信息安全态势智能预警分析平台浅谈

牛霜霞

摘要：随着信息化发展速度不断加快，信息系统用户规模不断扩大、需求不断更新、自动化程度不断提高，信息系统安全状况与企业经济效益越来越密切，直接影响到企业的经营和形象问题。本文描述了一个典型的信息安全态势智能预警分析平台的实现，介绍了网络安全态势感知的相关概念，并简要探讨了数据挖掘及态势感知等主要技术及发展方向。

关键词：大数据 态势感知 信息安全

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2016）09-0209-01

1 前言

随着信息化发展速度不断加快，信息系统用户规模不断扩大、需求不断更新、自动化程度不断提高，信息系统安全状况与企业经济效益越来越密切，直接影响到企业的经营和形象问题。目前，防火墙、IDS、IPS等安全设备已经得到普遍使用，但是同时这些设备产生了海量安全数据，采用人工分析的方法已经无法实现安全威胁的及时预警与处置。另一方面，现有安全设备之间相对孤立，数据没有得到关联分析和综合考虑，很难面对当今各种利用先进手段、高度隐蔽的网络攻击形式。因此，在现有安全手段的基础上，获取和分析海量攻击行为数据，结合态势感知技术实现信息安全行为的准确定位和智能预警，在信息安全防护工作中是非常必要的。

2 平台构成

信息安全态势智能预警分析平台由系统数据接口、数据挖掘与融合技术、态势分析与风险预警、可视化展示与系统管理六大部分。其中，系统数据接口用于查看目前监控的设备及应用系统；数据挖掘与融合提供有效的数据分析处理模型和数据分析方法；态势分析和风险预警提供当前网络安全态势评估、未来网络安全态势预测及响应告警功能；可视化展示定义生成各类表单、图表、报告、报表等用户界面。

3 关键技术

3.1 数据采集

3.1.1 设备实时监测数据

信息安全态势智能预警分析平台监测重要网络设备及服务器的运行状态，主要对网络边界设备、核心交换设备、重要服务器等进行监视，获取CPU、内存、网络流量等性能或安全参数信息。通过该系统数据接口，可按照单个设备、某类设备、整个网络设备来获取相关设备数据。

3.1.2 扫描数据

采集日常运维中扫描数据，主要包括利用漏洞扫描工具发现的漏洞、弱口令等安全隐患信息。

3.1.3 日志文件数据

采集重要设备的日志文件数据，主要包括网络边界设备、核心交换设备、重要服务器的系统日志、安全日志、应用日志及告警日志等。

3.1.4 策略配置数据

采集重要设备的策略配置数据，主要包括主机、服务器、网络设备等的安全策略配置信息以及策略变更信息等。

3.2 数据挖掘

数据挖掘的方法有很多种，其中关联规则挖掘方法能够从大量数据中挖掘出有价值描述数据项之间相互联系的有关知识，挖掘用户操作行为之间的关联规则，反映用户的操作倾向。

现实中网络环境复杂，网络设备种类多，影响因素之间相互关联。选取的算法要能有效的对多源异构数据进行关联分析并具有自学习性，能够解决决策层的不确定性，不能仅凭专家经验确定各指标对网络安全状态的影响程度。在底层使用关联规则挖掘算法对异构数据进行关联性分析，使用云模型对异构数据进行融合处理，在决策层使用贝叶斯决策方法进行态势预测，较好的解决了态势评估的不确定性。

3.3 态势感知与风险预警

网络安全态势感知主要对网络中部署的各类设备的运行状态进行监测，对动态监测数据、设备运行日志、脆弱性、策略配置数据等进行融合分析，对目前网络安全状况进行风险评估，同时也对未来几天网络安全状况进行预测。

安全风险预警实现各类安全隐患的报警功能。借助安全态势感知功能对各类数据综合分析，提出信息安全风险的来源分布以及风险可能带来的危害，及时的对信息安全隐患或风险进行报警。

3.3.1 网络实时状况警报

实现网络中的网络设备、服务器、中间件等的实时运行状态进行监控，并依据的上下限值提供报警功能。将告警指标和风险处理方法进行结合，实现在动态地图上显示出来并提供报警，能够快速的定位出现问题的设备。实现网络中关键的硬件设备配置的监控，实现对硬件的更换、策略的变更的报警功能。

3.3.2 态势要素提取

态势要素提取是态势评估与预测的基础。读取核心交换机、重要业务服务器及信息系统、门户网站、路由器、IPS、IDS等关键核心接入设备的配置信息、服务的状态、操作日志、关键性能参数等。

3.3.3 态势评估与分析

研究信息安全风险评估和分析方法，制定风险评估指标体系和评估模型，开展基于多协议和应用的关联分析，识别程序或用户的恶意行为，追踪并提供威胁分析。

态势感知的核心是态势评估，是对当前安全态势的一个动态理解过程。识别态势信息中的安全事件并确定它们之间的关联关系，根据所受到的威胁程度生成相应的安全态势图，反映出整个网络的安全态势状况。

研究分层次的安全评估模型，以攻击报警、扫描结果和网络流量等信息为原始数据，发现各关键设备影响因素的脆弱性或威胁情况，在此基础上，综合评估网络系统中各关键设备的安全状况，再根据网络系统结构，评估多个局部范围网络的安全态势，然后再综合分析和统计整个宏观网络的安全态势。

3.3.4 态势预测

态势预测主要基于各类网络设备、服务器、终端设备以及安全设备的记录，进行关联性分析，给出总体信息安全趋势。态势预测数据的来源包括用户数据的输入和监测到历史数据和实时数据。

3.3.5 响应与报警

针对存在的威胁事件、预知的安全风险以及信息系统故障等进行报警，并提供解决的建议。利用数据挖掘与融合技术处理历史数据和监测数据，经过网络安全态势评估与预测分析，对潜在安全风险进行分析预测，输出预警信息。

3.4 可视化展示

根据用户的不同需求，定义不同的功能视图，实现多样化、多元化的展示方式，包括漏洞、弱口令、病毒感染、违规外联、威胁报警等信息。

4 结语

通过信息安全态势感知与智能预警平台，利用大数据技术将现有各类监测数据、日志数据、扫描数据等进行有效整合，能自动识别未知的新型攻击、缩短事件响应时间并提高提高人员工作效率，为实时掌握网络整体安全状态和变化趋势提供了基础，从而提升企业信息安全主动防御能力。

参考文献

[1]卿松.网络安全态势感知综述[J].《计算机安全》，2011（10）：9-12.