信息安全態(tài)勢感知系統(tǒng)論文

　　中國政治密碼現(xiàn)代計算機技術快速的在電力系統(tǒng)發(fā)展，網(wǎng)絡攻擊和入侵行為正向著規(guī)�；�、復雜化、分布化、間接化等趨勢發(fā)展。雖然已經(jīng)采取了各種網(wǎng)絡安全防護措施，但是單一的安全防護措施沒有綜合考慮各種防護措施之間的關聯(lián)性，無法滿足從宏觀角度評估入侵威脅安全性的需求。信息安全安全態(tài)勢感知系統(tǒng)的研究就是在這種背景下產(chǎn)生的。它在融合各種網(wǎng)絡安全要素的基礎上從宏觀的角度實時評估網(wǎng)絡的安全態(tài)勢，并在一定條件下對網(wǎng)絡安全態(tài)勢的發(fā)展趨勢進行預測和展示。

　　目前隨著互聯(lián)網(wǎng)的發(fā)展普及，網(wǎng)絡安全的重要性及企業(yè)以及其對社會的影響越來越大，網(wǎng)絡安全問題也越來越突出，并逐漸成為互聯(lián)網(wǎng)及各項網(wǎng)絡信息化服務和應用進一步發(fā)展所亟需解決的關鍵問題。網(wǎng)絡安全態(tài)勢感知技術的研究是近幾年發(fā)展起來的一個熱門研究領域。它不僅契合所有可獲取的信息實時評估網(wǎng)絡的安全態(tài)勢，還包括對威脅事件的預判，為網(wǎng)絡安全管理員的決策分析和溯源提供有力的依據(jù)，將不安全因素帶來的風險和對企業(yè)帶來的經(jīng)濟利益降到最低。網(wǎng)絡安全態(tài)勢感知系統(tǒng)在提高應急響應能力、網(wǎng)絡的監(jiān)控能力、預測網(wǎng)絡安全的發(fā)展趨勢和應對互聯(lián)網(wǎng)安全事件等方面都具有重要的意義。

　　那么全面準確地攝取網(wǎng)絡中的安全態(tài)勢要素是網(wǎng)絡安全態(tài)勢感知技術研究的基礎方向。然而由于網(wǎng)絡已經(jīng)發(fā)展成一個龐大的非線性復雜系統(tǒng)，具有很強的靈活性，使得網(wǎng)絡安全態(tài)勢要素的攝取存在很大難度。目前網(wǎng)絡的安全態(tài)勢技術要點主要包括靜態(tài)的配置信息、動態(tài)的運行信息以及網(wǎng)絡的流量甄別信息等。其中，靜態(tài)的配置信息包括網(wǎng)絡的拓撲信息、事件信息、脆弱性信息和狀態(tài)信息等基本的環(huán)境配置信息;動態(tài)的運行信息包括從各種安全防護措施的日志采集和分析技術獲取的標準化之后的威脅信息等基本的運行信息[1]。

　　電力企業(yè)作為承擔公共網(wǎng)絡安全艱巨任務的職能部門，通過有效的技術手段和嚴格的規(guī)范制度，對本地互聯(lián)網(wǎng)安全進行持續(xù)，有效的監(jiān)測分析，掌握網(wǎng)絡安全形勢，感知網(wǎng)絡攻擊趨勢，追溯惡意活動實施主體，為重要信息系統(tǒng)防護和打擊網(wǎng)絡違法活動提供支撐，保衛(wèi)本地網(wǎng)絡空間安全。

　　態(tài)勢感知的定義：一定時間和空間內(nèi)環(huán)境因素的獲取，理解和對未來短期的預測[1]網(wǎng)絡安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡環(huán)境中，對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行甄別、獲取、理解、顯示以及預測未來的事件發(fā)展趨勢。所謂網(wǎng)絡態(tài)勢是指由各種網(wǎng)元設備運行狀況、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡當前狀態(tài)和變化趨勢。

　　國外在網(wǎng)絡安全態(tài)勢感知方面很早就已經(jīng)做著積極的研究，比較有代表性的，如Bass提出應用多傳感器數(shù)據(jù)融合建立網(wǎng)絡空間態(tài)勢感知的框架，通過推理識別入侵者身份、速度、威脅性和入侵目標，進而評估網(wǎng)絡空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡安全態(tài)勢感知相關概念進行了分析比較研究，并提出基于模塊化的技術無關框架結構。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等[3]。

　　1安全態(tài)勢感知系統(tǒng)架構

　　網(wǎng)絡安全態(tài)勢感知系統(tǒng)的體系架構(如圖一)，由威脅事件數(shù)據(jù)采集層、安全事件基礎數(shù)據(jù)平臺、平臺業(yè)務應用層構成。

