網(wǎng)絡安全態(tài)勢感知結構分析

時間:2022-02-13 11:31:13

導語:網(wǎng)絡安全態(tài)勢感知結構分析一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

【摘要】近年來,網(wǎng)絡安全在各行業(yè)中持續(xù)高熱,信息安全問題也正成為大數(shù)據(jù)分析的重要問題。網(wǎng)絡安全態(tài)勢感知作為網(wǎng)絡安全領域的一種新技術,通過結合大數(shù)據(jù)平臺中處理的檢測對象的關鍵數(shù)據(jù),對整個網(wǎng)絡當前的安全狀況做出評估,并對未來一段時間內(nèi)的變化趨勢做出預測。交通運輸行業(yè)作為大數(shù)據(jù)平臺深度應用的典型行業(yè),時刻面臨著網(wǎng)絡安全的威脅,網(wǎng)絡安全態(tài)勢感知技術恰好能解決這一問題。下面本文將針對交通運輸大數(shù)據(jù)平臺對網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構展開研究。

【關鍵詞】態(tài)勢感知;大數(shù)據(jù);安全評估;預警研判

一、交通運輸行業(yè)網(wǎng)絡安全現(xiàn)狀

隨著國家信息化工作的推進,以物聯(lián)網(wǎng)和智能交通為代表的新型信息應用在交通運輸行業(yè)高度滲透,即將邁入全面聯(lián)網(wǎng)、業(yè)務協(xié)同、智能應用的新階段。同時,行業(yè)重要業(yè)務系統(tǒng)、門戶網(wǎng)站、郵件、專用網(wǎng)絡、公務終端等一直是敵對勢力、黑客組織、極端個人關注和攻擊的重點,網(wǎng)絡篡改、敏感數(shù)據(jù)泄露等網(wǎng)絡安全事件層出不窮。

二、基于大數(shù)據(jù)平臺的網(wǎng)絡安全態(tài)勢感知系統(tǒng)

