1、第 卷第 期计算机应用与软件 年 月 基于大数据的网络安全态势感知平台应用研究李泽慧徐沛东邬阳魏奇(自然资源部信息中心北京 )收稿日期:。国土资源部外网安全威胁态势感知平台服务项目()。李泽慧,工程师,主研领域:网络安全,密码学,政务信息化。徐沛东,工程师。邬阳,工程师。魏奇,工程师。摘要针对自然资源部原有安全资源管理分散、网络安全防御能力弱、难以追踪溯源威胁攻击等问题,结合大数据技术,提出一种基于 并行处理的 算法,用于分析外网网络安全日志数据,并据此设计一套网络安全态势感知平台。通过在外网各个关键区域节点旁路部署潜伏威胁探针实现系统全流量的实时采集和监测。借助大数据分析工具、态势感知处理算
2、法、攻击溯源可视化等组件,将网络安全事件进行多维度图形化的展现。仿真实验表明,经过 并行处理后,平台处理海量安全日志数据的效率得到了显著提高。平台可实现网络安全攻击事件的全局感知、攻击溯源和监控预警,能够保障自然资源部信息系统的安全健康运行。关键词 算法大数据网络安全态势感知中图分类号 文献标志码 :(,),引言根据国务院“十三五”国家信息化规划 的指示与要求,各企事业单位应加强网络安全防治、网络威胁监测预警和应急处置能力的建设 。作为国家重要政府部门,自然资源部面临着严峻的网络安全形势。自 年以来,自然资源部开展了信息系统安全等保建设,在系统、应用、网络等方面积累了一定的基础安全防御能力。然
3、而,由于安全资源管理分散、信息系统建设孤岛等问题,使得本部许多的网络安全日志数据并未得到充分的分析利用。有鉴于此,自然资源部按照国家关于建设网络安全态势感知平台的指导思想,结合自然资源部网络安全的内外部现状,整合现有的安全基础设 计算机应用与软件 年施,利用大数据、态势感知、可视化、机器学习等技术,增加并丰富互联网安全事件的监测、预警和应急响应手段,开展具有自然资源部个性化特色的态势感知平台服务建设,以积极提升网络安全的主动防御能力,进一步强化自然资源部外网安全监测常态化管理,提高自然资源部外网安全运维管理效率和水平,不断提升整体网络安全防御能力,最大程度地降低网络安全风险。态势感知算法通过态
4、势感知,可以发现潜伏在网络中的攻击威胁和入侵行为,进而进行预警和展示,这一过程是通过综合计算态势感知指标体系来实现的 。目前基于态势感知指标体系计算分析的方法主要有基于特征规则的主动防御态势预警法 、基于多源日志的网络安全态势感知预警法 、基于 算法的网络安全日志数据分析预测法 等。以上方法只适用于企事业单位小规模的局域网络安全态势预测和防御,而在面对海量态势整体指数数据集时显得无能为力。为破除该技术壁垒,结合已在大数据领域广泛应用的 处理优势,本文提出一种基于 并行处理的 算法,用于分析外网网络安全日志数据,使得在挖掘网络安全态势指标数据的过程中获得更大的剪枝程度以及更加准确的预测规则,以提
5、高态势感知平台对海量网络安全日志数据的处理能力和处理效率,获得平台具有更佳的扩展能力 。算法实现步骤如图 所示。图 算法原理()初始化预先设定系统用户感兴趣的预警规则矩阵 ,通过探针采集外网网络安全日志数据 ,并输入到 环节,删除数据中不包含预警规则矩阵元素的记录,得到次矩阵,。()通过 并行运算处理模式对次矩阵,进行候选项集的频率统计。()经统计候选项集的频率后,筛选所有高频项集,为项集,为出现的频次。建立 表对高频项集数据进行存储,在 表中对这些数据进行排列分组,形成 。()对分组后 中的数据再进行 处理,筛选高频项集,得到各子项集的频繁项集,然后进行 运算,逐步关联数据挖掘规则。()统计
