基于大数据分析的网络安全态势感知系统设计与应用.pdf

1、信息安全InformationSecurity基于大数据分析的网络安全态势感知系统设计与应用贵州乌江水电开发有限责任公司水电站远程集控中心谢志奇编者按：基于自身安全需求，构建了一套基于大数据分析的区域发电企业网络安全态势感知系统，探讨了该系统的技术路线和架构设计及其应用实施效果，提升了企业网络安全事件和风险的监测、分析、审计、追踪溯源能力。随着电力监控系统网络安全形势的日益严峻，国家相关法律法规要求变得进一步严格。在此背景下，某区域发电企业当前的安全防护措施及管理手段已不能满足电力监控系统的网络安全防护需要，在实际应用中，已凸显出了一些网络安全问题。1.已知漏洞问题。电力监控系统生产控制大区生

2、产网络不允许与互联网存在网络连接，这也导致监控主机及相关软件中的已知漏洞无法及时修补。特别是电力监控系统为保证生产工作的稳定性与连续性，也不会轻易为已经存在了已知漏洞的系统或设备进行漏洞修补，最终导致电力系统一直存在各类安全漏洞。2.专用网络协议。系统网络使用的底层通信协议通常为私有协议或者专用协议。其中，大多数协议是为了提高效率、增强可靠性、支持精细化操作而设计的，这也导致了通信协议的安全性被降低，例如部分通信协议认证与加密功能被舍弃掉。更严重的是，部分协议为了在以太网和IP网络中运行而进行了相应修改，这也使得包含漏洞的协议暴露于各种攻击之下。3.通用安全产品问题。系统网络中使用的各种安全产

3、品，如防火墙、杀毒软件等，限于产品自身特点及部署位置，已经不能满足现阶段网络安全防护的要求。因此，基于自身安全需求出发，单位需要构建一套基于大数据分析的区域发电企业网络安全态势感知系统，通过采集网内流量数据、资产安全日志和事件信息，并采用大数据搜索引擎技术和人工智能深度学习技术，对数据进行多维度钻取和分析，以发现异常安全态势，提升企业对网络安全事件和风险的监测、分析、审计、追踪溯源能力。技术路线基于大数据分析的区域发电企业网络安全态势感知系统的建设主要是基于大数据技术和人工智能技术，发现并准确挖掘安全事件，通过全方位的战略部署，将区域下各发电单位的相关业务人员团队整合在一起，实现网络信息安全的

4、主动防御和全方投稿信箱2023.10115InformationSecurity信息安全责任编辑赵志远位的数据分析。系统采用“一平台、多场景、全数据”的体系架构，以网络与信息安全监测预警分析需求为基础，以基于攻击路径的安全场景模型为监测依据，采用全流量收集、深度监测、智能分析等手段，形成全面威胁免疫能力。1.一平台整个系统由大数据分析平台及多个探针设备组成，通过大数据平台，对部署在各网络节点的探针采集到的数据进行解析处理，对海量监控信息进行大数据存储。通过多维度、多模型，对采集到的基础数据进行持续在线无监督算法建模和检测，为安全事件分析提供智能和可视化的分析手段。2.多场景根据网络环境和监测分

5、析预警需求，以多维数据建模为分析基础，分别从外部攻击和内部状态考虑，在攻击者入侵的各个阶段，监测到攻击者每一步的动作，基于攻击链构建攻击监测模型，通过资产关联、威胁情报等手段进行定位和跟踪。3.全数据通过终端、网络多源探针，实现信息安全基础数据的采集与监测。统一收集信息内网、信息外网基础设备的业务流量和控制流量，通过DPI、Netflow、N g i n x、ES等技术手段，实现数据获取。系统设计基于大数据分析的区域发电企业网络安全态势感知系统采用大数据架构，融合AI威胁免疫算法、机器学习、数据挖掘、神经网络等技术，通过采集网络安全数据信息，利用分布式计算引擎统一处理安全数据，实现对网络攻击行

6、为、安全威胁事件，以及日志和流量中网络安全问题的发现和告警。基于安全大数据中心，快速构建立体化、智能化、主动化、动态化的安全运营与管理体系。系统通过采集已有的安全设备数据，利用规则引擎、统计分析、关联分析等方法，对企业内所有安全数据进行统一分析，实现对网络攻击行为、安全异常事件、未知威胁的发现和告警。1.系统架构设计系统架构设计如图1所示。基于大数据分析的区域发电企业网络安全态势感知整体方案采用大数据实时数据处理架构，主要围绕实时数据的采集、处理、存储和展示，包括数据接入、数据总线、数据处理、数据存储和数据服务。2.分布式计算引擎设计系统中使用Flink作为分布式计算引擎，传统的计算引擎过于依

7、赖单机的CPU计算，在海量数据的场景下，如何利用多系统的CPU能力与内存成为一个关键能力。本系统通过使用Flink进行分布式计算，实现了海量数据的关联分析与统一计算。3.流量探针设计流量探针主要负责区域公司集控中心和下属水电站各节点处网络流量的采集、预处理以及已知威胁检测。流量探针内置高性能协议识别模块，精准解析网络七层协议，支持HTTP、FT P、SM B、SMTP/POP3等主流应用协议的解析，提取报文元数据后，发送至分析平台。流量探针搭载了高性能电力监控协议解析引擎，能够深度解析MODBUSTCP、D N P3、S7、I EC 10 4、M M S、PR O FI N ET I O、OP

