導(dǎo)語：網(wǎng)絡(luò)安全態(tài)勢感知結(jié)構(gòu)分析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】近年來，網(wǎng)絡(luò)安全在各行業(yè)中持續(xù)高熱，信息安全問題也正成為大數(shù)據(jù)分析的重要問題。網(wǎng)絡(luò)安全態(tài)勢感知作為網(wǎng)絡(luò)安全領(lǐng)域的一種新技術(shù)，通過結(jié)合大數(shù)據(jù)平臺中處理的檢測對象的關(guān)鍵數(shù)據(jù)，對整個網(wǎng)絡(luò)當前的安全狀況做出評估，并對未來一段時間內(nèi)的變化趨勢做出預(yù)測。交通運輸行業(yè)作為大數(shù)據(jù)平臺深度應(yīng)用的典型行業(yè)，時刻面臨著網(wǎng)絡(luò)安全的威脅，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)恰好能解決這一問題。下面本文將針對交通運輸大數(shù)據(jù)平臺對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)展開研究。

【關(guān)鍵詞】態(tài)勢感知;大數(shù)據(jù);安全評估;預(yù)警研判

一、交通運輸行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

隨著國家信息化工作的推進，以物聯(lián)網(wǎng)和智能交通為代表的新型信息應(yīng)用在交通運輸行業(yè)高度滲透，即將邁入全面聯(lián)網(wǎng)、業(yè)務(wù)協(xié)同、智能應(yīng)用的新階段。同時，行業(yè)重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站、郵件、專用網(wǎng)絡(luò)、公務(wù)終端等一直是敵對勢力、黑客組織、極端個人關(guān)注和攻擊的重點，網(wǎng)絡(luò)篡改、敏感數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件層出不窮。

