摘要 :工业系统是关乎国计民生的国家基础资源系统,是国民经济的支撑性资源。从2010年7月震网病毒在伊朗核电站爆发以来,信息安全已经从传统意义上的信息领域逐步渗透到工控领域中,工控安全关乎到国民经济安全。但是2004年电监会5号令的电力二次防护总体方案以及2014年的发改委14号令(2015年国能安全36号文)都只是规定了在安全域边界的隔离及加密安全措施,缺乏对网络之间交互的纵深防护和异常感知的能力。所以,建设一套基于大数据的采集、分析技术的贯穿供电局综合数据网与调度网络II、III区的综合安全分析预警平台,对在网络流量大数据背景下发现发现网络内的异常情况,如发现未被授权的设备被插入网络中(如非授权接入的笔记本电脑)、使用欺诈IP地址非法通信正等非授权行为有着重要意义。
关键词:网络流量 大数据 安全 预警
在操作员的日常操作和维护中,生成大量数据信息,其包含安全信息。在分析海量数据信息的基础上,可以准确识别风险漏洞,不断增强信息安全是信息安全工作的重点。传统的安全防护主要采用静态单一识别,局限性明显。它还涵盖了不同类型的未知威胁。缺乏主动性和智能分析方法只能依靠事后统计不会能对安全事件进行相关挖掘分析。为此,有必要开发新方法以确保及时发现问题。
1.基于网络流量大数据的安全预警项目研究内容
1.1基于网络流量大数据的安全预警项目研究内容
(1) 构建大数据基础架构,采集出口流量和专用安全设备告警,并进行统一存储。
(2)通过大数据进行数据挖掘。通过攻击链技术进行关联分析。
(3)研发智能态势感知预警模型,实现电网业务系统的安全态势分析和预警模型。
1.2基于网络流量大数据的安全预警项目研究内容主要技术难点
(1)消除误报
工控大数据分析平台在开展预警过程中,需要通过多种数据关联,制定合理的关联算法,定义不同级别的预警级别控制告警的数量,避免过多告警导致运维人员麻木而错过了最关键的告警信息。而安全态势感知平台必须能够迅速适应网络变化,对全网态势做出准确判断,并对新攻击行为进行自适应响应。
(2)关联分析算法
工控大数据分析平台收集并关联多源异构数据,通过关联分析算法及时发现安全事件并发布告警。 为实现此功能需要定义大量的关联规则,通过多类不同的数据源进行多维度的威胁感知,并根据环境的变化维护关联算法规则,是本次系统的成败关键技术。
(3)溯源与数据挖掘
在大数据应用环境下,数据监测类溯源方法的溯源结果具有极高的全面、客观和准确性。随着大数据存储和数据挖掘技术的飞速发展,大数据的存储和查询性能瓶颈得以解决,使得数据监测类溯源方法逐渐成为提升全网安全溯源能力水平的重要手段。IP溯源、流量溯源和行为溯源都属于数据监测类溯源方法。
2.基于网络流量大数据的安全预警项目实施方案
建设一套基于大数据的采集、分析技术的贯穿供电局综合数据网与调度网络II、III区的综合安全分析预警平台。平台架构如下图所示:
通过在综合数据网(上机位)、电力调度网络(下机位)设置异常监测装置来对综合数据网和II、III区的电力监控系统的异常流量进行实时监控。监控得到的实时数据通过工控综合安全管理平台进行收集,同时工控综合安全管理平台还可以收集供电局和变电站原有网络设备、安全设备以及上位机监控软件的日志信息,将信息汇总整理筛选后进行综合性的呈现,对整个工控系统的安全形势进行态势感知。将工控网络作为一个整体,关注其中正在进行的网络活动,如监控工控网络流量、采集相关敏感数据,为工控网络当前的状态以及未来可能受到的攻击做出态势评估与预测,给工控系统各个专业的运行人员提供可靠、有效的决策依据,最大程度上降低工控系统可能遭受的风险和损失。
