大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)威脅可視化分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

李晶，黃杰，袁慧，朱國威，張先飛，王新年

（1 國網(wǎng)湖北省電力有限公司，武漢 430077；2 國網(wǎng)湖北省電力有限公司信息通信公司，武漢 430077；3 中南民族大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，武漢 430074）

隨著信息技術(shù)的發(fā)展，安全攻防形勢越來越嚴(yán)峻，傳統(tǒng)的以分散安全設(shè)備日志、主機(jī)日志、應(yīng)用日志進(jìn)行安全事件響應(yīng)溯源的手段，已不能滿足對安全事件快速“洞察”的要求，尤其是近年來具備國家和組織背景的攻擊行為日益增多，例如國際上發(fā)生的針對伊朗核電站的“震網(wǎng)”病毒攻擊、針對烏克蘭電網(wǎng)的“BlackEnergy”惡意攻擊，2021年5月美國最大的成品油管道運(yùn)營商Colonial Pipeline因受到勒索軟件攻擊，被迫關(guān)閉其美國東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò).我國也先后發(fā)生了二灘水電站、鵝城換流站等多起因網(wǎng)絡(luò)攻擊造成的電網(wǎng)安全生產(chǎn)事故，帶來了嚴(yán)重的經(jīng)濟(jì)損失和社會影響［1］.

這些安全事件發(fā)生后，安全管理人員很難定位事件的風(fēng)險(xiǎn)，主要缺少能在海量數(shù)據(jù)中快速分析的工具.對一次攻擊進(jìn)行檢測需要從大量數(shù)據(jù)中進(jìn)行快速分析，這要求本地具備海量的數(shù)據(jù)存儲能力、檢索能力和多維度關(guān)聯(lián)能力，而傳統(tǒng)的數(shù)據(jù)存儲和檢索技術(shù)很難達(dá)到這樣的要求.例如：一個(gè)中型規(guī)模企業(yè)記錄全年的日志數(shù)據(jù)，大約有2000億條日志，需要約300多TB的存儲空間，如果使用傳統(tǒng)的檢索技術(shù)進(jìn)行一次條件檢索，大概需要幾個(gè)小時(shí)的時(shí)間，這種效率明顯不能滿足攻擊行為分析的需求［2-3］.

預(yù)防系統(tǒng)和工具有助于減少攻擊者的機(jī)會，并幫助分析人員更有效分析，本文實(shí)現(xiàn)了對日志數(shù)據(jù)進(jìn)行分析，為安全工作提供支撐；提供對安全日志進(jìn)行快速分析、檢索和多維度關(guān)聯(lián)能力，在安全事件發(fā)生后，為管理員提供安全事件調(diào)查工具，進(jìn)行快速的事件定位與處理，提高安全事件的應(yīng)急響應(yīng)能力；有效快速的安全事件分析和調(diào)查取證，可以最大程度保護(hù)信息資產(chǎn)受到更大侵害，減少企業(yè)資產(chǎn)和數(shù)據(jù)損失，可有效利用現(xiàn)有信息安全投資，使信息安全投資收益最大化［4-9］.

目前國網(wǎng)湖北電力公司已經(jīng)建設(shè)了大數(shù)據(jù)系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、中間件應(yīng)用、數(shù)據(jù)庫等的日志進(jìn)行集中收集和存儲，但是缺乏對日志進(jìn)行快速分析、檢索和多維度關(guān)聯(lián)的能力，因此設(shè)計(jì)和實(shí)現(xiàn)了大數(shù)據(jù)環(huán)境下可視化網(wǎng)絡(luò)威脅系統(tǒng)來處理以上問題，提升國網(wǎng)湖北電力公司自身的信息安全防護(hù)技術(shù)與能力.

1 系統(tǒng)結(jié)構(gòu)圖及主要算法

1.1 系統(tǒng)架構(gòu)

本系統(tǒng)主要分為：數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)關(guān)聯(lián)分析、數(shù)據(jù)查詢展示幾個(gè)子模塊，整體架構(gòu)圖如圖1所示.數(shù)據(jù)主要來源為國網(wǎng)湖北電力公司的天眼分析平臺、天擎控制中心、安全dns分析平臺以及網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)監(jiān)控平臺S6000.