網(wǎng)絡態(tài)勢指的是由各種網(wǎng)絡設備、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡的當前狀態(tài)和變化趨勢。網(wǎng)絡安全態(tài)勢感知指在當前網(wǎng)絡運行大環(huán)境中,通過提取能影響網(wǎng)絡態(tài)勢的因素進行理解、分析,并能對未來網(wǎng)絡狀態(tài)的變化趨勢做出預測?;诖髷?shù)據(jù)平臺的網(wǎng)絡安全態(tài)勢感知系統(tǒng)是基于網(wǎng)絡數(shù)據(jù)流實時捕獲、協(xié)議處理分析、會話統(tǒng)計、跟蹤記錄與檢測,將采集數(shù)據(jù)存儲入大數(shù)據(jù)平臺,并以大數(shù)據(jù)平臺中經(jīng)過預處理和建模分析后的數(shù)據(jù)信息為評估依據(jù),對當前網(wǎng)絡狀態(tài)做出評估,并對未來一段時間的網(wǎng)絡環(huán)境實現(xiàn)威脅發(fā)現(xiàn)、精準預警和態(tài)勢感知。它采用多檢測引擎機制,能夠監(jiān)測到網(wǎng)絡上的各種網(wǎng)絡安全事件,具體包括惡意代碼的網(wǎng)絡傳播,木馬、后門等惡意代碼的網(wǎng)絡通信活動,惡意網(wǎng)址的訪問,逃逸攻擊,端口掃描攻擊,漏洞探測攻擊,高級持續(xù)性攻擊,DDOS攻擊,DNS劫持攻擊,以及僵尸網(wǎng)絡等。2.1數(shù)據(jù)資源。數(shù)據(jù)資源主要涉及到基礎數(shù)據(jù)、動態(tài)數(shù)據(jù)、知識數(shù)據(jù)等內(nèi)容,以自由樣本數(shù)據(jù)、第三方樣本、DNS基礎數(shù)據(jù)、惡意URL數(shù)據(jù)形式組成大數(shù)據(jù)分析的數(shù)據(jù)資源。2.2安全工具。安全工具是網(wǎng)絡安全態(tài)勢感知系統(tǒng)的基礎,為網(wǎng)絡安全態(tài)勢感知系統(tǒng)提供數(shù)據(jù)源(即針對各類威脅的檢測結果、日志與資產(chǎn)信息),安全工具主要包括:網(wǎng)絡攻擊檢測探針、異常行為檢測探針、未知攻擊檢測探針、郵件安全監(jiān)測引擎、網(wǎng)站安全監(jiān)測引擎、設備故障監(jiān)測設備、脆弱性掃描引擎、惡意代碼檢測工具、資產(chǎn)掃描引擎、日志采集工具、信息外泄檢測工具等。2.3大數(shù)據(jù)分析平臺的構建大數(shù)據(jù)分析。平臺主要功能是對威脅數(shù)據(jù)采集探針和采集引擎等安全工具采集到的安全數(shù)據(jù)進行存儲和處理。本文主要以交通運輸行業(yè)政府網(wǎng)站、政務郵箱、重要業(yè)務系統(tǒng)、重要公務終端以及重要網(wǎng)絡節(jié)點等關鍵信息基礎設施為監(jiān)測對象,通過安全工具,收集與網(wǎng)絡安全有關的各類威脅信息,運用大數(shù)據(jù)存儲管理技術將所采集的數(shù)據(jù)統(tǒng)一存儲到大數(shù)據(jù)平臺中,形成原始數(shù)據(jù)庫。而原始數(shù)據(jù)庫中的數(shù)據(jù)存在大量的冗余信息,不能直接用于態(tài)勢感知的數(shù)據(jù)分析,需要經(jīng)過大數(shù)據(jù)分析平臺對采集到的數(shù)據(jù)完成預處理和特征提取,具體包括清洗、轉換、去重、過濾、有效性驗證等過程,最終完成存儲和索引。大數(shù)據(jù)分析平臺包含多種數(shù)據(jù)計算引擎,包括:搜索、統(tǒng)計、關聯(lián)分析、威脅監(jiān)測等,為上層不同場景下的應用提供數(shù)據(jù)處理結果。2.4網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構模型。本結構模型根據(jù)五個監(jiān)測對象的特點和交通運輸行業(yè)必要的功能實現(xiàn)要求,將網(wǎng)絡安全態(tài)勢感知平臺的主要功能實現(xiàn)部分分為三個應用系統(tǒng):安全評估應用系統(tǒng)、態(tài)勢感知應用系統(tǒng)和預警處置應用系統(tǒng)。三個應用系統(tǒng)基于大數(shù)據(jù)分析平臺處理后的數(shù)據(jù),通過對采集數(shù)據(jù)的關聯(lián)分析和融合處理,反應當前網(wǎng)絡的安全狀況,給出一個可信的態(tài)勢值,并根據(jù)歷史數(shù)據(jù)分析,采用一定的技術手段對未來一段時間內(nèi)網(wǎng)絡安全可能遭受的網(wǎng)絡攻擊和網(wǎng)絡狀況作出預測,并對預測風險進行可視化呈現(xiàn),給出合理處置建議。2.4.1安全評估網(wǎng)絡安全評估系統(tǒng)利用大數(shù)據(jù)平臺中整合的五類監(jiān)測對象的資產(chǎn)信息(網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫和應用中間件等)、威脅數(shù)據(jù)(操作失誤、越權或濫用、惡意代碼、篡改、泄密、網(wǎng)絡攻擊等)、脆弱性(網(wǎng)絡結構脆弱性、系統(tǒng)軟件脆弱性、應用中間件脆弱性、應用系統(tǒng)脆弱性等)進行漏洞掃描,依據(jù)風險評估模型進行風險綜合分析,實現(xiàn)對全系統(tǒng)的網(wǎng)絡安全風險評估,并提供網(wǎng)絡安全風險評估情況的展示。具體可以分為以下三個部分:系統(tǒng)漏洞掃描、構建評估模型、威脅評估分析。

系統(tǒng)漏洞掃描部分包括對監(jiān)測對象進行漏洞信息收集、掃描漏洞和結果評估三個步驟。安全漏洞的存在是導致系統(tǒng)面臨安全風險的直接原因。通過對大數(shù)據(jù)平臺中收集的漏洞信息進行掃描得到結果,分析數(shù)據(jù)得出系統(tǒng)所面臨的安全風險值。

作者:劉鎮(zhèn)源 單位:北京電子科技學院