论网络安全态势感知系统架构合计

    摘要：网络安全态势感知系统以安全大数据为基础,以全局视角提升对安全威胁的发现识别、理解分析、响应处置能力。本文分析了网络安全态势感知系统的关键技术,归纳了态势感知系统的层次化架构以及建设思路。
   
    关键词：态势感知,网络安全,系统架构
   
    1引言
   
    随着网络规模的扩大以及网络攻击复杂度的增加,传统安全防护设备存在着很大的局限,一套完整的态势感知系统应是围绕安全运营中心(SOC),并基于日志管理(SIEM)、大数据平台、威胁情报、关联分析、沙箱等关键技术和多维度数据,为用户提供预测、保护、检测和响应闭环能力的安全系统[1]。本文简要阐述了态势感知系统的关键技术、层次化架构以及建设思路。
   
    2网络安全态势感知市场分析
   
    近年来随着国家政策和监管部门的要求,以及态势感知技术不断成熟,态势感知已经成为网络安全领域的重点研究课题。目前国内安全市场因态势感知产品的多样性,概念越来越模糊,功能及适用性也各有千秋,但总体来讲态势感知产品主要包含功能模块有:资产管理、漏洞管理、大数据平台、日志分析平台、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等。态势感知产品的核心竞争力可以归结为三点:数据源的多样性和数据量、关联分析能力、风险监测及响应能力。
   
    3网络安全态势感知关键技术
   
    态势感知通过采集网络资源信息,通过数据预处理、特征提取、态势预测和可视化展示等过程来完成。
   
    3.1 数据融合技术
   
    态势感知系统需要对部署网络和安全设备日志信息及关键主机日志、漏洞信息进行提取、分析和处理。由于日志信息的多源性,需要对不同格式的数据进行预处理,并进行归一化融合操作,完成对数据的自动监测、关联、相关、组合等处理,从而得到更为可靠、准确的结论。
   
    3.2 数据挖掘技术
   
    经过数据融合处理后,原始数据转化为格式统一的数据单元,这些数据单元数量庞大且携带大量干扰信息,需要利用数据挖掘技术从大量的数据中挖掘出有用的信息。聚类分析不依赖预先定义好的类,是未知的类划分,常用的方法有模糊聚类法、动态聚类法、基于密度的方法等[2]。
   
    3.3 特征提取技术
   
    特征提取是安全态势预测和评估的基础,针对某一事件,会产生大量日志和告警信息,存在冗余和关联,特征提取技术通过数学方法,将大规模网络安全信息数据归并融合成一组或者几组在一定值域范围内的数值,用以反映安全状况和受威胁程度等情况。特征提取方法主要有层次分析法、模糊层次分析法、德尔菲法和综合分析法。
   
    3.4 态势预测技术
   
    态势预测是根据历史数据,推测、估计在未来一定时期内可能的变化情况。主要分为三个步骤:首先通过对大量网络攻击实例的研究,得到规则知识库;然后分析关键主机、承载服务存在的漏洞和网络环境,建立漏洞库和网络环境库;最后通过漏洞库来确认安全事件的有效性,通过网络环境库预测安全态势。态势预测方法主要有神经网络预测法、时间序列预测法、基于灰色理论预测法。
   
    3.5 可视化技术
   
    可视化技术是利用计算机图形学和图像处理技术,将网络安全态势生成的分析结果转换成图形或图像在屏幕上显示出来,并进行交互处理。
   
    4网络安全态势感知系统架构合计
   
    态势感知系统是一个分布式开放结构,可分为信息获取层、态势理解层和态势预测层三个层次。提供支撑的数据库包括关键资源库、事件库、网络信息库、知识库等。
   
    4.1 信息获取层
   
    信息获取层通过部署各种类别传感器,获取网络环境中网络设备、安全设备、服务器等各种异构信息,位于系统框架结构底部,起基础性支撑作用,可进一步细分为三个子层,即设备层、传感器层、信息集成层,通过封装实现细节,可保证各子层的独立性和透明性。
   
    传感器层由多种类型传感器组成并且形成互补,如基于NetFlow的传感器在判断端口异常时需知道端口被哪个程序占用,而日志传感器可以轻易获得,各传感器间预留交互接口,且采用统一的接口范式,形成数据共享。信息集成层初步融合来自各传感器的信息,并向上层应用提供查询响应的接口,以便接收和解析查询命令。
   
    4.2 态势理解层
   
    态势理解层对各种异构信息采用聚合和融合方法进行要素提取。首先需要进行局部分析,对传感器所获取信息进行XML格式化,再采用基于相异度的计算方法进行局部聚类分析,对聚类后的结果采用基于指数加权的DS证据理论算法进行融合关联,最终提交全局分析模块。根据阈值要求得出相应结果并存入数据库。
   
    4.3 信息预测层
   
    态势预测层主要包括事件威胁度评估、安全态势量化评估、安全态势预测三个功能。安全态势量化评估功能是态势决策层的核心。首先对一定时间内的安全事件进行威胁度统计分析,得出不同服务应用在不同时间间隔内所受威胁程度的安全事件数量;依据不同时间间隔的重要性分别计算出对应的服务安全态势;事件威胁度评估功能是将高威胁度的安全事件排在最前面,可以通过设计一个匹配器将安全态势要素提取结果与攻击威胁分类情况进行匹配,得出高、中、低安全事件排序。
   
    结语与展望
   
    要完成网络安全态势感知系统的建设目标,经过对信息的采集、理解、预测处理后,便具备了态势感知系统的基础功能,但对于大型态势感知系统而言,还要结合威胁情报完善纵向支撑体系,通过大数据、人工智能技术提升系统的自动化配置和主动防护能力。
   
    参考文献   
    [1] 亚历山大·科特,克里夫·王,等.网络空间安全防御与态势感知.黄晟,安天研究院译.机械工业出版社,2019.   
    [2]杜嘉薇,周颖,郭荣华,等.网络安全态势感知---提取、理解和预测[M].机械工业出版社,2018.