网络安全事件关联分析与态势评测技术研究

杜鹏

摘要：随着计算机网络技术的不断发展与进步，全球信息化进程日益加速，特别是高校信息网络规模日渐壮大，为高校信息化建设带来了巨大发展动力。但是，高校信息网络安全问题也引起了高校与社会的关注。基于此，为预防和减少高校网络安全事件的发生，本文以乌鲁木齐职业大学为例，研究了其网络安全事件关联分析与态势评测技术。

关键词：网络安全事件 关联分析 态势评测技术 研究

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2016）07-0191-01

新时期，随着计算机网络技术日渐成熟，教育行业的信息化建设也不断完善，已逐步由教育行业网络信息化平台建设阶段，通过扩大教育应用系统和教育内容等内容，传播和共享阶段，发展和普及互联网技能，知识，介绍了基于电子商务交流的内容材料和成果，形成了基于信息技术教育产业和其他领域的信息。

受各种因素影响，国内高校信息化建设遇到了很多问题，比如缺乏统一规划和部署的网络信息、数据标准和接口标准，集成和应用系统集成是困难的品种和数据库，数据库结构差异较大，重复了大量的基础数据存储和存储，导致了数据交换和同步的难度增大等，这使得网络安全态势评估和预测越来越受到人们的越来越多的预测注意，成为网络安全管理领域研究的一个热点问题。本文以乌鲁木齐职业大学为例，研究了网络安全事件相关分析与评价技术。

1 网络安全事件相关分析与评价技术概念

1.1 网络安全事件关联分析概念

对于网络安全事件关联分析来说，其主要包括网络安全数据预处理、网络安全态势指标提取和网络安全事件的关联分析和聚合三方面内容。其中，网络安全数据预处理包括数据清洗、数据集成、数据交换、数据规约等几部分；网络安全态势指标提取则主要从网络技术的可靠性、可用性、危险性和脆弱性四个方面开展；网络安全事件的关联分析通常采用贝叶斯网络、决策树关联分析技术，包括属性关联、因果关联和告警关联三种方法。

1.2 网络安全态势评测技术

所谓的网络安全态势，主要指的是在网络运行环境中，采集能够引起网络安全态势发生变化的网络安全状态信息，并对这些信息进行分析、理解、处理以及预测未来发展趋势。分析网络安全态势主要包括态势要素的获取、态势理解、态势评估和态势预测四部分。

2 网络安全综合管理平台系统及功能

2.1 系统概述

泰合信息安全运营中心（Center Operation Security ）是一个安全管理平台，用于整个网络资源。其资源的各种网络安全领域的划分，以及大规模异构网络和安全事件的获取、处理和分析，建立了一套面向业务的信息系统的可测风险模型，实现了各级管理人员对整个网络运行监控、事件分析和审计、风险评估与测量、预警及相应、趋势分析，并用规范化的流程管理实现了持续的安全运行。

乌鲁木齐职业大学联合信息安全运营中心是在原有安全管理平台的基础上，进行进一步的需求整理、挖掘，实现监控、监测、考核、服务、管理、运维等功能。

2.2 系的主要功能

2.2.1 网络运行监控

该系统可以很好的监控网络设备和相关安全设备，在监控过程中如果发现网络攻击或者网络故障的现象，可以及时的对该网络设备或者安全设备进行定位，并且发出警报，防止重要信息的遗失或者被盗取，产生较为严重的后果。在该系统中，通过用户的网络拓扑结构，可以非常容易的在地图上进行设备的定位，该功能可以很好的对用户提供安全保障。

2.2.2 事件及交通管理

该套系统在事件及交通管理方面非常的智能化，可以将网络设别、安全设备等报警事件通过自动整理、归类，并以一种相同的形式放在一起。在其中包括统一事件的严重性、统一的事件类型和名称，管理员可以在系统管理控制台方便地浏览所有安全事件并确保信息一致性。对于所有的安全事件，该系统可以结合一个独特的事件相关分析引擎的各种事件相关分析，包括规则，漏洞管理，统计关联等。

除了收集各种安全事件，该系统还可以收集如NetFlow流量日志。根据采集到的NetFlow流量日志的分析，系统可以建立网络流量模型，通过基于网络的特征分析算法，对网络的异常行为被发现。

