信息安全態勢智能預警分析平臺淺談

牛霜霞

摘要：隨著信息化發展速度不斷加快，信息系統用戶規模不斷擴大、需求不斷更新、自動化程度不斷提高，信息系統安全狀況與企業經濟效益越來越密切，直接影響到企業的經營和形象問題。本文描述了一個典型的信息安全態勢智能預警分析平臺的實現，介紹了網絡安全態勢感知的相關概念，并簡要探討了數據挖掘及態勢感知等主要技術及發展方向。

關鍵詞：大數據 態勢感知 信息安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）09-0209-01

1 前言

隨著信息化發展速度不斷加快，信息系統用戶規模不斷擴大、需求不斷更新、自動化程度不斷提高，信息系統安全狀況與企業經濟效益越來越密切，直接影響到企業的經營和形象問題。目前，防火墻、IDS、IPS等安全設備已經得到普遍使用，但是同時這些設備產生了海量安全數據，采用人工分析的方法已經無法實現安全威脅的及時預警與處置。另一方面，現有安全設備之間相對孤立，數據沒有得到關聯分析和綜合考慮，很難面對當今各種利用先進手段、高度隱蔽的網絡攻擊形式。因此，在現有安全手段的基礎上，獲取和分析海量攻擊行為數據，結合態勢感知技術實現信息安全行為的準確定位和智能預警，在信息安全防護工作中是非常必要的。

2 平臺構成

信息安全態勢智能預警分析平臺由系統數據接口、數據挖掘與融合技術、態勢分析與風險預警、可視化展示與系統管理六大部分。其中，系統數據接口用于查看目前監控的設備及應用系統；數據挖掘與融合提供有效的數據分析處理模型和數據分析方法；態勢分析和風險預警提供當前網絡安全態勢評估、未來網絡安全態勢預測及響應告警功能；可視化展示定義生成各類表單、圖表、報告、報表等用戶界面。

3 關鍵技術

3.1 數據采集

3.1.1 設備實時監測數據

信息安全態勢智能預警分析平臺監測重要網絡設備及服務器的運行狀態，主要對網絡邊界設備、核心交換設備、重要服務器等進行監視，獲取CPU、內存、網絡流量等性能或安全參數信息。通過該系統數據接口，可按照單個設備、某類設備、整個網絡設備來獲取相關設備數據。

3.1.2 掃描數據

采集日常運維中掃描數據，主要包括利用漏洞掃描工具發現的漏洞、弱口令等安全隱患信息。

3.1.3 日志文件數據

采集重要設備的日志文件數據，主要包括網絡邊界設備、核心交換設備、重要服務器的系統日志、安全日志、應用日志及告警日志等。

3.1.4 策略配置數據

采集重要設備的策略配置數據，主要包括主機、服務器、網絡設備等的安全策略配置信息以及策略變更信息等。

3.2 數據挖掘

數據挖掘的方法有很多種，其中關聯規則挖掘方法能夠從大量數據中挖掘出有價值描述數據項之間相互聯系的有關知識，挖掘用戶操作行為之間的關聯規則，反映用戶的操作傾向。

現實中網絡環境復雜，網絡設備種類多，影響因素之間相互關聯。選取的算法要能有效的對多源異構數據進行關聯分析并具有自學習性，能夠解決決策層的不確定性，不能僅憑專家經驗確定各指標對網絡安全狀態的影響程度。在底層使用關聯規則挖掘算法對異構數據進行關聯性分析，使用云模型對異構數據進行融合處理，在決策層使用貝葉斯決策方法進行態勢預測，較好的解決了態勢評估的不確定性。

3.3 態勢感知與風險預警

網絡安全態勢感知主要對網絡中部署的各類設備的運行狀態進行監測，對動態監測數據、設備運行日志、脆弱性、策略配置數據等進行融合分析，對目前網絡安全狀況進行風險評估，同時也對未來幾天網絡安全狀況進行預測。

安全風險預警實現各類安全隱患的報警功能。借助安全態勢感知功能對各類數據綜合分析，提出信息安全風險的來源分布以及風險可能帶來的危害，及時的對信息安全隱患或風險進行報警。

3.3.1 網絡實時狀況警報

實現網絡中的網絡設備、服務器、中間件等的實時運行狀態進行監控，并依據的上下限值提供報警功能。將告警指標和風險處理方法進行結合，實現在動態地圖上顯示出來并提供報警，能夠快速的定位出現問題的設備。實現網絡中關鍵的硬件設備配置的監控，實現對硬件的更換、策略的變更的報警功能。

3.3.2 態勢要素提取

態勢要素提取是態勢評估與預測的基礎。讀取核心交換機、重要業務服務器及信息系統、門戶網站、路由器、IPS、IDS等關鍵核心接入設備的配置信息、服務的狀態、操作日志、關鍵性能參數等。

3.3.3 態勢評估與分析

研究信息安全風險評估和分析方法，制定風險評估指標體系和評估模型，開展基于多協議和應用的關聯分析，識別程序或用戶的惡意行為，追蹤并提供威脅分析。

態勢感知的核心是態勢評估，是對當前安全態勢的一個動態理解過程。識別態勢信息中的安全事件并確定它們之間的關聯關系，根據所受到的威脅程度生成相應的安全態勢圖，反映出整個網絡的安全態勢狀況。

研究分層次的安全評估模型，以攻擊報警、掃描結果和網絡流量等信息為原始數據，發現各關鍵設備影響因素的脆弱性或威脅情況，在此基礎上，綜合評估網絡系統中各關鍵設備的安全狀況，再根據網絡系統結構，評估多個局部范圍網絡的安全態勢，然后再綜合分析和統計整個宏觀網絡的安全態勢。

3.3.4 態勢預測

態勢預測主要基于各類網絡設備、服務器、終端設備以及安全設備的記錄，進行關聯性分析，給出總體信息安全趨勢。態勢預測數據的來源包括用戶數據的輸入和監測到歷史數據和實時數據。

3.3.5 響應與報警

針對存在的威脅事件、預知的安全風險以及信息系統故障等進行報警，并提供解決的建議。利用數據挖掘與融合技術處理歷史數據和監測數據，經過網絡安全態勢評估與預測分析，對潛在安全風險進行分析預測，輸出預警信息。

3.4 可視化展示

根據用戶的不同需求，定義不同的功能視圖，實現多樣化、多元化的展示方式，包括漏洞、弱口令、病毒感染、違規外聯、威脅報警等信息。

4 結語

通過信息安全態勢感知與智能預警平臺，利用大數據技術將現有各類監測數據、日志數據、掃描數據等進行有效整合，能自動識別未知的新型攻擊、縮短事件響應時間并提高提高人員工作效率，為實時掌握網絡整體安全狀態和變化趨勢提供了基礎，從而提升企業信息安全主動防御能力。

參考文獻

[1]卿松.網絡安全態勢感知綜述[J].《計算機安全》，2011（10）：9-12.