[4] 賈 焰，王曉偉，韓偉紅，等．YHSSAS：面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J]．計(jì)算機(jī)科學(xué)，2011，38(2)：4-8.

[5] 張利琴，張 溟，高玉琢．基于等級保護(hù)的網(wǎng)絡(luò)反攻擊技術(shù)應(yīng)用研究綜述[J]．中國科技信息，2014(8)：134-136.

[6] 王春雷，方 蘭，王東霞，等，基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J].計(jì)算機(jī)科學(xué),2012，39(1)：11-18.

[7] 蔣誠智，余 勇，林為民，等，基于智能Agent的電力信息網(wǎng)絡(luò)安全態(tài)勢感知模型研究[J]. 計(jì)算機(jī)科學(xué),2012，39(12)：98-101.

[8] 李 碩，戴 欣，周渝霞．網(wǎng)絡(luò)安全態(tài)勢感知研究進(jìn)展[J]．計(jì)算機(jī)應(yīng)用研究，2010，27(9)：3227-3232 .

[9] 王選宏，肖 云．基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型[J]．科學(xué)技術(shù)與工程，2010，10(28)：689-690.

[10] 楊 菁，張鵬飛，徐曉偉，等．電網(wǎng)態(tài)勢感知技術(shù)國內(nèi)外研究現(xiàn)狀初探[J]．華東電力，2013，41(8)：1575-1580.

[11] 周 軍．基于D-S證據(jù)理論的多模型網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究[D]．西安：西安電子科技大學(xué)，2010.

[12] 謝麗霞，王亞超，于巾博．基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知[J]．清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，53(12)：1754-1757.

[13] 劉密霞．網(wǎng)絡(luò)安全態(tài)勢分析與可生存性評估研究[D]．蘭州：蘭州理工大學(xué)，2008.

Study on Situation Awareness and Active Early Warning Technology of Internet Security

Li Jingquan1,Liu Huiying2,Zhang Wei1,Chen Liandong1

(1.State Grid HeBei Electric Power Information and Telecommunication Branch,Shijiazhuang 050000,China；(2.State Grid Hebei Electric Power Research Institute,Shijiazhuang 050021,China)

This paper proposes network security situation awareness and active warning technology.Introduces the network security situation awareness technology,and stadies the security situation prediction model,constructs security situation awareness and active warning system's design scheme,analyzes the key technologies of the system from data acquisition,large data storage,optimization technology and correlation analysis,illustnetes the application effect of the system.

security protection;network security situational awareness；early warning technology

TP393.08

B

1001-9898(2017)05-0011-04

本文責(zé)任編輯：楊秀敏