信息安全態(tài)勢(shì)感知系統(tǒng)論文

　　中國(guó)政治密碼現(xiàn)代計(jì)算機(jī)技術(shù)快速的在電力系統(tǒng)發(fā)展，網(wǎng)絡(luò)攻擊和入侵行為正向著規(guī)�；�、復(fù)雜化、分布化、間接化等趨勢(shì)發(fā)展。雖然已經(jīng)采取了各種網(wǎng)絡(luò)安全防護(hù)措施，但是單一的安全防護(hù)措施沒有綜合考慮各種防護(hù)措施之間的關(guān)聯(lián)性，無法滿足從宏觀角度評(píng)估入侵威脅安全性的需求。信息安全安全態(tài)勢(shì)感知系統(tǒng)的研究就是在這種背景下產(chǎn)生的。它在融合各種網(wǎng)絡(luò)安全要素的基礎(chǔ)上從宏觀的角度實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)，并在一定條件下對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和展示。

　　目前隨著互聯(lián)網(wǎng)的發(fā)展普及，網(wǎng)絡(luò)安全的重要性及企業(yè)以及其對(duì)社會(huì)的影響越來越大，網(wǎng)絡(luò)安全問題也越來越突出，并逐漸成為互聯(lián)網(wǎng)及各項(xiàng)網(wǎng)絡(luò)信息化服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問題。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的研究是近幾年發(fā)展起來的一個(gè)熱門研究領(lǐng)域。它不僅契合所有可獲取的信息實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)，還包括對(duì)威脅事件的預(yù)判，為網(wǎng)絡(luò)安全管理員的決策分析和溯源提供有力的依據(jù)，將不安全因素帶來的風(fēng)險(xiǎn)和對(duì)企業(yè)帶來的經(jīng)濟(jì)利益降到最低。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在提高應(yīng)急響應(yīng)能力、網(wǎng)絡(luò)的監(jiān)控能力、預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)和應(yīng)對(duì)互聯(lián)網(wǎng)安全事件等方面都具有重要的意義。

　　那么全面準(zhǔn)確地?cái)z取網(wǎng)絡(luò)中的安全態(tài)勢(shì)要素是網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究的基礎(chǔ)方向。然而由于網(wǎng)絡(luò)已經(jīng)發(fā)展成一個(gè)龐大的非線性復(fù)雜系統(tǒng)，具有很強(qiáng)的靈活性，使得網(wǎng)絡(luò)安全態(tài)勢(shì)要素的攝取存在很大難度。目前網(wǎng)絡(luò)的安全態(tài)勢(shì)技術(shù)要點(diǎn)主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量甄別信息等。其中，靜態(tài)的配置信息包括網(wǎng)絡(luò)的拓?fù)湫畔�、事件信息、脆弱性信息和狀態(tài)信息等基本的環(huán)境配置信息;動(dòng)態(tài)的運(yùn)行信息包括從各種安全防護(hù)措施的日志采集和分析技術(shù)獲取的標(biāo)準(zhǔn)化之后的威脅信息等基本的運(yùn)行信息[1]。

　　電力企業(yè)作為承擔(dān)公共網(wǎng)絡(luò)安全艱巨任務(wù)的職能部門，通過有效的技術(shù)手段和嚴(yán)格的規(guī)范制度，對(duì)本地互聯(lián)網(wǎng)安全進(jìn)行持續(xù)，有效的監(jiān)測(cè)分析，掌握網(wǎng)絡(luò)安全形勢(shì)，感知網(wǎng)絡(luò)攻擊趨勢(shì)，追溯惡意活動(dòng)實(shí)施主體，為重要信息系統(tǒng)防護(hù)和打擊網(wǎng)絡(luò)違法活動(dòng)提供支撐，保衛(wèi)本地網(wǎng)絡(luò)空間安全。

　　態(tài)勢(shì)感知的定義：一定時(shí)間和空間內(nèi)環(huán)境因素的獲取，理解和對(duì)未來短期的預(yù)測(cè)[1]網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行甄別、獲取、理解、顯示以及預(yù)測(cè)未來的事件發(fā)展趨勢(shì)。所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)元設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。

