基于大数据的网络安全态势感知系统在网络安全管理中的应用

李大玮 刘鹏 王璐

【摘要】    伴随着云计算、大数据、物联网、移动互联网技术的快速发展，互联网与人们的生活密切相关，针对网络的攻击也愈加复杂多样，应用网络安全态势感知系统，实现对内部网络攻击源的快速定位和处置，满足当下网络安全管理的需求。在本文的分析中，主要以安全事件的定位和处置为基础，通过应用网络安全态势感知系统，实现对网络安全总体态势的监测和预警，辅助运维人员快速处置网络安全隐患和事件。

【关键词】   大数据    网络安全管理    态势感知    网络资产

引言：

伴随着云计算、大数据、物联网、移动互联网技术的快速发展，互联网与人们的生活越来越密切，针对互联网的攻击手段愈发多样，尤其近年来勒索病毒、挖矿软件的泛滥，在全球范围内造成了严重的影响，仅仅依靠着传统单一性的安全防护方式，已经无法满足当下网络安全性的要求，需要建立统一的网络安全管理系统，对网络安全日志进行综合分析研判，提升网络安全管理能力，在这种背景下，网络安全态势感知系统，在当前的网络安全管理中发挥着越来越重要的作用。

一、新时期网络安全管理要求

（一）实时全面的监测体系

建立实时全面的监测体系，实现对内网全面威胁实时监测，全流量威胁分析，从脆弱性、外部攻击、内部异常三大维度，来达成全面的监测体系。这三大维度均有其对应的最终目标，脆弱性即以業务资产为核心，寻找暴露面;外部攻击即寻找基于攻击突破弱点及攻击绕过情况，结合脆弱性感知来进行针对性的调整防御策略，决策加固方向;内部异常则是寻找已经被入侵成功的失陷主机及内鬼已在内部潜伏的威胁，避免继续受损及影响扩散。

（二）攻击溯源

攻击溯源是在网络安全事件的处理过程中所需要具备的重要能力。网络安全事件发生之后，通过对日志的全面综合分析，及时的发现一些安全事件当中的问题所在，并基于这样的分析模式，进行针对性的安全事件的发生路径等内容的分析与处理，对攻击者进行溯源和定位，并进行针对性的防护。

（三）安全管理

安全管理，就是一种始终保持对网络环境的实时监测与保护，重点是对一些基础信息进行详细的管控。针对网络内部的各类应用、数据，进行针对性的保护和管理，通过网络资产梳理，设定防护规则等方式，针对核心网络资产进行针对性的实时监测和预警。

二、网络安全态势感知系统功能

网络安全态势感知系统要实现对全网安全态势的全方位监测，必须具备自动发现能力和机器学习能力，例如对网络资产、攻击行为、进行统计类态势感知，以及对攻击行为的挖掘类态势的感知。通过不断的人机交互，对识别结果加以校正，不断学习改进分析结果，形成良好的感知数据分析。

（一）网络安全可视化

网络安全可视化是网络安全态势感知平台的核心功能，是网络安全态势感知系统面向用户输出安全告警、安全事件及态势分析结果等信息的主要窗口，其所需呈现的信息与用户的网络安全管理业务需求息息相关，网络安全可视化实现了功能需求多样化的背景下，统一网络安全可视化呈现能力问题。将资产分布、趋势分析、各类排名，乃至安全告警应呈现的信息内容要素等通过可视化界面直观地呈现给用户，并提供相关的溯源、分析，便于用户准确、迅速定位网络威胁，排查网络隐患[1]。

（二）网络资产梳理

通过部署探针，使用扫描技术以及爬虫技术，进行主动的探测，辅以通过对上网行为管理、准入、无线接入控制系统的用户同步功能，提供出一个具体的知识库，可以获得完整、准确的在线设备资产，并最后利用大数据的分析方式，较为快速地掌握到现阶段在线设备的总数量和历史设备接入情况。

（三）资产脆弱性感知

资产是网络安全最重要的防护点，尤其是承载业务的服务器资产，服务器脆弱性也称服务器弱点，弱点是服务器本身存在的，所有的攻击和威胁都必须利用服务器的某个弱点才能造成伤害，因此，服务器脆弱性的感知和加固便显得十分重要，可以有效预防威胁的发生。

脆弱性感知能力应具备内网资产的脆弱性分析，主要涵盖漏洞、弱口令、Web明文传输、配置风险等方面，进行快速定位，并对其资产IP进行针对性的信息分析，直观地查看服务器脆弱性风险分析、热点漏洞及脆弱性风险详情等信息，通过主动或被动的形式，结合脆弱性指纹信息，快速聚焦服务器存在的情况，方便运维人员快速定位，及时处置。

（四）文件威胁监测

在典型攻击链中，文件威胁是攻击发起的重要手段，病毒文件通过网站挂马、钓鱼邮件等方式入侵内网主机、恶意文件在用户主机执行并主动连接控制端、发送邮件等方式，导致主机被控制或敏感数据被盗，文件威胁时内网横向攻击发起的源头，态势感知系统通过对网络流量分析，整体展示文件威胁情况，精准定位威胁源头。

（五）日志关联分析

通过收集第三方产品SYSLOG日志及操作系统的日志信息，实现对第三方安全信息和事件日志进行分析日志关联分析，直观地将接入设备概况、数据分布、安全事件统计、关联规则统计、日志统计以及日志传输趋势等信息呈现给用户，帮助用户准确掌握当前各个设备的安全运行状态。

