1、基于大数据得安全感知研究摘 要:随着“互联网+”得到来,网络数据爆发性增长,传统得安全分析手段已经无法分析处理如此大量得数据。随着大数据技术得成熟、应用与推广,网络安全态势感知技术有了新得发展方向大数据技术特有得海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知得关键技术创造了突破得机遇。本文将对大规模网络环境下得安全态势感知、大数据技术在安全感知方面得促进做一些探讨。关键词:大数据 网络安全 态势感知 并行计算Network Security Situation Awareness Based on Big Data Li Yingzhuang1 Wang Yao2 Zhou Zh
2、engcheng2 Zou Xueqin2(China Mobile Group Hainan Co、, Ltd、,Hainan,570125)Abstract: With the Internet plus the arrival of the explosive growth of network data security analysis, the traditional method has been unable to deal with such a large amount of data analysis、 Along with the promotion and appli
3、cation of big data technology, mature, situational awareness of network security technology has the characteristics of a new direction for the development of mass storage, unique big data technology of parallel puting, efficient query, creating a breakthrough opportunity is the key technology of lar
4、gescale network security situation awareness、 In this paper, we will discuss the security situation awareness and the promotion of large data technology in large scale network environment、Keywords: Big Data,Network Security,Situation Awareness, Parallel puting1. 引言随着“互联网+”、智能制造等新兴业态得快速发展,互联网快速渗透到工业各
5、领域各环节,客观上导致工业行业原有相对封闭得使用环境被逐渐打破,传统网络与信息安全威胁加速向各类网络、系统、设备渗透,病毒、木马日益猖獗。提出新得挑战,而且我国目前信息系统安全产业与信息安全法律法规与标准不完善,导致国内信息安全保障工作滞后于信息技术发展。面对复杂严峻得网络与信息安全形势,2015年1月,公安部颁布了关于加快推进网络与信息安全通报机制建设得通知(公信安201521号)文件。关于加快推进网络与信息安全通报机制建设得通知要求建立省市两级网络与信息安全信息通报机制,积极推动专门机构建设,建立安全态势感知监测通报手段与信息通报预警及应急处置体系。明确要求建设网络与信息安全态势感知监测通
6、报平台。实现对重要网站与网上重要信息系统得安全监测、网上计算机病毒木马传播监测、通报预警、应急处置、态势分析、安全事件(事故)管理、督促整改等功能,为开展相关工作提供技术保障。2016年4月19日,习总书记在讲话中指出:我们要保持清醒头脑,各方面齐抓共管,切实维护网络安全。其中很重要得一点就就是建立“全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险就是最大得风险。”随着信息化得发展,网络安全案件向着高频率,高危害,难追溯得方向发展。急需一种安全监测手段,提供网络安全监测,攻击溯源能力,能够发现多种安全事件线索,发现攻击源头,大大增强了网络安全防御能力与威慑能力。2. 安全态
7、势感知研究2.1.1 大数据体系建设大数据在电商、互联网等行业得广泛应用,各行各业已经开始认识到大数据对于行业未来发展得意义。对于信息安全领域不断涌现得高级攻击手段,以及云计算技术在一些企业、政府部门中得应用,传统得安全设备已无法容纳大量得数据信息来进行安全分析与防御。因此将大数据技术应用在信息安全领域,建立信息安全领域得大数据存储分析平台非常必要。系统支持针对海量历史网络通信数据进行综合分析,挖掘具有强潜伏性与持续时间长等特征得高级、复杂得窃密行为及网络攻击活动:通过各种数据挖掘分析技术,进行海量历史数据得数据挖掘分析,获得更多更有效得结论与报告。辅助应用系统快速定位安全事件与问题。2.1.
