□ 曹蓉蓉 / 南京政治学院上海校区军事信息管理系 上海 200433
大数据环境下网络安全态势感知研究
摘要:随着网络规模和应用的迅速扩大,网络安全威胁不断增加,单一的网络安全防护技术已经不能满足需要。网络安全态势感知能够从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测,大数据的特点为大规模网络安全态势感知研究的突破创造了机遇。文章在介绍网络安全态势相关概念和技术的基础上,对利用大数据开展基于多源日志的网络安全态势感知研究进行了探讨。
关键词:网络安全,态势感知,大数据,数据融合,态势预测
DOI:10.3772/j.issn.1673—2286.2014.02.003
1 引言
随着计算机和通信技术的迅速发展,计算机网络的应用越来越广泛,其规模越来越庞大,多层面的网络安全威胁和安全风险也在不断增加,网络病毒、Dos/ DDos攻击等构成的威胁和损失越来越大,网络攻击行为向着分布化、规模化、复杂化等趋势发展,仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术,已不能满足网络安全的需求,迫切需要新的技术,及时发现网络中的异常事件,实时掌握网络安全状况,将之前很多时候亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。
网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势。
2 网络安全态势相关概念
2.1 网络态势感知
态势感知(Situation Awareness,SA)的概念是1988年Endsley提出的,态势感知是在一定时间和空间内对环境因素的获取,理解和对未来短期的预测。整个态势感知过程可由图1所示的三级模型直观地表示出来。
图1 态势感知的三级模型
态势理解
(二级)
态势预测
(三级)态势要素获取
(一级)
所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
网络态势感知(Cyberspace Situation Awareness,CSA)是1999年Tim Bass首次提出的,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。
态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋
2014年第02期(总第117期)11
势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势。
2.2 网络安全态势感知
网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。
网络安全态势感知的主要任务包括风险感知和事件感知两个方面。风险感知包括网络资产感知和网络脆弱性感知,网络资产感知是指自动、快速发现和收集大规模网络资产的分布情况、更新情况、属性等信息;网络脆弱性感知是分析、发现网络的脆弱性,对脆弱性进行统一标识和管理,网络脆弱性包括不可见脆弱性和可见脆弱性。事件感知主要包括安全事件感知和异常行为感知,安全事件感知是指能够确定安全事件发生的时间、地点、起因、经过和结果;异常行为感知是指通过异常行为判定风险,以弥补对不可见脆弱性、未知安全事件发现的不足,主要面向的是感知未知的攻击。
3 网络安全态势感知相关技术
对于大规模网络而言,一方面网络节点众多、分支复杂、数据流量大,存在多种异构网络环境和应用平台;另一方面网络攻击技术和手段呈平台化、集成化和自动化的发展趋势,网络攻击具有更强的隐蔽性和更长的潜伏时间,网络威胁不断增多且造成的损失不断增大。为了实时、准确地显示整个网络安全态势状况,检测出潜在、恶意的攻击行为,网络安全态势感知要在对网络资源进行要素采集的基础上,通过数据预处理、网络安全态势特征提取、态势评估、态势预测和态势展示等过程来完成,这其中涉及许多相关的技术问题,主要包括数据融合技术、数据挖掘技术、特征提取技术、态势预测技术和可视化技术等。
3.1 数据融合技术
由于网络空间态势感知的数据来自众多的网络设备,其数据格式、数据内容、数据质量千差万别,存储形式各异,表达的语义也不尽相同。如果能够将这些使用不同途径、来源于不同网络位置、具有不同格式的数据进行预处理,并在此基础上进行归一化融合操作,就可以为网络安全态势感知提供更为全面、精准的数据源,从而得到更为准确的网络态势。数据融合技术是一个多级、多层面的数据处理过程,主要完成对来自网络中具有相似或不同特征模式的多源信息进行互补集成,完成对数据的自动监测、关联、相关、估计及组合等处理,从而得到更为准确、可靠的结论。数据融合按信息抽象程度可分为从低到高的三个层次:数据级融合、特征级融合和决策级融合,其中特征级融合和决策级融合在态势感知中具有较为广泛的应用。
