基于大數(shù)據(jù)的信息安全態(tài)勢感知應(yīng)用研究

安 全

（江蘇安博電子有限公司，徐州 221000）

1 引言

態(tài)勢感知能貫穿安全風(fēng)險監(jiān)控、分析、響應(yīng)和預(yù)測的全過程，以威脅、風(fēng)險、資產(chǎn)、業(yè)務(wù)、用戶等為對象，基于安全日志、網(wǎng)絡(luò)流量、用戶行為、終端日志、業(yè)務(wù)數(shù)據(jù)、資產(chǎn)狀態(tài)等多源數(shù)據(jù)，結(jié)合外部情報，通對全局狀態(tài)評價、外部攻擊評級、系統(tǒng)合規(guī)自檢等手段，實現(xiàn)“事態(tài)可評估”；通過對攻擊趨勢分析、異常流量判斷和終端行為檢測，實現(xiàn)“趨勢可預(yù)測”；通過對未知威脅的智能檢測識別、流量/行為/資產(chǎn)的狀態(tài)監(jiān)控和多維度風(fēng)險分析，實現(xiàn)“風(fēng)險可感應(yīng)”；通過對攻擊溯源取證、云網(wǎng)端協(xié)同聯(lián)動、工單流程閉環(huán)處理和設(shè)備策略自適應(yīng)調(diào)整，實現(xiàn)“知行可管控”。

2 態(tài)勢感知系統(tǒng)技術(shù)體系架構(gòu)設(shè)計

網(wǎng)絡(luò)安全態(tài)勢感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖，使安全管理員能夠快速準(zhǔn)確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)，并以此為依據(jù)采取相應(yīng)的措施。

架構(gòu)可劃分為四個層次，數(shù)據(jù)采集層、計算存儲層、業(yè)務(wù)能力層和系統(tǒng)服務(wù)層。

（1）數(shù)據(jù)采集層。主要采集網(wǎng)絡(luò)入口處防火墻日志、入侵檢測日志，網(wǎng)絡(luò)中關(guān)鍵主機(jī)日志以及主機(jī)漏洞信息，接入威脅情報。由于不同數(shù)據(jù)源對網(wǎng)絡(luò)安全事件的定義通常具有不同的格式，還需要通過范式處理將數(shù)據(jù)歸一化為統(tǒng)一格式，然后進(jìn)行去除冗余及噪聲數(shù)據(jù)。

（2）計算存儲層。采用Hadoop MapReduce和Spark構(gòu)建大數(shù)據(jù)計算、存儲平臺。大數(shù)據(jù)存儲支撐態(tài)勢感知的海量日志存儲與處理；大數(shù)據(jù)的快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持，為高智能模型算法提供計算資源。

（3）業(yè)務(wù)能力層。通過云沙箱引擎、Web安全引擎、安全分析引擎、云化運(yùn)維引擎和智能學(xué)習(xí)引擎協(xié)同工作，通過融合、歸并和關(guān)聯(lián)底層多個檢測設(shè)備提供的安全事件信息，從整體上動態(tài)反映網(wǎng)絡(luò)安全情況，并對網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警。

（4）系統(tǒng)服務(wù)層。通過安全態(tài)勢感知和情報中心感知網(wǎng)絡(luò)狀態(tài)、受攻擊情況、攻擊來源，掌握網(wǎng)絡(luò)安全狀況和發(fā)展趨勢，制定有預(yù)見性的應(yīng)急預(yù)案，做好相應(yīng)的防范準(zhǔn)備。通過安全云服務(wù)中心構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全體系，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。

3 態(tài)勢感知在信息安全防護(hù)功能研究

（1）攻擊態(tài)勢感知。通過對各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、主機(jī)和業(yè)務(wù)系統(tǒng)等的日志信息采集分析，實現(xiàn)對整網(wǎng)安全攻擊情況的可視化呈現(xiàn)和趨勢預(yù)測。除了攻擊類型、攻擊趨勢，攻擊源和攻擊目的TOP分析呈現(xiàn)外，對于二次攻擊的模型分析和數(shù)據(jù)挖掘、攻擊路徑分析和追蹤溯源等方面進(jìn)行突破，為后續(xù)的安全策略生成和聯(lián)動響應(yīng)提供必要的技術(shù)支撐。