　　國(guó)外在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面很早就已經(jīng)做著積極的研究，比較有代表性的，如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢(shì)感知的框架，通過推理識(shí)別入侵者身份、速度、威脅性和入侵目標(biāo)，進(jìn)而評(píng)估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念進(jìn)行了分析比較研究，并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)。其他開展該項(xiàng)研究的個(gè)人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等[3]。

　　1安全態(tài)勢(shì)感知系統(tǒng)架構(gòu)

　　網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的體系架構(gòu)(如圖一)，由威脅事件數(shù)據(jù)采集層、安全事件基礎(chǔ)數(shù)據(jù)平臺(tái)、平臺(tái)業(yè)務(wù)應(yīng)用層構(gòu)成。

　　網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在對(duì)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)和網(wǎng)絡(luò)安全數(shù)據(jù)收集的基礎(chǔ)上，進(jìn)行通報(bào)處置、威脅線索分析、態(tài)勢(shì)分析完成對(duì)網(wǎng)絡(luò)安全威脅與事件數(shù)據(jù)的分析、通報(bào)與處置，態(tài)勢(shì)展示則結(jié)合上述三個(gè)模塊的數(shù)據(jù)進(jìn)行綜合的展示，身份認(rèn)證子模塊為各子平臺(tái)或系統(tǒng)的使用提供安全運(yùn)行保障。威脅線索分析模塊在威脅數(shù)據(jù)處理和數(shù)據(jù)關(guān)聯(lián)分析引擎的支持下，進(jìn)行網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析和威脅情報(bào)的深度挖掘，形成通報(bào)預(yù)警所需的數(shù)據(jù)集合以及為打擊預(yù)防網(wǎng)絡(luò)違法犯罪提供支持的威脅線索。通報(bào)處置模塊實(shí)現(xiàn)數(shù)據(jù)上報(bào)、數(shù)據(jù)整理，通報(bào)下發(fā)，調(diào)查處置與反饋等通報(bào)工作。態(tài)勢(shì)分析基于態(tài)勢(shì)分析體系調(diào)用態(tài)勢(shì)分析引擎完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的分析與預(yù)測(cè)及態(tài)勢(shì)展示。

　　1.1數(shù)據(jù)采集層

　　數(shù)據(jù)采集系統(tǒng)組成圖(如圖二)，由采集集群與數(shù)據(jù)源組成，采集集群由管理節(jié)點(diǎn)，工作節(jié)點(diǎn)組成;數(shù)據(jù)源包括流量安全事件檢測(cè)(專用設(shè)備)和非流量安全事件(服務(wù)器)組成。

　　1.2基礎(chǔ)數(shù)據(jù)管理

　　基礎(chǔ)數(shù)據(jù)平臺(tái)由數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)訪問組件、通報(bào)預(yù)警數(shù)據(jù)資源和基礎(chǔ)數(shù)據(jù)管理應(yīng)用組成(如圖三)，數(shù)據(jù)存儲(chǔ)訪問組件式基礎(chǔ)數(shù)據(jù)平臺(tái)的多源數(shù)據(jù)整合組件，整合流量安全事件、非流量平臺(tái)接入數(shù)據(jù)、互聯(lián)網(wǎng)威脅數(shù)據(jù)等，網(wǎng)絡(luò)安全態(tài)勢(shì)感知，分析與預(yù)警涉及的數(shù)據(jù)較廣，有效地態(tài)勢(shì)分析與預(yù)測(cè)所需資源庫需要大量有效數(shù)據(jù)的支撐，因此通報(bào)預(yù)警數(shù)據(jù)資源須根據(jù)態(tài)勢(shì)分析與預(yù)警需要不斷進(jìn)行建設(shè)。基礎(chǔ)數(shù)據(jù)平臺(tái)負(fù)責(zé)安全態(tài)勢(shì)感知與通報(bào)預(yù)警數(shù)據(jù)的采集、管理、預(yù)處理以及分類工作，并在數(shù)據(jù)收集管理基礎(chǔ)上面向通報(bào)預(yù)警應(yīng)用系統(tǒng)提供數(shù)據(jù)支撐服務(wù)。