3.2 数据挖掘技术
网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后,转化为格式统一的数据单元。这些数据单元数量庞大,携带的信息众多,有用信息与无用信息鱼龙混杂,难以辨识。要掌握相对准确、实时的网络安全态势,必须剔除干扰信息。数据挖掘就是指从大量的数据中挖掘出有用的信息,即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、事先未知的,但又有潜在用处的并且最终可理解的信息和知识的非平凡过程(Nontrivial Process)[1]。数据挖掘可分为描述性挖掘和预测性挖掘,描述性挖掘用于刻画数据库中数据的一般特性;预测性挖掘在当前数据上进行推断,并加以预测。数据挖掘方法主要有:关联分析法、序列模式分析法、分类分析法和聚类分析法。关联分析法用于挖掘数据之间的联系;序列模式分析法侧重于分析数据间的因果关系;分类分析法通过对预先定义好的类建立分析模型,对数据进行分类,常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等;聚类分析不依赖预先定义好的类,它的划分是未知的,常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。
2014年第02期(总第117期)12
大数据环境下网络安全态势感知研究曹蓉蓉
3.3 特征提取技术
网络安全态势特征提取技术是通过一系列数学方法处理,将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值,这些数值具有表现网络实时运行状况的一系列特征,用以反映网络安全状况和受威胁程度等情况。网络安全态势特征提取是网络安全态势评估和预测的基础,对整个态势评估和预测有着重要的影响,网络安全态势特征提取方法主要有层次分析法、模糊层次分析法、德尔菲法和综合分析法。
3.4 态势预测技术
网络安全态势预测就是根据网络运行状况发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、估计、分析其在未来一定时期内可能的变化情况,是网络安全态势感知的一个重要组成部分。网络在不同时刻的安全态势彼此相关,安全态势的变化有一定的内部规律,这种规律可以预测网络在将来时刻的安全态势,从而可以有预见性地进行安全策略的配置,实现动态的网络安全管理,预防大规模网络安全事件的发生。网络安全态势预测方法主要有神经网络预测法、时间序列预测法、基于灰色理论预测法。
3.5 可视化技术
网络安全态势生成是依据大量数据的分析结果来显示当前状态和未来趋势,而通过传统的文本或简单图形表示,使得寻找有用、关键的信息非常困难。可视化技术是利用计算机图形学和图像处理技术,将数据转换成图形或图像在屏幕上显示出来,并进行交互处理的理论、方法和技术。它涉及计算机图形学、图像处理、计算机视觉、计算机辅助设计等多个领域。目前已有很多研究将可视化技术和可视化工具应用于态势感知领域,在网络安全态势感知的每一个阶段都充分利用可视化方法,将网络安全态势合并为连贯的网络安全态势图,快速发现网络安全威胁,直观把握网络安全状况。
4 基于多源日志的网络安全态势感知
随着网络规模的扩大以及网络攻击复杂度的增加,入侵检测、防火墙、防病毒、安全审计等众多的安全设备在网络中得到广泛的应用,虽然这些安全设备对网络安全发挥了一定的作用,但存在着很大的局限,主要表现在:一是各安全设备的海量报警和日志,语义级别低,冗余度高,占用存储空间大,且存在大量的误报,导致真实报警信息被淹没。二是各安全设备大多功能单一,产生的报警信息格式各不相同,难以进行综合分析整理,无法实现信息共享和数据交互,致使各安全设备的总体防护效能无法得以充分的发挥。三是各安全设备的处理结果仅能单一体现网络某方面的运行状况,难以提供全面直观的网络整体安全状况和趋势信息。为了有效克服这些网络安全管理的局限,我们提出了基于多源日志的网络安全态势感知。
4.1 基于多源日志的网络安全态势感知要素获取
