基于大數據的網絡安全態勢感知系統在網絡安全管理中的應用

李大瑋 劉鵬 王璐

【摘要】? ? 伴隨著云計算、大數據、物聯網、移動互聯網技術的快速發展，互聯網與人們的生活密切相關，針對網絡的攻擊也愈加復雜多樣，應用網絡安全態勢感知系統，實現對內部網絡攻擊源的快速定位和處置，滿足當下網絡安全管理的需求。在本文的分析中，主要以安全事件的定位和處置為基礎，通過應用網絡安全態勢感知系統，實現對網絡安全總體態勢的監測和預警，輔助運維人員快速處置網絡安全隱患和事件。

【關鍵詞】? ?大數據? ? 網絡安全管理? ? 態勢感知? ? 網絡資產

引言：

伴隨著云計算、大數據、物聯網、移動互聯網技術的快速發展，互聯網與人們的生活越來越密切，針對互聯網的攻擊手段愈發多樣，尤其近年來勒索病毒、挖礦軟件的泛濫，在全球范圍內造成了嚴重的影響，僅僅依靠著傳統單一性的安全防護方式，已經無法滿足當下網絡安全性的要求，需要建立統一的網絡安全管理系統，對網絡安全日志進行綜合分析研判，提升網絡安全管理能力，在這種背景下，網絡安全態勢感知系統，在當前的網絡安全管理中發揮著越來越重要的作用。

一、新時期網絡安全管理要求

（一）實時全面的監測體系

建立實時全面的監測體系，實現對內網全面威脅實時監測，全流量威脅分析，從脆弱性、外部攻擊、內部異常三大維度，來達成全面的監測體系。這三大維度均有其對應的最終目標，脆弱性即以業務資產為核心，尋找暴露面;外部攻擊即尋找基于攻擊突破弱點及攻擊繞過情況，結合脆弱性感知來進行針對性的調整防御策略，決策加固方向;內部異常則是尋找已經被入侵成功的失陷主機及內鬼已在內部潛伏的威脅，避免繼續受損及影響擴散。

（二）攻擊溯源

攻擊溯源是在網絡安全事件的處理過程中所需要具備的重要能力。網絡安全事件發生之后，通過對日志的全面綜合分析，及時的發現一些安全事件當中的問題所在，并基于這樣的分析模式，進行針對性的安全事件的發生路徑等內容的分析與處理，對攻擊者進行溯源和定位，并進行針對性的防護。

（三）安全管理

安全管理，就是一種始終保持對網絡環境的實時監測與保護，重點是對一些基礎信息進行詳細的管控。針對網絡內部的各類應用、數據，進行針對性的保護和管理，通過網絡資產梳理，設定防護規則等方式，針對核心網絡資產進行針對性的實時監測和預警。

二、網絡安全態勢感知系統功能

網絡安全態勢感知系統要實現對全網安全態勢的全方位監測，必須具備自動發現能力和機器學習能力，例如對網絡資產、攻擊行為、進行統計類態勢感知，以及對攻擊行為的挖掘類態勢的感知。通過不斷的人機交互，對識別結果加以校正，不斷學習改進分析結果，形成良好的感知數據分析。

（一）網絡安全可視化

網絡安全可視化是網絡安全態勢感知平臺的核心功能，是網絡安全態勢感知系統面向用戶輸出安全告警、安全事件及態勢分析結果等信息的主要窗口，其所需呈現的信息與用戶的網絡安全管理業務需求息息相關，網絡安全可視化實現了功能需求多樣化的背景下，統一網絡安全可視化呈現能力問題。將資產分布、趨勢分析、各類排名，乃至安全告警應呈現的信息內容要素等通過可視化界面直觀地呈現給用戶，并提供相關的溯源、分析，便于用戶準確、迅速定位網絡威脅，排查網絡隱患[1]。