（2）威脅態(tài)勢感知。威脅態(tài)勢感知主要針對安全漏洞、病毒、蠕蟲、木馬和惡意代碼等風(fēng)險檢測情況，通過對入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、WEB安全網(wǎng)關(guān)、沙箱等多種設(shè)備進(jìn)行信息采集和鉆取分析，從多個維度將威脅形勢進(jìn)行呈現(xiàn)，同時結(jié)合外部情報信息實現(xiàn)對未知安全風(fēng)險進(jìn)行分析判斷和預(yù)警，為后續(xù)的響應(yīng)決策贏得時間。

（3）流量態(tài)勢感知。流量分析是態(tài)勢感知的重要內(nèi)容，圍繞用戶、業(yè)務(wù)、關(guān)鍵鏈路和互聯(lián)網(wǎng)訪問等多個維度的流量分析，一方面可以實現(xiàn)對用戶和業(yè)務(wù)訪問的精細(xì)化管理，建立網(wǎng)絡(luò)流量的多種流量基線，從而為后續(xù)的鏈路、帶寬、和服務(wù)器擴(kuò)容提供技術(shù)支撐。另一方面，通過對多維度實時流量的監(jiān)控，可以有效發(fā)現(xiàn)網(wǎng)絡(luò)中的異常攻擊流量，用戶訪問異常行為，以及諸如DDOS攻擊和病毒蠕蟲攻擊的信息，提升對于流量攻擊的風(fēng)險把控和防御。

（4）行為態(tài)勢感知。通過分析監(jiān)控用戶終端的進(jìn)程、終端外部媒介的使用行為、互聯(lián)網(wǎng)出口用戶的流量訪問、以及用戶主機(jī)的各種Email/FTP/HTTP/IM等外發(fā)行為，結(jié)合機(jī)器學(xué)習(xí)和人工智能算法，準(zhǔn)確找到用戶行為之間的關(guān)聯(lián)，一方面可以為用戶進(jìn)行畫像，對其訪問軌跡、互聯(lián)網(wǎng)訪問的內(nèi)容和關(guān)注重點(diǎn)等進(jìn)行分析，同時通過數(shù)據(jù)挖掘找到其興趣愛好，為后續(xù)的信息推送等服務(wù)提供支撐。另一方面，對用戶的Email郵件關(guān)鍵字、文件上傳下載、HTTP訪問以及即時通訊言論敏感詞進(jìn)行安全審計，通過機(jī)器學(xué)習(xí)等算法找到其不同行為之間的關(guān)聯(lián)，對潛在的用戶異常行為進(jìn)行挖掘和判斷，確保安全合規(guī)和信息泄露防護(hù)的需求。

（5）運(yùn)維態(tài)勢感知。圍繞著用戶、資產(chǎn)、和業(yè)務(wù)的關(guān)聯(lián)，聚焦資產(chǎn)或業(yè)務(wù)的狀態(tài)監(jiān)控、性能監(jiān)控、配置基線管理、運(yùn)維告警和故障診斷，結(jié)合大數(shù)據(jù)的分析方法，全面感知和監(jiān)控資產(chǎn)的運(yùn)營狀態(tài)和安全指數(shù)，為運(yùn)維決策和聯(lián)動響應(yīng)提供可視化的呈現(xiàn)和簡易化的操作；同時也可以實現(xiàn)對用戶的遠(yuǎn)程代維代管，為后續(xù)的云安全運(yùn)維增值業(yè)務(wù)的開展提供幫助。

4 結(jié)束語

信息安全態(tài)勢感知采用大數(shù)據(jù)技術(shù)，實現(xiàn)事件的分布式采集、分析、存儲和檢索，對海量的日志數(shù)據(jù)、流量數(shù)據(jù)、數(shù)據(jù)包數(shù)據(jù)等做到實時關(guān)聯(lián)分析、快速檢索、高效統(tǒng)計，并以高度可視化的方式進(jìn)行數(shù)據(jù)展現(xiàn)。使用態(tài)勢感知技術(shù)，可利用安全數(shù)據(jù)提供安全態(tài)勢分析與展示的數(shù)據(jù)服務(wù)，提供與網(wǎng)關(guān)設(shè)備和終端控制系統(tǒng)的聯(lián)動，及時阻斷攻擊和違規(guī)訪問，實現(xiàn)安全運(yùn)營的閉環(huán)操作，保證網(wǎng)絡(luò)信息安全運(yùn)營。