圖1 網(wǎng)絡(luò)威脅關(guān)聯(lián)分析可視化系統(tǒng)架構(gòu)Fig.1 Visualization system architecture of network threat association analysis

1.2 關(guān)聯(lián)分析及Apriori算法介紹

關(guān)聯(lián)分析主要是指在大量的數(shù)據(jù)記錄中，查找存在于項(xiàng)目集合或?qū)ο蠹现g的頻繁模式、關(guān)聯(lián)、相關(guān)性或因果結(jié)構(gòu).關(guān)聯(lián)分析Apriori算法［10-11］，包含以下幾個(gè)概念：

項(xiàng)集：設(shè)itemset=｛item1，item_2，…，item_m｝是所有項(xiàng)的集合，其中，item_k（k=1，2，…，m）成為項(xiàng).項(xiàng)的集合稱為項(xiàng)集，包含k個(gè)項(xiàng)的項(xiàng)集稱為k項(xiàng)集.

關(guān)聯(lián)規(guī)則：關(guān)聯(lián)規(guī)則是形如A→B表達(dá)為A（B）的蘊(yùn)涵式，其中A、B均為itemset的子集且均不為空集，而A∩B為空.

支持度（Support）：某條特定的規(guī)則在所有數(shù)據(jù)條目中所占的最小百分比.關(guān)聯(lián)規(guī)則的支持度定義為：support（A（B））=P（A∪B），其中P（A∪B）表示事務(wù)包含集合A和B的并（即包含A和B中的每個(gè)項(xiàng)）的概率.

置信度滿足假設(shè)的前提下，結(jié)論為真的條件概率，公式為Confidence（A（B））=P（B|A）=P（A∪B）/P（A）=P_count（A∪B）/P_count（B）.P_count就是項(xiàng)集的出現(xiàn)頻度，包含項(xiàng)的事務(wù)數(shù)，簡稱為項(xiàng)集的頻度、支持度計(jì)數(shù)或計(jì)數(shù).

頻繁項(xiàng)集：如果項(xiàng)集I的相對支持度滿足事先定義好的最小支持度閾值（即I的出現(xiàn)頻度大于相應(yīng)的最小出現(xiàn)頻度（支持度計(jì)數(shù)）閾值），則I是頻繁項(xiàng)集.

強(qiáng)關(guān)聯(lián)規(guī)則：滿足最小支持度和最小置信度的關(guān)聯(lián)規(guī)則，即待挖掘的關(guān)聯(lián)規(guī)則.

關(guān)聯(lián)規(guī)則的挖掘是一個(gè)兩步的過程：找出所有的頻繁項(xiàng)集，由頻繁項(xiàng)集產(chǎn)生強(qiáng)關(guān)聯(lián)規(guī)則.

2 關(guān)鍵子系統(tǒng)設(shè)計(jì)

2.1 采集子系統(tǒng)

采集子系統(tǒng)需要對接多個(gè)數(shù)據(jù)源，需要具有部署靈活、擴(kuò)展方便、穩(wěn)定可靠等特點(diǎn)，因此可采用Logstash做為采集子系統(tǒng)的基礎(chǔ)組件［12］.

Logstash的常見工作過程如圖2所示，Logstash的數(shù)據(jù)處理過程主要包括：Inputs輸入模塊、Filters過濾模塊、Outputs輸出模塊三部分，另外在Inputs和Outputs中可以使用Codecs數(shù)據(jù)編碼模塊對數(shù)據(jù)格式進(jìn)行處理.這四個(gè)部分均以插件形式存在，用戶通過定義pipeline配置文件，設(shè)置需要使用的input，filter，output，codec插件，以實(shí)現(xiàn)特定的數(shù)據(jù)采集，數(shù)據(jù)處理，數(shù)據(jù)輸出等功能.

圖2 Logstash工作過程Fig.2 Logstash work process

在本系統(tǒng)中，主要采用Syslog Input插件來接收各類設(shè)備的日志.各類設(shè)備接收端口定義如表1所示.

綜 合 采 用grok filter、mutate filter、json filter、json codec等插件，將接收到的日志解析、轉(zhuǎn)換成Elasticsearch index模板所定義的日志格式.

采用Elasticsearch output插件，將解析轉(zhuǎn)換好的日志直接輸出到Elasticsearch存儲［13-14］.