2.2.3 漏洞管理

系统支持多种类型的第三方漏洞扫描，应用扫描和人工评估漏洞信息，形成漏洞和资产基础上的业务信息数据库，并计算资产和业务的脆弱性。该系统可以提醒新发现的漏洞信息。

2.2.4 安全预警和风险管理

系统能够以“用户服务信息系统的风险评估和分析20984-20984 GB T的信息安全风险评估标准的要求一致，信息安全技术、漏洞和威胁对资产和业务信息的价值，并计算资产或业务的风险水平，预警和显示。系统还可以是一个重要的威胁事件，漏洞信息的早期预警和显示。

2.2.5 情况分析

泰国联合安全运营中心系统是第一个有能力分析的宏观安全管理平台的情况。收集大量的安全事件系统，解决信息熵分析，三重热验证和数据挖掘技术的分析，分析和帮助管理员从宏观层面把握整体安全状况，识别，定位，预测和跟踪的主要威胁。

2.2.6 应对管理

系统具有完善的应急管理功能，可以根据用户设定的触发条件，通过各种方式（如电子邮件、短信、语音、SNMP陷阱，等）通知用户，可以触发一个自定义的响应过程，直到跟踪处理完成，从而实现安全事件闭环管理。系统支持设备控制脚本，允许管理员自动控制设备，及时阻止攻击源。内置的工作流引擎，可以对自定义进程作出反应。系统采用开放式接口，实现了对码头的第三方运行和维护管理系统。

2.2.7 知识管理

知识库系统有最完美的安全管理制度，安全事件数据库，安全策略数据库，数据库安全通报，预警信息图书馆，漏洞数据库，关联规则基础，处理计划库，过程数据库，基本情况，报告数据库，提供规则或不规则的知识库更新服务。

2.2.8 用户管理

在系统管理系统中采用分离，用户管理系统管理员、安全操作中心经理、审核经理的默认设置。使用基于角色的访问控制策略的用户管理系统，它是基于系统资源的访问限制的作用。

3 泰合安管平台（SOC）概述

泰和安管网络平台作为一个整体网络资源集中的安全管理平台，其资源的各种网络安全领域的划分，以及大规模异构网络、安全、采集、处理和分析的时间，业务为导向的信息系统建立了一套可衡量的风险模型，使管理者在各级实现了对整个网络资产运营的监控、事件分析和评估、风险评估和响应、态势分析。并借助规范化的流程管理，实现持续的安全运行。泰和安管平台SOC服务器操作系统windows 2008 r2，数据库sql server 2008 r2，客户端操作系统winxp，win7及以上版本，IE版本ie6.0以上。

泰和安系列SOC机系列主要包括网络运行监控、事件、交通管理、漏洞管理、安全预警、风险管理、动态分析、应急管理、知识管理、用户管理、系统管理、信息显示等功能的报告和报表。

4 建立安全体系

安全组织是在综合管理平台的基础上构建数字化校园安全保障体系的。按照“统一领导、分级负责”的原则，由主管信息化工作的学校领导统一指挥，由网络中心负责组织协调，由各个院（系）、部（处）信息管理员具体贯彻执行，共同构成安全保障体系的完整组织结构。

作为学校信息化建设的核心，网络中心）信息安全管理功能如下：

（1）开展国家信息安全相关法律法规，开展信息安全技术培训和知识学习。

（2）负责学校计算机数字校园综合管理平台的日常工作。

（3）制定并组织实施信息安全管理学校的规章制度。

（4）监督指导做好管理员的信息的安全性和保密性，定期检查计算机数字校园综合管理平台的安全运行，快速处理安全事故，及时消除安全风险。

参考文献

[1]王慧强，赖积保等.网络态势感知系统研究综述[J].计算机科学，2006，33（10）：5-10.

[2]李彤岩.基于数据挖掘的通信网告警相关性分析研究[D]，成都：电子科技大学通信与信息工程学院，2010.

[3]王慧强，赖积保等.网络态势感知系统研究综述[J].计算机科学.2006，33（10）：5-10.

[4]张勇.网络安全态势感知模型研究与实现[D].合肥：中国科技大学计算机学院，2010.

[5]温辉，徐开勇，赵彬，汪滨.网络安全事件关联分析及主动响应机制的研究[J].计算机应用与软件，2010，27（4）：60-63.