信息安全態(tài)勢感知系統論文

　　中國政治密碼現代計算機技術(shù)快速的在電力系統發(fā)展，網(wǎng)絡(luò )攻擊和入侵行為正向著(zhù)規�；�、復雜化、分布化、間接化等趨勢發(fā)展。雖然已經(jīng)采取了各種網(wǎng)絡(luò )安全防護措施，但是單一的安全防護措施沒(méi)有綜合考慮各種防護措施之間的關(guān)聯(lián)性，無(wú)法滿(mǎn)足從宏觀(guān)角度評估入侵威脅安全性的需求。信息安全安全態(tài)勢感知系統的研究就是在這種背景下產(chǎn)生的。它在融合各種網(wǎng)絡(luò )安全要素的基礎上從宏觀(guān)的角度實(shí)時(shí)評估網(wǎng)絡(luò )的安全態(tài)勢，并在一定條件下對網(wǎng)絡(luò )安全態(tài)勢的發(fā)展趨勢進(jìn)行預測和展示。

　　目前隨著(zhù)互聯(lián)網(wǎng)的發(fā)展普及，網(wǎng)絡(luò )安全的重要性及企業(yè)以及其對社會(huì )的影響越來(lái)越大，網(wǎng)絡(luò )安全問(wèn)題也越來(lái)越突出，并逐漸成為互聯(lián)網(wǎng)及各項網(wǎng)絡(luò )信息化服務(wù)和應用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問(wèn)題。網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)的研究是近幾年發(fā)展起來(lái)的一個(gè)熱門(mén)研究領(lǐng)域。它不僅契合所有可獲取的信息實(shí)時(shí)評估網(wǎng)絡(luò )的安全態(tài)勢，還包括對威脅事件的預判，為網(wǎng)絡(luò )安全管理員的決策分析和溯源提供有力的依據，將不安全因素帶來(lái)的風(fēng)險和對企業(yè)帶來(lái)的經(jīng)濟利益降到最低。網(wǎng)絡(luò )安全態(tài)勢感知系統在提高應急響應能力、網(wǎng)絡(luò )的監控能力、預測網(wǎng)絡(luò )安全的發(fā)展趨勢和應對互聯(lián)網(wǎng)安全事件等方面都具有重要的意義。

　　那么全面準確地攝取網(wǎng)絡(luò )中的安全態(tài)勢要素是網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)研究的基礎方向。然而由于網(wǎng)絡(luò )已經(jīng)發(fā)展成一個(gè)龐大的非線(xiàn)性復雜系統，具有很強的靈活性，使得網(wǎng)絡(luò )安全態(tài)勢要素的攝取存在很大難度。目前網(wǎng)絡(luò )的安全態(tài)勢技術(shù)要點(diǎn)主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運行信息以及網(wǎng)絡(luò )的流量甄別信息等。其中，靜態(tài)的配置信息包括網(wǎng)絡(luò )的拓撲信息、事件信息、脆弱性信息和狀態(tài)信息等基本的環(huán)境配置信息;動(dòng)態(tài)的運行信息包括從各種安全防護措施的日志采集和分析技術(shù)獲取的標準化之后的威脅信息等基本的運行信息[1]。

　　電力企業(yè)作為承擔公共網(wǎng)絡(luò )安全艱巨任務(wù)的職能部門(mén)，通過(guò)有效的技術(shù)手段和嚴格的規范制度，對本地互聯(lián)網(wǎng)安全進(jìn)行持續，有效的監測分析，掌握網(wǎng)絡(luò )安全形勢，感知網(wǎng)絡(luò )攻擊趨勢，追溯惡意活動(dòng)實(shí)施主體，為重要信息系統防護和打擊網(wǎng)絡(luò )違法活動(dòng)提供支撐，保衛本地網(wǎng)絡(luò )空間安全。

　　態(tài)勢感知的定義：一定時(shí)間和空間內環(huán)境因素的獲取，理解和對未來(lái)短期的預測[1]網(wǎng)絡(luò )安全態(tài)勢感知是指在大規模網(wǎng)絡(luò )環(huán)境中，對能夠引起網(wǎng)絡(luò )態(tài)勢發(fā)生變化的安全要素進(jìn)行甄別、獲取、理解、顯示以及預測未來(lái)的事件發(fā)展趨勢。所謂網(wǎng)絡(luò )態(tài)勢是指由各種網(wǎng)元設備運行狀況、網(wǎng)絡(luò )行為以及用戶(hù)行為等因素所構成的整個(gè)網(wǎng)絡(luò )當前狀態(tài)和變化趨勢。

　　國外在網(wǎng)絡(luò )安全態(tài)勢感知方面很早就已經(jīng)做著(zhù)積極的研究，比較有代表性的，如Bass提出應用多傳感器數據融合建立網(wǎng)絡(luò )空間態(tài)勢感知的框架，通過(guò)推理識別入侵者身份、速度、威脅性和入侵目標，進(jìn)而評估網(wǎng)絡(luò )空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡(luò )安全態(tài)勢感知相關(guān)概念進(jìn)行了分析比較研究，并提出基于模塊化的技術(shù)無(wú)關(guān)框架結構。其他開(kāi)展該項研究的個(gè)人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等[3]。

