基于經典統計學的網絡安全威脅挖掘分析技術

摘 要：基于經典統計學的威脅統計分析依然是網絡安全威脅分析及未知攻擊發現的重要技術。但傳統的統計分析技術往往是線性的、從單一維度發起的分析，在網絡安全威脅及攻擊手段日益復雜的今天，傳統的分析方式帶來的缺點也顯而易見。因此研究新型的基于機器學習的網絡安全威脅智能分析方法是十分必要的。本項從以下幾個方面研究網絡安全威脅的分析技術。

關鍵詞：統計學，機器學習

1）概率統計

對資產、重要信息系統、重點網站等保護對象，通過對資產類型統計、重要信息系統及網站的可用性統計、漏洞類型統計、漏洞類型及系統可用性分布統計等，從單一特征及多個分析特征相結合對威脅進行分析。

2）聚類關聯

研究通過聚類技術對經過預處理且融合后的網絡安全數據樣本進行聚類分析，通過聚類分析可有效提取網絡安全威脅行為特征信息。同時由于聚類分析的技術特點，還可有效的對未知攻擊行為進行有效的識別。關聯分析是對聚類分析后的特征進一步進行特征關聯分析，通過綜合性的關聯分析技術，實現網絡安全威脅的全面分析。

3）大數據分析算法

將多源安全信息融合后的數據，從數據量來看往往是巨大的、海量的，從數據本身的內容及模式來講往往是不完整的、有噪聲的、模糊的、甚至還有一些隨機數據。針對數據的這些特點，應用于大數據分析方法往往能取得較好的效果。基于大數據的各種數據挖掘算法可實現數據高度自動化的分析，作出歸納性的推理，發現數據中潛在的、隱含的關鍵安全信息[29]。同時基于大數據的分析方法還能對于安全知識的積累提供基礎性支持，構建安全知識庫。

4）人工智能與機器學習技術

應用人工智能與機器學習技術可對融合后的安全數據進行智能建模，構建威脅分析及預測模型。模型通過將融合數據與外部數據進行關聯分析，在海量數據中發現關鍵威脅數據線索，通過對威脅數據的標記，實現不斷完善可自學習的半自動化威脅發現，同時隨著時間的推移，模型不斷完善，可減少威脅發現的誤報率。

5）可視化分析

融合后的安全信息數據由于數據來源較為分散、數據結構不一致，若通過人工分析，很難形成固定的分析流程和模式。借助大數據可視化分析技術，可將數據進行關聯分析并作出完整的分析圖表。通過可視化分析可完整的展示數據分析的過程和數據鏈走向。

以實時監測技術為基礎的大數據實時網絡安全態勢感知

態勢感知是以網絡安全事件與威脅風險監測為驅動，對網絡空間安全相關信息進行匯聚融合，形成針對人、物、地、事、關系的多維視圖，從不同視角出發感知網絡安全態勢。

態勢感知（下圖9）主要包括綜合態勢、資產態勢、威脅風險態勢、攻擊態勢、內容態勢、預警處置態勢六大視角。

1）資產態勢感知技術

以資產角度出發，包括重要信息系統、網站、終端等不同資產類型。可實時獲取當前資產總數，按區域、類型、高危資產分布。重點監控資產的可用性情況，尤其針對重點網站進行重點實時關注。并結合地圖、表單、趨勢曲線圖進行生動化展現。可以查看資產詳細信息，包括資產所屬的IP或IP段、操作系統、端口、中間件、服務器類型等。

2）威脅態勢感知技術

以安全威脅角度出發，包括漏洞、木馬、變更、關鍵字、可用性等不同威脅類型。結合對本地重要信息系統運營、使用單位的系統的監測、第三方信息安全企業、網安歷史數據積累等多個數據來源，后期還支持其他數據來源接入，形成實時的大數據支撐源。

可實時獲取當前安全威脅總數、各類型數量、按區域、數據來源分布、可用性分布、典型0day、心臟滴血、僵木蠕漏洞等獲取分布信息。最新監測發現的威脅詳情，如存在威脅風險的URL、監測發現時間、等級、詳細描述及威脅處理建議等信息。

