0 引言

近幾年來，信息化應(yīng)用水平提升到了一個(gè)更高的層次，如何從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警是目前的難題。大數(shù)據(jù)技術(shù)特有的海量存儲(chǔ)、并行計(jì)算、高效查詢等特點(diǎn)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的突破創(chuàng)造了機(jī)遇，借助大數(shù)據(jù)分析對(duì)成千上萬的網(wǎng)絡(luò)日志等信息進(jìn)行自動(dòng)分析處理與深度挖掘，對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià)，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。

1 基于大數(shù)據(jù)技術(shù)的態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知的主要任務(wù)包括風(fēng)險(xiǎn)感知和事件感知兩個(gè)方面。風(fēng)險(xiǎn)感知包括網(wǎng)絡(luò)資產(chǎn)感知和網(wǎng)絡(luò)脆弱性感知，網(wǎng)絡(luò)資產(chǎn)感知是自動(dòng)、快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況、屬性等信息網(wǎng)絡(luò)脆弱性感知是分析、發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性對(duì)脆弱性進(jìn)行統(tǒng)一標(biāo)識(shí)和管理。網(wǎng)絡(luò)脆弱性包括不可見脆弱性和可見脆弱性。事件感知主要包括安全事件感知和異常行為感知，安全事件感知是指能夠確定安全事件發(fā)生的時(shí)間、地點(diǎn)、起因、經(jīng)過和結(jié)果，異常行為感知是指通過異常行為判定風(fēng)險(xiǎn)，以彌補(bǔ)對(duì)不可見脆弱性、未知安全事件發(fā)現(xiàn)的不足，主要面向的是感知未知的攻擊。

2 網(wǎng)絡(luò)安全態(tài)勢感知的相關(guān)技術(shù)

實(shí)現(xiàn)基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知，采集了多種安全設(shè)備上多樣的檢測方式和事件報(bào)告機(jī)制生成的海量數(shù)據(jù)，而這些原始的日志信息存在海量、冗余和錯(cuò)誤等缺陷不能作為態(tài)勢感知的直接信息來源，必須進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合等處理。

關(guān)聯(lián)分析。網(wǎng)絡(luò)中的防火墻日志和入侵檢測日志都是對(duì)進(jìn)入網(wǎng)絡(luò)的安全事件的流量的刻畫針對(duì)某一個(gè)可能的攻擊事件會(huì)產(chǎn)生大量的日志和相關(guān)報(bào)警記錄，這些記錄存在著很多的冗余和關(guān)聯(lián)。因此首先要對(duì)得到的原始日志進(jìn)行單源上的關(guān)聯(lián)分析，把海量的原始日志轉(zhuǎn)換為直觀的、能夠?yàn)槿怂斫獾?、可能?duì)網(wǎng)絡(luò)造成危害的安全事件?；诙嘣慈罩镜木W(wǎng)絡(luò)安全態(tài)勢感知采用基于相似度的報(bào)警關(guān)聯(lián)可以較好地控制關(guān)聯(lián)后的報(bào)警數(shù)量，有利于減少復(fù)雜度。其處理過程是：

首先，提取報(bào)警日志中的主要屬性，形成原始報(bào)警，再通過重復(fù)報(bào)警聚合生成聚合報(bào)警，對(duì)聚合報(bào)警的各個(gè)屬性定義相似度的計(jì)算方法，并分配權(quán)重，計(jì)算兩個(gè)聚合報(bào)警的相似度，通過與相似度閥值的比較來決定是否對(duì)聚合報(bào)警進(jìn)行超報(bào)警，最終輸出屬于同一類報(bào)警的地址范圍和報(bào)警信息，生成安全事件。

融合分析。多源日志存在冗余性、互補(bǔ)性等特點(diǎn)，態(tài)勢感知借助數(shù)據(jù)融合技術(shù)，能夠使得多個(gè)數(shù)據(jù)源之間取長補(bǔ)短，從而為感知過程提供保障，以便更準(zhǔn)確地生成安全態(tài)勢。經(jīng)過單源日志報(bào)警關(guān)聯(lián)過程，分別得到各自的安全事件。

態(tài)勢要素分析。通過對(duì)網(wǎng)絡(luò)入口處安全設(shè)備日志的安全分析，得到的只是進(jìn)入目標(biāo)網(wǎng)絡(luò)的可能的攻擊信息，而真正對(duì)網(wǎng)絡(luò)安全狀況產(chǎn)生決定性影響的安全事件，則需要通過綜合分析攻擊知識(shí)庫和具體的網(wǎng)絡(luò)環(huán)境進(jìn)行最終確認(rèn)。主要分為三個(gè)步驟：一是通過對(duì)大量網(wǎng)絡(luò)攻擊實(shí)例的研究，得到可用的攻擊知識(shí)庫，主要包括各種網(wǎng)絡(luò)攻擊的原理、特點(diǎn)以及它們的作用環(huán)境等；二是分析關(guān)鍵主機(jī)上存在的系統(tǒng)漏洞和承載的服務(wù)的可能漏洞，建立當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識(shí)庫分析當(dāng)前網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)、性能指標(biāo)等得到網(wǎng)絡(luò)環(huán)境知識(shí)庫；三是通過漏洞知識(shí)庫來確認(rèn)安全事件的有效性，也即對(duì)當(dāng)前網(wǎng)絡(luò)產(chǎn)生影響的網(wǎng)絡(luò)攻擊事件。在網(wǎng)絡(luò)安全事件生成和攻擊事件確認(rèn)的過程中，提取出用于對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評(píng)估的態(tài)勢要素主要包括整個(gè)網(wǎng)絡(luò)面臨的安全威脅、分支網(wǎng)絡(luò)面臨的安全威脅、主機(jī)受到的安全威脅以及這些威脅的程度等。