2.2 存儲子系統(tǒng)

數(shù)據(jù)存儲分為兩類：結(jié)構(gòu)化存儲、半結(jié)構(gòu)化存儲.結(jié)構(gòu)化存儲基于傳統(tǒng)關(guān)系型數(shù)據(jù)庫Postgresql，主要存儲系統(tǒng)內(nèi)的配置和權(quán)限等結(jié)構(gòu)和數(shù)據(jù)量變化都不頻繁的數(shù)據(jù)；半結(jié)構(gòu)化存儲基于可線性擴(kuò)展的搜索引擎Elasticsearch，主要存儲數(shù)據(jù)量需要線性擴(kuò)展、數(shù)據(jù)類型及結(jié)構(gòu)需要靈活變更的日志數(shù)據(jù).

半結(jié)構(gòu)化存儲數(shù)據(jù)基于性能方面的考慮，采取分索引、分片的方式來做到分布式存儲，每天為每類日志創(chuàng)建一個(gè)索引.

Elasticsearch是一個(gè)分布式可擴(kuò)展的實(shí)時(shí)搜索和分析引擎，一個(gè)建立在全文搜索引擎Apache Lucene基礎(chǔ)上的搜索引擎.

2.3 關(guān)聯(lián)分析子系統(tǒng)

關(guān)聯(lián)分析子系統(tǒng)是本項(xiàng)目的核心模塊之一，主要為各類查詢分析提供支持［15］.

關(guān)聯(lián)分析分為基礎(chǔ)查詢分析和自動化關(guān)聯(lián)分析兩部分.

2.3.1 基礎(chǔ)查詢

基礎(chǔ)查詢由用戶手動觸發(fā)，每次定義一種類型的線索，指定查詢方式來獲取與其相關(guān)的線索.主要查詢類型項(xiàng)集為Inputs-Type=｛MD5，IP，DNS，Port，Virus｝，基礎(chǔ)的文件或者日志的MD5值、IP地址、域名DNS、端口Port和病毒名Virus做為線索進(jìn)行關(guān)聯(lián)分析.

數(shù)據(jù)源項(xiàng)集定義為Ds=DeviceType×LogType，其中DeviceType=｛Ty，Tq，sDns，s6｝，Ty：天眼分析平臺，Tq：天擎控制中心，sDns：安全DNS分析平臺，s6：S6000；LogType=｛warningLog，virusLog｝，其中warningLog為告警日志，virusLog為病毒分析日志.

1）基于MD5線索查詢.

查詢方式集合為QMd5=｛warning-type，effect-user，attack-sources，aDNS，sample-sources｝，其中warningtype：告警類型，effect-user：影響用戶，attack-sources：攻擊源，aDNS：關(guān)聯(lián)域名，sample-sources：樣本來源.

MD5數(shù)據(jù)源定義為DsMd5=Ds×Md5.

輸出值為ZMd5=｛wType，vIP，aIP，DNS，vType，fName｝，其中wType：告警類型，vIP：受害IP，aIP：攻擊IP，DNS：域名，vType：病毒類型，fName：文件名稱.

根據(jù)以上的關(guān)系可以得出其關(guān)聯(lián)zMd5=qMd5（dsMd5），dsMd5∈DsMd5，qMd5∈QMd5，z∈ZMd5.其對應(yīng)的結(jié)果值如表2所示.

表2 基于MD5值關(guān)聯(lián)查詢Tab.2 Correlation analysis based MD5

2）基于IP線索查詢.

對于輸入IP的值來進(jìn)行判斷的，除了上面的查詢方式集合外，還有Query-Methods-IP=｛risks，hosts｝，risks：風(fēng)險(xiǎn)，hosts：主機(jī)信息.因此定義IP的查詢方式為：QIP=QMd5∪Query-Methods-IP.

IP數(shù) 據(jù) 源 定 義 為DsIP=（Ds×IP）∪（Ty×{wRisk，vRisk，cPass}×asIP），其 中IP={IP，vIP，aIP}，IP為普通IP值，Ty特指天眼系統(tǒng)，wRisk為弱口令，vRisk為暴力破解風(fēng)險(xiǎn)，cPass為明文密碼，asIP為資產(chǎn)IP值，vIP為受害者IP，aIP為攻擊IP值.

IP查詢輸出值ZIP=｛MD5，vName，vType，DNS，rType，wType，aIP，vIP，wPass，vRisk，cPass，host｝，其中，vName：病毒名，vType：病毒類型，rType：威脅類型，wType：告警類型，aIP：攻擊IP，vIP：受害IP，wPass：弱口令風(fēng)險(xiǎn)，vRisk：暴力破解風(fēng)險(xiǎn)，cPass：明文密碼風(fēng)險(xiǎn)，host：主機(jī)MAC.

