- 相關(guān)推薦
淺析信息安全態(tài)勢智能預(yù)警分析平臺的論文
隨著信息化發(fā)展速度不斷加快,信息系統(tǒng)用戶規(guī)模不斷擴(kuò)大、需求不斷更新、自動化程度不斷提高,信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟(jì)效益越來越密切,直接影響到企業(yè)的經(jīng)營和形象問題。本文描述了一個典型的信息安全態(tài)勢智能預(yù)警分析平臺的實(shí)現(xiàn),介紹了網(wǎng)絡(luò)安全態(tài)勢感知的相關(guān)概念,并簡要探討了數(shù)據(jù)挖掘及態(tài)勢感知等主要技術(shù)及發(fā)展方向。
1 前言
隨著信息化發(fā)展速度不斷加快,信息系統(tǒng)用戶規(guī)模不斷擴(kuò)大、需求不斷更新、自動化程度不斷提高,信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟(jì)效益越來越密切,直接影響到企業(yè)的經(jīng)營和形象問題。目前,防火墻、IDS、IPS等安全設(shè)備已經(jīng)得到普遍使用,但是同時這些設(shè)備產(chǎn)生了海量安全數(shù)據(jù),采用人工分析的方法已經(jīng)無法實(shí)現(xiàn)安全威脅的及時預(yù)警與處置。另一方面,現(xiàn)有安全設(shè)備之間相對孤立,數(shù)據(jù)沒有得到關(guān)聯(lián)分析和綜合考慮,很難面對當(dāng)今各種利用先進(jìn)手段、高度隱蔽的網(wǎng)絡(luò)攻擊形式。因此,在現(xiàn)有安全手段的基礎(chǔ)上,獲取和分析海量攻擊行為數(shù)據(jù),結(jié)合態(tài)勢感知技術(shù)實(shí)現(xiàn)信息安全行為的準(zhǔn)確定位和智能預(yù)警,在信息安全防護(hù)工作中是非常必要的。
2 平臺構(gòu)成
信息安全態(tài)勢智能預(yù)警分析平臺由系統(tǒng)數(shù)據(jù)接口、數(shù)據(jù)挖掘與融合技術(shù)、態(tài)勢分析與風(fēng)險預(yù)警、可視化展示與系統(tǒng)管理六大部分。其中,系統(tǒng)數(shù)據(jù)接口用于查看目前監(jiān)控的設(shè)備及應(yīng)用系統(tǒng);數(shù)據(jù)挖掘與融合提供有效的數(shù)據(jù)分析處理模型和數(shù)據(jù)分析方法;態(tài)勢分析和風(fēng)險預(yù)警提供當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估、未來網(wǎng)絡(luò)安全態(tài)勢預(yù)測及響應(yīng)告警功能;可視化展示定義生成各類表單、圖表、報告、報表等用戶界面。
3 關(guān)鍵技術(shù)
3.1 數(shù)據(jù)采集
3.1.1 設(shè)備實(shí)時監(jiān)測數(shù)據(jù)
信息安全態(tài)勢智能預(yù)警分析平臺監(jiān)測重要網(wǎng)絡(luò)設(shè)備及服務(wù)器的運(yùn)行狀態(tài),主要對網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器等進(jìn)行監(jiān)視,獲取CPU、內(nèi)存、網(wǎng)絡(luò)流量等性能或安全參數(shù)信息。通過該系統(tǒng)數(shù)據(jù)接口,可按照單個設(shè)備、某類設(shè)備、整個網(wǎng)絡(luò)設(shè)備來獲取相關(guān)設(shè)備數(shù)據(jù)。
3.1.2 掃描數(shù)據(jù)
采集日常運(yùn)維中掃描數(shù)據(jù),主要包括利用漏洞掃描工具發(fā)現(xiàn)的漏洞、弱口令等安全隱患信息。
3.1.3 日志文件數(shù)據(jù)
采集重要設(shè)備的日志文件數(shù)據(jù),主要包括網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器的系統(tǒng)日志、安全日志、應(yīng)用日志及告警日志等。
3.1.4 策略配置數(shù)據(jù)
采集重要設(shè)備的策略配置數(shù)據(jù),主要包括主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的安全策略配置信息以及策略變更信息等。
3.2 數(shù)據(jù)挖掘
數(shù)據(jù)挖掘的方法有很多種,其中關(guān)聯(lián)規(guī)則挖掘方法能夠從大量數(shù)據(jù)中挖掘出有價值描述數(shù)據(jù)項(xiàng)之間相互聯(lián)系的有關(guān)知識,挖掘用戶操作行為之間的關(guān)聯(lián)規(guī)則,反映用戶的操作傾向。
現(xiàn)實(shí)中網(wǎng)絡(luò)環(huán)境復(fù)雜,網(wǎng)絡(luò)設(shè)備種類多,影響因素之間相互關(guān)聯(lián)。選取的算法要能有效的對多源異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并具有自學(xué)習(xí)性,能夠解決決策層的不確定性,不能僅憑專家經(jīng)驗(yàn)確定各指標(biāo)對網(wǎng)絡(luò)安全狀態(tài)的影響程度。在底層使用關(guān)聯(lián)規(guī)則挖掘算法對異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析,使用云模型對異構(gòu)數(shù)據(jù)進(jìn)行融合處理,在決策層使用貝葉斯決策方法進(jìn)行態(tài)勢預(yù)測,較好的解決了態(tài)勢評估的不確定性。
3.3 態(tài)勢感知與風(fēng)險預(yù)警
