等保2.0時代基于大數(shù)據(jù)環(huán)境的態(tài)勢感知平臺

周亞妹 高一鳴

摘 要：文章首先闡述了等級保護2.0時代網(wǎng)絡安全防護的困境以及態(tài)勢感知研究的目的，介紹了網(wǎng)絡安全態(tài)勢感知的關鍵技術。提出一種以網(wǎng)絡數(shù)據(jù)融合技術、數(shù)據(jù)挖掘技術、網(wǎng)絡態(tài)勢量化技術、可視化技術等關鍵技術為核心，集網(wǎng)絡態(tài)勢數(shù)據(jù)采集、融合、挖掘分析功能和安全風險監(jiān)測、網(wǎng)絡攻擊報警、預判于一體的安全態(tài)勢感知平臺。文章對平臺的數(shù)據(jù)采集器、消息隊列、數(shù)據(jù)分析引擎、數(shù)據(jù)存儲集群、告警與通知、安全可視化、Web服務器等六大子系統(tǒng)進行了闡述。

關鍵詞：網(wǎng)絡態(tài)勢感知;大數(shù)據(jù);網(wǎng)絡安全;等級保護

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-1064（2021）04-040-02

DOI：10.12310/j.issn.1674-1064.2021.04.020

隨著信息技術的發(fā)展，經(jīng)過等保標準不斷的完善、更新和充實，保證了標準的實用性。等級保護2.0標準在原標準的基礎上，更加強調(diào)安全防護的主動性，注重攻擊的主動防御、安全可信、態(tài)勢感知和全面審計。隨著云計算技術、大數(shù)據(jù)技術和物聯(lián)網(wǎng)等技術的廣泛應用，計算機網(wǎng)絡面臨的安全威脅越來越多，面對當前嚴峻的網(wǎng)絡安全形勢，需要應用先進的信息安全技術理念建設一套網(wǎng)絡安全態(tài)勢感知系統(tǒng)，實現(xiàn)對網(wǎng)絡安全風險的實時監(jiān)測和精準預警，以及對網(wǎng)絡安全態(tài)勢的全面感知和響應，從而提升網(wǎng)絡信息安全防護能力。

1 傳統(tǒng)網(wǎng)絡安全防護存在的困境

在等保2.0時代，為了實現(xiàn)對基礎信息網(wǎng)絡、云計算平臺、大數(shù)據(jù)集群等系統(tǒng)的全面安全防護，網(wǎng)絡安全防護存在著諸多困境，企業(yè)信息化安全架構日漸復雜，接入安全設備的類型、產(chǎn)生的網(wǎng)絡安全數(shù)據(jù)越來越多，傳統(tǒng)的分析能力不足以支撐現(xiàn)有的安全需求。隨著APT為代表的網(wǎng)絡威脅的興起，需要儲存與分析的安全信息越來越多，需要以更加敏捷快速的方式對網(wǎng)絡威脅做出甄別和響應。為了及時應對大數(shù)據(jù)環(huán)境下的網(wǎng)絡安全威脅，有效遏制各類網(wǎng)絡攻擊，預測網(wǎng)絡安全發(fā)展態(tài)勢并采取適當?shù)膽辈呗裕髷?shù)據(jù)環(huán)境下的網(wǎng)絡安全態(tài)勢感知技術亟待研究[1]。

2 基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知及關鍵技術

2.1 網(wǎng)絡安全態(tài)勢感知概念

網(wǎng)絡安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡環(huán)境中，對能夠引起網(wǎng)絡安全態(tài)勢發(fā)生變化的安全要素進行提取、理解、顯示，并預測未來發(fā)展趨勢[2]。大數(shù)據(jù)環(huán)境的態(tài)勢感知是指在大規(guī)模網(wǎng)絡環(huán)境及海量數(shù)據(jù)中整合用戶終端、網(wǎng)絡鏈路、應用系統(tǒng)、數(shù)據(jù)流量等各類感知數(shù)據(jù)源，采用大數(shù)據(jù)分析挖掘技術，使用智能算法和安全模型，將看似毫無聯(lián)系、混亂無序的各類安全數(shù)據(jù)轉化成直觀的可視化信息，實現(xiàn)威脅發(fā)現(xiàn)、精準預警和態(tài)勢感知[3-4]。

