基于网络空间安全态势感知关键技术研究

2022-09-12

随着网络空间的扩大,层出不穷的新型网络攻击与高频率的攻击行为给网络攻击溯源及网络安全事件调查增加了难度。如何正确认识网络空间安全态势感知是建立起完善可靠的网络安全态势感知平台的重要依据,本文将从以下几个方面针对网络空间安全态势感知关键技术进行阐述。

一、数据融合技术研究

数据融合技术是将多源异构数据环境的数据进行汇聚、处理、存储与管理的过程。数据融合技术的首要基础是数据采集,那么采集数据就要尽可能的从多源头,以多种形式采集多种类型的安全数据,其中采集数据来源有流量数据、日志数据、主动监测数据、业务数据、蜜罐捕获等方式,其中对于流量数据的采集可采取网络设备引流、流量数据镜像等多种成熟的技术实现。对于日志提取设备进行现场提取、通过自动化的工具实现日志消息的及时汇总、日志文件离线传送等。对主动监测数据课采取上报、即时消息传送、格式化数据上报等。业务数据可通过定义报送、手动录入、及时消息传送等方式进行采集。流量数据采集和日志数据采集主要是针对网络流量与日志进行采集与分析,其可以有效发现常见的网络攻击手段,主动监测数据是从现阶段各个组织在不同网络节点部署的多重类型的网络安全及信息系统安全检测、监测、检查或扫描设备,用于发现网络信息系统的威胁及脆弱性。这些设备产生的数据网络种类丰富、数据量巨大、对于网络安全威胁及态势感知有着较为重要的价值。业务数据源是与安全相关的管理数据、系统业务数据集安全情报信息可作为网络安全威胁分析的基础数据及技术分析的关联数据,其中业务数据源主要包括:等保业务数据、重要行业及重点单位安全业务数据、重要信息系统安全业务数据、安全事件取证数据、专家研判数据。

二、数据处理与存储管理技术研究

数据处理主要针对采集的数据进行处理,包括数据预处理、去重合并、日志泛化、结构化处理。数据预处理是将海量数据中的无用信息去除,然后经过初步处理成易于检索、查询和引用的形式;数据去重合并是将不同来源表达相同事件或情报的数据进行去重合并,消除数据冗余;日志泛化处理是为了识别各种收集到的不同日志和数据,将不同类型的数据都按照统一的格式进行存储;结构化处理是将非结构化的离散信息进行结构化整合。

数据存储是将处理后的数据进行归类存储,包括IP库、开放端口库、域名库、域名明细库、木马病毒库、漏洞库、指纹库、域名或设备漏洞库、黑客档案库、监测信息库、案事件库以及业务知识库等、原始信息数据库等。

三、基于经典统计学未知攻击发现技术

基于经典统计学的威胁统计分析依然是网络安全威胁分析及未知攻击发现的重要技术。但传统的统计分析技术往往是线性的、从单一维度发起的分析,在网络安全威胁及攻击手段日益复杂的今天,传统的分析方式带来的缺点也显而易见。因此研究新型的基于机器学习的网络安全威胁智能分析方法是十分必要的。本项从以下几个方面研究网络安全威胁的分析技术。

(一)概率统计

对资产、重要信息系统、重点网站等保护对象,通过对资产类型统计、重要信息系统及网站的可用性统计、漏洞类型统计、漏洞类型及系统可用性分布统计等,从单一特征及多个分析特征相结合对威胁进行分析。

(二)聚类关联

研究通过聚类技术对经过预处理且融合后的网络安全数据样本进行聚类分析,通过聚类分析可有效提取网络安全威胁行为特征信息。同时由于聚类分析的技术特点,还可有效的对未知攻击行为进行有效的识别。关联分析是对聚类分析后的特征进一步进行特征关联分析,通过综合性的关联分析技术,实现网络安全威胁的全面分析。

(三)大数据分析算法

将多源安全信息融合后的数据,从数据量来看往往是巨大的、海量的,从数据本身的内容及模式来讲往往是不完整的、有噪声的、模糊的、甚至还有一些随机数据。针对数据的这些特点,应用于大数据分析方法往往能取得较好的效果。基于大数据的各种数据挖掘算法可实现数据高度自动化的分析,作出归纳性的推理,发现数据中潜在的、隐含的关键安全信息[29]。同时基于大数据的分析方法还能对于安全知识的积累提供基础性支持,构建安全知识库。

(四)人工智能与机器学习技术

应用人工智能与机器学习技术可对融合后的安全数据进行智能建模,构建威胁分析及预测模型。模型通过将融合数据与外部数据进行关联分析,在海量数据中发现关键威胁数据线索,通过对威胁数据的标记,实现不断完善可自学习的半自动化威胁发现,同时随着时间的推移,模型不断完善,可减少威胁发现的误报率。

(五)可视化分析

融合后的安全信息数据由于数据来源较为分散、数据结构不一致,若通过人工分析,很难形成固定的分析流程和模式。借助大数据可视化分析技术,可将数据进行关联分析并作出完整的分析图表。

四、大数据实时网络监测技术

态势感知是以网络安全事件与威胁风险监测为驱动,对网络空间安全相关信息进行汇聚融合,形成针对人、物、地、事、关系的多维视图,从不同视角出发感知网络安全态势。

态势感知主要包括综合态势、资产态势、威胁风险态势、攻击态势、内容态势、预警处置态势六大视角。

(一)资产态势感知技术

以资产角度出发,包括重要信息系统、网站、终端等不同资产类型。可实时获取当前资产总数,按区域、类型、高危资产分布。重点监控资产的可用性情况,尤其针对重点网站进行重点实时关注。并结合地图、表单、趋势曲线图进行生动化展现。可以查看资产详细信息,包括资产所属的IP或IP段、操作系统、端口、中间件、服务器类型等。

(二)威胁态势感知技术

以安全威胁角度出发,包括漏洞、木马、变更、关键字、可用性等不同威胁类型。结合对本地重要信息系统运营、使用单位的系统的监测、第三方信息安全企业、网安历史数据积累等多个数据来源,后期还支持其他数据来源接入,形成实时的大数据支撑源。

(三)攻击态势感知技术

以攻击角度出发,从攻击、访问两个维度,可实时获取当前攻击、访问总体情况,并结合地图展现攻击实况,包括攻击时间、攻击源IP、目标IP、攻击类型方式、攻击路线图。最近24小时,访问、攻击曲线趋势走向。结合环形、条形、热力图,对主要攻击类型、攻击源、被攻击目标、访问源、被访问对象分布、排行进行实时、可交互的动态展现。

五、内容安全事件的通报预警机制

(一)通报预警信息来源

通报预警是根据态势感知、安全监测、追踪溯源、情报信息、侦查调查等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况,利用通报预警机制汇总、分析、研判,并及时将情况上报、通报、下达,进行预警及快速处置。

(二)预警处置方式

当态势感知平台监测到重要信息系统运营、使用单位的系统存在重大风险威胁隐患,或受到攻击、入侵、已被植入后门、篡改、植入暗链、拖库等形成重大安全事件时,根据属地管理原则,属于其他省、单列市管辖的重要信息系统可通过平台将事件情况通过预警、通报处置等流程手段进行通报下发,再由省、单列市通报机构进行通报处置,并反馈处置结果。