等保2.0時代基于大數據環境的態勢感知平臺

周亞妹 高一鳴

摘 要：文章首先闡述了等級保護2.0時代網絡安全防護的困境以及態勢感知研究的目的，介紹了網絡安全態勢感知的關鍵技術。提出一種以網絡數據融合技術、數據挖掘技術、網絡態勢量化技術、可視化技術等關鍵技術為核心，集網絡態勢數據采集、融合、挖掘分析功能和安全風險監測、網絡攻擊報警、預判于一體的安全態勢感知平臺。文章對平臺的數據采集器、消息隊列、數據分析引擎、數據存儲集群、告警與通知、安全可視化、Web服務器等六大子系統進行了闡述。

關鍵詞：網絡態勢感知;大數據;網絡安全;等級保護

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-1064（2021）04-040-02

DOI：10.12310/j.issn.1674-1064.2021.04.020

隨著信息技術的發展，經過等保標準不斷的完善、更新和充實，保證了標準的實用性。等級保護2.0標準在原標準的基礎上，更加強調安全防護的主動性，注重攻擊的主動防御、安全可信、態勢感知和全面審計。隨著云計算技術、大數據技術和物聯網等技術的廣泛應用，計算機網絡面臨的安全威脅越來越多，面對當前嚴峻的網絡安全形勢，需要應用先進的信息安全技術理念建設一套網絡安全態勢感知系統，實現對網絡安全風險的實時監測和精準預警，以及對網絡安全態勢的全面感知和響應，從而提升網絡信息安全防護能力。

1 傳統網絡安全防護存在的困境

在等保2.0時代，為了實現對基礎信息網絡、云計算平臺、大數據集群等系統的全面安全防護，網絡安全防護存在著諸多困境，企業信息化安全架構日漸復雜，接入安全設備的類型、產生的網絡安全數據越來越多，傳統的分析能力不足以支撐現有的安全需求。隨著APT為代表的網絡威脅的興起，需要儲存與分析的安全信息越來越多，需要以更加敏捷快速的方式對網絡威脅做出甄別和響應。為了及時應對大數據環境下的網絡安全威脅，有效遏制各類網絡攻擊，預測網絡安全發展態勢并采取適當的應急策略，大數據環境下的網絡安全態勢感知技術亟待研究[1]。

2 基于大數據的網絡安全態勢感知及關鍵技術

2.1 網絡安全態勢感知概念

網絡安全態勢感知是指在大規模網絡環境中，對能夠引起網絡安全態勢發生變化的安全要素進行提取、理解、顯示，并預測未來發展趨勢[2]。大數據環境的態勢感知是指在大規模網絡環境及海量數據中整合用戶終端、網絡鏈路、應用系統、數據流量等各類感知數據源，采用大數據分析挖掘技術，使用智能算法和安全模型，將看似毫無聯系、混亂無序的各類安全數據轉化成直觀的可視化信息，實現威脅發現、精準預警和態勢感知[3-4]。

2.2 網絡安全態勢感知關鍵技術

2.2.1 網絡數據融合技術

數據融合按照不同的方法可進行多方向的分類，可以按照數據處理的層級分類，可以按照數據模型的結構分類，可以按照數據收集來源的組合情況分類[5]。在網絡態勢感知領域中，網絡數據融合技術更多的是考慮網絡態勢感知數據的時效性和位置性，因此可以將網絡數據融合分成兩類，即基于時間和基于空間的數據融合[6]。

2.2.2 數據挖掘技術

數據挖掘是指從大量數據中挖掘出有用的信息[7]，網絡態勢感知數據的挖掘就是從大量的、異構的、不同數據來源的數據中，挖掘出有利用價值的數據。通過數據挖掘技術能實現網絡流量分類、異常流量檢測、威脅行為分析等具體應用。

2.2.3 網絡態勢量化技術

網絡態勢量化是指將網絡安全信息歸并融合成分組的一定值域范圍內的數值，通過數學方法處理，網絡運行狀況通過這些數值具體表示。隨著網絡安全事件發生的頻率、數量以及網絡受到威脅程度的不同，特征性也會產生相應的變化。這些數值的獲得過程，也就是網絡態勢量化的過程[8]。

2.2.4 可視化技術

網絡安全態勢感知的數據展示層，主要通過展示界面展示網絡運行狀態、網絡攻擊行為、安全事件、整體安全態勢等，并能夠持續的、多維度的監測信息資產和相關的威脅、脆弱性、安全事件、安全風險等分類態勢指標變化情況，同時展示告警信息[9]。

3 基于大數據的網絡安全態勢感知平臺

網絡安全態勢感知平臺通過采集網絡內所有IT基礎設施數據，利用數據建模、行為識別、關聯分析等方法對網絡內的所有機器數據進行統一分析，實現對網絡攻擊行為、安全異常事件、未知威脅的發現和告警。系統提供了網絡內信息數據的集中存儲、全文檢索、關聯分析、可視化展現等功能。網絡安全態勢感知平臺整體架構包括如下幾個子系統：

3.1 數據采集器

數據采集器是網絡安全態勢感知平臺的數據入口。此模塊對外對接網絡環境的所有數據。日志采集包括主機和安全設備，以及與之相關的上下文信息（如用戶、資產等）。除此之外，隨著需求的逐步推進，應用程序日志、數據庫日志、操作系統日志、AD/LDAP日志等也需要作為重要的數據源進行收集，為后續的分析、存儲提供輸入。數據采集器對內和消息隊列對接，將采集的數據使用數據融合中的貝葉斯網絡和D-S證據理論解析處理后，構造成標準的數據格式，輸出到消息隊列。