（二）網絡資產梳理

通過部署探針，使用掃描技術以及爬蟲技術，進行主動的探測，輔以通過對上網行為管理、準入、無線接入控制系統的用戶同步功能，提供出一個具體的知識庫，可以獲得完整、準確的在線設備資產，并最后利用大數據的分析方式，較為快速地掌握到現階段在線設備的總數量和歷史設備接入情況。

（三）資產脆弱性感知

資產是網絡安全最重要的防護點，尤其是承載業務的服務器資產，服務器脆弱性也稱服務器弱點，弱點是服務器本身存在的，所有的攻擊和威脅都必須利用服務器的某個弱點才能造成傷害，因此，服務器脆弱性的感知和加固便顯得十分重要，可以有效預防威脅的發生。

脆弱性感知能力應具備內網資產的脆弱性分析，主要涵蓋漏洞、弱口令、Web明文傳輸、配置風險等方面，進行快速定位，并對其資產IP進行針對性的信息分析，直觀地查看服務器脆弱性風險分析、熱點漏洞及脆弱性風險詳情等信息，通過主動或被動的形式，結合脆弱性指紋信息，快速聚焦服務器存在的情況，方便運維人員快速定位，及時處置。

（四）文件威脅監測

在典型攻擊鏈中，文件威脅是攻擊發起的重要手段，病毒文件通過網站掛馬、釣魚郵件等方式入侵內網主機、惡意文件在用戶主機執行并主動連接控制端、發送郵件等方式，導致主機被控制或敏感數據被盜，文件威脅時內網橫向攻擊發起的源頭，態勢感知系統通過對網絡流量分析，整體展示文件威脅情況，精準定位威脅源頭。

（五）日志關聯分析

通過收集第三方產品SYSLOG日志及操作系統的日志信息，實現對第三方安全信息和事件日志進行分析日志關聯分析，直觀地將接入設備概況、數據分布、安全事件統計、關聯規則統計、日志統計以及日志傳輸趨勢等信息呈現給用戶，幫助用戶準確掌握當前各個設備的安全運行狀態。

（六）攻擊行為態勢感知

資產每天都可能遭受到大量的攻擊，這些攻擊有些可能是實實在在的網絡攻擊，也可能源自系統自身的漏洞，大量的威脅警報往往會掩蓋潛在的威脅，使IT運維復雜化，因此，進行安全監測的功能性分析時，需要對于全網的攻擊行為，進行實時的監測、歸納、學習，并可以利用大數據分析技術的方式，實現對木馬攻擊行為的良好分析，并可以精準識別出真正的攻擊行為，通過這種大數據的分析，形成直觀、精準的分析模式和直觀的展現方式[2]。

三、態勢感知系統的原理

態勢感知系統，就是一種數據管理系統，包含數據采集、存儲、分析以及展示。并對每一個環節都需要進行較為詳細的管理。之后，還需要利用各種數據處理方式，將不同的異構源的數據進行集中關聯分析，并基于可視化的展示方式，并對其進行交互方面的良好運用[3]。

（一）數據采集

數據采集是大數據分析的基礎與前提，準確高質量的數據能保證安全分析效果。針對不同的網絡環境和業務應用以及用戶對態勢感知的場景需求，依托數據采集對象和采集內容，定義分析場景和建模。針對網絡設備、主機、應用、安全設備等記錄的日志數據和告警信息;異常流量數據和按規則匹配的網絡流量數據;以及整個網絡中資產、人員、賬號、漏洞信息、脆弱性信息和威脅情報信息等數據，為進一步場景化的態勢感知分析需求提供數據支撐，通過構建出特征庫、漏洞信息庫的方式，全面提升對各種網絡節點的比對分析能力。用戶的實際操作過程中，便可以根據上述功能，掌握到網站的時間信息變化[4]。

數據采集的核心是依靠設備自帶探針（數據采集口）獲取信息，數據采集口依靠各個區域交換機鏡像口獲取鏡像流量進行分析，數據采集口的部署要做到合理、全面。按照網絡安全管理要求，一個相對安全的網絡拓撲是經過了細致的分區的，至少包括服務器區、用戶區、互聯網區、運維管理區、其他機構互聯區等，具備條件的還可以進行更加細致的劃分，數據采集口部署時應盡可能地覆蓋所有的區域，盡可能全面的獲取各個區域的流量信息，并整合各個安全設備的日志，支撐態勢感知系統的大數據分析能力。