基于多源日志的网络安全态势感知是对部署在网络中的多种安全设备提供的日志信息进行提取、分析和处理,实现对网络态势状况进行实时监控,对潜在的、恶意的网络攻击行为进行识别和预警,充分发挥各安全设备的整体效能,提高网络安全管理能力。
基于多源日志的网络安全态势感知主要采集网络入口处防火墙日志、入侵检测日志,网络中关键主机日志以及主机漏洞信息,通过融合分析这些来自不同设备的日志信息,全面深刻地挖掘出真实有效的网络安全态势相关信息,与仅基于单一日志源分析网络的安全态势相比,可以提高网络安全态势的全面性和准确性。
4.2 利用大数据进行多源日志分析处理
基于多源日志的网络安全态势感知采集了多种安全设备上以多样的检测方式和事件报告机制生成的海量数据,而这些原始的日志信息存在海量、冗余和错误等缺陷,不能作为态势感知的直接信息来源,必须进行关联分析和数据融合等处理。采用什么样的技术才能快速分析处理这些海量且格式多样的数据?大数据的出现,扩展了计算和存储资源,大数据自身拥有的Variety支持多类型数据格式、Volume大数据量存储、Velocity快速处理三大特征,恰巧是基于多源日志的网络安全态势感知分析处理所需要的。大数据的多类型数据格式,可以使网络安全态势感知获取更多类型的日
2014年第02期(总第117期)1
志数据,包括网络与安全设备的日志、网络运行情况信息、业务与应用的日志记录等;大数据的大数据量存储正是海量日志存储与处理所需要的;大数据的快速处理为高速网络流量的深度安全分析提供了技术支持,为高智能模型算法提供计算资源。因此,我们利用大数据所提供的基础平台和大数据量处理的技术支撑,进行网络安全态势的分析处理。
关联分析。网络中的防火墙日志和入侵检测日志都是对进入网络的安全事件的流量的刻画,针对某一个可能的攻击事件,会产生大量的日志和相关报警记录,这些记录存在着很多的冗余和关联,因此首先要对得到的原始日志进行单源上的关联分析,把海量的原始日志转换为直观的、能够为人所理解的、可能对网络造成危害的安全事件。基于多源日志的网络安全态势感知采用基于相似度的报警关联,可以较好地控制关联后的报警数量,有利于减少复杂度。其处理过程是:首先提取报警日志中的主要属性,形成原始报警;再通过重复报警聚合,生成聚合报警;对聚合报警的各个属性定义相似度的计算方法,并分配权重;计算两个聚合报警的相似度,通过与相似度阀值的比较,来决定是否对聚合报警进行超报警;最终输出属于同一类报警的地址范围和报警信息,生成安全事件。
融合分析。多源日志存在冗余性、互补性等特点,态势感知借助数据融合技术,能够使得多个数据源之间取长补短,从而为感知过程提供保障,以便更准确地生成安全态势。经过单源日志报警关联过程,分别得到各自的安全事件。而对于来自防火墙和入侵检测日志的的多源安全事件,采用D-S证据理论(由Dempster于1967年提出,后由Shafer于1976年加以推广和发展而得名)方法进行融合判别,对安全事件的可信度进行评估,进一步提高准确率,减少误报。D-S证据理论应用到安全事件融合的基本思路:首先研究一种切实可行的初始信任分配方法,对防火墙和入侵检测分配信息度函数;然后通过D-S的合成规则,得到融合之后的安全事件的可信度。
态势要素分析。通过对网络入口处安全设备日志的安全分析,得到的只是进入目标网络的可能的攻击信息,而真正对网络安全状况产生决定性影响的安全事件,则需要通过综合分析攻击知识库和具体的网络环境进行最终确认。主要分为三个步骤:一是通过对大量网络攻击实例的研究,得到可用的攻击知识库,主要包括各种网络攻击的原理、特点,以及它们的作用环境等;二是分析关键主机上存在的系统漏洞和承载的服务的可能漏洞,建立当前网络环境的漏洞知识库,分析当前网络环境的拓扑结构、性能指标等,得到网络环境知识库;三是通过漏洞知识库来确认安全事件的有效性,也即对当前网络产生影响的网络攻击事件。在网络安全事件生成和攻击事件确认的过程中,提取出用于对整个网络安全态势进行评估的态势要素,主要包括整个网络面临的安全威胁、分支网络面临的安全威胁、主机受到的安全威胁以及这些威胁的程度等。
5 结语
为了解决日益严重的网络安全威胁和挑战,将态势感知技术应用于网络安全中,不仅能够全面掌握当前网络安全状态,还可以预测未来网络安全趋势。本文在介绍网络安全态势相关概念和技术的基础上,对基于多源日志的网络安全态势感知进行了探讨,着重对基于多源日志的网络安全态势感知要素获取,以及利用大数据进行多源日志的关联分析、融合分析和态势要素分析等内容进行了研究,对于态势评估、态势预测和态势展示等相关内容,还有待于进一步探讨和研究。
参考文献
[1] 张云涛,龚玲.数据挖掘原理与技术[M].北京:电子工业出版社,
2004.
