淺析信息安全態(tài)勢智能預警分析平臺的論文

　　隨著信息化發(fā)展速度不斷加快，信息系統(tǒng)用戶規(guī)模不斷擴大、需求不斷更新、自動化程度不斷提高，信息系統(tǒng)安全狀況與企業(yè)經濟效益越來越密切，直接影響到企業(yè)的經營和形象問題。本文描述了一個典型的信息安全態(tài)勢智能預警分析平臺的實現(xiàn)，介紹了網絡安全態(tài)勢感知的相關概念，并簡要探討了數(shù)據(jù)挖掘及態(tài)勢感知等主要技術及發(fā)展方向。

　　1 前言

　　隨著信息化發(fā)展速度不斷加快，信息系統(tǒng)用戶規(guī)模不斷擴大、需求不斷更新、自動化程度不斷提高，信息系統(tǒng)安全狀況與企業(yè)經濟效益越來越密切，直接影響到企業(yè)的經營和形象問題。目前，防火墻、IDS、IPS等安全設備已經得到普遍使用，但是同時這些設備產生了海量安全數(shù)據(jù)，采用人工分析的方法已經無法實現(xiàn)安全威脅的及時預警與處置。另一方面，現(xiàn)有安全設備之間相對孤立，數(shù)據(jù)沒有得到關聯(lián)分析和綜合考慮，很難面對當今各種利用先進手段、高度隱蔽的網絡攻擊形式。因此，在現(xiàn)有安全手段的基礎上，獲取和分析海量攻擊行為數(shù)據(jù)，結合態(tài)勢感知技術實現(xiàn)信息安全行為的準確定位和智能預警，在信息安全防護工作中是非常必要的。

　　2 平臺構成

　　信息安全態(tài)勢智能預警分析平臺由系統(tǒng)數(shù)據(jù)接口、數(shù)據(jù)挖掘與融合技術、態(tài)勢分析與風險預警、可視化展示與系統(tǒng)管理六大部分。其中，系統(tǒng)數(shù)據(jù)接口用于查看目前監(jiān)控的設備及應用系統(tǒng);數(shù)據(jù)挖掘與融合提供有效的數(shù)據(jù)分析處理模型和數(shù)據(jù)分析方法;態(tài)勢分析和風險預警提供當前網絡安全態(tài)勢評估、未來網絡安全態(tài)勢預測及響應告警功能;可視化展示定義生成各類表單、圖表、報告、報表等用戶界面。

　　3 關鍵技術

　　3.1 數(shù)據(jù)采集

　　3.1.1 設備實時監(jiān)測數(shù)據(jù)

　　信息安全態(tài)勢智能預警分析平臺監(jiān)測重要網絡設備及服務器的運行狀態(tài)，主要對網絡邊界設備、核心交換設備、重要服務器等進行監(jiān)視，獲取CPU、內存、網絡流量等性能或安全參數(shù)信息。通過該系統(tǒng)數(shù)據(jù)接口，可按照單個設備、某類設備、整個網絡設備來獲取相關設備數(shù)據(jù)。

　　3.1.2 掃描數(shù)據(jù)

　　采集日常運維中掃描數(shù)據(jù)，主要包括利用漏洞掃描工具發(fā)現(xiàn)的漏洞、弱口令等安全隱患信息。

　　3.1.3 日志文件數(shù)據(jù)

　　采集重要設備的日志文件數(shù)據(jù)，主要包括網絡邊界設備、核心交換設備、重要服務器的系統(tǒng)日志、安全日志、應用日志及告警日志等。

　　3.1.4 策略配置數(shù)據(jù)

　　采集重要設備的策略配置數(shù)據(jù)，主要包括主機、服務器、網絡設備等的安全策略配置信息以及策略變更信息等。

　　3.2 數(shù)據(jù)挖掘

　　數(shù)據(jù)挖掘的方法有很多種，其中關聯(lián)規(guī)則挖掘方法能夠從大量數(shù)據(jù)中挖掘出有價值描述數(shù)據(jù)項之間相互聯(lián)系的有關知識，挖掘用戶操作行為之間的關聯(lián)規(guī)則，反映用戶的操作傾向。

　　現(xiàn)實中網絡環(huán)境復雜，網絡設備種類多，影響因素之間相互關聯(lián)。選取的算法要能有效的對多源異構數(shù)據(jù)進行關聯(lián)分析并具有自學習性，能夠解決決策層的不確定性，不能僅憑專家經驗確定各指標對網絡安全狀態(tài)的影響程度。在底層使用關聯(lián)規(guī)則挖掘算法對異構數(shù)據(jù)進行關聯(lián)性分析，使用云模型對異構數(shù)據(jù)進行融合處理，在決策層使用貝葉斯決策方法進行態(tài)勢預測，較好的解決了態(tài)勢評估的不確定性。