二、基于大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

網(wǎng)絡(luò)態(tài)勢指的是由各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)的當前狀態(tài)和變化趨勢。網(wǎng)絡(luò)安全態(tài)勢感知指在當前網(wǎng)絡(luò)運行大環(huán)境中，通過提取能影響網(wǎng)絡(luò)態(tài)勢的因素進行理解、分析，并能對未來網(wǎng)絡(luò)狀態(tài)的變化趨勢做出預(yù)測?；诖髷?shù)據(jù)平臺的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是基于網(wǎng)絡(luò)數(shù)據(jù)流實時捕獲、協(xié)議處理分析、會話統(tǒng)計、跟蹤記錄與檢測，將采集數(shù)據(jù)存儲入大數(shù)據(jù)平臺，并以大數(shù)據(jù)平臺中經(jīng)過預(yù)處理和建模分析后的數(shù)據(jù)信息為評估依據(jù)，對當前網(wǎng)絡(luò)狀態(tài)做出評估，并對未來一段時間的網(wǎng)絡(luò)環(huán)境實現(xiàn)威脅發(fā)現(xiàn)、精準預(yù)警和態(tài)勢感知。它采用多檢測引擎機制，能夠監(jiān)測到網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)安全事件，具體包括惡意代碼的網(wǎng)絡(luò)傳播，木馬、后門等惡意代碼的網(wǎng)絡(luò)通信活動，惡意網(wǎng)址的訪問，逃逸攻擊，端口掃描攻擊，漏洞探測攻擊，高級持續(xù)性攻擊，DDOS攻擊，DNS劫持攻擊，以及僵尸網(wǎng)絡(luò)等。2.1數(shù)據(jù)資源。數(shù)據(jù)資源主要涉及到基礎(chǔ)數(shù)據(jù)、動態(tài)數(shù)據(jù)、知識數(shù)據(jù)等內(nèi)容，以自由樣本數(shù)據(jù)、第三方樣本、DNS基礎(chǔ)數(shù)據(jù)、惡意URL數(shù)據(jù)形式組成大數(shù)據(jù)分析的數(shù)據(jù)資源。2.2安全工具。安全工具是網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的基礎(chǔ)，為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)提供數(shù)據(jù)源（即針對各類威脅的檢測結(jié)果、日志與資產(chǎn)信息），安全工具主要包括：網(wǎng)絡(luò)攻擊檢測探針、異常行為檢測探針、未知攻擊檢測探針、郵件安全監(jiān)測引擎、網(wǎng)站安全監(jiān)測引擎、設(shè)備故障監(jiān)測設(shè)備、脆弱性掃描引擎、惡意代碼檢測工具、資產(chǎn)掃描引擎、日志采集工具、信息外泄檢測工具等。2.3大數(shù)據(jù)分析平臺的構(gòu)建大數(shù)據(jù)分析。平臺主要功能是對威脅數(shù)據(jù)采集探針和采集引擎等安全工具采集到的安全數(shù)據(jù)進行存儲和處理。本文主要以交通運輸行業(yè)政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)系統(tǒng)、重要公務(wù)終端以及重要網(wǎng)絡(luò)節(jié)點等關(guān)鍵信息基礎(chǔ)設(shè)施為監(jiān)測對象，通過安全工具，收集與網(wǎng)絡(luò)安全有關(guān)的各類威脅信息，運用大數(shù)據(jù)存儲管理技術(shù)將所采集的數(shù)據(jù)統(tǒng)一存儲到大數(shù)據(jù)平臺中，形成原始數(shù)據(jù)庫。而原始數(shù)據(jù)庫中的數(shù)據(jù)存在大量的冗余信息，不能直接用于態(tài)勢感知的數(shù)據(jù)分析，需要經(jīng)過大數(shù)據(jù)分析平臺對采集到的數(shù)據(jù)完成預(yù)處理和特征提取，具體包括清洗、轉(zhuǎn)換、去重、過濾、有效性驗證等過程，最終完成存儲和索引。大數(shù)據(jù)分析平臺包含多種數(shù)據(jù)計算引擎，包括：搜索、統(tǒng)計、關(guān)聯(lián)分析、威脅監(jiān)測等，為上層不同場景下的應(yīng)用提供數(shù)據(jù)處理結(jié)果。2.4網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)模型。本結(jié)構(gòu)模型根據(jù)五個監(jiān)測對象的特點和交通運輸行業(yè)必要的功能實現(xiàn)要求，將網(wǎng)絡(luò)安全態(tài)勢感知平臺的主要功能實現(xiàn)部分分為三個應(yīng)用系統(tǒng)：安全評估應(yīng)用系統(tǒng)、態(tài)勢感知應(yīng)用系統(tǒng)和預(yù)警處置應(yīng)用系統(tǒng)。三個應(yīng)用系統(tǒng)基于大數(shù)據(jù)分析平臺處理后的數(shù)據(jù)，通過對采集數(shù)據(jù)的關(guān)聯(lián)分析和融合處理，反應(yīng)當前網(wǎng)絡(luò)的安全狀況，給出一個可信的態(tài)勢值，并根據(jù)歷史數(shù)據(jù)分析，采用一定的技術(shù)手段對未來一段時間內(nèi)網(wǎng)絡(luò)安全可能遭受的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)狀況作出預(yù)測，并對預(yù)測風(fēng)險進行可視化呈現(xiàn)，給出合理處置建議。2.4.1安全評估網(wǎng)絡(luò)安全評估系統(tǒng)利用大數(shù)據(jù)平臺中整合的五類監(jiān)測對象的資產(chǎn)信息（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用中間件等）、威脅數(shù)據(jù)（操作失誤、越權(quán)或濫用、惡意代碼、篡改、泄密、網(wǎng)絡(luò)攻擊等）、脆弱性（網(wǎng)絡(luò)結(jié)構(gòu)脆弱性、系統(tǒng)軟件脆弱性、應(yīng)用中間件脆弱性、應(yīng)用系統(tǒng)脆弱性等）進行漏洞掃描，依據(jù)風(fēng)險評估模型進行風(fēng)險綜合分析，實現(xiàn)對全系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險評估，并提供網(wǎng)絡(luò)安全風(fēng)險評估情況的展示。具體可以分為以下三個部分：系統(tǒng)漏洞掃描、構(gòu)建評估模型、威脅評估分析。

系統(tǒng)漏洞掃描部分包括對監(jiān)測對象進行漏洞信息收集、掃描漏洞和結(jié)果評估三個步驟。安全漏洞的存在是導(dǎo)致系統(tǒng)面臨安全風(fēng)險的直接原因。通過對大數(shù)據(jù)平臺中收集的漏洞信息進行掃描得到結(jié)果，分析數(shù)據(jù)得出系統(tǒng)所面臨的安全風(fēng)險值。

作者:劉鎮(zhèn)源 單位:北京電子科技學(xué)院