那么輸入IP地址，可以得出zIP=qIP（dsIP），dsIP∈DsIP，qIP∈QIP，zIP∈ZIP.

3）基于DNS線索查詢.

對于屬于域名DNS信息查找相應(yīng)的查詢方式集為QDns=｛IOC｝∪QMd5，其中IOC為入侵威脅指標(biāo).

DNS的數(shù)據(jù)源定義為DsDns=DsxDNS.

DNS查詢的輸出值ZDns=｛MD5，fName，vIP，sIP，aIP，aTissue，rType，wType，IOC｝，其中，fName：文件名稱，vIP：受害IP，sIP：源IP，aIP：攻擊IP，aTissue：攻擊組織，rType：威脅類型，wType：告警類型.

輸入DNS，可以得到zDns=qDns（dsDns），dsDns∈DsDns，qDns∈QDnS，zDns∈ZDns.

4）基于Port線索查詢.

QPort=｛srcIP，destIP｝，srcIP：原地址，destIP：目的IP.

DsPort=Tyx｛wRisk，vRisk，cPass｝xPort.

ZPort=｛asIP，destIP｝.

輸 入Port得 出zPort=qPort（DsPort），zPort∈ZPort，qPort∈QPort，dsPort∈DsPort.

5）基于Virus線索查詢.

QVirus=｛warning-type，sample-sources｝∈QMd5.

DsVirus=Dsx｛fName，vName｝，fName：告警日志的文件名，vName：病毒分析日志的病毒名.

ZVirus=｛atMd5，Md5，aIP，IP，wType，vType｝，atMd5：附件Md5，wType：告警類型，vType：病毒類型.

輸入virus名，zVirus=qVirus（dsVirus），qVirsu∈QVirus，dsVirus∈DsVirus，zVirus∈ZVirus.

2.3.2 自動化組合關(guān)聯(lián)分析

自動化關(guān)聯(lián)分析主要基于內(nèi)置的場景定義來實(shí)現(xiàn)，各場景的定義如下：

（1）場景一：惡意程序的蔓延范圍分析.

通過查詢樣本MD5值或惡意域名，自動分析郵箱接收情況及終端設(shè)備惡意程序的安裝情況.輸入值為：樣本MD5/DNS

1）當(dāng)輸入值為樣本MD5值時(shí)（查詢攜帶惡意樣本的收件人郵箱及受害IP情況）：

基本關(guān)聯(lián)結(jié)果z1=qMd5（dsMd5），z1∈ZMd5，再進(jìn)行第2次關(guān)聯(lián)IP和DNS，即z2=qIP（z1×dsIP）∪qDns（z1×dsDns），qIP∈QIP，qDns∈QDns，z2∈ZIP∪ZDns.第3次關(guān)聯(lián)IP和DNS，即z3=qIP（z2×dsIP）∪qDns（z2×ds-Dns），qIP∈QIP，qDns∈QDns，z3∈ZIP∪ZDns.

2）當(dāng)輸入值為域名時(shí)（產(chǎn)生可疑或惡意域名請求的IP感染病毒及同類型病毒感染終端IP的情況）：

當(dāng)輸入為DNS，產(chǎn)生輸出z1=qDns（dsDns），z1∈ZDns.再繼續(xù)和IP以及MD5進(jìn)行關(guān)聯(lián)輸出，z2=qIP（z1×dsIP）∪qDns（z1×dsDns），qIP∈QIP，qDns∈QDns，dsIP∈DsIP，dsDns∈DsDns，z2∈ZIP∪ZDns，輸出病毒名稱和域名，然后繼續(xù)進(jìn)行第3次關(guān)聯(lián)，z3=qVirus（z2×dsVirus）∪qDns（z2×dsDns），qVirus∈QVirus，dsVirus∈DsVirus，輸出被影響的IP.

（2）場景二：重要系統(tǒng)的安全狀態(tài)分析.

主要是重要業(yè)務(wù)資產(chǎn)安全風(fēng)險(xiǎn)如弱口令、明文密碼泄露、暴力破解情況及惡意軟件感染情況.輸入值為：IP地址.通過IP得到z=qIP（dsIP），qIP∈QIP，dsIP∈DsIP，然后進(jìn)行二次關(guān)聯(lián)MD5、DNS以及病毒名，如果z≠Φ，則z2=（qMd5（z1×dsMd5）∪qDns（z1×dsDns）∪qVirus（z1×dsVirus）），qMd5∈QMd5，dsMd5∈DsMd5，qDns∈QDns，dsDns∈DsDns，qVirus∈QVirus，dsVirus∈DsVirus.

