李慧敏 周勇
【摘 要】网络安全态势感知是指在大规模网络环境中,对能够引起网络安全状况发生变化的安全要素进行获取、分析、可视化,并预测发展趋势,为决策和后续处置提供依据。网络安全态势感知系统是通过采集网络流量、安全日志、安全告警、威胁情报等安全数据,利用数据分析和机器学习技术,分析网络行为及用户行为等因素,并对网络当前状态和发展趋势进行分析和预测的系统。
【关键词】网络安全态势;感知;关键技术
1网络安全态势感知
网络安全态势感知是一门针对现今的网络安全问题所提出的网络安全技术。该技术起源于20世纪80年代,在美国军事领域中被提出。美国空军提出了态势感知的概念,覆盖感知(感觉)、理解和预测三个层次。因为时代的发展与网络的普及,网络中各类网络安全问题的出现,网络安全态势感知逐渐的被网络安全人员们所熟知、研究与运用。网络安全态势感知技术是使用各种网络安全技术进行数据的挖掘研究分析与处理,然后提供一个当前的网络安全示意图,让网络安全管理员可以清楚的了解当前的网络安全状况,通过了解到的状况进行分析,以采取对应的保护方式,达到保护网络安全的作用。数据挖掘技术、数据融合技术、智能分析以及可视化等技术可以帮助网络安全态势感知实现更好的网络保护。网络安全管理员利用安全态势感知技术来实时了解网络情况,根据所了解的信息去采取有效措施保护网络安全。
2网络安全态势感知系统架构
早期的网络安全态势感知系统是通过对海量安全数据的采集,采用数据分析技术识别海量安全数据中有价值的信息,并展示为可理解的报告和图表,从而让网络安全人员通过报告和图表數据去发现和分析全网的安全威胁。近年来,随着大数据技术的出现和发展,安全技术与大数据技术充分融合,极大地增强了安全检测与分析能力,推动了安全态势感知的发展,主要表现在APT截获、威胁感知和威胁情报共享等方面。
3网络安全态势感知主要功能
1)可视。通过多维度的安全数据仪表盘,涵盖网络安全监测的重点环节,将网络重点环节的实时运行及安全状态多维度地展示给网络安全人员,以便网络安全人员及时掌握网络安全整体状况。
2)可知。通过安全数据全量管理。收集的安全数据包括操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志等信息,并提供安全日志的全文检索功能,便于网络安全人员从海量日志查找和关联相关安全日志。在全量收集各种安全数据的基础上,充分利用大数据技术,从海量数据中挖掘高价值信息,侦测是否存在异常网络行为。
3)可管。通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志,结合安全基线、威胁情报和知识库进行多维度安全分析,对发现的漏洞和脆弱性及时处置。
4)可控。充分利用大数据的分析模型和机器学习等算法,为用户建立行为画像,可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击、0day攻击等未知威胁攻击,并对分析出来的安全事件、异常行为等进行实时告警,通过可视化展现、邮件、手机APP等方式及时通报给相关网络安全人员进行处置。
5)可溯。通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源,刻画网络安全事件的攻击路径,为网络安全人员采取措施和溯源提供依据。
6)可预警。实时动态展示当前网络安全状况,并呈现一定时间内整个网络空间环境安全要素,从已知数据推演分析将要发生的安全事件,实现对安全威胁事件的预测和判断发生的概率。
4网络安全态势感知关键技术
4.1多源异构数据的采集与融合
目前,在企业网络中,安全数据和日志数据由各种不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生,且这些数据缺乏统一标准与关联,分析各自独立的数据,无法得到全局精准的分析结果,因此,建设统一的大数据日志分析平台,进行集中化的存储、备份、查询、审计、告警和分析,实现日志的全生命周期管理,从宏观上感知全局的风险及安全态势,智能感知威胁,获悉全局的安全态势,提升企业信息安全管理能力显得尤其重要。由于企业网络中的数据来自不同厂商的安全设备、网络设备、主机设备、操作系统、数据库及各种应用系统等多源异构数据,就要求网络安全态势感知系统具备支持Syslog、SNMPTrap、UDP/TCP、WebService、ODBC、JDBC等多种数据协议类型数据采集能力,具备多种安全采集工具,为态势感知平台的上层分析研判业务提供有力的支撑。
4.2数据挖掘技术
随着信息技术的发展和互联网的不断应用,网络上存在着大量数据。如何将海量的数据进行分析,找到其中所存在的各种关联关系,这时候就需要数据挖掘技术。数据挖掘泛指从海量的数据信息中发现和提取出有用的信息,而专业解释是,数据挖掘是从大量不完整、噪声、模糊、随机的实际应用中发现数据之间的规律和数据之中所隐含的意义等,但又有潜在有用的并且最终可理解的信息和只是的非平凡过程。如今,数据挖掘技术在网络安全态势感知领域中所存在的技术有:聚类分析与关联分析。聚类分析是,根据数据的不同特征与性质将数据分为不同的簇,没一个簇在数据的特征中都具备一定的相似性。关联分析是。将海量、繁多复杂的数据进行分
4.3态势预测技术
态势预测技术是指分析以前的网络安全资料信息,把以前的实践经验同现今发展的理论整合、分析来预测网络安全未来的情况。网络安全态势发展拥有不确定性,并且预测的性质、范围及对象等会导致预测的方法不同。根据网络安全态势预测的属性可以分为三种:因果预测方法、定性预测方法和时间序列分析法。因果预测方法是指:在系统变量之间的各类关系的基础上,确定某些因素将可能会造成什么样的结果,然后建立与其对应的数学模型关系,通过模型中因素的变化,来对网络安全态势进行未来方向和趋势的预测。定性预测方法是指:将一切的网络系统同现在的网络安全数据结合起来,人们将基于直觉逻辑对网络安全态势进行评估和判断。时间序列分析法是指:研究过去的信息同时间之间的关系,然后对接下来的系统变量进行预测。因为这种方式只参考了时间变化而引起的系统性能变量,所以比较适合应用在依据简单统计数据随着时间而改变的对象。
4.4态势要素获取技术
态势要素的获取是实现态势感知的基础,从多样的网络设备中进行网络数据的分析与处理以此得到态势要素,这些数据是多维的、异构的、大规模的,并且这些数据中存在很多冗杂的信息。发现网络中的异常信息是获取态势要素的关键。
结语
网络安全态势技术仍在不断的发展,各种关键的技术不断的被研究出来但当今还存在着不少问题,如信息格式不统一、事件关联性的处理方式、如何提高态势感知系统的响应速度以及态势感知系统的负荷等等还有待进一步的研究。
参考文献:
[1]李奎.网络安全态势感知关键技术研究[J].电脑知识与技术,2016,12(32):26-28.
[2]陈娜.网络安全态势感知体系及关键技术研究[J].自动化与仪器仪表,2015(01):47-49.