网络安全态势感知结构分析

【摘要】近年来，网络安全在各行业中持续高热，信息安全问题也正成为大数据分析的重要问题。网络安全态势感知作为网络安全领域的一种新技术，通过结合大数据平台中处理的检测对象的关键数据，对整个网络当前的安全状况做出评估，并对未来一段时间内的变化趋势做出预测。交通运输行业作为大数据平台深度应用的典型行业，时刻面临着网络安全的威胁，网络安全态势感知技术恰好能解决这一问题。下面本文将针对交通运输大数据平台对网络安全态势感知系统结构展开研究。

【关键词】态势感知;大数据;安全评估;预警研判

一、交通运输行业网络安全现状

随着国家信息化工作的推进，以物联网和智能交通为代表的新型信息应用在交通运输行业高度渗透，即将迈入全面联网、业务协同、智能应用的新阶段。同时，行业重要业务系统、门户网站、邮件、专用网络、公务终端等一直是敌对势力、黑客组织、极端个人关注和攻击的重点，网络篡改、敏感数据泄露等网络安全事件层出不穷。

二、基于大数据平台的网络安全态势感知系统

网络态势指的是由各种网络设备、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。网络安全态势感知指在当前网络运行大环境中，通过提取能影响网络态势的因素进行理解、分析，并能对未来网络状态的变化趋势做出预测。基于大数据平台的网络安全态势感知系统是基于网络数据流实时捕获、协议处理分析、会话统计、跟踪记录与检测，将采集数据存储入大数据平台，并以大数据平台中经过预处理和建模分析后的数据信息为评估依据，对当前网络状态做出评估，并对未来一段时间的网络环境实现威胁发现、精准预警和态势感知。它采用多检测引擎机制，能够监测到网络上的各种网络安全事件，具体包括恶意代码的网络传播，木马、后门等恶意代码的网络通信活动，恶意网址的访问，逃逸攻击，端口扫描攻击，漏洞探测攻击，高级持续性攻击，DDOS攻击，DNS劫持攻击，以及僵尸网络等。2.1数据资源。数据资源主要涉及到基础数据、动态数据、知识数据等内容，以自由样本数据、第三方样本、DNS基础数据、恶意URL数据形式组成大数据分析的数据资源。2.2安全工具。安全工具是网络安全态势感知系统的基础，为网络安全态势感知系统提供数据源（即针对各类威胁的检测结果、日志与资产信息），安全工具主要包括：网络攻击检测探针、异常行为检测探针、未知攻击检测探针、邮件安全监测引擎、网站安全监测引擎、设备故障监测设备、脆弱性扫描引擎、恶意代码检测工具、资产扫描引擎、日志采集工具、信息外泄检测工具等。2.3大数据分析平台的构建大数据分析。平台主要功能是对威胁数据采集探针和采集引擎等安全工具采集到的安全数据进行存储和处理。本文主要以交通运输行业政府网站、政务邮箱、重要业务系统、重要公务终端以及重要网络节点等关键信息基础设施为监测对象，通过安全工具，收集与网络安全有关的各类威胁信息，运用大数据存储管理技术将所采集的数据统一存储到大数据平台中，形成原始数据库。而原始数据库中的数据存在大量的冗余信息，不能直接用于态势感知的数据分析，需要经过大数据分析平台对采集到的数据完成预处理和特征提取，具体包括清洗、转换、去重、过滤、有效性验证等过程，最终完成存储和索引。大数据分析平台包含多种数据计算引擎，包括：搜索、统计、关联分析、威胁监测等，为上层不同场景下的应用提供数据处理结果。2.4网络安全态势感知系统结构模型。本结构模型根据五个监测对象的特点和交通运输行业必要的功能实现要求，将网络安全态势感知平台的主要功能实现部分分为三个应用系统：安全评估应用系统、态势感知应用系统和预警处置应用系统。三个应用系统基于大数据分析平台处理后的数据，通过对采集数据的关联分析和融合处理，反应当前网络的安全状况，给出一个可信的态势值，并根据历史数据分析，采用一定的技术手段对未来一段时间内网络安全可能遭受的网络攻击和网络状况作出预测，并对预测风险进行可视化呈现，给出合理处置建议。2.4.1安全评估网络安全评估系统利用大数据平台中整合的五类监测对象的资产信息（网络设备、安全设备、操作系统、数据库和应用中间件等）、威胁数据（操作失误、越权或滥用、恶意代码、篡改、泄密、网络攻击等）、脆弱性（网络结构脆弱性、系统软件脆弱性、应用中间件脆弱性、应用系统脆弱性等）进行漏洞扫描，依据风险评估模型进行风险综合分析，实现对全系统的网络安全风险评估，并提供网络安全风险评估情况的展示。具体可以分为以下三个部分：系统漏洞扫描、构建评估模型、威胁评估分析。

系统漏洞扫描部分包括对监测对象进行漏洞信息收集、扫描漏洞和结果评估三个步骤。安全漏洞的存在是导致系统面临安全风险的直接原因。通过对大数据平台中收集的漏洞信息进行扫描得到结果，分析数据得出系统所面临的安全风险值。

作者:刘镇源 单位:北京电子科技学院