　　1安全態(tài)勢感知系統架構

　　網(wǎng)絡(luò )安全態(tài)勢感知系統的體系架構(如圖一)，由威脅事件數據采集層、安全事件基礎數據平臺、平臺業(yè)務(wù)應用層構成。

　　網(wǎng)絡(luò )安全態(tài)勢感知系統在對網(wǎng)絡(luò )安全事件的監測和網(wǎng)絡(luò )安全數據收集的基礎上，進(jìn)行通報處置、威脅線(xiàn)索分析、態(tài)勢分析完成對網(wǎng)絡(luò )安全威脅與事件數據的分析、通報與處置，態(tài)勢展示則結合上述三個(gè)模塊的數據進(jìn)行綜合的展示，身份認證子模塊為各子平臺或系統的使用提供安全運行保障。威脅線(xiàn)索分析模塊在威脅數據處理和數據關(guān)聯(lián)分析引擎的支持下，進(jìn)行網(wǎng)絡(luò )安全事件關(guān)聯(lián)分析和威脅情報的深度挖掘，形成通報預警所需的數據集合以及為打擊預防網(wǎng)絡(luò )違法犯罪提供支持的威脅線(xiàn)索。通報處置模塊實(shí)現數據上報、數據整理，通報下發(fā)，調查處置與反饋等通報工作。態(tài)勢分析基于態(tài)勢分析體系調用態(tài)勢分析引擎完成對網(wǎng)絡(luò )安全態(tài)勢的分析與預測及態(tài)勢展示。

　　1.1數據采集層

　　數據采集系統組成圖(如圖二)，由采集集群與數據源組成，采集集群由管理節點(diǎn)，工作節點(diǎn)組成;數據源包括流量安全事件檢測(專(zhuān)用設備)和非流量安全事件(服務(wù)器)組成。

　　1.2基礎數據管理

　　基礎數據平臺由數據存儲數據存儲訪(fǎng)問(wèn)組件、通報預警數據資源和基礎數據管理應用組成(如圖三)，數據存儲訪(fǎng)問(wèn)組件式基礎數據平臺的多源數據整合組件，整合流量安全事件、非流量平臺接入數據、互聯(lián)網(wǎng)威脅數據等，網(wǎng)絡(luò )安全態(tài)勢感知，分析與預警涉及的數據較廣，有效地態(tài)勢分析與預測所需資源庫需要大量有效數據的支撐，因此通報預警數據資源須根據態(tài)勢分析與預警需要不斷進(jìn)行建設�；�礎數據平臺負責安全態(tài)勢感知與通報預警數據的采集、管理、預處理以及分類(lèi)工作，并在數據收集管理基礎上面向通報預警應用系統提供數據支撐服務(wù)。

　　1.3威脅線(xiàn)索分析

　　網(wǎng)絡(luò )安全態(tài)勢感知基于對網(wǎng)絡(luò )安全威脅監測和網(wǎng)安業(yè)務(wù)數據關(guān)聯(lián)分析實(shí)現入侵攻擊事件分析引擎、惡意域名網(wǎng)站專(zhuān)項分析引擎和攻擊組織/攻擊IP專(zhuān)項分析引擎。在業(yè)務(wù)層面通過(guò)威脅分析任務(wù)的形式調度各分析引擎作業(yè)，包括日常威脅分析任務(wù)、專(zhuān)項威脅分析任務(wù)、重要信息系統威脅分析任務(wù)、突發(fā)事件威脅分析任務(wù)等。通過(guò)上述分析任務(wù)分析得到攻擊行為、欺詐/仿冒/釣魚(yú)等網(wǎng)絡(luò )安全威脅線(xiàn)索;分析得到攻擊組織、攻擊者IP或虛擬身份相關(guān)的網(wǎng)絡(luò )攻擊或惡意活動(dòng)線(xiàn)索信息;分析得到重點(diǎn)單位、重要系統/網(wǎng)站、重要網(wǎng)絡(luò )部位相關(guān)的網(wǎng)絡(luò )安全線(xiàn)索數據(如圖四)。

　　1.4網(wǎng)絡(luò )安全態(tài)勢分析

　　態(tài)勢分析功能(如圖五)應從宏觀(guān)方面，分析整個(gè)互聯(lián)網(wǎng)總體安全狀況，包括給累網(wǎng)絡(luò )安全威脅態(tài)勢分析和展示;微觀(guān)方面，提供對特定保護對象所遭受的各種攻擊進(jìn)行趨勢分析和展示，包括網(wǎng)站態(tài)勢、重點(diǎn)單位態(tài)勢、專(zhuān)項威脅態(tài)勢和總體態(tài)勢。其中網(wǎng)站態(tài)勢應對所監測網(wǎng)站的網(wǎng)絡(luò )安全威脅和網(wǎng)絡(luò )安全事件進(jìn)行態(tài)勢分析和展示;重點(diǎn)單位態(tài)勢應支持對重點(diǎn)單位的網(wǎng)絡(luò )安全威脅事件態(tài)勢分析和展示;專(zhuān)項威脅態(tài)勢應對網(wǎng)站仿冒、網(wǎng)絡(luò )釣魚(yú)、漏洞利用攻擊等網(wǎng)絡(luò )攻擊事件、木馬、僵尸網(wǎng)絡(luò )等有害程序事件，網(wǎng)頁(yè)篡改、信息竊取等信息破壞事件進(jìn)行專(zhuān)項態(tài)勢分析和展示。此外，態(tài)勢分析應提供網(wǎng)絡(luò )安全總體態(tài)勢的展示和呈現。