（3）場景三：重要系統(tǒng)的安全端口分析.

對重要系統(tǒng)IP的開放端口情況進(jìn)行安全分析是否存在風(fēng)險(xiǎn)行為如弱口令、明文密碼、暴力破解等.輸入值為：IP地址/port.

當(dāng)輸入值為IP值時(shí)（輸入重要系統(tǒng)的IP地址查找是否存在外聯(lián)或代理、惡意軟件下載等行為相關(guān)的端口號信息，同時(shí)自關(guān)聯(lián)出使用相同端口號的可疑風(fēng)險(xiǎn)重要系統(tǒng)IP地址）.

通過IP得到z1=qIP（dsIP），z1中如果存在端口，則z2=qPort（z1），并可以繼續(xù)查詢下去.

當(dāng)輸入值為端口值時(shí)（輸入端口查看是否存在外聯(lián)或代理、惡意軟件下載等行為的重要系統(tǒng)IP地址，同時(shí)自關(guān)聯(lián)出這些風(fēng)險(xiǎn)系統(tǒng)IP地址是否還存在其他可疑端口號）.

通過port可得到z1=qPort（dsPort），再通過IP繼續(xù)查詢，z2=qIP（z1），如果z2≠Φ，一直繼續(xù)下去.

（4）場景四：告警準(zhǔn)確性輔助分析決策.

從不同的維度對告警信息進(jìn)行驗(yàn)證，找到關(guān)聯(lián)線索.

輸入值為：IP，Z=qIP（dsIP），?dns∈z，IP∈z，且dns≠Φ、IP≠Φ，則z2=（qDns（z1）∪qIP（z1））.

（5）場景五：常見高危木馬、后門、病毒開放端口關(guān)聯(lián)分析.

輸入值為：MD5/端口號/IP

1）當(dāng)輸入值為MD5時(shí)（查詢相關(guān)惡意威脅類型及關(guān)聯(lián)的端口）

Z1=qMd5（dsMd5），得到受害IP及攻擊IP等信息，然后再次關(guān)聯(lián)IP，z2=qIP（z1xdsIP），然后重復(fù)場景3.

2）當(dāng)輸入值為端口號時(shí)（查詢使用同端口下的資產(chǎn)所中的高危木馬后門等情況及同種類型的惡意軟件下的終端感染情況）

Z1=qPort（dsPort），z1=｛protocol，asset IP，src IP，dest IP，wPass，cPass，vRisk｝，protocol：協(xié) 議，asset IP：資產(chǎn)IP，Psrc IP：源IP，dest IP：目標(biāo)IP，wPass：弱口令，cPass：明文密碼，vRisk：暴力破解.二次關(guān)聯(lián)受害IP/攻擊IP以及惡意類型，輸出MD5值、IOC信息以及受影響的用戶IP，即z2=（qMD5（z1×dsIP）∪qDns（z1×dsIP）），z3=qMD5（z2×dsMd5），最終得到主機(jī)地址、告警類型、受害IP、攻擊IP、組織信息等.

3）當(dāng)輸入值為IP時(shí)（查詢指定資產(chǎn)下的高危木馬后門病毒關(guān)聯(lián)端口情況）

該種情況對IP地址直接關(guān)聯(lián)和重復(fù)關(guān)聯(lián)即可，即：

Z1=qIP（dsIP），z2=qIP（z1×dsIP），然后重復(fù)場景三.

2.4 多維數(shù)據(jù)查詢

該模塊提供對用戶域名訪問記錄、IP已開端口、樣本云查殺日志等數(shù)據(jù)的關(guān)聯(lián)查詢.用戶可以通過查詢掌握當(dāng)前和歷史與線索相關(guān)聯(lián)的其它數(shù)據(jù)信息.其中域名解析記錄是客戶端域名訪問記錄；已開端口記錄是IP地址已開放訪問的端口號；樣本外聯(lián)是計(jì)算機(jī)上惡意樣本的網(wǎng)絡(luò)外聯(lián)行為；樣本來源是計(jì)算機(jī)上惡意樣本下載的來源url等信息，如圖3所示.

圖3 數(shù)據(jù)查詢模塊Fig.3 Data query modules

3 系統(tǒng)實(shí)現(xiàn)

可視化系統(tǒng)分為7個(gè)部分：頂欄（包含分析、顯示、協(xié)同、文件）、縮略圖、標(biāo)簽欄、主畫布、查詢表單欄、詳細(xì)信息欄、底欄（包含節(jié)點(diǎn)列表、連線列表、操作歷史、時(shí)間軸）.如圖4所示.

