網(wǎng)絡(luò)安全態(tài)勢(shì)感知結(jié)構(gòu)分析

時(shí)間:2022-02-13 11:31:13

導(dǎo)語(yǔ):網(wǎng)絡(luò)安全態(tài)勢(shì)感知結(jié)構(gòu)分析一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知結(jié)構(gòu)分析

【摘要】近年來(lái),網(wǎng)絡(luò)安全在各行業(yè)中持續(xù)高熱,信息安全問(wèn)題也正成為大數(shù)據(jù)分析的重要問(wèn)題。網(wǎng)絡(luò)安全態(tài)勢(shì)感知作為網(wǎng)絡(luò)安全領(lǐng)域的一種新技術(shù),通過(guò)結(jié)合大數(shù)據(jù)平臺(tái)中處理的檢測(cè)對(duì)象的關(guān)鍵數(shù)據(jù),對(duì)整個(gè)網(wǎng)絡(luò)當(dāng)前的安全狀況做出評(píng)估,并對(duì)未來(lái)一段時(shí)間內(nèi)的變化趨勢(shì)做出預(yù)測(cè)。交通運(yùn)輸行業(yè)作為大數(shù)據(jù)平臺(tái)深度應(yīng)用的典型行業(yè),時(shí)刻面臨著網(wǎng)絡(luò)安全的威脅,網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)恰好能解決這一問(wèn)題。下面本文將針對(duì)交通運(yùn)輸大數(shù)據(jù)平臺(tái)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)展開(kāi)研究。

【關(guān)鍵詞】態(tài)勢(shì)感知;大數(shù)據(jù);安全評(píng)估;預(yù)警研判

一、交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

隨著國(guó)家信息化工作的推進(jìn),以物聯(lián)網(wǎng)和智能交通為代表的新型信息應(yīng)用在交通運(yùn)輸行業(yè)高度滲透,即將邁入全面聯(lián)網(wǎng)、業(yè)務(wù)協(xié)同、智能應(yīng)用的新階段。同時(shí),行業(yè)重要業(yè)務(wù)系統(tǒng)、門(mén)戶網(wǎng)站、郵件、專(zhuān)用網(wǎng)絡(luò)、公務(wù)終端等一直是敵對(duì)勢(shì)力、黑客組織、極端個(gè)人關(guān)注和攻擊的重點(diǎn),網(wǎng)絡(luò)篡改、敏感數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件層出不窮。

二、基于大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)