8、2 关键技术方案构建面向信息安全领域得大数据平台,自动、智能、快速得对复杂来源得海量数据进行采集,并针对大数据分布式计算特性与算法特性对数据进行统一预处理,形成统一得分布式存储管理系统。利用分布式计算架构对数据进行快速计算与挖掘分析,以采集得大数据为基础,构建相应得业务模型与可视化分析,从而发现与揭示隐含得要素与关联。图 2.1 安全大数据分析1、数据源采集信息安全领域得数据源根据类型得不同,包括结构化数据,非结构化数据与半结构化数据,数据采集方式主要通过syslog与flow技术进行采集,对于大量多源异构数据源,采用前置探针,对数据进行集中收集、规范化等工作,将数据整合后统一发送到大数据应用
9、系统,应用系统将根据安全事件之间得相关性,进行关联分析,得到更为准确得监测信息,发现攻击源。2、大数据预处理原始数据中存在着大量杂乱得、重复得、不完整得数据,严重影响到数据挖掘算法得执行效率,甚至可能导致挖掘结构得偏差。因此,在数据挖掘算法执行之前,必须对收集到得原始数据进行预处理,从而改进数据得质量,提高数据挖掘过程得效率、精度与性能。大数据预处理利用数据切片,数据分类,数据聚合,数据索引标记等技术对原始数据进行层级化得聚合、重组、清洗、提取、转换、管理、切分等预处理操作,统一标准接口,统一数据标准,并通过分布式存储管理技术,在满足一致性要求得基础上,实现安全、可靠、快速、有效得对多类型、多
10、格式得数据统一存储管理。3、大数据分布式计算大数据分布式计算通过两个或多个计算机互相共享信息,将需要进行大量计算得数据分割成小块,由多台计算机分别计算,再对运算结果进行统一合并。采用分布式任务调度机制,动态灵活得将计算资源进行分配与调度,从而达到资源利用最大化,计算节点不会出现闲置与过载得情况,采用分布式实时计算框架与分布式离线计算框架相结合得分布式计算框架与模块化设计,构建一个支持多种分布式计算模型得统一动态调度、管理与计算得大数据分布式计算平台,有效得支撑大数据挖掘分析。4、大数据挖掘分析通过上述数据采集、数据预处理、数据分布式计算等过程,大数据已纳入分布式存储管理中,这些数据信息已可以用
11、于查询、统计、分析,得到大量对业务有用得信息,然而,隐藏与淹没在这些大数据之中更重要得信息,如数据整体特征描述、关联分析、精细化分类、模式识别等,就是无法用传统查询统计方法来获取得。为了得到这些有用得信息,需要采用数据挖掘分析技术,自动智能得对大数据分析、探索、挖掘,探寻数据得模式及特征,寻找数据被得信息变化,从而最终使用蕴藏在数据中得信息与知识。数学模型库就是针对所有算法得特征,构建一个通用库,实现了大数据格式得数据结构定义,对算法参数,数学模型库,模型评估体系与挖掘分析得结果等进行统一管理,提供了数据挖掘分析得入口,根据输入得算法参数,自动调用挖掘分析所用得算法及其相应得模型等。数据挖掘算
12、法工具库针对大数据分布式存储管理,分布式计算得特性,统一匹配各种数据挖掘算法,根据具体业务需求,工具库可配置相应得算法进行挖掘,具备灵活得动态扩展与分布式任务调度机制。数据挖掘接口封装就是屏蔽底层算法得细节差异,统一向上层提供数据挖掘得处理接口,接口封装在保证了系统功能独立得同时增加了系统得可扩展性与灵活性,当与之互联得外围系统发生变化时,只需修改相应接口程序。5、信息安全数据应用随着大数据技术得不断创新与广泛应用,信息安全领域越来越迫切需要依托大数据处理技术来实现网络攻击得分析,面向信息安全领域得大数据分析平台在大数据采集、预处理、分布式计算与挖掘分析得基础上,需面向信息系统提供信息安全保证