圖4 網(wǎng)絡(luò)威脅可視化分析系統(tǒng)界面Fig.4 User Interface of network threat visualization analysis system

3.1 手動查詢

手動查詢模式下，當(dāng)查詢類型為域名、IP、樣本MD5這3種類型之一時(shí)，則顯示“自動關(guān)聯(lián)分析”勾選框，勾選即可進(jìn)入自動關(guān)聯(lián)分析查詢，如圖5所示.

圖5 手動查詢界面Fig.5 Manual query interface

1）域名自動關(guān)聯(lián)分析：選擇域名，在查詢值輸入框輸入目標(biāo)域名，分析模型可選線索擴(kuò)展、背景研判、線索落地，如圖6所示.

圖6 域名自動關(guān)聯(lián)分析界面Fig.6 Domain name automatic association analysis interface

線索擴(kuò)展：按照線索擴(kuò)展的業(yè)務(wù)場景，將此場景下慣用的經(jīng)典分析方法固化為查詢模型，自動查詢目標(biāo)域名相關(guān)的兄弟域名、樣本外聯(lián)、Whois、DNS解析記錄、子域名、樣本外聯(lián)的目的IP等線索，并自動形成關(guān)系網(wǎng)絡(luò)，以期查詢到該域名相關(guān)的IP和域名，進(jìn)而擴(kuò)展線索.

背景研判：按照背景研判的業(yè)務(wù)場景需求，將此場景下慣用的經(jīng)典分析方法固化為查詢模型，自動查詢目標(biāo)域名相關(guān)的兄弟域名、樣本外聯(lián)、Whois、DNS解析記錄、目的IP、子域名、歸屬地等線索，并自動形成關(guān)系網(wǎng)絡(luò)，以期查詢到該域名有通訊和外聯(lián)的IP、域名和所在位置，進(jìn)而對目標(biāo)域名進(jìn)行研判.

線索落地：按照線索落地的業(yè)務(wù)場景需求，將此場景下慣用的經(jīng)典分析方法固化為查詢模型，自動查詢目標(biāo)域名相關(guān)的樣本下載、樣本外聯(lián)、上網(wǎng)行為、客戶端IP等線索，并自動形成關(guān)系網(wǎng)絡(luò)，以期查詢到該域名相關(guān)的客戶端IP，進(jìn)而鎖定地理位置范圍.

2）IP自動關(guān)聯(lián)分析：使用方式及目的同域名自動關(guān)聯(lián)分析.

3）樣本MD5自動關(guān)聯(lián)分析：使用方式及目的同域名自動關(guān)聯(lián)分析.

3.2 自動查詢

畫布右上角查詢框表單欄內(nèi)，選擇自動查詢.依次選擇查詢類型和查詢結(jié)果，點(diǎn)擊開始查詢，即開始對畫布上類型相同的節(jié)點(diǎn)做相同的遞歸查詢.下圖中是對www.baidu.com正向解析后畫布上所有的域名節(jié)點(diǎn)做DNS正向解析的結(jié)果，如圖7所示.

圖7 自動查詢界面Fig.7 Automatic query interface

4 結(jié)論

本系統(tǒng)通過對網(wǎng)絡(luò)信息事件相關(guān)信息的直觀展示和網(wǎng)絡(luò)安全相關(guān)業(yè)務(wù)建模，降低了事件調(diào)查人員的技術(shù)門檻，使得普通的安全運(yùn)維人員即可完成相關(guān)工作.通過常見網(wǎng)絡(luò)安全事件調(diào)查方式的分析固化，在面對類似的安全事件無需重復(fù)操作，而是直接展現(xiàn)事件的基本情況，迅速完成調(diào)查研判工作.在網(wǎng)絡(luò)安全事件調(diào)查中將威脅、資產(chǎn)和情報(bào)信息結(jié)合，在時(shí)間調(diào)查中實(shí)現(xiàn)了對事件全貌的還原，幫助加快做出響應(yīng)決策.

本系統(tǒng)的實(shí)現(xiàn)提升了威脅事件分析及溯源的工作效率，降低威脅事件分析及溯源的人力成本，保障了生產(chǎn)業(yè)務(wù)連續(xù)穩(wěn)定運(yùn)行，提升了經(jīng)濟(jì)效益.