[2] 席荣荣.网络安全态势感知综述[J].计算机应用,2012,32(1):1-4.
[3] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方
法[J].软件学报,2006,17(4):885-897.
[4] 龚正虎,卓莹.网络态势感知研究[J].软件学报, 2010,21(7):1605-1619.
[5] 韦勇,连一峰,冯国登.基于信息融合的网络安全态势评估模型[J].
计算机研究与发展,2009,46(3):353-362.
[6] 刘鹏,孟炎,吴艳艳.大规模网络安全态势感知及预测[J].计算机安
全,2013(3):28-35.
[7] HALL D L. Mathematical Techniques in Multi-sensor Data Fusion
[M]. Boston: Artech House, 2012: 125-137.
2014年第02期(总第117期)14
曹蓉蓉
大数据环境下网络安全态势感知研究
作者简介
曹蓉蓉(1963- ),南京政治学院上海校区军事信息管理系副教授,研究方向:信息安全、信息系统。E-mail: crr1001@https://www.doczj.com/doc/676273308.html,
Research of Network Security Situation Awareness under Big Data Environment
Cao Rongrong / Department of Military Information Management, Shanghai Branch of Nanjing Political College, Shanghai, 200433 Abstract: With the rapid expansion of the network scale and its applications, network security threats continue to increase, a single network security technology could not meet the requirement. Network security situation awareness can dynamically re?ect the overall network security and predict network security development trends. Characteristics of big data create opportunity for research breakthrough of large scale network situation awareness. Based on concept and technique introduction of network security situation awareness, this article discusses about research of network security situation awareness based on multi-source journal by utilizing big data analysis.
Keywords: Network security, Situation awareness, Big data, Data fusion, Situation prediction
(收稿日期:2014-01-08)
2014年第02期(总第117期)1
大数据环境下网络安全态势感知研究
作者:曹蓉蓉, Cao Rongrong
作者单位:南京政治学院上海校区军事信息管理系 上海 200433
刊名:
数字图书馆论坛
英文刊名:Digital Library Forum
年,卷(期):2014(2)
引用本文格式:曹蓉蓉.Cao Rongrong大数据环境下网络安全态势感知研究[期刊论文]-数字图书馆论坛 2014(2)
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
大规模网络安全态势感知 —需求、挑战与技术
贾焰 教授 国防科大计算机学院网络所 2009年10月22日
报告内容
什么是态势感知? ? 网络安全态势感知研究意义 ? 网络安全态势感知关键技术 ? YH-SAS
?
一个新型的网络安全态势感知系统
?
机遇和挑战
态势感知定义
?
wikipedia
?
Situation awareness, or SA, is the perception of environmental elements within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.
态势感知就是在一定的时空条件下,对环境因
素进行获取、理解以及对其未来状态进行预 测。
态势要素获取 (一级) 态势理解 (二级) 态势预测 (三级)
态势感知定义(续)
?