　　1.5攻擊反制

　　通過(guò)分析發(fā)現的安全事件，根據目標的IP地址進(jìn)行攻擊反制，利用指紋工具獲得危險源的指紋信息(如圖六)，如操作系統信息、開(kāi)放的端口以及端口的服務(wù)類(lèi)別。漏洞掃描根據指紋識別的信息，進(jìn)行有針對性的漏洞掃描[4]，發(fā)現危險源可被利用的漏洞。根據可被利用的漏洞進(jìn)行滲透測試，如果自動(dòng)滲透測試成功，進(jìn)一步獲得危險源的內部信息，如主機名稱(chēng)、運行的進(jìn)程等信息;如果自動(dòng)滲透測試失敗，需要人工干預手動(dòng)進(jìn)行滲透測試。

　　通過(guò)攻擊反制，可以進(jìn)一步掌握攻擊組織/攻擊個(gè)人的犯罪證據，為打擊網(wǎng)絡(luò )犯罪提供證據支撐。

　　1.6態(tài)勢展示

　　圖七：態(tài)勢展示圖

　　態(tài)勢展示依賴(lài)一個(gè)或多個(gè)并行工作的態(tài)勢分析引擎(如圖七)，基于基礎的態(tài)勢分析插件如時(shí)序分析插件、統計分析插件、地域分布分析插件進(jìn)行基礎態(tài)勢數據分析，借助基線(xiàn)指標態(tài)勢分析、態(tài)勢修正分析和態(tài)勢預測分析完成態(tài)勢數據的輸出，數據分析結果通過(guò)大數據可視化技術(shù)進(jìn)行展示[5]。

　　2安全態(tài)勢感知系統發(fā)展

　　網(wǎng)絡(luò )安全態(tài)勢預測技術(shù)指通過(guò)對歷史資料以及網(wǎng)絡(luò )安全態(tài)勢數據的分析，憑借固有的實(shí)踐經(jīng)驗以及理論內容整理、歸納和判斷網(wǎng)絡(luò )安全未來(lái)的態(tài)勢。眾所周知，網(wǎng)絡(luò )安全態(tài)勢感知的發(fā)展具有較大不確定性，而且預測性質(zhì)、范圍、時(shí)間以及對象不同應用范圍內的預測方法也不同。根據屬性可將網(wǎng)絡(luò )安全態(tài)勢預測方法分為判定性預測方法、時(shí)間序列分析法以及因果預測方法。其中網(wǎng)絡(luò )安全態(tài)勢感知判定性預測方法指結合網(wǎng)絡(luò )系統之前與當前安全態(tài)勢數據情況，以直覺(jué)邏輯基礎人為的對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行預測。時(shí)間序列分析方法指依據歷史數據與時(shí)間的關(guān)系，對下一次的系統變量進(jìn)行預測[6]。由于該方法僅考慮時(shí)間變化的系統性能定量，因此，比較適合應用在依據簡(jiǎn)單統計數據隨時(shí)間變化的對象上。因果預測方法指依據系統變量之間存在的因果關(guān)系，確定某些因素影響造成的結果，建立其與數學(xué)模型間的關(guān)系，根據可變因素的變化情況，對結果變量的趨勢和方向進(jìn)行預測。

　　3結語(yǔ)

　　本文主要的信息安全建設中的安全態(tài)勢感知系統進(jìn)行了具體設計，詳細定義了系統的基本功能，對系統各個(gè)模塊的實(shí)現方式進(jìn)行了詳細設計。系統通過(guò)對地址熵模型、三元組模型、熱點(diǎn)事件傳播模型、事件擴散模型、端口流量模型、協(xié)議流量模型和異常流量監測模型各種模型的研究來(lái)實(shí)現平臺對安全態(tài)勢與趨勢分析、安全防護預警與決策[7]。

【信息安全態(tài)勢感知系統論文】相關(guān)文章：

電力信息安全態(tài)勢感知分析10-25

信息安全管理中信息安全態(tài)勢分析08-11

公路信息系統機房安全管理研究論文08-22

信息安全風(fēng)險評估綜合管理系統設計的論文06-21

城軌信號系統信息安全技術(shù)方案論文05-04

信息化管理系統的論文08-02

信息管理系統論文07-30

信息管理系統論文09-03

新時(shí)期信息安全主動(dòng)防御系統研究論文08-30

云計算下的信息安全應急系統研究論文06-18