　　3.3 態(tài)勢感知與風險預警

　　網絡安全態(tài)勢感知主要對網絡中部署的各類設備的運行狀態(tài)進行監(jiān)測，對動態(tài)監(jiān)測數(shù)據(jù)、設備運行日志、脆弱性、策略配置數(shù)據(jù)等進行融合分析，對目前網絡安全狀況進行風險評估，同時也對未來幾天網絡安全狀況進行預測。

　　安全風險預警實現(xiàn)各類安全隱患的報警功能。借助安全態(tài)勢感知功能對各類數(shù)據(jù)綜合分析，提出信息安全風險的來源分布以及風險可能帶來的危害，及時的對信息安全隱患或風險進行報警。

　　3.3.1 網絡實時狀況警報

　　實現(xiàn)網絡中的網絡設備、服務器、中間件等的實時運行狀態(tài)進行監(jiān)控，并依據(jù)的上下限值提供報警功能。將告警指標和風險處理方法進行結合，實現(xiàn)在動態(tài)地圖上顯示出來并提供報警，能夠快速的定位出現(xiàn)問題的設備。實現(xiàn)網絡中關鍵的硬件設備配置的監(jiān)控，實現(xiàn)對硬件的更換、策略的變更的報警功能。

　　3.3.2 態(tài)勢要素提取

　　態(tài)勢要素提取是態(tài)勢評估與預測的基礎。讀取核心交換機、重要業(yè)務服務器及信息系統(tǒng)、站、路由器、IPS、IDS等關鍵核心接入設備的配置信息、服務的狀態(tài)、操作日志、關鍵性能參數(shù)等。

　　3.3.3 態(tài)勢評估與分析

　　研究信息安全風險評估和分析方法，制定風險評估指標體系和評估模型，開展基于多協(xié)議和應用的關聯(lián)分析，識別程序或用戶的惡意行為，追蹤并提供威脅分析。

　　態(tài)勢感知的核心是態(tài)勢評估，是對當前安全態(tài)勢的一個動態(tài)理解過程。識別態(tài)勢信息中的安全事件并確定它們之間的關聯(lián)關系，根據(jù)所受到的威脅程度生成相應的安全態(tài)勢圖，反映出整個網絡的安全態(tài)勢狀況。

　　研究分層次的安全評估模型，以攻擊報警、掃描結果和網絡流量等信息為原始數(shù)據(jù)，發(fā)現(xiàn)各關鍵設備影響因素的脆弱性或威脅情況，在此基礎上，綜合評估網絡系統(tǒng)中各關鍵設備的安全狀況，再根據(jù)網絡系統(tǒng)結構，評估多個局部范圍網絡的安全態(tài)勢，然后再綜合分析和統(tǒng)計整個宏觀網絡的安全態(tài)勢。

　　3.3.4 態(tài)勢預測

　　態(tài)勢預測主要基于各類網絡設備、服務器、終端設備以及安全設備的記錄，進行關聯(lián)性分析，給出總體信息安全趨勢。態(tài)勢預測數(shù)據(jù)的來源包括用戶數(shù)據(jù)的輸入和監(jiān)測到歷史數(shù)據(jù)和實時數(shù)據(jù)。

　　3.3.5 響應與報警

　　針對存在的威脅事件、預知的安全風險以及信息系統(tǒng)故障等進行報警，并提供解決的建議。利用數(shù)據(jù)挖掘與融合技術處理歷史數(shù)據(jù)和監(jiān)測數(shù)據(jù)，經過網絡安全態(tài)勢評估與預測分析，對潛在安全風險進行分析預測，輸出預警信息。

　　3.4 可視化展示

　　根據(jù)用戶的不同需求，定義不同的功能視圖，實現(xiàn)多樣化、多元化的展示方式，包括漏洞、弱口令、病毒感染、違規(guī)外聯(lián)、威脅報警等信息。

　　4 結語

　　通過信息安全態(tài)勢感知與智能預警平臺，利用大數(shù)據(jù)技術將現(xiàn)有各類監(jiān)測數(shù)據(jù)、日志數(shù)據(jù)、掃描數(shù)據(jù)等進行有效整合，能自動識別未知的新型攻擊、縮短事件響應時間并提高提高人員工作效率，為實時掌握網絡整體安全狀態(tài)和變化趨勢提供了基礎，從而提升企業(yè)信息安全主動防御能力。

【淺析信息安全態(tài)勢智能預警分析平臺的論文】相關文章：

信息安全管理中信息安全態(tài)勢分析08-11

電力信息安全態(tài)勢感知分析10-25

淺析網站信息安全事件監(jiān)測平臺的設計與實現(xiàn)的優(yōu)秀論文08-07

電子檔案信息安全管理分析論文10-28

智能電網信息安全防護建設初探論文10-16

面向智能網絡的信息安全技術實踐論文06-01

醫(yī)院病歷管理平臺構建分析論文10-06

項目管理信息平臺設計管理的論文07-11

大數(shù)據(jù)平臺網絡信息安全問題研究論文07-04

淺析弱電智能化建筑工程的論文09-19