Adam, 1993
SA
is simply “knowing what is going on so you can figure out what to do”。
态势感知可简单理解为“了解将要发生的事以便
做好准备”。
?
Moray, 2005
SA
is a shorthand description for “keeping track of what is going on around you in a complex, dynamic environment” 。
态势感知可简单描述为“始终掌握你周边复杂、
动态环境的变化”。
基于大数据的安全感知研究 摘要:随着“互联网+”的到来,网络数据爆发性增长,传统的安全分析手段已经无法分析 处理如此大量的数据。随着大数据技术的成熟、应用和推广,网络安全态势感知技术有了新 的发展方向大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态 势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据 技术在安全感知方面的促进做一些探讨。 关键词:大数据网络安全态势感知并行计算 Network Security Situation Awareness Based on Big Data Li Yingzhuang1 Wang Yao2 Zhou Zhengcheng2 Zou Xueqin2 (China Mobile Group Hainan Co., Ltd.,Hainan,570125) Abstract: With the "Internet plus" the arrival of the explosive growth of network data security analysis, the traditional method has been unable to deal with such a large amount of data analysis. Along with the promotion and application of big data technology, mature, situational awareness of network security technology has the characteristics of a new direction for the development of mass storage, unique big data technology of parallel computing, efficient query, creating a breakthrough opportunity is the key technology of large-scale network security situation awareness. In this paper, we will discuss the security situation awareness and the promotion of large data technology in large scale network environment. Keywords: Big Data,Network Security,Situation Awareness, Parallel computing 1.引言 随着“互联网+”、智能制造等新兴业态的快速发展,互联网快速渗透到工业 各领域各环节,客观上导致工业行业原有相对封闭的使用环境被逐渐打破,传统 网络与信息安全威胁加速向各类网络、系统、设备渗透,病毒、木马日益猖獗。 提出新的挑战,而且我国目前信息系统安全产业和信息安全法律法规和标准不完 善,导致国信息安全保障工作滞后于信息技术发展。 面对复杂严峻的网络与信息安全形势,2015年1月,公安部颁布了《关于加 快推进网络与信息安全通报机制建设的通知》(公信安[2015]21号)文件。《关 于加快推进网络与信息安全通报机制建设的通知》要求建立省市两级网络与信息 安全信息通报机制,积极推动专门机构建设,建立安全态势感知监测通报手段和 信息通报预警及应急处置体系。明确要求建设网络与信息安全态势感知监测通报 平台。实现对重要和网上重要信息系统的安全监测、网上计算机病毒木马传播监
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力,统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高 效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理, 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息 系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前 360 补天漏洞众测平台注册有 多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测,发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端 IOC 威胁情报进行比对,发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比 对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘 分析和关联,发现更深层次的安全威胁 1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术, 实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