3 安全風(fēng)險(xiǎn)態(tài)勢感知的預(yù)警分析技術(shù)

對(duì)于海量網(wǎng)絡(luò)安全日志信息，僅通過網(wǎng)絡(luò)安全設(shè)備提供的網(wǎng)絡(luò)安全日志分析網(wǎng)絡(luò)安全事件通常是滯后的，因此利用大數(shù)據(jù)分析技術(shù)針對(duì)海量網(wǎng)絡(luò)安全日志 數(shù)據(jù)進(jìn)行深層次的分析，從中發(fā)現(xiàn)有價(jià)值的信息。發(fā)現(xiàn)數(shù)據(jù)中存在的關(guān)系和規(guī)則，根據(jù)現(xiàn)有的數(shù)據(jù)預(yù)測未來的發(fā)展趨勢，從海量的安全數(shù)據(jù)中發(fā)現(xiàn)潛在的安全威脅和攻擊。

網(wǎng)絡(luò)安全事件預(yù)警分析技術(shù)采用基于動(dòng)態(tài)基線的方法并結(jié)合數(shù)據(jù)挖掘算法進(jìn)行預(yù)警分析。通過設(shè)置的20種指標(biāo)項(xiàng)，利用以存儲(chǔ)的海量日志數(shù)據(jù)獲取網(wǎng)絡(luò)安全事件的標(biāo)準(zhǔn)差及標(biāo)準(zhǔn)誤差，最終針對(duì)指標(biāo)項(xiàng)計(jì)算其置信區(qū)間，系統(tǒng)針對(duì)存儲(chǔ)的歷史數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)，分析日志特征并對(duì)于置信區(qū)間進(jìn)行動(dòng)態(tài)規(guī)則設(shè)置，利用置信區(qū)間及置信區(qū)間規(guī)則，分析實(shí)時(shí)采集的日志數(shù)據(jù)，如果在置信區(qū)間范圍外的數(shù)據(jù)或置信區(qū)間內(nèi)匹配異常場景的數(shù)據(jù)進(jìn)行攻擊場景及資產(chǎn)脆弱性關(guān)聯(lián)分析，為用戶提供對(duì)應(yīng)的預(yù)警信息。預(yù)警分為安全事件預(yù)警和重要信息系統(tǒng)預(yù)警。

安全事件預(yù)警流程為當(dāng)發(fā)生安全事件時(shí)，首先判定事件等級(jí)，根據(jù)事件等級(jí)選擇通知相應(yīng)的負(fù)責(zé)人處理，處置完成后判斷系統(tǒng)運(yùn)行是否正常，如果正常則通知系統(tǒng)管理員填寫信息安全事件和系統(tǒng)故障處理記錄單并結(jié)束流程，并將此次處理填入值班記錄；如果處置完成后系統(tǒng)沒有正常運(yùn)行，則重新判斷事件等級(jí)進(jìn)行處理。

重要信息系統(tǒng)預(yù)警流程為當(dāng)發(fā)生系統(tǒng)故障時(shí)，首先判斷故障等級(jí)，根據(jù)故障等級(jí)選擇通知相應(yīng)的負(fù)責(zé)人處理，處置完成后判斷系統(tǒng)運(yùn)行是否正常，如果正常則通知系統(tǒng)管理員填寫信息安全事件和系統(tǒng)故障處理記錄單并結(jié)束流程，并將此次處理填入值班記錄；如果處置完成后系統(tǒng)沒有正常運(yùn)行，則重新判斷故障等級(jí)進(jìn)行處理。

4 尚存在的技術(shù)難題分析

由于目前用戶普遍網(wǎng)絡(luò)規(guī)模較大，結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)數(shù)據(jù)還存在實(shí)時(shí)可變的特征，網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢的可視化是實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢感知的難點(diǎn)?；谥鳈C(jī)的數(shù)據(jù)顯示和基于網(wǎng)絡(luò)的數(shù)據(jù)顯示是態(tài)勢可視化的兩大方面，可視化的結(jié)果既要反應(yīng)區(qū)域內(nèi)主機(jī)網(wǎng)絡(luò)安全威脅等級(jí)，也要從宏觀上對(duì)整個(gè)網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行描繪?？梢暬€需考慮人機(jī)交互的可操作性，基于多數(shù)據(jù)源，多視圖的可視化系統(tǒng)才能滿足態(tài)勢可視化要求。

5 總結(jié)

網(wǎng)絡(luò)安全態(tài)勢感知基于全網(wǎng)海量多源異構(gòu)各類告警數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)管與運(yùn)維數(shù)據(jù)和內(nèi)控?cái)?shù)據(jù)，通過數(shù)據(jù)的集中分析，構(gòu)建安全場景分析，實(shí)現(xiàn)安全風(fēng)險(xiǎn)與態(tài)勢的實(shí)時(shí)感知。將事前風(fēng)險(xiǎn)合規(guī)性管理運(yùn)維流程成果量化、事中發(fā)生的各類安全告警和異常行為及時(shí)感知，事后網(wǎng)管系統(tǒng)監(jiān)測到的業(yè)務(wù)異動(dòng)和事件處置運(yùn)維流程情況，全部匯總統(tǒng)一成風(fēng)險(xiǎn)感知的業(yè)務(wù)數(shù)據(jù)鏈。