信息安全態勢感知系統論文

信息安全態勢感知系統論文

　　中國政治密碼現代計算機技術快速的在電力系統發展，網絡攻擊和入侵行為正向著規�；�、復雜化、分布化、間接化等趨勢發展。雖然已經采取了各種網絡安全防護措施，但是單一的安全防護措施沒有綜合考慮各種防護措施之間的關聯性，無法滿足從宏觀角度評估入侵威脅安全性的需求。信息安全安全態勢感知系統的研究就是在這種背景下產生的。它在融合各種網絡安全要素的基礎上從宏觀的角度實時評估網絡的安全態勢，并在一定條件下對網絡安全態勢的發展趨勢進行預測和展示。

　　目前隨著互聯網的發展普及，網絡安全的重要性及企業以及其對社會的影響越來越大，網絡安全問題也越來越突出，并逐漸成為互聯網及各項網絡信息化服務和應用進一步發展所亟需解決的關鍵問題。網絡安全態勢感知技術的研究是近幾年發展起來的一個熱門研究領域。它不僅契合所有可獲取的信息實時評估網絡的安全態勢，還包括對威脅事件的預判，為網絡安全管理員的決策分析和溯源提供有力的依據，將不安全因素帶來的風險和對企業帶來的經濟利益降到最低。網絡安全態勢感知系統在提高應急響應能力、網絡的監控能力、預測網絡安全的發展趨勢和應對互聯網安全事件等方面都具有重要的意義。

　　那么全面準確地攝取網絡中的安全態勢要素是網絡安全態勢感知技術研究的基礎方向。然而由于網絡已經發展成一個龐大的非線性復雜系統，具有很強的靈活性，使得網絡安全態勢要素的攝取存在很大難度。目前網絡的安全態勢技術要點主要包括靜態的配置信息、動態的運行信息以及網絡的流量甄別信息等。其中，靜態的配置信息包括網絡的拓撲信息、事件信息、脆弱性信息和狀態信息等基本的環境配置信息;動態的運行信息包括從各種安全防護措施的日志采集和分析技術獲取的標準化之后的威脅信息等基本的運行信息[1]。

　　電力企業作為承擔公共網絡安全艱巨任務的職能部門，通過有效的技術手段和嚴格的規范制度，對本地互聯網安全進行持續，有效的監測分析，掌握網絡安全形勢，感知網絡攻擊趨勢，追溯惡意活動實施主體，為重要信息系統防護和打擊網絡違法活動提供支撐，保衛本地網絡空間安全。

　　態勢感知的定義：一定時間和空間內環境因素的獲取，理解和對未來短期的預測[1]網絡安全態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行甄別、獲取、理解、顯示以及預測未來的事件發展趨勢。所謂網絡態勢是指由各種網元設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。

　　國外在網絡安全態勢感知方面很早就已經做著積極的研究，比較有代表性的，如Bass提出應用多傳感器數據融合建立網絡空間態勢感知的框架，通過推理識別入侵者身份、速度、威脅性和入侵目標，進而評估網絡空間的安全狀態。Shiffiet采用本體論對網絡安全態勢感知相關概念進行了分析比較研究，并提出基于模塊化的技術無關框架結構。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等[3]。

　　1安全態勢感知系統架構

　　網絡安全態勢感知系統的體系架構(如圖一)，由威脅事件數據采集層、安全事件基礎數據平臺、平臺業務應用層構成。

　　網絡安全態勢感知系統在對網絡安全事件的監測和網絡安全數據收集的基礎上，進行通報處置、威脅線索分析、態勢分析完成對網絡安全威脅與事件數據的分析、通報與處置，態勢展示則結合上述三個模塊的數據進行綜合的展示，身份認證子模塊為各子平臺或系統的使用提供安全運行保障。威脅線索分析模塊在威脅數據處理和數據關聯分析引擎的支持下，進行網絡安全事件關聯分析和威脅情報的深度挖掘，形成通報預警所需的數據集合以及為打擊預防網絡違法犯罪提供支持的威脅線索。通報處置模塊實現數據上報、數據整理，通報下發，調查處置與反饋等通報工作。態勢分析基于態勢分析體系調用態勢分析引擎完成對網絡安全態勢的分析與預測及態勢展示。

　　1.1數據采集層

　　數據采集系統組成圖(如圖二)，由采集集群與數據源組成，采集集群由管理節點，工作節點組成;數據源包括流量安全事件檢測(專用設備)和非流量安全事件(服務器)組成。

　　1.2基礎數據管理

　　基礎數據平臺由數據存儲數據存儲訪問組件、通報預警數據資源和基礎數據管理應用組成(如圖三)，數據存儲訪問組件式基礎數據平臺的多源數據整合組件，整合流量安全事件、非流量平臺接入數據、互聯網威脅數據等，網絡安全態勢感知，分析與預警涉及的數據較廣，有效地態勢分析與預測所需資源庫需要大量有效數據的支撐，因此通報預警數據資源須根據態勢分析與預警需要不斷進行建設。基礎數據平臺負責安全態勢感知與通報預警數據的采集、管理、預處理以及分類工作，并在數據收集管理基礎上面向通報預警應用系統提供數據支撐服務。