（二）存儲分析

存儲分析主要是對數據進行全面的存儲以及分析，對不同類型數據進行分級分類存儲，以滿足數據分析的要求，通過匯聚資源數據、網絡運行數據、網絡安全事件、威脅情報等重要數據，實現各類網絡安全數據的統一融合。在數據分析的過程中，通過分布式計算框架、關系數據以及結構數據方面的分析處理效果[5]，對數據整理分類、對比統計、重點識別、趨勢歸納、關聯分析、挖掘預測，從海量數據中自動挖掘出有價值的信息，最大的發揮數據的價值。數據分析是態勢感知能力建設的核心，而分析模型、分析技術的正確使用是網絡安全態勢感知建設的關鍵。

（三）可視化展示

可視化展示的核心就是預警、溯源、處置，可視化展示是態勢感知系統呈現給用戶的最直接內容，預警是數據分析的應用，是依據數據分析結果，實現網絡安全事件告警、態勢評估、安全預警、追蹤溯源等應用。通過對采集數據的統計分析、能力評估、關聯分析、數據挖掘等操作，生成可視化展示所需的安全運行態勢、安全風險態勢、網絡威脅態勢等基礎態勢信息。

在基礎態勢分析基礎上，充分結合態勢關聯、威脅情報等，并對其進行科學、合理的組合，得出網絡安全指數，提煉攻擊手段，還原攻擊過程，溯源攻擊者，并展示給用戶，以全面支撐安全事件快速響應和應急處置工作。友好的可視化界面有利于更好、更快地發現網絡中的風險、溯源，從而支撐安全決策并進行快速處置，大多數態勢感知系統都提供了針對防火墻的聯動處置策略，支持用戶直接通過態勢感知系統設置防火墻規則，進行聯動處置，這項功能目前僅對同品牌產品有較好的兼容性。

四、結束語

互聯網技術的高速發展對新時期網絡安全管理工作提出了更高的要求，尤其是2017年以來勒索病毒的泛濫，對網絡安全管理者提出了更加嚴峻的挑戰，一旦網絡安全時間發生，如何精準定位攻擊源，快速響應處置，防止病毒快速傳播，最大可能減少損失是當前網絡安全管理工作的最基本要求，網絡安全態勢感知系統的應用成為安全運維人員應急、快速處置網絡安全時間的最有效抓手。

青島市中心血站網絡安全態勢感知系統2020年底上線，11個月時間里，共捕獲惡意文件1583個，發現僵尸網絡275次，有害程序494次，捕獲各類網絡攻擊數十萬次，在協助運維人員快速定位處置網絡安全隱患方面發揮了積極作用。但是也不可否認，網絡安全態勢感知系統也存在一些不足，比如說在針對網絡攻擊存在大量的誤報，針對未知風險的發現能力不足等，這都需要今后在實踐中不斷完善和改進。

作者單位：李大瑋? ? 劉鵬? ? 王璐? ? 青島市中心血站

參? 考? 文? 獻

[1]網絡安全態勢感知技術標準化白皮書[EB/OL]. 全國信息安全標準化技術委員會，2020.

[2]左民瑋.商業銀行數字化轉型浪潮下的金融科技風險管理探究[J].中國金融電腦，2021（10）：71-74.

[3]張建嬌.基于網絡安全態勢感知技術的高校網絡威脅發現[J].電子技術與軟件工程，2021（18）：248-249.

[4]胡冰蔚，洪晟，王澤政，等.基于NTA的工業數據安全監測方法設計與應用研究[J].信息技術與網絡安全，2021，40（09）：2-8.

[5]張小飛，張道銀，鄭珞琳，等.基于機器學習算法的電力信息網絡安全態勢感知研究[J].電器與能效管理技術，2021（08）：16-23.