2.2 網(wǎng)絡安全態(tài)勢感知關鍵技術

2.2.1 網(wǎng)絡數(shù)據(jù)融合技術

數(shù)據(jù)融合按照不同的方法可進行多方向的分類，可以按照數(shù)據(jù)處理的層級分類，可以按照數(shù)據(jù)模型的結構分類，可以按照數(shù)據(jù)收集來源的組合情況分類[5]。在網(wǎng)絡態(tài)勢感知領域中，網(wǎng)絡數(shù)據(jù)融合技術更多的是考慮網(wǎng)絡態(tài)勢感知數(shù)據(jù)的時效性和位置性，因此可以將網(wǎng)絡數(shù)據(jù)融合分成兩類，即基于時間和基于空間的數(shù)據(jù)融合[6]。

2.2.2 數(shù)據(jù)挖掘技術

數(shù)據(jù)挖掘是指從大量數(shù)據(jù)中挖掘出有用的信息[7]，網(wǎng)絡態(tài)勢感知數(shù)據(jù)的挖掘就是從大量的、異構的、不同數(shù)據(jù)來源的數(shù)據(jù)中，挖掘出有利用價值的數(shù)據(jù)。通過數(shù)據(jù)挖掘技術能實現(xiàn)網(wǎng)絡流量分類、異常流量檢測、威脅行為分析等具體應用。

2.2.3 網(wǎng)絡態(tài)勢量化技術

網(wǎng)絡態(tài)勢量化是指將網(wǎng)絡安全信息歸并融合成分組的一定值域范圍內(nèi)的數(shù)值，通過數(shù)學方法處理，網(wǎng)絡運行狀況通過這些數(shù)值具體表示。隨著網(wǎng)絡安全事件發(fā)生的頻率、數(shù)量以及網(wǎng)絡受到威脅程度的不同，特征性也會產(chǎn)生相應的變化。這些數(shù)值的獲得過程，也就是網(wǎng)絡態(tài)勢量化的過程[8]。

2.2.4 可視化技術

網(wǎng)絡安全態(tài)勢感知的數(shù)據(jù)展示層，主要通過展示界面展示網(wǎng)絡運行狀態(tài)、網(wǎng)絡攻擊行為、安全事件、整體安全態(tài)勢等，并能夠持續(xù)的、多維度的監(jiān)測信息資產(chǎn)和相關的威脅、脆弱性、安全事件、安全風險等分類態(tài)勢指標變化情況，同時展示告警信息[9]。

3 基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知平臺

網(wǎng)絡安全態(tài)勢感知平臺通過采集網(wǎng)絡內(nèi)所有IT基礎設施數(shù)據(jù)，利用數(shù)據(jù)建模、行為識別、關聯(lián)分析等方法對網(wǎng)絡內(nèi)的所有機器數(shù)據(jù)進行統(tǒng)一分析，實現(xiàn)對網(wǎng)絡攻擊行為、安全異常事件、未知威脅的發(fā)現(xiàn)和告警。系統(tǒng)提供了網(wǎng)絡內(nèi)信息數(shù)據(jù)的集中存儲、全文檢索、關聯(lián)分析、可視化展現(xiàn)等功能。網(wǎng)絡安全態(tài)勢感知平臺整體架構包括如下幾個子系統(tǒng)：