网络安全态势的预测网络安全态势感知 :TP3 :A 摘要:网络安全态势感知的基本目标是网络安全预测。本文重点论述了网络安全态势常用的三种方法并对其应用实现进行了分析和展望。关键词:网络安全态势预测;神经智能网络;时间序列;支持向量机 Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the work security situation monly used three methods and its application in the trend of the development of realization are analyzed and prospected. Key words:Network security situation forecast ;Nerve intelligent work ;Time series ;Support vector machine (SVM) 1 引言 根据网络安全态势的以往的信息和目前状况情态可以对网络未 来一个阶段的发展趋势进行预测,这就是网络安全态势的预测。由于网络攻击的随机性和不确定性,这就使得安全态势变化是一个复杂的非线性过程,常规传统的预测模型较有局限性。目前网络安全态势预测通常采用神经智能网络、时间序列预测法和支持向量机等方法。
2 网络安全态势的预测 目前神经智能网络是最常用的网络态势预测方法,该算法是先 输入一些数据作为训练样本,然后根据网络能力调整权值,建立网络态势预测模型,而后运用模型,实现从输入状态到输出状态空间的映射,该映射为非线性映射。 神经智能网络具有很多优点,其中自学习、自适应性和非线性 处理尤为突出。网络之所以具有良好的容错性和稳健性,是因为神经网络内部神经元之间存在复杂的连接,连接权值的矩阵具有可变性,这使得模型运算中存在高度的冗余。但是神经智能网络存在许多缺陷:如过分拟合或者训练不够,训练时间短,可信的解释难以提供。 时间序列法是对时间序列的以往数据研究找出随着时间的变化 态势发展的规律,并利用这种规律推断未来,从而预测未来态势。在预测网络安全态势中,建立函数y=f(t),y即网络安全态势值,该值是有态势评估获取而来的,此态势值是非线性的。预测出的网络安全态势值通常被看作一个时间序列,设定y={yi|yi∈r,i=1,2,…,l}为网络安全态势值的时间序列,然后通过序列的前n个时刻的态势 值预测出后m个网络安全态势的值。
基于大数据的网络安全与情报分析 摘要随着互联网技术的逐渐发展,网络已经基本的普及,许多新兴的网络平台得到了大量访问量。上网的年龄跨度也在逐渐增大,逐渐向幼龄化和老龄化的发展趋势。网络是一把双刃剑,与此同时,上网环境日趋复杂,黑客频繁的攻击网络、网民信息被大量的曝光、不良的风气也随着网络的盛行而传播。传统的网络处理能力有限并且源数据来源没有现在广泛,导致了网络上的情报容易被获取,网络安全态势逐渐走向低迷,难以面对时代带来的种种挑战。本文大数据的网络安全与情报分析,来看待大数据时代的机遇与挑战。 关键词大数据;网络安全;情报分析;机遇;挑战 随着网络技术的逐渐成熟,网络通信能力飞速提高,云计算、社交网络也在以前所未有的速度向前发展,大数据呈现出井喷式的增长与积累,这种种现象告知人们一个信息:大数据时代悄然而至。但目前网上言论自由,任何人都可以在网络上畅所欲言,对一件事情发表自己的看法与见解,导致上网环境变得日益复杂,经常出现网络攻击的现象,给自由的网络环境沾染上不良风气。不仅是网络上发表评论进行攻击,还会出现个人信息的盗取,比如说个人的电话、银行账号、身份证号等私密信息,甚至有时会侵害到金融、航空、交通等领域,给人民的生活私密性以及国家信息安全带了诸多不便与危害。 1 大数据网络安全 1.1 大数据的含义 大数据一词,顾名思义,首先数据库庞大,其次就是来源广泛,容易获取,变化多样,用传统的数据分析系统难以进行有效、实时的处理。在当前社会的普遍认知里,获得并且经过有效处理的数据越多,所获得的信息价值越大。在业内人士的看来,大数据就是全新的资源、全新的理念以及全新技术的有力结合。有效的处理大数据,就是采用采集、预处理、保存、分析等方法将大数据里面含有的有利的信息挖掘出来,转变为对人类有帮助的资源,体现出这一技术的存在价值。而在一定时间内处理大量的、来源不同的数据,则是大数据最大价值体现[1]。 1.2 大数据的安全 随着上网环境的日益复杂,网络安全越来越难掌控。虽然现在对于大数据的安全分析技术已经发展的相对成熟,但是分析和保存大数据所花费的时间成本相对较高,并且随着时代迁移,大数据的生成速度越来越快,生成的数据也就越来越多,根据现有的分析方法与分析能力,无法有效处理大数据。再加上现如今黑客攻击手段也在逐步提高,技术含量也越来越高,攻击性越来越强,传统的检测技术已经无法应对现有的网络攻击。为应对现今局面,国内外的专家也相应地做出了对策,研究出了安全的解决方法:第一,要对采集的大量的数据进行一个安全的检测;第二,要对采集的大量的数据进行分类和分析;第三,要对数据产生
