一个网络安全监控平台的设计

2022-02-25 14:43谢黎明
科技信息·学术版 2022年8期
关键词:安全监控关联分析

谢黎明

摘要:随着科技的进步,以及计算机网络的普及快速发展,网络安全问题也呈现出复杂化趋势,网络安全的威胁来源不断增多,攻击手段也再不断变化。仅仅通过安装一些安全设备和安全软件来进行安全防护已不能满足需求,建立一个完善的网络安全监控平台进行动态、综合的防护管理非常有必要。本文提出一种网络安全监控平台的功能设计,通过这些功能可以有效地发现风险、分析风险、预测风险,极大地提高网络安全管理的有效性。

关键词:安全监控;威胁情报;关联分析

1背景

随着计算机网络的普及快速发展,网络安全问题都受到越来越多的关注。网络安全威胁来源的不断增多,攻击手段的不断变化,使网络安全防护工作的难度持续加大。目前,通过安全设备以及安全软件等常规手段可做到基本防御,包括能识别和防御一些常见的网络攻击,能初步地管控外包人员的权限、记录外包人员的操作。但这些手段很难有效防御新型、复杂的网络攻击,而且无法进行威胁分析或者威胁分析的准确性和及时性不高。另外,这些手段对外包人员行为的事中、事后管控不足。为解决这个问题,需建设一个网络安全监控平台,通过统一监控、展示、分析和决策来实现对网络安全威胁的可知、可管以及可控。

2监控平台的需求分析及总体设计思路

一个好的监控平台应该具备以下能力。首先,该平台应该能监控所有主机、网络设备、安全设备以及数据库日志等数据,能监控外网边界以及内网核心结点的网络流量,具有外部专业机构提供的海量情报数据。其次,该平台应该具备较高地行为分析能力,能对于特征明显的威胁进行规则配置并准确分析,能对于特征复杂的威胁建立模型并分析。最后,平台还应该具备及时准确的威胁告警能力,并能通过丰富的图形图表对安全态势进行直观展示。

基于这些需求,本文提出一个完整的监控平台功能设计,具体分为三个模块,一是核心监控模块,主要负责对安全的监控、分析及展示;二是事件及数据管理模块,主要负责对已确认报警事件进行处置管理,对资产日志及网络流量数据进行采集、处理及存储;三是后台管理模块,主要负责系统管理、资产管理以及报表统计等功能。三个模块互相配合,共同完成整体网络安全监控的功能,同时三者又相对独立,使得系统具有较好的开放性及扩展性。

3核心监控设计

核心监控模块包括威胁监控、异常行为分析以及态势感知三方面内容。

威胁监控是整个监控平台最为核心的模块,负责建立并维护关联分析规则,并基于分析规则发现威胁并告警,具体包括规则管理、关联分析[1]、威胁告警、威胁情报管理等内容。其中规则管理功能主要负责对关联规则的创建及维护、测试、启用及停用等管理,是平台进行威胁分析及预警的基础。而关联分析则负责按平台定义的管理分析规则,对实时数据及历史数据进行多维度的分析,以发现潜在威胁。威胁告警主要负责展示威胁及异常行为产生的各类告警,可通过平台、短信、邮件、声音等多种渠道向管理员进行告警。威胁情报管理主要负责收集威胁情报,并提供威胁情报的导入、查询、关联分析以及导出等功能。

异常行为分析模块主要是利用数据建模及机器学习等手段,对不能通过规则直观分析的用户行为异常进行分析,并对发现的高风险异常行为进行提示告警。首先,通过业务分析,建立逻辑数据模型,并选取恰当的算法在大数据环境下对异常行为建立数据分析模型。然后,通过对实时活动与行为基线的对比,不断对模型进行训练调优,使行为基线准确描述实际活动。最后根据优化后的机器学习模型,进行异常行为的监控并对异常行为发出告警。

态势感知负责对平台监控的全貌进行展现[2],从多个纬度了解威胁防御现状,了解当前什么资产受到威胁,什么时间受到威胁,以及威胁的类型及严重程度等,帮助用户全面掌握当前威胁防御能力及发展趋势,为威胁防御工作部署及决策提供依据。具体应包括综合态势展示、威胁警告态势展示、威胁分类展示、系統受攻击展示以及地域受攻击展示等。

4事件及数据管理设计

事件及数据管理模块包括事件管理和数据管理,具体功能有事件处置、攻击溯源[3]、数据采集、数据处理及数据存储。事件处置负责对确认为安全事件的威胁告警进行管理,并记录事件处置过程及相关信息。攻击溯源负责利用平台采集的安全数据,对安全事件进行溯源分析,帮助事件重现和取证。数据采集负责采集IT资源中各种设备和系统的日志及网络流量,应具备新建、查询、删除采集对象和采集器、进行采集监控等功能。数据处理负责对原始日志数据和网络流量数据的处理,包括数据清洗、数据解析以及数据格式化等。数据存储则应需满足对结构化数据和非结构化数据的存储。

5后台管理设计

后台管理模块包括系统管理和辅助功能管理。系统管理负责监控平台自身运行维护所需要的管理功能,具体包括对平台中所有的管理员进行权限管理,对平台的用户日志和系统日志等进行管理,对平台的组建、系统参数、认证策略、系统字典等进行参数配置。辅助功能负责对平台核心应用提供一些支撑性功能,具体包括实现对资产的创建、查询、维护、授权及导出;对和安全相关系统运行和维护知识、事件处置知识以及规章制度等内容形成知识库进行集中管理;对报表的定制、分类、查询、导出及展示等管理,以更好的分析展示安全工作的结果。

6结束语

网络安全形势日益复杂,然而目前通过安全设备以及安全软件等手段开展的防护措施难以有效防御新型复杂的网络攻击,且无法进行关联分析和深度分析。另外,传统防御措施告警数量过多,误报率较高。本文提出一个网络安全监控平台的设计,通过这些功能,可实现对各类安全设施的威胁防御能力的整合,对各类安全威胁进行关联分析和识别,提供有价值的威胁告警信息,减少误报的概率,并对威胁识别、告警、确认和处置进行全过程管理,对各类安全威胁进行集中展示,提高了网络安全管理的便捷性及有效性。

参考文献:

[1]李建华.网络空间威胁情报感知、共享与分析技术综述. 网络与信息安全学报[J],2016(02):16-29

[2]盖伟麟,辛丹,王璐.态势感知中的数据融合和决策方法综述[J].计算机工程, 2014, 40(5): 21–25, 30.

[3]刘潮歌.定向网络攻击追踪溯源技术研究[D].中国科学院大学,2018.

猜你喜欢
安全监控关联分析
城市公共安全系统可靠性研究
玉米骨干亲本及其衍生系中基因的序列变异及与株高等性状的关联分析
玉米骨干亲本及其衍生系中基因的序列变异及与株高等性状的关联分析
基于随机函数Petri网的系统动力学关联分析模型
关联分析技术在学生成绩分析中的应用
电力信息机房环境安全监控系统的架设
基于B/S架构的煤矿安全监控系统设计
基于关联分析的学生活动参与度与高校社团管理实证研究
博物馆资产的管理与安全监控
不同的数据挖掘方法分类对比研究