3.1 數(shù)據(jù)采集器

數(shù)據(jù)采集器是網(wǎng)絡安全態(tài)勢感知平臺的數(shù)據(jù)入口。此模塊對外對接網(wǎng)絡環(huán)境的所有數(shù)據(jù)。日志采集包括主機和安全設備，以及與之相關的上下文信息（如用戶、資產(chǎn)等）。除此之外，隨著需求的逐步推進，應用程序日志、數(shù)據(jù)庫日志、操作系統(tǒng)日志、AD/LDAP日志等也需要作為重要的數(shù)據(jù)源進行收集，為后續(xù)的分析、存儲提供輸入。數(shù)據(jù)采集器對內(nèi)和消息隊列對接，將采集的數(shù)據(jù)使用數(shù)據(jù)融合中的貝葉斯網(wǎng)絡和D-S證據(jù)理論解析處理后，構造成標準的數(shù)據(jù)格式，輸出到消息隊列。

3.2 消息隊列

為了適應大數(shù)據(jù)海量采集的環(huán)境，特別是為了適應因為網(wǎng)絡流量波動、業(yè)務高峰，突發(fā)大量攻擊等事件造成的數(shù)據(jù)異常波峰，消息隊列子系統(tǒng)用于緩沖采集器收集到的數(shù)據(jù)，避免數(shù)據(jù)丟失。消息隊列緩存數(shù)據(jù)后，對接數(shù)據(jù)分析引擎，提供數(shù)據(jù)獲取接口。數(shù)據(jù)分析引擎通過消息隊列接口獲取數(shù)據(jù)用于分析。

3.3 數(shù)據(jù)分析引擎

數(shù)據(jù)分析引擎是網(wǎng)絡態(tài)勢感知安全平臺的核心模塊，內(nèi)部通過規(guī)則匹配、數(shù)據(jù)時序分析、算法分析等方法進行網(wǎng)絡態(tài)勢分析。大數(shù)據(jù)安全分析采用kafka、Elasticsearch、Flink等大數(shù)據(jù)技術，對日志和流量數(shù)據(jù)進行統(tǒng)一采集、存儲、分析，將海量的安全日志利用智能分析引擎進行威脅檢測，轉化為少量的安全事件。分析引擎通過結合歷史日志和告警進行離線長周期分析，結合異常分析算法發(fā)現(xiàn)未知威脅事件。使用大數(shù)據(jù)技術將告警之間的時序關系、因果關系關聯(lián)分析，通過當前告警可追溯攻擊鏈模型中與其相關的各個階段的告警時間，從而實現(xiàn)海量安全事件事后的溯源追查。應用數(shù)據(jù)挖掘分析模型，在海量的紛繁復雜數(shù)據(jù)中實時流式分析，定位出安全事件并將標記的安全事件再次輸出到消息隊列。通過分析后的事件數(shù)據(jù)被輸出到數(shù)據(jù)存儲集群保存下來。因此，數(shù)據(jù)分析引擎內(nèi)部對接消息隊列，輸入原始事件數(shù)據(jù)，分析后輸出安全事件數(shù)據(jù)到消息隊列。同時，對接存儲集群，輸出通過引擎的事件數(shù)據(jù)。

3.4 數(shù)據(jù)存儲集群

數(shù)據(jù)存儲集群，保存通過分析的原始時間數(shù)據(jù)以及告警通知模塊輸出的告警數(shù)據(jù)。存儲集群提供長時間、大容量的數(shù)據(jù)存儲，被分布式部署在多臺服務器上構成集群。集群方式可以提供更高的系統(tǒng)可用性、數(shù)據(jù)冗余可用性，以及更高的數(shù)據(jù)寫入、檢索性能。從搜索分析效率和數(shù)據(jù)存儲量方面考慮，平臺采用ElasticSearch技術，能夠存儲網(wǎng)絡環(huán)境中各種設備和應用的安全信息，并實現(xiàn)穩(wěn)定、可靠、快速的實時搜索。存儲在集群里的數(shù)據(jù)可以被Web服務器訪問，從而在界面上提供數(shù)據(jù)檢索查詢功能。數(shù)據(jù)存儲集群內(nèi)部對接數(shù)據(jù)分析引擎子系統(tǒng)，獲取原始時間數(shù)據(jù)。對接告警通知子系統(tǒng)，獲取告警數(shù)據(jù)。對接Web服務器子系統(tǒng)，提供數(shù)據(jù)查詢檢索功能。