6、各个子项集节点最后的运算结果,形成全局频繁项集,再通过行为画像和可视化等技术在态势感知大屏上展示网络安全威胁指标态势。平台逻辑架构设计网络安全态势感知平台的逻辑架构如图 所示。图 网络安全态势感知平台逻辑架构平台从逻辑上分为数据采集层、数据处理与汇聚层、业务服务层和系统展示层 。在数据采集层,通过探针设备采集各类网络安全日志数据,包括原始流量数据、漏洞数据、基础资源数据、域名备案数据、资产数据 日志、僵木蠕数据、威胁情报、流量监测数据、解析数据、外网网站数据和 信息。各类数据经消息总线和协调总线输入至数据处理与汇聚层。在数据处理与汇聚层,数据处理组件的 模块第 期李泽慧,等:基于大数据的网络安
7、全态势感知平台应用研究 负责将数据采集层汇入的各类数据进行入库和存储,同时也对上层的业务服务层或其他关联系统提供实时的数据源和文件源。平台为实现海量网络安全日志的精准检测和分析,集成了特有的安全组件。其中检测引擎模块封装了脆弱性分析、攻击行为分析、安全漏洞分析、检测规则引擎、关联规则引擎和算法引擎等组件。本文提出的基于 并行处理的 算法即封装在算法引擎中 。智能分析模块则封装了威胁预警、攻击画像、脆弱性态势、恶意操作态势、攻击态势和趋势预测等组件,对检测引擎提供的网络安全态势指标进行计算分析,形成态势预测结果数据,进而输送至系统展示层进行显示。为了解决自然资源部先前的安全资源管理分散、信息系统
8、建设孤岛、原有平台计算能力不足等问题,数据处理与汇聚层嵌入了分布式数据存储分析模块,引用大数据安全技术框架,使用 分布式存储和 来压缩读写、存储及备份数据。运用 实时流计算技术、离线计算技术、分布式任务调度技术、内存迭代计算技术,对数据进行计算、索引、挖掘和处理,并通过服务总线进行数据的分发、共享,实现处理结果的多系统在线查询和分析辨认。在业务服务层,可实现用户多类业务逻辑和算法处理结果的直接应用。根据自然资源部业务类别的差异,该层分为网络安全管理、安全管理能力、基础资源管理、大数据应用模块。()网络安全管理模块。异常流量监测功能。通过建立异常流量监测模型,用于监测、分析自然资源部外网网络流量
9、数据,判断其是否存在异常流量 。移动恶意程序监测功能。用于监测自然资源部外网中是否有通过移动互联网来窃取信息系统资产漏洞的恶意事件。僵木蠕监测功能。用于监测自然资源部外网中的僵木蠕事件,捕获、分析疑似僵木蠕样本。()安全管理能力模块。主动溯源功能。通过主动回溯分析方式,分析网络安全攻击事件的切入点,挖掘已知威胁进入内网的方式,从而加固闭环、封堵缺口,为安全服务人员提供快速分析和追溯能力,避免同类事件发生。应急处置功能。当网络安全事件发生时,为避免事态升级或影响重要业务,需要对事件进行快速应急处置。通过打造三级协同联动的响应机制,让平台智能化,精准分析全网未知威胁和针对性攻击,利用协同联动实现针
10、对性加固防御和精准打击,让全网的安全建设具备主动防御的能力。会话分析功能。基于采集的流量和会话数据,可以分析主机在失陷过程是否存在对外、对内的异常会话,分析是否有数据外传、泄漏等风险发生。便于在溯源处置后,分析已发生的其他威胁,形成知识库。()实用工具管理模块。等保管理功能:专门在等级保护建设整改过程中,将系统定级、差距评估、备案、整改、测评过程中产生的文档结论进行统计归档,并使用可视化的统一界面进行展现与管理,最大程度发挥安全措施的保护能力。同时提供快速的检索能力,可及时查找历史文档,方便整改。情报数据共享:针对多分支管理或多横向单位场景(如级联或专网多平台场景),数据与情报的相互共享可有效