　　1.3威脅線索分析

　　網(wǎng)絡(luò)安全態(tài)勢(shì)感知基于對(duì)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)和網(wǎng)安業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)分析實(shí)現(xiàn)入侵攻擊事件分析引擎、惡意域名網(wǎng)站專項(xiàng)分析引擎和攻擊組織/攻擊IP專項(xiàng)分析引擎。在業(yè)務(wù)層面通過威脅分析任務(wù)的形式調(diào)度各分析引擎作業(yè)，包括日常威脅分析任務(wù)、專項(xiàng)威脅分析任務(wù)、重要信息系統(tǒng)威脅分析任務(wù)、突發(fā)事件威脅分析任務(wù)等。通過上述分析任務(wù)分析得到攻擊行為、欺詐/仿冒/釣魚等網(wǎng)絡(luò)安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關(guān)的網(wǎng)絡(luò)攻擊或惡意活動(dòng)線索信息;分析得到重點(diǎn)單位、重要系統(tǒng)/網(wǎng)站、重要網(wǎng)絡(luò)部位相關(guān)的網(wǎng)絡(luò)安全線索數(shù)據(jù)(如圖四)。

　　1.4網(wǎng)絡(luò)安全態(tài)勢(shì)分析

　　態(tài)勢(shì)分析功能(如圖五)應(yīng)從宏觀方面，分析整個(gè)互聯(lián)網(wǎng)總體安全狀況，包括給累網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析和展示;微觀方面，提供對(duì)特定保護(hù)對(duì)象所遭受的各種攻擊進(jìn)行趨勢(shì)分析和展示，包括網(wǎng)站態(tài)勢(shì)、重點(diǎn)單位態(tài)勢(shì)、專項(xiàng)威脅態(tài)勢(shì)和總體態(tài)勢(shì)。其中網(wǎng)站態(tài)勢(shì)應(yīng)對(duì)所監(jiān)測(cè)網(wǎng)站的網(wǎng)絡(luò)安全威脅和網(wǎng)絡(luò)安全事件進(jìn)行態(tài)勢(shì)分析和展示;重點(diǎn)單位態(tài)勢(shì)應(yīng)支持對(duì)重點(diǎn)單位的網(wǎng)絡(luò)安全威脅事件態(tài)勢(shì)分析和展示;專項(xiàng)威脅態(tài)勢(shì)應(yīng)對(duì)網(wǎng)站仿冒、網(wǎng)絡(luò)釣魚、漏洞利用攻擊等網(wǎng)絡(luò)攻擊事件、木馬、僵尸網(wǎng)絡(luò)等有害程序事件，網(wǎng)頁篡改、信息竊取等信息破壞事件進(jìn)行專項(xiàng)態(tài)勢(shì)分析和展示。此外，態(tài)勢(shì)分析應(yīng)提供網(wǎng)絡(luò)安全總體態(tài)勢(shì)的展示和呈現(xiàn)。

　　1.5攻擊反制

　　通過分析發(fā)現(xiàn)的安全事件，根據(jù)目標(biāo)的IP地址進(jìn)行攻擊反制，利用指紋工具獲得危險(xiǎn)源的指紋信息(如圖六)，如操作系統(tǒng)信息、開放的端口以及端口的服務(wù)類別。漏洞掃描根據(jù)指紋識(shí)別的信息，進(jìn)行有針對(duì)性的漏洞掃描[4]，發(fā)現(xiàn)危險(xiǎn)源可被利用的漏洞。根據(jù)可被利用的漏洞進(jìn)行滲透測(cè)試，如果自動(dòng)滲透測(cè)試成功，進(jìn)一步獲得危險(xiǎn)源的內(nèi)部信息，如主機(jī)名稱、運(yùn)行的進(jìn)程等信息;如果自動(dòng)滲透測(cè)試失敗，需要人工干預(yù)手動(dòng)進(jìn)行滲透測(cè)試。