網(wǎng)絡(luò)態(tài)勢(shì)指的是由各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知指在當(dāng)前網(wǎng)絡(luò)運(yùn)行大環(huán)境中,通過(guò)提取能影響網(wǎng)絡(luò)態(tài)勢(shì)的因素進(jìn)行理解、分析,并能對(duì)未來(lái)網(wǎng)絡(luò)狀態(tài)的變化趨勢(shì)做出預(yù)測(cè)?;诖髷?shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)是基于網(wǎng)絡(luò)數(shù)據(jù)流實(shí)時(shí)捕獲、協(xié)議處理分析、會(huì)話統(tǒng)計(jì)、跟蹤記錄與檢測(cè),將采集數(shù)據(jù)存儲(chǔ)入大數(shù)據(jù)平臺(tái),并以大數(shù)據(jù)平臺(tái)中經(jīng)過(guò)預(yù)處理和建模分析后的數(shù)據(jù)信息為評(píng)估依據(jù),對(duì)當(dāng)前網(wǎng)絡(luò)狀態(tài)做出評(píng)估,并對(duì)未來(lái)一段時(shí)間的網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)威脅發(fā)現(xiàn)、精準(zhǔn)預(yù)警和態(tài)勢(shì)感知。它采用多檢測(cè)引擎機(jī)制,能夠監(jiān)測(cè)到網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)安全事件,具體包括惡意代碼的網(wǎng)絡(luò)傳播,木馬、后門(mén)等惡意代碼的網(wǎng)絡(luò)通信活動(dòng),惡意網(wǎng)址的訪問(wèn),逃逸攻擊,端口掃描攻擊,漏洞探測(cè)攻擊,高級(jí)持續(xù)性攻擊,DDOS攻擊,DNS劫持攻擊,以及僵尸網(wǎng)絡(luò)等。2.1數(shù)據(jù)資源。數(shù)據(jù)資源主要涉及到基礎(chǔ)數(shù)據(jù)、動(dòng)態(tài)數(shù)據(jù)、知識(shí)數(shù)據(jù)等內(nèi)容,以自由樣本數(shù)據(jù)、第三方樣本、DNS基礎(chǔ)數(shù)據(jù)、惡意URL數(shù)據(jù)形式組成大數(shù)據(jù)分析的數(shù)據(jù)資源。2.2安全工具。安全工具是網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的基礎(chǔ),為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)提供數(shù)據(jù)源(即針對(duì)各類(lèi)威脅的檢測(cè)結(jié)果、日志與資產(chǎn)信息),安全工具主要包括:網(wǎng)絡(luò)攻擊檢測(cè)探針、異常行為檢測(cè)探針、未知攻擊檢測(cè)探針、郵件安全監(jiān)測(cè)引擎、網(wǎng)站安全監(jiān)測(cè)引擎、設(shè)備故障監(jiān)測(cè)設(shè)備、脆弱性掃描引擎、惡意代碼檢測(cè)工具、資產(chǎn)掃描引擎、日志采集工具、信息外泄檢測(cè)工具等。2.3大數(shù)據(jù)分析平臺(tái)的構(gòu)建大數(shù)據(jù)分析。平臺(tái)主要功能是對(duì)威脅數(shù)據(jù)采集探針和采集引擎等安全工具采集到的安全數(shù)據(jù)進(jìn)行存儲(chǔ)和處理。本文主要以交通運(yùn)輸行業(yè)政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)系統(tǒng)、重要公務(wù)終端以及重要網(wǎng)絡(luò)節(jié)點(diǎn)等關(guān)鍵信息基礎(chǔ)設(shè)施為監(jiān)測(cè)對(duì)象,通過(guò)安全工具,收集與網(wǎng)絡(luò)安全有關(guān)的各類(lèi)威脅信息,運(yùn)用大數(shù)據(jù)存儲(chǔ)管理技術(shù)將所采集的數(shù)據(jù)統(tǒng)一存儲(chǔ)到大數(shù)據(jù)平臺(tái)中,形成原始數(shù)據(jù)庫(kù)。而原始數(shù)據(jù)庫(kù)中的數(shù)據(jù)存在大量的冗余信息,不能直接用于態(tài)勢(shì)感知的數(shù)據(jù)分析,需要經(jīng)過(guò)大數(shù)據(jù)分析平臺(tái)對(duì)采集到的數(shù)據(jù)完成預(yù)處理和特征提取,具體包括清洗、轉(zhuǎn)換、去重、過(guò)濾、有效性驗(yàn)證等過(guò)程,最終完成存儲(chǔ)和索引。大數(shù)據(jù)分析平臺(tái)包含多種數(shù)據(jù)計(jì)算引擎,包括:搜索、統(tǒng)計(jì)、關(guān)聯(lián)分析、威脅監(jiān)測(cè)等,為上層不同場(chǎng)景下的應(yīng)用提供數(shù)據(jù)處理結(jié)果。2.4網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)模型。本結(jié)構(gòu)模型根據(jù)五個(gè)監(jiān)測(cè)對(duì)象的特點(diǎn)和交通運(yùn)輸行業(yè)必要的功能實(shí)現(xiàn)要求,將網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的主要功能實(shí)現(xiàn)部分分為三個(gè)應(yīng)用系統(tǒng):安全評(píng)估應(yīng)用系統(tǒng)、態(tài)勢(shì)感知應(yīng)用系統(tǒng)和預(yù)警處置應(yīng)用系統(tǒng)。三個(gè)應(yīng)用系統(tǒng)基于大數(shù)據(jù)分析平臺(tái)處理后的數(shù)據(jù),通過(guò)對(duì)采集數(shù)據(jù)的關(guān)聯(lián)分析和融合處理,反應(yīng)當(dāng)前網(wǎng)絡(luò)的安全狀況,給出一個(gè)可信的態(tài)勢(shì)值,并根據(jù)歷史數(shù)據(jù)分析,采用一定的技術(shù)手段對(duì)未來(lái)一段時(shí)間內(nèi)網(wǎng)絡(luò)安全可能遭受的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)狀況作出預(yù)測(cè),并對(duì)預(yù)測(cè)風(fēng)險(xiǎn)進(jìn)行可視化呈現(xiàn),給出合理處置建議。2.4.1安全評(píng)估網(wǎng)絡(luò)安全評(píng)估系統(tǒng)利用大數(shù)據(jù)平臺(tái)中整合的五類(lèi)監(jiān)測(cè)對(duì)象的資產(chǎn)信息(網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用中間件等)、威脅數(shù)據(jù)(操作失誤、越權(quán)或?yàn)E用、惡意代碼、篡改、泄密、網(wǎng)絡(luò)攻擊等)、脆弱性(網(wǎng)絡(luò)結(jié)構(gòu)脆弱性、系統(tǒng)軟件脆弱性、應(yīng)用中間件脆弱性、應(yīng)用系統(tǒng)脆弱性等)進(jìn)行漏洞掃描,依據(jù)風(fēng)險(xiǎn)評(píng)估模型進(jìn)行風(fēng)險(xiǎn)綜合分析,實(shí)現(xiàn)對(duì)全系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,并提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估情況的展示。具體可以分為以下三個(gè)部分:系統(tǒng)漏洞掃描、構(gòu)建評(píng)估模型、威脅評(píng)估分析。

系統(tǒng)漏洞掃描部分包括對(duì)監(jiān)測(cè)對(duì)象進(jìn)行漏洞信息收集、掃描漏洞和結(jié)果評(píng)估三個(gè)步驟。安全漏洞的存在是導(dǎo)致系統(tǒng)面臨安全風(fēng)險(xiǎn)的直接原因。通過(guò)對(duì)大數(shù)據(jù)平臺(tái)中收集的漏洞信息進(jìn)行掃描得到結(jié)果,分析數(shù)據(jù)得出系統(tǒng)所面臨的安全風(fēng)險(xiǎn)值。

作者:劉鎮(zhèn)源 單位:北京電子科技學(xué)院