3）攻擊態勢感知技術

以攻擊角度出發，從攻擊、訪問兩個維度，可實時獲取當前攻擊、訪問總體情況，并結合地圖展現攻擊實況，包括攻擊時間、攻擊源IP、目標IP、攻擊類型方式、攻擊路線圖。最近24小時，訪問、攻擊曲線趨勢走向。結合環形、條形、熱力圖，對主要攻擊類型、攻擊源、被攻擊目標、訪問源、被訪問對象分布、排行進行實時、可交互的動態展現。

4）內容態勢感知技術

以安全內容角度出發，主要包括反共、博彩、色情、暗鏈、黑頁等安全事件類型。可實時獲取不同事件類型總量，支持按地域、行業、時間分布，結合取證式抓取技術進行證據留存積累。可查看最新安全事件發生時間、事件類型、涉及的單位重要信息系統IP、所在地區、行業、來源、取證截圖等信息。結合平臺預警處置功能，還可關聯查看對該事件的應急處置記錄及處理結果。

5）內容安全事件處置態勢感知技術

以內容安全事件、威脅風險預警處置的角度出發，主要包括預警、處置兩種類型。針對存在威脅風險隱患，通常進行預警通報，針對已經發生的內容安全事件，可發布內容安全事件通報，要求單位、屬地公安配合開展應急響應工作。產生的預警處置數據可實時傳輸到平臺。結合預警處置各類型分布、時間趨勢分布、區域、行業響應處理效率、最新預警處置處理進度等信息進行實時展現，把握預警處置工作開展情況。

安全風險智能研判及內容安全事件的通報預警機制

1）通報預警信息來源

通報預警是根據態勢感知、安全監測、追蹤溯源、情報信息、偵查調查等模塊獲取的態勢、趨勢、攻擊、威脅、風險、隱患、問題等情況，利用通報預警機制匯總、分析、研判，并及時將情況上報、通報、下達，進行預警及快速處置。

2）預警處置方式

當態勢感知平臺監測到重要信息系統運營、使用單位的系統存在重大風險威脅隱患，或受到攻擊、入侵、已被植入后門、篡改、植入暗鏈、拖庫等形成重大安全事件時，根據屬地管理原則，屬于其他省、單列市管轄的重要信息系統可通過平臺將事件情況通過預警、通報處置等流程手段進行通報下發，再由省、單列市通報機構進行通報處置，并反饋處置結果。

安全事件匯總分析平臺的構建

根據安全監測發現的網絡攻擊、重大安全隱患等情況以及相關部門通報的情況，下達網絡內容安全事件快速處置指令。指令接收部門按照處置要求和規范進行事件處置，及時消除影響和危害，開展現場勘察， 固定證據，快速恢復。對事件處置情況、現場勘察情況以及證據等方面情況及時建檔、歸檔并入庫。快速處置子系統支持與應急處置專用設備進行對接，可將應急處置專用設備收集的數據進行固定、管理。內容安全事件的調查處置包括以下幾個方面的工作：

1）安全事件數據采集

通過對事發單位情況及內容安全事件信息進行登記、現場快速分析（事件原因）、證據收集（源碼、日志）及各種漏洞驗證工具實現安全事件的數據采集，為后續的分析工作提供數據支撐及線索來源。

2）安全事件數據分析

對于內容安全事件的分析需要依賴事件分析知識庫（如日志分析知識庫），構建自動分析知識庫可為安全事件分析提供自動化的支持。另外，由于內容安全事件的分析往往較為復雜、事件的特性化程度往往較高，因此有必要提供更加靈活的專家分析模式以便提高事件分析的可定制性。

將采集的日志及鏡像數據與調查對象（服務器、網絡設備、日志存儲設備）進行關聯并可進行自動分析與專家分析。

3）安全事件處置結論

通過內容安全事件原因分析、內容安全事件事發過程記錄和分析、內容安全事件電子證據分析確定安全事件的原因并形成出事報告。對于安全威脅隱患提供整改建議，對于系統恢復提出處置措施。

作者簡介：

翟立超（1993-），男，山西靈石人，山西財經大學信息管理學院計算機應用技術研究生，研究方向：網絡安全態勢感知.