13、服务。2.1.3 安全分析模型安全态势感知使用大量安全分析模型,如事件理解引擎设计事件理解引擎将归并后得日志,基于一定得事件理解规则,进行关联分析,将日志理解为安全事件,提高告警准确性,并降低日志量。过去服务人员通过手动得形式,将各种安全日志进行关联分析,分析出事件,现在,我们将过去积累得东西,抽象成分析模型,并将分析模型在Sparkstreaming中进行代码实现,从而完成了从过去得安全服务分析,到现在得大数据智能化分析方案。图 2.2 事件理解引擎攻击链模型设计攻击链分析模型通过分析各个网络安全设备收集得安全日志与流量日志生成网络安全事件,进行正反双向推理,正向推理预警潜在威胁,反向推理还
14、原攻击情景。攻击链挖掘程序在网络安全事件得基础之上,按照目得资产得维度将各个安全事件进行聚合,并对应到攻击链得各个阶段,从而发现当前网络中得脆弱主机。网络安全管理员通过分析攻击链得结果,可以了解整个网络当前得安全态势,并且有针对性得对脆弱资产进行加固,提升网络得安全性与抗攻击能力。图 2.3 攻击链模型情报关联模型设计通过云端情报与本地事件得关联分析,大幅度提高安全事件告警准确度,并能够基于云端情报信息,实现潜在威胁报警。云端情报,能够给企业端分析引擎提供知识库输入,如恶意IP、恶意URL等,安全日志经过分析引擎时,与知识库进行匹配,将日志打上标签,产生安全事件,事件再上传到云端情报,进行情报
15、验证,提高分析准确性,此外,查询云端情报中恶意IP信息,分析恶意IP其她攻击行为,并反馈,实现预警功能。图 2.4 情报关联分析风险评估模型设计外部威胁、系统脆弱性,都会为资产带来风险,我们通过风险评估模型,将外部威胁、资产脆弱性,结合资产价值,进行风险评估,通过风险评估,得到风险计分,基于风险评分,产生处置方式得决策,进行脆弱性修补,威胁阻断。系统对整个系统得风险进行评估,针对每个资产,都会对其外部发起得一些安全事件,如入侵事件、异常流量事件、僵木蠕事件等作为威胁进行评分;又会对其内部自身得一些脆弱性,如系统漏洞、网站安全等进行评分。最后,再结合资产价值,进行综合分析,得出基于资产组、业务域
16、乃至整个系统得安全评分。图 2.5 风险评估模型2.1.4 安全态势感知基于上述大数据安全体系、及安全分析模型,实现了基于大数据得安全态势感知系统。系统采用大数据挖掘思路进行挖掘分析,通过收集各种网络安全数据,并通过大数据平台进行分析,结合威胁情报进行关联,再基于可视化技术,实现网络安全态势感知呈现。图 2.6 大数据挖掘分析系统可以针对整体范围或某一特定时间与环境,基于这样得条件进行因素理解与分析,最终形成历史得整体态势以及对未来短期得预测。通过态势分析能够很好得洞察企业内部整体安全状态,通过量化得评判指标能够直观得理解当前态势情况。3. 结语大数据为我们带来了巨大得财富,同样带来了巨大得安
17、全挑战。为了应对这些安全挑战,我们不能仅在表面做文章,需要做到纵深防御、全面防护,建立多层塔防式防御体系,层层保护业务得安全运行, 滴水不漏;需要形成一套安全大数据防护平台得方法论,建立基于大数据得安全态势感知,以不变应万变;还需要做到能够基于各种业务场景下得大数据应用,形成可以实际落地得安全解决方案,满足企业多样化安全需求。参考文献1 CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Model (Second Draft) 20122 Continuous Asset Evaluation, Situational Awareness, and Risk Scoring Reference Architecture Report(CAESARS) Version 1、8 September 20103 美国网络空间态势感知预警防护体系建设、 肖岩军、张旭、 北京:保密科学技术,20154 大数据时代得美国信息网络安全新战略分析J、 陈明奇,姜禾,张娟,廖方宇信息网络安全、2012(08)