工控网络态势感知主要通过融合于整个工业生产管理过程中的工控综合安全管理平台来实现。“态势感知”是指可以对态势进行评价和反作用的认知、判定和行为。在网络安全的背景下,第一步(认知)需要从大量数字化系统中收集和聚合信息,信息的采集主要通过部署于工业生产大区的工业探针来实现,这种工业信息探针既可以是识别大部分工控协议并对入侵行为进行探测的入侵检测系统,也可以是通过进程白名单等方式对工业设备现场行为进行分析的安全审计系统。借助工控综合安全管理平台可以完成对采集数据的分析。收集到的信息越多,工控综合安全管理平台就可以更加深入的了解需要保护的工业环境,从而更好的认知系统信息。一旦建立了认知,工控综合安全管理平台将提供许多自动化机制来判定系统中潜在的风险和威胁,同时也为安全人员提供了对态势进行人工评价的控制机制。通过自动化的响应机制,可以将收集的数据与已知威胁类型进行关联,以检测更为复的混合攻击;可以计算基准活动的趋势,对可能偏离基线的行为进行告警;可以评估特定资产、用户或应用相关的风险,在风险值过高时告警;可以针对给定的标准对海量数据信息进行筛选和过滤。
3.基于网络流量大数据的安全预警数据分析
项目的核心在于大数据分析,其分析模型的核心思想是通过“自然语言行为规则”解决不同告警源带来的态势要素获取和态势理解难题,实现高效的态势理解和精准的态势检测,其模型如下:
见上图整体模型,针对信息资产的攻击行为和远程安全评估行为产生各种日志告警(warning),这些告警都是基于特征的,可以用继电保护装置、上下位机、IDS、漏洞扫描器等各种设备实现安全事件的采集。采集后的事件,通过日志分析引擎和语义引擎进行过滤和规范化。通过日志过滤、日志规范化后,再通过“智能关联算法”将日志信息(warning)形成安全事件(event),事件是可读的,可以响应处置的。在本阶段系统能输出可信的事件,给下一步的态势预警做支撑。
安全事件还可匹配攻击链规则进行网络入侵态势预警和APT攻击态势预警。如下图所示:
安全态势感知是建立在所有信息数据之上的顶层数据,可以用于判断一个数据中心乃至全省的信息状况。智能态势感知预警模型如下图所示:
图:智能态势感知预警模型
攻击溯源,本项目建立大数据采集和解析引擎的处理流程和架构图,通过构建大数据采集和解析引擎,对全网流量数据进行采集、格式化和解析;运用适用于大数据的先进数据压缩技术,并对将数据存储至分布式数据库;基于高速内存数据库,研发一系列溯源与数据挖掘方法,针对各类安全事件进行高精度和快速的追踪溯源,并将溯源结果以可视化形式呈现。
4.小结
本项目拟将采用首先主流成熟的技术迭代开发,然后不断进行安全数据采集、解析和存储性能提升方法和溯源与数据挖掘方法的研究与创新,满足安保与涉密单位不同层次的安全事件溯源分析需求,支持各用户快速、正确作出安全防御决策。在系统设计中,通过对大数据进行分析其结果、安全态势得到了很好的控制,通过建立实时监控的态势感知提供了过程分析与安全警告,进而形成完整的安全分析系统。
参考文献
[1]董磊,李秀峰,徐志鹏.基于网络流量学习的智能安全建模技术[J].网络安全技术与应用,2016(10):63-65.
[2]姜开达,李霄,孙强.基于网络流量元数据的安全大数据分析[J].信息网络安全,2014(05):37-40.
[3]陈霖,梁坤.4G时代基于网络流量大数据分析的安全预警研究
论文作者:娄宇,高宇 马志坚,后跃兴,陈耀文
论文发表刊物:《科技新时代》2019年10期
论文发表时间:2019/12/6
标签:数据论文; 态势论文; 工控论文; 信息论文; 网络流量论文; 系统论文; 事件论文; 《科技新时代》2019年10期论文;