摘要:网络安全态势感知是一种主动防御技术,它复合与增强了多项安全技术,能够实时、主动地监控网络状态,对当前和未来一段时间内网络的安全状况进行全面分析评估,从而预测网络安全风险并及时采取措施,实现静态和动态相结合的安全防御。
关键词:网络安全;态势感知;态势预测
1网络安全态势感知技术架构
1.1安全数据采集
安全威胁往往隐藏在海量网络数据之中,持续收集海量、多维的数据是进行网络安全态势感知的基础,只有对安全数据进行全面、准确地采集才能保证网络安全态势评估与预测的准确性。因而网络安全数据采集要尽可能的广泛、全面和完整,包括终端行为、原始流量、审计数据、监测数据、威胁告警数据、日志数据、资产和元数据等各种信息。数据采集方式常见的有传感器、syslog、SNMP、NetFlow等技术,对于大量多源异构数据,可采用前置探针的方式,对数据进行集中采集。
1.2数据预处理
由于采集的原始数据来源多样化,其数据格式、内容、质量千差万别,存储形式、表达的语义也不同,同时,这些数据中还存在着大量的不完整、不一致,甚至重复、错误或异常的数据,如果不对数据进行预处理,就会严重影响到后续数据的分析和挖掘,以及分析的准确性。因此,在态势分析之前,需要对采集的数据进行规格化、统一化的预处理,以改进数据质量,提高数据分析的效率、质量和准确性。数据预处理就是通过数据清洗、数据融合、数据关联等方法,将原始数据进行重新审核、筛选和排序,形成准确、基础的数据关系图谱的过程,常用处理方法主要包括数据清洗、集成、归约、变换、融合等[4]。
1.3态势分析
态势分析主要是将预处理后的安全数据进行分析挖掘,把具有一定相关性、反映某些网络安全事件的特征信息提取出来,采用相应模型或算法从整体上对当前网络的安全状况进行分析,从而全面掌握网络整体的安全状况。在态势分析前,首先要按照一定的原则和标准从预处理后的数据中提取相关指标信息,建立一套合理的安全态势指标体系,然后以此指标体系为基础建立合适的数学模型,从而对当前的网络状况进行态势分析。由于态势分析涉及数据量很大、评估方法复杂且没有系统的理论体系,因此,在现有的理论和技术中一般有数据挖掘和数据融合两类技术可以运用。
1.4态势预测
态势预测是通过分析评估当前网络状态和历史信息,对网络态势的未来发展趋势进行推测和估计,是实现网络安全主动防御的关键环节。目前网络安全态势预测一般采用定性分析、时间序列分析和因果分析等传统方法。由于网络攻击具有随机性、不确定性和复杂性等特点,当面对复杂复合式的网络攻击,传统预测方法已逐渐不能满足需求,随着人工智能和机器学习技术的发展,态势预测越来越倾向于使用智能预测方法和技术。目前,神经网络预测是常用的网络安全态势智能预测方法,它能够通过网络自学能力调整和构建态势预测模型,具有自学习性、自适用性,以及良好的容错性和稳健性等特点。
1.5态势展示
态势感知涉及大量抽象的数据,相互之间关系复杂,利用传统文本方法无法直观地将态势分析和预测结果呈现。由于大数据可视化技术的发展,态势展示可利用可视化技术,根据业务特点和需求关注点,将大量、复杂、抽象的网络安全态势数据体系以图形图像的方式进行综合展现,帮助安全人员分析网络态势,识别安全威胁,为管理决策提供有力的依据。态势展示涉及计算机图形学、图像处理、计算机视觉、计算机辅助设计等多个领域,目前已有很多可视化技术和工具应用到了态势感知领域,并取得了一定的效果。
期刊文章分类查询,尽在期刊图书馆
2网络安全态势感知建设思路
2.1本地数据中心和第三方态势感知服务平台相结合