　　通過攻擊反制，可以進(jìn)一步掌握攻擊組織/攻擊個(gè)人的犯罪證據(jù)，為打擊網(wǎng)絡(luò)犯罪提供證據(jù)支撐。

　　1.6態(tài)勢(shì)展示

　　圖七：態(tài)勢(shì)展示圖

　　態(tài)勢(shì)展示依賴一個(gè)或多個(gè)并行工作的態(tài)勢(shì)分析引擎(如圖七)，基于基礎(chǔ)的態(tài)勢(shì)分析插件如時(shí)序分析插件、統(tǒng)計(jì)分析插件、地域分布分析插件進(jìn)行基礎(chǔ)態(tài)勢(shì)數(shù)據(jù)分析，借助基線指標(biāo)態(tài)勢(shì)分析、態(tài)勢(shì)修正分析和態(tài)勢(shì)預(yù)測(cè)分析完成態(tài)勢(shì)數(shù)據(jù)的輸出，數(shù)據(jù)分析結(jié)果通過大數(shù)據(jù)可視化技術(shù)進(jìn)行展示[5]。

　　2安全態(tài)勢(shì)感知系統(tǒng)發(fā)展

　　網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)指通過對(duì)歷史資料以及網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的分析，憑借固有的實(shí)踐經(jīng)驗(yàn)以及理論內(nèi)容整理、歸納和判斷網(wǎng)絡(luò)安全未來的態(tài)勢(shì)。眾所周知，網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展具有較大不確定性，而且預(yù)測(cè)性質(zhì)、范圍、時(shí)間以及對(duì)象不同應(yīng)用范圍內(nèi)的預(yù)測(cè)方法也不同。根據(jù)屬性可將網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法分為判定性預(yù)測(cè)方法、時(shí)間序列分析法以及因果預(yù)測(cè)方法。其中網(wǎng)絡(luò)安全態(tài)勢(shì)感知判定性預(yù)測(cè)方法指結(jié)合網(wǎng)絡(luò)系統(tǒng)之前與當(dāng)前安全態(tài)勢(shì)數(shù)據(jù)情況，以直覺邏輯基礎(chǔ)人為的對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。時(shí)間序列分析方法指依據(jù)歷史數(shù)據(jù)與時(shí)間的關(guān)系，對(duì)下一次的系統(tǒng)變量進(jìn)行預(yù)測(cè)[6]。由于該方法僅考慮時(shí)間變化的系統(tǒng)性能定量，因此，比較適合應(yīng)用在依據(jù)簡(jiǎn)單統(tǒng)計(jì)數(shù)據(jù)隨時(shí)間變化的對(duì)象上。因果預(yù)測(cè)方法指依據(jù)系統(tǒng)變量之間存在的因果關(guān)系，確定某些因素影響造成的結(jié)果，建立其與數(shù)學(xué)模型間的關(guān)系，根據(jù)可變因素的變化情況，對(duì)結(jié)果變量的趨勢(shì)和方向進(jìn)行預(yù)測(cè)。

　　3結(jié)語

　　本文主要的信息安全建設(shè)中的安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行了具體設(shè)計(jì)，詳細(xì)定義了系統(tǒng)的基本功能，對(duì)系統(tǒng)各個(gè)模塊的實(shí)現(xiàn)方式進(jìn)行了詳細(xì)設(shè)計(jì)。系統(tǒng)通過對(duì)地址熵模型、三元組模型、熱點(diǎn)事件傳播模型、事件擴(kuò)散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測(cè)模型各種模型的研究來實(shí)現(xiàn)平臺(tái)對(duì)安全態(tài)勢(shì)與趨勢(shì)分析、安全防護(hù)預(yù)警與決策[7]。

【信息安全態(tài)勢(shì)感知系統(tǒng)論文】相關(guān)文章：

電力信息安全態(tài)勢(shì)感知分析10-25

信息安全管理中信息安全態(tài)勢(shì)分析08-11

公路信息系統(tǒng)機(jī)房安全管理研究論文08-22

信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)設(shè)計(jì)的論文06-21

城軌信號(hào)系統(tǒng)信息安全技術(shù)方案論文05-04

信息化管理系統(tǒng)的論文08-02

信息管理系統(tǒng)論文07-30

信息管理系統(tǒng)論文09-03

新時(shí)期信息安全主動(dòng)防御系統(tǒng)研究論文08-30

云計(jì)算下的信息安全應(yīng)急系統(tǒng)研究論文06-18