8、CDA、G O O SE、SV等多种工业协议，支持协议自定义。流量探针还内置了入侵检测模块，可检测多种2023.10投稿信箱责任编辑赵志远InformationSecurity信息安全业务诚康务集群智能报表微服务资产管理微服务安全威助管理微服务恶意代码检测威胁关联分析分布式计算引擎：Yan，M a p R e d u c e,Fl i n k分布式数据存储：Kafka、ES,H i v e.H d f s,3数据变换数据变换虚拟采集器虚拟采集器流量数据WEB访间工业流量探针智能仪表盘微服务威胁情报检测文件传输DNS清求资产探查探针图1系统架构设计图响应与处置微服务工业安全态势微服务安全分折障法

9、集合工业异常行为检测场累化安全分折分布式大教据处理平台数据变换数据变换虚拟采集器虚拟采集器资产数据工业白名单某态势感知平台安全场景化微服务工业异常行为管理微服务高可用业务数据存储潮源取证分析微服务工业安全知识库微服务AI异常行为检测元数据管理图形化数据流配置数据计算任务管理安全事件工业协议行为协议行为某网态势感知平台神经元管理微服务工业设备监测微服务AI威胁特征检测通用数据检素引擎数据流处理监控数据计算任务监控网络协议中的攻击行为，包括SQL注入、Web扫描、蠕虫病毒、木马攻击、XSS攻击、远程访问攻击、拒绝服务扫描、缓冲溢出攻击、协议识别、网络入侵检测、恶意代码检测以及Web检测等十余种常见

10、攻击。将攻击告警日志上传至分析平台进行关联分析，进一步提升系统检测的准确度。4.安全能力设计安全能力全景图如图2 所示。（1）威胁检测能力。借助专业的威胁情报、多年的安全检测积累和区域公司攻防实战经验，以及平台的大数据能力、多源信息关联分析能力和威胁情报能力，为用户提供丰富的威胁检测手段。（2）响应处置能力。平台的丰富、协同手段，使用户具备了一个具有多种处置能力的集中处置响应平台。同时，平台还通过集成分析调查工具，使用户提升了相关安全事件调查、研判以及溯源取证的能力。（3）风险预警能力。通过威胁预警功能，针对热点事件，自检自查，提前预警。通过标准化的风险计算模型，将资产的多方面风险因素归纳成为

11、直观的量化数值，使用户可以轻松地掌握整体资产风险现状和风险变化趋势，为用户提供资产风险预警能力。（4）持续监测能力。平台丰富的监测和预警功能，为用户提供了全面的持续监测的能力，实现内网全局安全态势可视化，以及针对专项安全事件、重大威胁的预警与针对性监测手段。应用实施1.构建多元化功能应用模件区域态势感知平台包含数据采集、设备管理、平台管理、服务管理等服务，实时获取采集层的安全数据，以可视化的手段集中展示各厂站端工控设备的安全运行信息，标注各类运行异常，安全监视投稿信箱2023.10117InformationSecurity信息安全责任编辑赵志远持续监测能力仪表板流程内容1预置仪表板自定义仪表

12、板流程内容2威胁检测能力本地情报云端情报关联分析流量检测流程内容3威胁建模场景分析告警管理基线分析流程内容4大数据存储旦志范式化图2 安全能力全景图与告警。基于实时运行及告警信息，通过关联分析、控。在统一安全管控模式下，区域公司不仅可以监趋势分析等手段，形成告警分析结果及安全统计信控网络安全设备的运行状态，还能对安全策略进行息。以设备、事件、设备交互为维度，对监视与告配置、调整与下发，通过构建网络安全管理的采集、警功能结果和安全分析功能结果进行统计，实现信感知、管控三层逻辑结构，实现对企业内部安全管息安全事件的查询、追溯。理的全面监控，提升区域公司网络安全防护体系的2.实现区域公司网络安全信息

13、统一监测与管控总体防护效能。构建区域态势感知平台，采用大数据技术，以海量设备和系统日志为核心，按照“全面安全数据采集，高质量数据长期存储，多维度安全分析场景”的原则，通过采集网络基础数据，利用规则引擎、行为识别及关联分析等方法，对数据进行统一分析。（1）基于区域态势感知，实现资产状态全面监视。从提升管理者全面掌握安全态势能力的角度出发，对区域内核心资产、业务系统安全状态进行感知，悉数发现网络边界的威胁入侵与内部异常违规情况。通过实时监测网络、安全防护设备运行状态，识别恶意行为、非法操作、异常警告，实现对网络攻击行为、安全异常事件及未知威胁的发现、告警和跟踪，保障电力监控系统不受入侵事件的影响。

14、(2）构建“一个中心、多点辐射”的风险管控模式，形成集控中心向发电企业辐射的统一安全管态势大屏资产风险态势资产外连态势综合安全态势安全运营态势外部威助态势内网威助态势威助预警态势资产态势口脸强性态响应处置能力事件调查攻击者分析工单处置攻击链分析邮件通报实体分析系统通知联动封堵数据集中存储和检索互志过滤结语基于大数据分析的区域发电企业网络安全态势感知，可以对安全问题进行自动处理和科学判断，主动进行代码查找，分析发电企业所面临的具体病毒环境，确定病毒的感染终端传播路径，从而改善整体的应用效果。从应用成果来看，构建基于大数据分析的区域发电企业网络安全态势感知系统以后，安全监控的范围持续扩大，危险发现的及时性不断提升，安全管理效率得到改善，有利于发电企业的可持续建设与发展，能够持续为发电企业提供网络安全预警通报服务及电力监控网络安全监测系统服务，提高发电企业生产系统信息安全保障水平，降低网络安全风险，保障生产系统安全运行。N统计报表玫防演缘态玫击者态势风险预警能力威胁预警弱口令管理风险评估配置核查管理资产管理漏洞管理大数据检索日志富化预盟视图自定义报表2023.10投稿信箱