　　網(wǎng)絡安全態(tài)勢感知系統(tǒng)在對網(wǎng)絡安全事件的監(jiān)測和網(wǎng)絡安全數(shù)據(jù)收集的基礎上，進行通報處置、威脅線索分析、態(tài)勢分析完成對網(wǎng)絡安全威脅與事件數(shù)據(jù)的分析、通報與處置，態(tài)勢展示則結合上述三個模塊的數(shù)據(jù)進行綜合的展示，身份認證子模塊為各子平臺或系統(tǒng)的使用提供安全運行保障。威脅線索分析模塊在威脅數(shù)據(jù)處理和數(shù)據(jù)關聯(lián)分析引擎的支持下，進行網(wǎng)絡安全事件關聯(lián)分析和威脅情報的深度挖掘，形成通報預警所需的數(shù)據(jù)集合以及為打擊預防網(wǎng)絡違法犯罪提供支持的威脅線索。通報處置模塊實現(xiàn)數(shù)據(jù)上報、數(shù)據(jù)整理，通報下發(fā)，調(diào)查處置與反饋等通報工作。態(tài)勢分析基于態(tài)勢分析體系調(diào)用態(tài)勢分析引擎完成對網(wǎng)絡安全態(tài)勢的分析與預測及態(tài)勢展示。

　　1.1數(shù)據(jù)采集層

　　數(shù)據(jù)采集系統(tǒng)組成圖(如圖二)，由采集集群與數(shù)據(jù)源組成，采集集群由管理節(jié)點，工作節(jié)點組成;數(shù)據(jù)源包括流量安全事件檢測(專用設備)和非流量安全事件(服務器)組成。

　　1.2基礎數(shù)據(jù)管理

　　基礎數(shù)據(jù)平臺由數(shù)據(jù)存儲數(shù)據(jù)存儲訪問組件、通報預警數(shù)據(jù)資源和基礎數(shù)據(jù)管理應用組成(如圖三)，數(shù)據(jù)存儲訪問組件式基礎數(shù)據(jù)平臺的多源數(shù)據(jù)整合組件，整合流量安全事件、非流量平臺接入數(shù)據(jù)、互聯(lián)網(wǎng)威脅數(shù)據(jù)等，網(wǎng)絡安全態(tài)勢感知，分析與預警涉及的數(shù)據(jù)較廣，有效地態(tài)勢分析與預測所需資源庫需要大量有效數(shù)據(jù)的支撐，因此通報預警數(shù)據(jù)資源須根據(jù)態(tài)勢分析與預警需要不斷進行建設�；�礎數(shù)據(jù)平臺負責安全態(tài)勢感知與通報預警數(shù)據(jù)的采集、管理、預處理以及分類工作，并在數(shù)據(jù)收集管理基礎上面向通報預警應用系統(tǒng)提供數(shù)據(jù)支撐服務。

　　1.3威脅線索分析

　　網(wǎng)絡安全態(tài)勢感知基于對網(wǎng)絡安全威脅監(jiān)測和網(wǎng)安業(yè)務數(shù)據(jù)關聯(lián)分析實現(xiàn)入侵攻擊事件分析引擎、惡意域名網(wǎng)站專項分析引擎和攻擊組織/攻擊IP專項分析引擎。在業(yè)務層面通過威脅分析任務的形式調(diào)度各分析引擎作業(yè)，包括日常威脅分析任務、專項威脅分析任務、重要信息系統(tǒng)威脅分析任務、突發(fā)事件威脅分析任務等。通過上述分析任務分析得到攻擊行為、欺詐/仿冒/釣魚等網(wǎng)絡安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關的網(wǎng)絡攻擊或惡意活動線索信息;分析得到重點單位、重要系統(tǒng)/網(wǎng)站、重要網(wǎng)絡部位相關的網(wǎng)絡安全線索數(shù)據(jù)(如圖四)。

　　1.4網(wǎng)絡安全態(tài)勢分析

　　態(tài)勢分析功能(如圖五)應從宏觀方面，分析整個互聯(lián)網(wǎng)總體安全狀況，包括給累網(wǎng)絡安全威脅態(tài)勢分析和展示;微觀方面，提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示，包括網(wǎng)站態(tài)勢、重點單位態(tài)勢、專項威脅態(tài)勢和總體態(tài)勢。其中網(wǎng)站態(tài)勢應對所監(jiān)測網(wǎng)站的網(wǎng)絡安全威脅和網(wǎng)絡安全事件進行態(tài)勢分析和展示;重點單位態(tài)勢應支持對重點單位的網(wǎng)絡安全威脅事件態(tài)勢分析和展示;專項威脅態(tài)勢應對網(wǎng)站仿冒、網(wǎng)絡釣魚、漏洞利用攻擊等網(wǎng)絡攻擊事件、木馬、僵尸網(wǎng)絡等有害程序事件，網(wǎng)頁篡改、信息竊取等信息破壞事件進行專項態(tài)勢分析和展示。此外，態(tài)勢分析應提供網(wǎng)絡安全總體態(tài)勢的展示和呈現(xiàn)。