網(wǎng)絡(luò)安全態(tài)勢感知主要對網(wǎng)絡(luò)中部署的各類設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)測,對動態(tài)監(jiān)測數(shù)據(jù)、設(shè)備運(yùn)行日志、脆弱性、策略配置數(shù)據(jù)等進(jìn)行融合分析,對目前網(wǎng)絡(luò)安全狀況進(jìn)行風(fēng)險評估,同時也對未來幾天網(wǎng)絡(luò)安全狀況進(jìn)行預(yù)測。
安全風(fēng)險預(yù)警實(shí)現(xiàn)各類安全隱患的報警功能。借助安全態(tài)勢感知功能對各類數(shù)據(jù)綜合分析,提出信息安全風(fēng)險的來源分布以及風(fēng)險可能帶來的危害,及時的對信息安全隱患或風(fēng)險進(jìn)行報警。
3.3.1 網(wǎng)絡(luò)實(shí)時狀況警報
實(shí)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件等的實(shí)時運(yùn)行狀態(tài)進(jìn)行監(jiān)控,并依據(jù)的上下限值提供報警功能。將告警指標(biāo)和風(fēng)險處理方法進(jìn)行結(jié)合,實(shí)現(xiàn)在動態(tài)地圖上顯示出來并提供報警,能夠快速的定位出現(xiàn)問題的設(shè)備。實(shí)現(xiàn)網(wǎng)絡(luò)中關(guān)鍵的硬件設(shè)備配置的監(jiān)控,實(shí)現(xiàn)對硬件的更換、策略的變更的報警功能。
3.3.2 態(tài)勢要素提取
態(tài)勢要素提取是態(tài)勢評估與預(yù)測的基礎(chǔ)。讀取核心交換機(jī)、重要業(yè)務(wù)服務(wù)器及信息系統(tǒng)、站、路由器、IPS、IDS等關(guān)鍵核心接入設(shè)備的配置信息、服務(wù)的狀態(tài)、操作日志、關(guān)鍵性能參數(shù)等。
3.3.3 態(tài)勢評估與分析
研究信息安全風(fēng)險評估和分析方法,制定風(fēng)險評估指標(biāo)體系和評估模型,開展基于多協(xié)議和應(yīng)用的關(guān)聯(lián)分析,識別程序或用戶的惡意行為,追蹤并提供威脅分析。
態(tài)勢感知的核心是態(tài)勢評估,是對當(dāng)前安全態(tài)勢的一個動態(tài)理解過程。識別態(tài)勢信息中的安全事件并確定它們之間的關(guān)聯(lián)關(guān)系,根據(jù)所受到的威脅程度生成相應(yīng)的安全態(tài)勢圖,反映出整個網(wǎng)絡(luò)的安全態(tài)勢狀況。
研究分層次的安全評估模型,以攻擊報警、掃描結(jié)果和網(wǎng)絡(luò)流量等信息為原始數(shù)據(jù),發(fā)現(xiàn)各關(guān)鍵設(shè)備影響因素的脆弱性或威脅情況,在此基礎(chǔ)上,綜合評估網(wǎng)絡(luò)系統(tǒng)中各關(guān)鍵設(shè)備的安全狀況,再根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu),評估多個局部范圍網(wǎng)絡(luò)的安全態(tài)勢,然后再綜合分析和統(tǒng)計整個宏觀網(wǎng)絡(luò)的安全態(tài)勢。
3.3.4 態(tài)勢預(yù)測
態(tài)勢預(yù)測主要基于各類網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端設(shè)備以及安全設(shè)備的記錄,進(jìn)行關(guān)聯(lián)性分析,給出總體信息安全趨勢。態(tài)勢預(yù)測數(shù)據(jù)的來源包括用戶數(shù)據(jù)的輸入和監(jiān)測到歷史數(shù)據(jù)和實(shí)時數(shù)據(jù)。
3.3.5 響應(yīng)與報警
針對存在的威脅事件、預(yù)知的安全風(fēng)險以及信息系統(tǒng)故障等進(jìn)行報警,并提供解決的建議。利用數(shù)據(jù)挖掘與融合技術(shù)處理歷史數(shù)據(jù)和監(jiān)測數(shù)據(jù),經(jīng)過網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測分析,對潛在安全風(fēng)險進(jìn)行分析預(yù)測,輸出預(yù)警信息。
3.4 可視化展示
根據(jù)用戶的不同需求,定義不同的功能視圖,實(shí)現(xiàn)多樣化、多元化的展示方式,包括漏洞、弱口令、病毒感染、違規(guī)外聯(lián)、威脅報警等信息。
4 結(jié)語
通過信息安全態(tài)勢感知與智能預(yù)警平臺,利用大數(shù)據(jù)技術(shù)將現(xiàn)有各類監(jiān)測數(shù)據(jù)、日志數(shù)據(jù)、掃描數(shù)據(jù)等進(jìn)行有效整合,能自動識別未知的新型攻擊、縮短事件響應(yīng)時間并提高提高人員工作效率,為實(shí)時掌握網(wǎng)絡(luò)整體安全狀態(tài)和變化趨勢提供了基礎(chǔ),從而提升企業(yè)信息安全主動防御能力。
【淺析信息安全態(tài)勢智能預(yù)警分析平臺的論文】相關(guān)文章:
信息安全管理中信息安全態(tài)勢分析08-11
電力信息安全態(tài)勢感知分析10-25
淺析網(wǎng)站信息安全事件監(jiān)測平臺的設(shè)計與實(shí)現(xiàn)的優(yōu)秀論文08-07
電子檔案信息安全管理分析論文10-28
智能電網(wǎng)信息安全防護(hù)建設(shè)初探論文10-16
面向智能網(wǎng)絡(luò)的信息安全技術(shù)實(shí)踐論文06-01
項(xiàng)目管理信息平臺設(shè)計管理的論文07-11
大數(shù)據(jù)平臺網(wǎng)絡(luò)信息安全問題研究論文07-04
淺析弱電智能化建筑工程的論文09-19