3.5 告警與通知

告警與通知子系統(tǒng)，通過消息隊列獲取數(shù)據(jù)分析引擎對日志的分析后，生成安全告警并提供實時響應機制，對于發(fā)生的安全告警能夠及時通知運維人員，并觸發(fā)響應處理流程。響應方式包含但不限于以下方式：郵件、短信、工單、等方式。子系統(tǒng)根據(jù)定制配置，可形成郵件或者短信告警。同時，告警數(shù)據(jù)被輸出到數(shù)據(jù)存儲集群存儲，支持告警類型、告警級別、告警階段、告警狀態(tài)等多個維度的查詢。

3.6 安全可視化

網(wǎng)絡態(tài)勢感知安全平臺可提供用戶網(wǎng)絡內(nèi)整體網(wǎng)絡安全態(tài)勢感知，展示包括外部態(tài)勢、內(nèi)網(wǎng)態(tài)勢、告警態(tài)勢。外部態(tài)勢通過3D全球態(tài)勢感知展示大屏，將安全事件通過2D和3D的形式展示出攻擊源、攻擊路徑和攻擊目標;內(nèi)網(wǎng)態(tài)勢展示當前內(nèi)網(wǎng)告警數(shù)量、事件數(shù)量以及攻擊源、攻擊目的TOPN等信息;告警態(tài)勢展現(xiàn)整個網(wǎng)絡的告警態(tài)勢，包括告警階段、告警總數(shù)、告警級別、最新告警、重點關注告警類型、重點關注資產(chǎn)告警、目的地址告警TOP10、告警趨勢、告警分布等;點擊相應告警，可進行數(shù)據(jù)下鉆。

3.7 Web服務器

Web服務器是網(wǎng)絡安全態(tài)勢感知平臺的用戶管理操作入口。通過Web服務器，網(wǎng)絡安全管理人員可以配置數(shù)據(jù)采集、分析規(guī)則、可視化展現(xiàn)儀表盤等功能，全面控制平臺運行，獲取最終的安全分析結果。

參考文獻

[1] 陳彥德，趙陸文，潘志松，等.網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構研究[J].計算機工程與應用，2014，22（18）：784-785.

[2] 趙夢.基于大數(shù)據(jù)環(huán)境的網(wǎng)絡安全態(tài)勢感知[J].信息網(wǎng)絡安全，2016（9）：90-93.

[3] 陳興蜀，曾雪梅，王文賢，等.基于大數(shù)據(jù)的網(wǎng)絡安全與情報分析[J].工程科學與技術，2017（4）：23.

[4] 管磊.基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知技術研究[EB/OL].廈門：第31次全國計算機安全學術交流會，2016-09-01.

[5] 楊露菁，余華.多源信息融合理論與應用[M].北京：北京郵電大學出版社，2006.

[6] 林加潤，殷建平，程杰仁，等.網(wǎng)絡安全中多源傳感器數(shù)據(jù)融合技術研究[J].計算機工程與科學，2010，32（6）：23-25.

[7] 張云濤，龔玲.數(shù)據(jù)挖掘原理與技術[M].北京：電子工業(yè)出版社，2004.

[8] 李碩，戴欣，周渝霞.網(wǎng)絡安全態(tài)勢感知研究進展[J].計算機應用研究，2010（3）：9.

[9] 陳妍，李京春，李斌，等.網(wǎng)絡安全態(tài)勢感知技術標準化白皮書[R].北京：公安部第三研究所，2020.