由于自主建设态势感知平台周期长、预算多、风险高,这种方法,一般不适用于中小组织。因此,若想快速有效的搭建态势感知平台,可充分利用第三方服务平台,采取本地部分建设和第三方服务相结合的方式。一方面,在本地建设数据中心,数据中心进行数据采集、存储和预处理,并利用大数据技术进行分析,实时监测网络安全状况;另一方面,采购第三方网络安全企业的态势感知平台的服务,将本地数据中心预处理后的数据和态势分析状况同步至第三方网络安全态势感知服务平台,由第三方服务平台进行安全数据和威胁情报数据的对比分析和态势预测,从而实现网络安全趋势预测和深度挖掘潜在的安全威胁,并进行可视化展示。
2.22自主建设态势感知平台
自主建设方式适用于大型组织或者某个行业,在建设中可按照统一规划、分级部署的方式,分多个阶段逐步建设。在初始阶段应重点考虑基础平台和安全管理系统建设,基础平台包括数据采集、数据处理、数据分析、可视化展示以及资产管理等,安全管理系统可根据实际需求,面向不同的安全问题和管理需求,开发不同的安全管理子系统,如预警响应、安全监测、态势感知、快速处置、等保监测、报表中心、溯源分析等子系统。随着基础平台和管理系统的建设,逐步引入自动化配置手段和人工智能分析预测技术,实现自动化、体系化主动动态的网络安全防护能力,建立起覆盖全网的态势感知、安全监测、通报预警的体系。在网络安全态势感知平台建设中需重点关注安全数据中心和威胁情报中心的建设。本地安全数据中心建设,应覆盖全部网络和业务系统中的各种软件、硬件和各个环节,建立相应数据采集点,尽可能多的采集网络中的各类安全状态数据、流量数据、安全威胁和告警数据以及安全管理类数据信息,经过数据预处理后存储在安全数据中心。在安全数据中心的基础上,建设威胁情报分析中心,将威胁情报和本地的安全规则和安全数据中心的数据进行关联分析,从而发现网络中的威胁和异常,实现网络安全态势的评估和预测。为提升整体网络安全运营水平,提高态势预测的准确性和全面性,高质量的威胁情报数据必不可少,因此威胁情报中心在采集平台内部威胁情报数据的同时,还应收集融合平台外部的威胁情报数据,为此可考虑建立平台内部和外部的威胁情报数据共享机制。
2.3加强网络安全运营管理
安全管理机构需要承担信息安全管理工作,要制定信息安全管理制度,完善技术防护措施,因此需进一步明确定义管理机构的管理层次、角色、职责、权限、技能要求等,并配备合适的人员;在规章制度建设中,可结合实际从数据管理、漏洞管理、运维管理、备份管理、资产管理、人员管理、安全事件处置、应急响应等方面制定相应的安全管理制度和操作规程,并要求相关人员严格遵守。此外,还应加强风险管理,定期对网络和业务系统开展安全评测,对发现的问题和薄弱环节,进行修复整改。
2.4加强安全人员建设
在网络态势感知建设中,安全人员建设同平台建设、安全运营管理建设同等重要。一方面,加强安全人员安全意识教育、技能培训和团队建设,提高网络安全工作能力;另一方面,进一步拓展和深化安全人员专业技能,在掌握传统网络、安全等专业领域知识和工具的基础上,不断加强网络安全态势感知、大数据技术等知识的学习,不断了解网络攻击的新手段和新方法,研究网络防御新方法,提高网络安全检测、分析和响应水平。
3结语
本文在研究网络安全态势感知技术架构的基础上,对网络安全态势感知系统建设进行了探讨。网络安全态势感知是一项复杂的系统工程,它是多项技术的复合与增强,还涉及资金、平台建设、资产管理、团队建设、制度建设等各方面,不可能一次建设到位,因此需要各组织根据实际需求分阶段建设问题。
参考文献:
[1]张应奇.计算机网络安全防范措施[J].电子技术与软件工程,2017(10).
[2]毛军礼,汲锡林.基于大数据的网络态势感知体系架构[J].无线电通信技术,2018(03).
论文作者:李响,郭新营,马占军,苟亮
论文发表刊物:《基层建设》2019年第24期
论文发表时间:2019/11/22
标签:态势论文; 数据论文; 网络安全论文; 网络论文; 技术论文; 数据中心论文; 平台论文; 《基层建设》2019年第24期论文;