【论文摘要】现代计算机技术快速的在电力系统发展,网络攻击和入侵行为正向着规模化、复杂化、分布化、间接化等趋势发展。虽然已经采取了各种网络安全防护措施,但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性,无法满足从宏观角度评估入侵威胁安全性的需求。信息安全安全态势感知系统的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测和展示。 【论文关键词】网络安全态势感知风险预警漏洞 目前随着互联网的发展普及,网络安全的重要性及企业以及其对社会的影响越来越大,网络安全问题也越来越突出,并逐渐成为互联网及各项网络信息化服务和应用进一步发展所亟需解决的关键问题。网络安全态势感知技术的研究是近几年发展起来的一个热门研究领域。它不仅契合所有可获取的信息实时评估网络的安全态势,还包括对威胁事件的预判,为网络安全管理员的决策分析和溯源提供有力的依据,将不安全因素带来的风险和对企业带来的经济利益降到最低。网络安全态势感知系统在提高应急响应能力、网络的监控能力、预测网络安全的发展趋势和应对互联网安全事件等方面都具有重要的意义。 那么全面准确地摄取网络中的安全态势要素是网络安全态势感知技术研究的基础方向。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的摄取存在很大难度。目前网络的安全态势技术要点主要包括静态的配置信息、动态的运行信息以及网络的流量甄别信息等。其中,静态的配置信息包括网络的拓扑信息、事件信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种安全防护措施的日志采集和分析技术获取的标准化之后的威胁信息等基本的运行信息[1]。 电力企业作为承担公共网络安全艰巨任务的职能部门,通过有效的技术手段和严格的规范制度,对本地互联网安全进行持续,有效的监测分析,掌握网络安全形势,感知网络攻击趋势,追溯恶意活动实施主体,为重要信息系统防护和打击网络违法活动提供支撑,保卫本地网络空间安全。 态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测[1]网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行甄别、获取、理解、显示以及预测未来的事件发展趋势。所谓网络态势是指由各种网元设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 国外在网络安全态势感知方面很早就已经做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[3]。 1安全态势感知系统架构 网络安全态势感知系统的体系架构(如图一),由威胁事件数据采集层、安全事件基础数据平台、平台业务应用层构成。 网络安全态势感知系统在对网络安全事件的监测和网络安全数据收集的基础上,进行通报处置、威胁线索分析、态势分析完成对网络安全威胁与事件数据的分析、通报与处置,态势展示则结合上述三个模块的数据进行综合的展示,身份认证子模块为各子平台或系统的使用提供安全运行保障。威胁线索分析模块在威胁数据处理和数据关联分析引擎的支持下,进行网络安全事件关联分析和威胁情报的深度挖掘,形成通报预警所需的数据集合以及为打击预防网络违法犯罪提供支持的威胁线索。通报处置模块实现数据上报、数据整理,通报下发,调查处置与反馈等通报工作。态势分析基于态势分析体系调用态势分析引擎完成对网络安全态势的分析与预测及态势展示。 1.1数据采集层 数据采集系统组成图(如图二),由采集集群与数据源组成,采集集群由管理节点,工作节点组成;数据源包括流量安全事件检测(专用设备)和非流量安全事件(服务器)组成。 1.2基础数据管理 基础数据平台由数据存储数据存储访问组件、通报预警数据资源和基础数据管理应用组成(如图三),数据存储访问组件式基础数据平台的多源数据整合组件,整合流量安全事件、非流量平台接入数据、互联网威胁数据等,网络安全态势感知,分析与预警涉及的数据较广,有效地态势分析与预测所需资源库需要大量有效数据的支撑,因此通报预警数据资源须根据态势分析与预警需要不断进行建设。基础数据平台负责安全态势感知与通报预警数据的采集、管理、预处理以及分类工作,并在数据收集管理基础上面向通报预警应用系统提供数据支撑服务。 1.3威胁线索分析 网络安全态势感知基于对网络安全威胁监测和网安业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎。在业务层面通过威胁分析任务的形式调度各分析引擎作业,包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等。通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索;分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息;分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据(如图四)。 |