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也
智能态势感知系统 产品简介 产品文档
【版权声明】 ?2013-2018 腾讯云版权所有 本文档著作权归腾讯云单独所有,未经腾讯云事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标,依法由权利人所有。 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
文档目录 产品简介 产品概述 产品优势 应用场景
产品简介 产品概述 最近更新时间:2018-12-18 17:16:40 什么是腾讯态势感知(私有云)? 腾讯态势感知(私有云)(下文也叫御见)是腾讯面向政府、军队、金融、制造业、医疗、教育等大型企事业单位,推出的安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析和腾讯威胁情报为重点、以 3D 可视化为特色、以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险,进行深度检测,为企业提供及时的安全告警。通过对海量数据进行多维度分析和及时预警,能及时智能处理安全威胁,实现企业全网安全态势可知、可见、可控的闭环。 主要功能 态势总览 通过态势总览,直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示,结合平台所收集、加工、分析后的多维数据,直观查看结果,方便安全运维人员及时发现和处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,极大地提高了安全运维团队的监测、管理、处置安全事件的效率。 资产感知 提供资产可视功能,帮助用户从资产的角度了解安全态势。盘点现有资产,对资产进行编辑管理。通过流量发现、第三设备导入、用户主动添加等手段,摸清企业内网资产,建立完整、丰富的资产库,为实现威胁、风险事件与企业内网资产紧密关联打下基础,方便运维人员对企业内网资产进行管理。 威胁发现 对接第三方设备日志、流量日志、威胁情报等数据,御见大数据分析平台对数据进行清洗、过滤、归一后,进行安全规则检测,实时发现最新威胁事件,并进行威胁态势感知与威胁事件告警,方便运维人员查询具体的威胁事件,从中获得威胁事件更详细信息,帮助调查分析、溯源事件、联动处置问题。 风险预警 实时收集互联网最新安全漏洞情报,向客户传递最新漏洞情报。通过持续监控外部威胁和内部风险,全面分析事件详情,为客户提供专业的处置方案,协助客户快速定位问题、精准定位溯源、及时正确处置威胁,做到及时查漏补缺、防患未然。
□ 曹蓉蓉 / 南京政治学院上海校区军事信息管理系 上海 200433 大数据环境下网络安全态势感知研究 摘要:随着网络规模和应用的迅速扩大,网络安全威胁不断增加,单一的网络安全防护技术已经不能满足需要。网络安全态势感知能够从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测,大数据的特点为大规模网络安全态势感知研究的突破创造了机遇。文章在介绍网络安全态势相关概念和技术的基础上,对利用大数据开展基于多源日志的网络安全态势感知研究进行了探讨。 关键词:网络安全,态势感知,大数据,数据融合,态势预测 DOI:10.3772/j.issn.1673—2286.2014.02.003 1 引言 随着计算机和通信技术的迅速发展,计算机网络的应用越来越广泛,其规模越来越庞大,多层面的网络安全威胁和安全风险也在不断增加,网络病毒、Dos/ DDos攻击等构成的威胁和损失越来越大,网络攻击行为向着分布化、规模化、复杂化等趋势发展,仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术,已不能满足网络安全的需求,迫切需要新的技术,及时发现网络中的异常事件,实时掌握网络安全状况,将之前很多时候亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。 网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势。 2 网络安全态势相关概念 2.1 网络态势感知 态势感知(Situation Awareness,SA)的概念是1988年Endsley提出的,态势感知是在一定时间和空间内对环境因素的获取,理解和对未来短期的预测。整个态势感知过程可由图1所示的三级模型直观地表示出来。 图1 态势感知的三级模型 态势理解 (二级) 态势预测 (三级)态势要素获取 (一级) 所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 网络态势感知(Cyberspace Situation Awareness,CSA)是1999年Tim Bass首次提出的,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋 2014年第02期(总第117期)11