（六）攻击行为态势感知

资产每天都可能遭受到大量的攻击，这些攻击有些可能是实实在在的网络攻击，也可能源自系统自身的漏洞，大量的威胁警报往往会掩盖潜在的威胁，使IT运维复杂化，因此，进行安全监测的功能性分析时，需要对于全网的攻击行为，进行实时的监测、归纳、学习，并可以利用大数据分析技术的方式，实现对木马攻击行为的良好分析，并可以精准识别出真正的攻击行为，通过这种大数据的分析，形成直观、精准的分析模式和直观的展现方式[2]。

三、态势感知系统的原理

态势感知系统，就是一种数据管理系统，包含数据采集、存储、分析以及展示。并对每一个环节都需要进行较为详细的管理。之后，还需要利用各种数据处理方式，将不同的异构源的数据进行集中关联分析，并基于可视化的展示方式，并对其进行交互方面的良好运用[3]。

（一）数据采集

数据采集是大数据分析的基础与前提，准确高质量的数据能保证安全分析效果。针对不同的网络环境和业务应用以及用户对态势感知的场景需求，依托数据采集对象和采集内容，定义分析场景和建模。针对网络设备、主机、应用、安全设备等记录的日志数据和告警信息;异常流量数据和按规则匹配的网络流量数据;以及整个网络中资产、人员、账号、漏洞信息、脆弱性信息和威胁情报信息等数据，为进一步场景化的态势感知分析需求提供数据支撑，通过构建出特征库、漏洞信息库的方式，全面提升对各种网络节点的比对分析能力。用户的实际操作过程中，便可以根据上述功能，掌握到网站的时间信息变化[4]。

数据采集的核心是依靠设备自带探针（数据采集口）获取信息，数据采集口依靠各个区域交换机镜像口获取镜像流量进行分析，数据采集口的部署要做到合理、全面。按照网络安全管理要求，一个相对安全的网络拓扑是经过了细致的分区的，至少包括服务器区、用户区、互联网区、运维管理区、其他机构互联区等，具备条件的还可以进行更加细致的划分，数据采集口部署时应尽可能地覆盖所有的区域，尽可能全面的获取各个区域的流量信息，并整合各个安全设备的日志，支撑态势感知系统的大数据分析能力。

（二）存储分析

存储分析主要是对数据进行全面的存储以及分析，对不同类型数据进行分级分类存储，以满足数据分析的要求，通过汇聚资源数据、网络运行数据、网络安全事件、威胁情报等重要数据，实现各类网络安全数据的统一融合。在数据分析的过程中，通过分布式计算框架、关系数据以及结构数据方面的分析处理效果[5]，对数据整理分类、对比统计、重点识别、趋势归纳、关联分析、挖掘预测，从海量数据中自动挖掘出有价值的信息，最大的发挥数据的价值。数据分析是态势感知能力建设的核心，而分析模型、分析技术的正确使用是网络安全态势感知建设的关键。

（三）可视化展示

可视化展示的核心就是预警、溯源、处置，可视化展示是态势感知系统呈现给用户的最直接内容，预警是数据分析的应用，是依据数据分析结果，实现网络安全事件告警、态势评估、安全预警、追踪溯源等应用。通过对采集数据的统计分析、能力评估、关联分析、数据挖掘等操作，生成可视化展示所需的安全运行态势、安全风险态势、网络威胁态势等基础态势信息。

在基础态势分析基础上，充分结合态势关联、威胁情报等，并对其进行科学、合理的组合，得出网络安全指数，提炼攻击手段，还原攻击过程，溯源攻击者，并展示给用户，以全面支撑安全事件快速响应和应急处置工作。友好的可视化界面有利于更好、更快地发现网络中的风险、溯源，从而支撑安全决策并进行快速处置，大多数态势感知系统都提供了针对防火墙的联动处置策略，支持用户直接通过态势感知系统设置防火墙规则，进行联动处置，这项功能目前仅对同品牌产品有较好的兼容性。

四、结束语

互聯网技术的高速发展对新时期网络安全管理工作提出了更高的要求，尤其是2017年以来勒索病毒的泛滥，对网络安全管理者提出了更加严峻的挑战，一旦网络安全时间发生，如何精准定位攻击源，快速响应处置，防止病毒快速传播，最大可能减少损失是当前网络安全管理工作的最基本要求，网络安全态势感知系统的应用成为安全运维人员应急、快速处置网络安全时间的最有效抓手。

青岛市中心血站网络安全态势感知系统2020年底上线，11个月时间里，共捕获恶意文件1583个，发现僵尸网络275次，有害程序494次，捕获各类网络攻击数十万次，在协助运维人员快速定位处置网络安全隐患方面发挥了积极作用。但是也不可否认，网络安全态势感知系统也存在一些不足，比如说在针对网络攻击存在大量的误报，针对未知风险的发现能力不足等，这都需要今后在实践中不断完善和改进。

作者单位：李大玮    刘鹏    王璐    青岛市中心血站

参  考  文  献

[1]网络安全态势感知技术标准化白皮书[EB/OL]. 全国信息安全标准化技术委员会，2020.

[2]左民玮.商业银行数字化转型浪潮下的金融科技风险管理探究[J].中国金融电脑，2021（10）：71-74.

[3]张建娇.基于网络安全态势感知技术的高校网络威胁发现[J].电子技术与软件工程，2021（18）：248-249.

[4]胡冰蔚，洪晟，王泽政，等.基于NTA的工业数据安全监测方法设计与应用研究[J].信息技术与网络安全，2021，40（09）：2-8.

[5]张小飞，张道银，郑珞琳，等.基于机器学习算法的电力信息网络安全态势感知研究[J].电器与能效管理技术，2021（08）：16-23.