11、提升平台对新威胁的应对能力。当系统之间采用相同格式的标准对接时,即可实现数据的快速共享。绿色查杀工具:平台内嵌绿色版僵尸网络查杀工具集合,可解决平台检测出的失陷主机(病毒、木马控制类)的闭环处置。()大数据应用模块。大数据应用模块将各类安全事件数据进行关联,通过机器学习、数据挖掘等手段发现安全事件之间存在的联系,通过攻击链模型分析多维数据指标,将攻击行为从点到面地串联起来,结合安全事件日志中的威胁情报数据,精准地预警信息系统资产即将面临的安全威胁及其趋势,制定主动防御和快速响应策略,进而实现攻击溯源和态势画像。系统展现层使用 作为 框架,基于 作为图形库,以 架构作为大屏可视化呈现支撑,实现网
12、络安全态势数据的可视化展示。基于从数据处理与汇聚层的数据接口,读取展示数据,提供整体网络综合态势、资产管理、网络安全事件分布、流量异常监测、脆弱性、攻击溯源、漏洞管理、网络安全预警信息、潜伏威胁的全局展示。展现层保留系统管理功能。系统部署方案基于大数据的网络安全态势感知平台的部署架构如图 所示。图 系统部署架构 计算机应用与软件 年网络安全态势感知平台部署在自然资源部网络拓扑中服务器区的旁路交换机边,以便获取数据进行管理和展示。服务器区和办公区的前端服务器为网络安全态势感知平台提供前置数据来源。在服务器区二层交换机和核心路由器上均旁路部署了潜伏威胁探针对镜像流量进行采集、检测。潜伏威胁探针可检
13、测 ,运用漏洞利用攻击检测规则和 应用攻击检测规则从交换机镜像流量中检测已知威胁,生成安全日志输送至平台。同时,潜伏威胁探针内置了异常行为检测引擎,可实时在采集的流量数据中发现、标记流量片段中的异常行为,传送给平台,由平台进行大数据关联分析,对潜在的威胁进行追踪溯源。若有多单位监管需要,也可进行多分支场景部署,通过将潜伏威胁探针下放到各个单位进行监控,保障潜伏威胁探针采集的流量数据能够通达平台即可实现多单位全局网络安全态势感知。实验及平台应用分析 算法实验仿真分析为了检验本文算法性能,设置一台 操作系统的虚拟机,配置 内存和 。版本是 ,在 环境下运行算法程序。设定瞬时输入平台的安全日志数据集
14、的容量为 ,预警规则矩阵的维度从 到 按步长 进行逐渐递增,选取本文算法与文献 所提 算法进行对比仿真,统计二者的执行时间,如图 所示。图 算法仿真对比由图 可知,对于处理同样体量的安全日志数据集,在相同维度的预警规则矩阵下,本文算法执行时间较文献 算法要短。并且,随着预警规则矩阵维度的逐渐递增,本文算法借助 的分布式处理机制,执行时间呈低斜率线性增长,且维持在很小的时间范围内浮动,即便是规则总数达到 ,算法的执行时间仍在 内,可适用于处理海量的网络安全日志数据集。而文献 的常规 算法的执行时间却在规则总数超过 后呈现出类似几何级的增长趋势,甚至在规则总数达到 时,算法执行时间超过了 ,由此会
15、大量消耗虚拟机的计算资源,并不适用于海量数据应用场景。为检验本文算法对安全日志数据集的处理性能,设定预警规则矩阵的维度为 ,向仿真平台输入的安全日志数据集的瞬时容量范围为 至 ,计算本文算法的执行时间,如图 所示。图 安全日志数据集处理时间从图 可知,安全日志数据集的瞬时容量在 至 时,本文算法执行时间在 以内,随着数据集瞬时容量的翻倍增长,算法执行时间也随之陡然增加,并未在预期的时间区间 ,内进行收敛。究其主要原因,是算法第一步在计算次矩阵时消耗了系统大量的计算能力,且 环节的分布式项数若设置较低,也会造成计算线程数阻塞,影响执行时间。因此,本文算法在安全日志数据集瞬时容量 以内时可取得较好