　　1.5攻擊反制

　　通過分析發(fā)現(xiàn)的安全事件，根據(jù)目標的IP地址進行攻擊反制，利用指紋工具獲得危險源的指紋信息(如圖六)，如操作系統(tǒng)信息、開放的端口以及端口的服務類別。漏洞掃描根據(jù)指紋識別的信息，進行有針對性的漏洞掃描[4]，發(fā)現(xiàn)危險源可被利用的漏洞。根據(jù)可被利用的漏洞進行滲透測試，如果自動滲透測試成功，進一步獲得危險源的`內(nèi)部信息，如主機名稱、運行的進程等信息;如果自動滲透測試失敗，需要人工干預手動進行滲透測試。

　　通過攻擊反制，可以進一步掌握攻擊組織/攻擊個人的犯罪證據(jù)，為打擊網(wǎng)絡犯罪提供證據(jù)支撐。

　　1.6態(tài)勢展示

　　圖七：態(tài)勢展示圖

　　態(tài)勢展示依賴一個或多個并行工作的態(tài)勢分析引擎(如圖七)，基于基礎的態(tài)勢分析插件如時序分析插件、統(tǒng)計分析插件、地域分布分析插件進行基礎態(tài)勢數(shù)據(jù)分析，借助基線指標態(tài)勢分析、態(tài)勢修正分析和態(tài)勢預測分析完成態(tài)勢數(shù)據(jù)的輸出，數(shù)據(jù)分析結果通過大數(shù)據(jù)可視化技術進行展示[5]。

　　2安全態(tài)勢感知系統(tǒng)發(fā)展

　　網(wǎng)絡安全態(tài)勢預測技術指通過對歷史資料以及網(wǎng)絡安全態(tài)勢數(shù)據(jù)的分析，憑借固有的實踐經(jīng)驗以及理論內(nèi)容整理、歸納和判斷網(wǎng)絡安全未來的態(tài)勢。眾所周知，網(wǎng)絡安全態(tài)勢感知的發(fā)展具有較大不確定性，而且預測性質、范圍、時間以及對象不同應用范圍內(nèi)的預測方法也不同。根據(jù)屬性可將網(wǎng)絡安全態(tài)勢預測方法分為判定性預測方法、時間序列分析法以及因果預測方法。其中網(wǎng)絡安全態(tài)勢感知判定性預測方法指結合網(wǎng)絡系統(tǒng)之前與當前安全態(tài)勢數(shù)據(jù)情況，以直覺邏輯基礎人為的對網(wǎng)絡安全態(tài)勢進行預測。時間序列分析方法指依據(jù)歷史數(shù)據(jù)與時間的關系，對下一次的系統(tǒng)變量進行預測[6]。由于該方法僅考慮時間變化的系統(tǒng)性能定量，因此，比較適合應用在依據(jù)簡單統(tǒng)計數(shù)據(jù)隨時間變化的對象上。因果預測方法指依據(jù)系統(tǒng)變量之間存在的因果關系，確定某些因素影響造成的結果，建立其與數(shù)學模型間的關系，根據(jù)可變因素的變化情況，對結果變量的趨勢和方向進行預測。

　　3結語

　　本文主要的信息安全建設中的安全態(tài)勢感知系統(tǒng)進行了具體設計，詳細定義了系統(tǒng)的基本功能，對系統(tǒng)各個模塊的實現(xiàn)方式進行了詳細設計。系統(tǒng)通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測模型各種模型的研究來實現(xiàn)平臺對安全態(tài)勢與趨勢分析、安全防護預警與決策[7]。

【信息安全態(tài)勢感知系統(tǒng)論文】相關文章：

1.電力信息安全態(tài)勢感知分析

2.網(wǎng)絡安全態(tài)勢感知系統(tǒng)的關鍵技術論文

3.信息安全管理中信息安全態(tài)勢分析

4.淺析信息安全態(tài)勢智能預警分析平臺的論文

5.企業(yè)IT系統(tǒng)信息安全分析論文

6.廣電系統(tǒng)的信息安全分析論文

7.電力信息網(wǎng)絡安全態(tài)勢評估方法論文

8.電力系統(tǒng)信息安全的論文