基于大数据的网络安全态势感知系统在网络安全管理中的应用

来源:用户上传      作者:李大玮 刘鹏 王璐

　　【摘要】 伴随着云计算、大数据、物联网、移动互联网技术的快速发展，互联网与人们的生活密切相关，针对网络的攻击也愈加复杂多样，应用网络安全态势感知系统，实现对内部网络攻击源的快速定位和处置，满足当下网络安全管理的需求。在本文的分析中，主要以安全事件的定位和处置为基础，通过应用网络安全态势感知系统，实现对网络安全总体态势的监测和预警，辅助运维人员快速处置网络安全隐患和事件。
　　【关键词】 大数据 网络安全管理 态势感知 网络资产
　　引言：
　　伴随着云计算、大数据、物联网、移动互联网技术的快速发展，互联网与人们的生活越来越密切，针对互联网的攻击手段愈发多样，尤其近年来勒索病毒、挖矿软件的泛滥，在全球范围内造成了严重的影响，仅仅依靠着传统单一性的安全防护方式，已经无法满足当下网络安全性的要求，需要建立统一的网络安全管理系统，对网络安全日志进行综合分析研判，提升网络安全管理能力，在这种背景下，网络安全态势感知系统，在当前的网络安全管理中发挥着越来越重要的作用。
　　一、新时期网络安全管理要求
　　（一）实时全面的监测体系
　　建立实时全面的监测体系，实现对内网全面威胁实时监测，全流量威胁分析，从脆弱性、外部攻击、内部异常三大维度，来达成全面的监测体系。这三大维度均有其对应的最终目标，脆弱性即以I务资产为核心，寻找暴露面;外部攻击即寻找基于攻击突破弱点及攻击绕过情况，结合脆弱性感知来进行针对性的调整防御策略，决策加固方向;内部异常则是寻找已经被入侵成功的失陷主机及内鬼已在内部潜伏的威胁，避免继续受损及影响扩散。
　　（二）攻击溯源
　　攻击溯源是在网络安全事件的处理过程中所需要具备的重要能力。网络安全事件发生之后，通过对日志的全面综合分析，及时的发现一些安全事件当中的问题所在，并基于这样的分析模式，进行针对性的安全事件的发生路径等内容的分析与处理，对攻击者进行溯源和定位，并进行针对性的防护。
　　（三）安全管理
　　安全管理，就是一种始终保持对网络环境的实时监测与保护，重点是对一些基础信息进行详细的管控。针对网络内部的各类应用、数据，进行针对性的保护和管理，通过网络资产梳理，设定防护规则等方式，针对核心网络资产进行针对性的实时监测和预警。
　　二、网络安全态势感知系统功能
　　网络安全态势感知系统要实现对全网安全态势的全方位监测，必须具备自动发现能力和机器学习能力，例如对网络资产、攻击行为、进行统计类态势感知，以及对攻击行为的挖掘类态势的感知。通过不断的人机交互，对识别结果加以校正，不断学习改进分析结果，形成良好的感知数据分析。
　　（一）网络安全可视化
　　网络安全可视化是网络安全态势感知平台的核心功能，是网络安全态势感知系统面向用户输出安全告警、安全事件及态势分析结果等信息的主要窗口，其所需呈现的信息与用户的网络安全管理业务需求息息相关，网络安全可视化实现了功能需求多样化的背景下，统一网络安全可视化呈现能力问题。将资产分布、趋势分析、各类排名，乃至安全告警应呈现的信息内容要素等通过可视化界面直观地呈现给用户，并提供相关的溯源、分析，便于用户准确、迅速定位网络威胁，排查网络隐患[1]。
　　（二）网络资产梳理
　　通过部署探针，使用扫描技术以及爬虫技术，进行主动的探测，辅以通过对上网行为管理、准入、无线接入控制系统的用户同步功能，提供出一个具体的知识库，可以获得完整、准确的在线设备资产，并最后利用大数据的分析方式，较为快速地掌握到现阶段在线设备的总数量和历史设备接入情况。
　　（三）资产脆弱性感知
　　资产是网络安全最重要的防护点，尤其是承载业务的服务器资产，服务器脆弱性也称服务器弱点，弱点是服务器本身存在的，所有的攻击和威胁都必须利用服务器的某个弱点才能造成伤害，因此，服务器脆弱性的感知和加固便显得十分重要，可以有效预防威胁的发生。
　　脆弱性感知能力应具备内网资产的脆弱性分析，主要涵盖漏洞、弱口令、Web明文传输、配置风险等方面，进行快速定位，并对其资产IP进行针对性的信息分析，直观地查看服务器脆弱性风险分析、热点漏洞及脆弱性风险详情等信息，通过主动或被动的形式，结合脆弱性指纹信息，快速聚焦服务器存在的情况，方便运维人员快速定位，及时处置。
　　（四）文件威胁监测
　　在典型攻击链中，文件威胁是攻击发起的重要手段，病毒文件通过网站挂马、钓鱼邮件等方式入侵内网主机、恶意文件在用户主机执行并主动连接控制端、发送邮件等方式，导致主机被控制或敏感数据被盗，文件威胁时内网横向攻击发起的源头，态势感知系统通过对网络流量分析，整体展示文件威胁情况，精准定位威胁源头。
　　（五）日志关联分析
　　通过收集第三方产品SYSLOG日志及操作系统的日志信息，实现对第三方安全信息和事件日志进行分析日志关联分析，直观地将接入设备概况、数据分布、安全事件统计、关联规则统计、日志统计以及日志传输趋势等信息呈现给用户，帮助用户准确掌握当前各个设备的安全运行状态。
　　（六）攻击行为态势感知
　　资产每天都可能遭受到大量的攻击，这些攻击有些可能是实实在在的网络攻击，也可能源自系统自身的漏洞，大量的威胁警报往往会掩盖潜在的威胁，使IT运维复杂化，因此，进行安全监测的功能性分析时，需要对于全网的攻击行为，进行实时的监测、归纳、学习，并可以利用大数据分析技术的方式，实现对木马攻击行为的良好分析，并可以精准识别出真正的攻击行为，通过这种大数据的分析，形成直观、精准的分析模式和直观的展现方式[2]。
　　三、态势感知系统的原理

转载注明来源:https://www.xzbu.com/1/view-15426830.htm