3.2 消息隊列

為了適應大數據海量采集的環境，特別是為了適應因為網絡流量波動、業務高峰，突發大量攻擊等事件造成的數據異常波峰，消息隊列子系統用于緩沖采集器收集到的數據，避免數據丟失。消息隊列緩存數據后，對接數據分析引擎，提供數據獲取接口。數據分析引擎通過消息隊列接口獲取數據用于分析。

3.3 數據分析引擎

數據分析引擎是網絡態勢感知安全平臺的核心模塊，內部通過規則匹配、數據時序分析、算法分析等方法進行網絡態勢分析。大數據安全分析采用kafka、Elasticsearch、Flink等大數據技術，對日志和流量數據進行統一采集、存儲、分析，將海量的安全日志利用智能分析引擎進行威脅檢測，轉化為少量的安全事件。分析引擎通過結合歷史日志和告警進行離線長周期分析，結合異常分析算法發現未知威脅事件。使用大數據技術將告警之間的時序關系、因果關系關聯分析，通過當前告警可追溯攻擊鏈模型中與其相關的各個階段的告警時間，從而實現海量安全事件事后的溯源追查。應用數據挖掘分析模型，在海量的紛繁復雜數據中實時流式分析，定位出安全事件并將標記的安全事件再次輸出到消息隊列。通過分析后的事件數據被輸出到數據存儲集群保存下來。因此，數據分析引擎內部對接消息隊列，輸入原始事件數據，分析后輸出安全事件數據到消息隊列。同時，對接存儲集群，輸出通過引擎的事件數據。

3.4 數據存儲集群

數據存儲集群，保存通過分析的原始時間數據以及告警通知模塊輸出的告警數據。存儲集群提供長時間、大容量的數據存儲，被分布式部署在多臺服務器上構成集群。集群方式可以提供更高的系統可用性、數據冗余可用性，以及更高的數據寫入、檢索性能。從搜索分析效率和數據存儲量方面考慮，平臺采用ElasticSearch技術，能夠存儲網絡環境中各種設備和應用的安全信息，并實現穩定、可靠、快速的實時搜索。存儲在集群里的數據可以被Web服務器訪問，從而在界面上提供數據檢索查詢功能。數據存儲集群內部對接數據分析引擎子系統，獲取原始時間數據。對接告警通知子系統，獲取告警數據。對接Web服務器子系統，提供數據查詢檢索功能。

3.5 告警與通知

告警與通知子系統，通過消息隊列獲取數據分析引擎對日志的分析后，生成安全告警并提供實時響應機制，對于發生的安全告警能夠及時通知運維人員，并觸發響應處理流程。響應方式包含但不限于以下方式：郵件、短信、工單、等方式。子系統根據定制配置，可形成郵件或者短信告警。同時，告警數據被輸出到數據存儲集群存儲，支持告警類型、告警級別、告警階段、告警狀態等多個維度的查詢。

3.6 安全可視化

網絡態勢感知安全平臺可提供用戶網絡內整體網絡安全態勢感知，展示包括外部態勢、內網態勢、告警態勢。外部態勢通過3D全球態勢感知展示大屏，將安全事件通過2D和3D的形式展示出攻擊源、攻擊路徑和攻擊目標;內網態勢展示當前內網告警數量、事件數量以及攻擊源、攻擊目的TOPN等信息;告警態勢展現整個網絡的告警態勢，包括告警階段、告警總數、告警級別、最新告警、重點關注告警類型、重點關注資產告警、目的地址告警TOP10、告警趨勢、告警分布等;點擊相應告警，可進行數據下鉆。

3.7 Web服務器

Web服務器是網絡安全態勢感知平臺的用戶管理操作入口。通過Web服務器，網絡安全管理人員可以配置數據采集、分析規則、可視化展現儀表盤等功能，全面控制平臺運行，獲取最終的安全分析結果。

參考文獻

[1] 陳彥德，趙陸文，潘志松，等.網絡安全態勢感知系統結構研究[J].計算機工程與應用，2014，22（18）：784-785.

[2] 趙夢.基于大數據環境的網絡安全態勢感知[J].信息網絡安全，2016（9）：90-93.

[3] 陳興蜀，曾雪梅，王文賢，等.基于大數據的網絡安全與情報分析[J].工程科學與技術，2017（4）：23.

[4] 管磊.基于大數據的網絡安全態勢感知技術研究[EB/OL].廈門：第31次全國計算機安全學術交流會，2016-09-01.

[5] 楊露菁，余華.多源信息融合理論與應用[M].北京：北京郵電大學出版社，2006.

[6] 林加潤，殷建平，程杰仁，等.網絡安全中多源傳感器數據融合技術研究[J].計算機工程與科學，2010，32（6）：23-25.

[7] 張云濤，龔玲.數據挖掘原理與技術[M].北京：電子工業出版社，2004.

[8] 李碩，戴欣，周渝霞.網絡安全態勢感知研究進展[J].計算機應用研究，2010（3）：9.

[9] 陳妍，李京春，李斌，等.網絡安全態勢感知技術標準化白皮書[R].北京：公安部第三研究所，2020.