16、的处理性能。平台应用平台在经过性能测试后投产运行,截至 年月,平台已对外网 个域名进行了长达 天的持续监测,持续监测数次数 万次,监测数据量达 ,瞬时安全日志数据集约 ,累计通报预警了 次安全事件。检测出的威胁数据会以安全事件的方式展示,可作为威胁事件的入口点进行分析,从而评判自然资源部网络安全建设的薄弱环节。平台综合安全态势展示如图 所示。第 期李泽慧,等:基于大数据的网络安全态势感知平台应用研究 图 网络安全的综合安全态势展示结果从图 中可以清晰地看到自然资源部信息系统所面临的安全威胁,主要体现在 个维度:资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势和横向威胁态势。各类安全威
17、胁依照系统设定的规则进行等级和分值划分。平台整合分散在管辖范围内不同区域的各类网络安全数据,经态势感知算法和大数据分析生成可视化的监测指标,展现在大屏上,并将预警信息实时推送至平台管理员或运维人员,协助本单位实时掌握全网安全态势。当锁定产生安全事件的风险终端时,平台会进行相应的扣分,综合评分会随之降低并显示告警。当运维人员及时处理安全事件后,综合评分会相应回升。结语本文结合自然资源部对网络安全态势感知平台的建设需求,分析了平台建设所需要使用的关键技术。面向海量网络安全日志数据集,提出一种基于 并行处理的 算法,并通过实验仿真论证了该算法的适用性。设计并阐述了平台建设的逻辑架构。通过在外网各个关
18、键区域节点旁路部署潜伏威胁探针的方式实现了平台的安装集成,形成了一套网络安全管控解决方案。平台运营至今,积极维护了自然资源部的外网网络安全,有效保障了信息系统的稳定健康运行。考虑到外网网络攻击事件层出不穷,网络安全日志数据集的实际体量会逐渐庞大,平台的数据存储和计算能力略显不足,算法引擎的性能会受制于平台服务器的计算资源配置,自然资源部在未来的工作中会加强平台的规划建设,通过设备扩容和配置升级来不断完善平台的防护能力,以更好应对网络威胁带来的考验。参考文献王昌明 如何构建广播电视网络安全预警和态势感知系统 有线电视技术,():贾晓雷,郭军,王煜 有线电视网络安全态势感知技术研究 天津科技,()
19、:管磊,胡光俊,王专 基于大数据技术的网络安全态势感知平台研究 保密科学技术,():李宗伟 基于人工智能的网络安全态势感知技术研究 计算机与网络,():李腾飞,李强,余祥,等 基于拓扑漏洞分析的网络安全态势感知模型 计算机应用,():,万斌,徐明 一种基于 算法的网络安全预测方法 电力信息与通信技术,():冯文静 基于安全态势感知 网络拓扑污染攻击防御系统设计 现代电子技术,():王伟,储泽楠,韩毅,等 基于 的 前后项约束关联规则改进算法 信阳师范学院学报(自然科学版),():张新淼 基于网络运维的大数据分析安全感知策略研究 网络安全技术与应用,():,胡绍勇 基于 的数据泄漏分析 信息安全与通信保密,():丁华东,许华虎,段然,等 基于贝叶斯方法的网络安全态势感知模型 计算机工程,():张小林,罗汉云,董甲东 基于海量异构数据的网络安全态势感知研究 牡丹江师范学院学报(自然科学版),():白雪,努尔布力,王亚东 网络安全态势感知研究现状与发展趋势的图谱分析 计算机科学,():,(上接第 页),:,():李静元,范祥辉,王颖 基于区块链的共享经济隐私保护机制的设计 计算机应用与软件,():黄虹,文康珍,刘璇,等 泛在电力物联网背景下基于联盟区块链的电力交易方法 电力系统保护与控制,():,(),():,:,():