　　1.3威脅線索分析

　　網絡安全態勢感知基于對網絡安全威脅監測和網安業務數據關聯分析實現入侵攻擊事件分析引擎、惡意域名網站專項分析引擎和攻擊組織/攻擊IP專項分析引擎。在業務層面通過威脅分析任務的形式調度各分析引擎作業，包括日常威脅分析任務、專項威脅分析任務、重要信息系統威脅分析任務、突發事件威脅分析任務等。通過上述分析任務分析得到攻擊行為、欺詐/仿冒/釣魚等網絡安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關的網絡攻擊或惡意活動線索信息;分析得到重點單位、重要系統/網站、重要網絡部位相關的網絡安全線索數據(如圖四)。

　　1.4網絡安全態勢分析

　　態勢分析功能(如圖五)應從宏觀方面，分析整個互聯網總體安全狀況，包括給累網絡安全威脅態勢分析和展示;微觀方面，提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示，包括網站態勢、重點單位態勢、專項威脅態勢和總體態勢。其中網站態勢應對所監測網站的網絡安全威脅和網絡安全事件進行態勢分析和展示;重點單位態勢應支持對重點單位的網絡安全威脅事件態勢分析和展示;專項威脅態勢應對網站仿冒、網絡釣魚、漏洞利用攻擊等網絡攻擊事件、木馬、僵尸網絡等有害程序事件，網頁篡改、信息竊取等信息破壞事件進行專項態勢分析和展示。此外，態勢分析應提供網絡安全總體態勢的展示和呈現。

　　1.5攻擊反制

　　通過分析發現的安全事件，根據目標的IP地址進行攻擊反制，利用指紋工具獲得危險源的指紋信息(如圖六)，如操作系統信息、開放的端口以及端口的服務類別。漏洞掃描根據指紋識別的信息，進行有針對性的漏洞掃描[4]，發現危險源可被利用的漏洞。根據可被利用的漏洞進行滲透測試，如果自動滲透測試成功，進一步獲得危險源的內部信息，如主機名稱、運行的進程等信息;如果自動滲透測試失敗，需要人工干預手動進行滲透測試。

　　通過攻擊反制，可以進一步掌握攻擊組織/攻擊個人的犯罪證據，為打擊網絡犯罪提供證據支撐。

　　1.6態勢展示

　　圖七：態勢展示圖

　　態勢展示依賴一個或多個并行工作的態勢分析引擎(如圖七)，基于基礎的態勢分析插件如時序分析插件、統計分析插件、地域分布分析插件進行基礎態勢數據分析，借助基線指標態勢分析、態勢修正分析和態勢預測分析完成態勢數據的輸出，數據分析結果通過大數據可視化技術進行展示[5]。

　　2安全態勢感知系統發展

　　網絡安全態勢預測技術指通過對歷史資料以及網絡安全態勢數據的分析，憑借固有的實踐經驗以及理論內容整理、歸納和判斷網絡安全未來的態勢。眾所周知，網絡安全態勢感知的發展具有較大不確定性，而且預測性質、范圍、時間以及對象不同應用范圍內的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為判定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢感知判定性預測方法指結合網絡系統之前與當前安全態勢數據情況，以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系，對下一次的系統變量進行預測[6]。由于該方法僅考慮時間變化的系統性能定量，因此，比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系，確定某些因素影響造成的結果，建立其與數學模型間的關系，根據可變因素的變化情況，對結果變量的趨勢和方向進行預測。

　　3結語

　　本文主要的信息安全建設中的安全態勢感知系統進行了具體設計，詳細定義了系統的基本功能，對系統各個模塊的實現方式進行了詳細設計。系統通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協議流量模型和異常流量監測模型各種模型的研究來實現平臺對安全態勢與趨勢分析、安全防護預警與決策[7]。

【信息安全態勢感知系統論文】相關文章：

電力信息安全態勢感知分析10-25

信息安全管理中信息安全態勢分析08-11

公路信息系統機房安全管理研究論文08-22

信息安全風險評估綜合管理系統設計的論文06-21

城軌信號系統信息安全技術方案論文05-04

信息化管理系統的論文08-02

信息管理系統論文07-30

信息管理系統論文09-03

新時期信息安全主動防御系統研究論文08-30

云計算下的信息安全應急系統研究論文06-18