点击文章中飘蓝词可直接进入官网查看 安全态势感知平台 安全态势感知平台通过收集各类安全日志,实时监控网络流量,利用大数据实时分析,采 取主动的安全分析和实时态势感知,快速发现威胁,控制威胁。今天给大家谈一谈一下安全态 势感知平台的特点,并介绍一下安全态势感知平台哪家比较好。 事件收集,安全态势感知平台提供主动获取和被动接收多种事件获取方式,可收集所有类 型的事件信息。利用模式匹配进行数据解析,可解析所有格式的事件与日志,事件解析过程中,对解析规则进行智能学习,自动进行规则分类,可实现快速解析。正则表达式可灵活配置,灵 活接入新的事件与日志信息,产品可自由扩容,具备灵活的事件合并策略及强大的事件合并能力。 流量监控,安全态势感知平台流量监控实时监控网络流入流出的网络流量,通过对流量进 行协议识别和深度包检测,并对数据包进行还原与重组,提取数据流量中的内容,并对内容进 行检测,通过对检测结果的分析,发现数据流量中的异常行为,携带的病毒、木马以及恶意软件,隐藏的泄密行为等。 事件分析,安全态势感知平台基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网 络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析,挖掘真正的威胁,利 用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则,并提供灵活的规则配置界面,可根据需要自由配置,关联分析引擎可自由扩展,通过调度中心灵活控制,产品具有自由的扩容能力与强大的分析能力。 告警分析与处理,安全态势感知平台告警分析对关联分析结果进行深入分析,结合漏洞信息、资产信息、告警策略信息等,分析告警事件与资产之间的关联关系,告警事件与漏洞之间 的关联关系,利用网络安全指标体系计算网络风险值,发现高风险事件,高风险资产,并对整 体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,
基于大数据的网络安全分析 作者:蓝盾研发中心-刘峰 今年接手SOC产品研发,产品经理一直强调核心是事件关联分析,数据大集中后挖掘各种安全隐患,实时性关联分析以及识别或预防各种未知的攻击是技术难点。了解了一下,SOC已进入3.0时代,随着大数据技术的成熟,各个竞争对手都引入大数据平台解决先前无法解决的各种技术问题,比如大数据量存储、实时在线分析,以及各种机器挖掘技术,虽然有技术难度,但比较好的是大数据技术最近才成熟流行起来,大型的互联网公司和运营商虽然已掌握,但大部分公司和产品还未采用或者正在研发,大家基本上都在同一个起跑线上,由于大数据必须与业务紧密结合才能发挥价值,对我们来说是一个机会,正好赶上。 当前的挑战 当前网络与信息安全领域,正面临着全新的挑战。一方面,伴随大数据和云计算时代的到来,安全问题正在变成一个大数据问题,企业和组织的网络及信息系统每天都在产生大量的安全数据,并且产生的速度越来越快。另一方面,国家、企业和组织所面对的网络空间安全形势严峻,需要应对的攻击和威胁变得日益复杂,这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。 面对这些新挑战,现有安全管理平台的局限性显露无遗,主要体现在以下三个方面 1.数据处理能力有限,缺乏有效的架构支撑:当前分析工具在小数据量时有效,在大数据 量时难以为继,海量异构高维数据的融合、存储和管理遇到困难;安全设备和网络应用产生的安全事件数量巨大,IDS误报严重,一台IDS系统,一天产生的安全事件数量成千上万,通常99%的安全事件属于误报,而少量真正存在威胁的安全事件淹没在误报信息中,难以识别; 2.威胁识别能力有限,缺乏安全智能:安全分析以基于规则的关联分析为主,只能识别已 知并且已描述的攻击,难以识别复杂的攻击,无法识别未知的攻击;安全事件之间存在横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实时预测。一个攻击活动之后常常接着另外一个攻击活动,前一个攻击活动
网络安全态势感知研究现状及分析 [摘要]网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。 [关键词]CBR原理;网络安全态势感知;研究现状 1 CBR原理概述 1.1 简单误报识别 一是利用网络拓扑信息及主机配置信息识别误报。比如:主机安装apache 作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统(Intrusion Detection System,IDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99%。误报警产生的原因可以分为两类:第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷;第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。 1.2 网络安全态势感知的产生 现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。 目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、
作者版权所有 请勿转载
网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载
目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载
网络与信息安全的外部形势变化 近年来,国内外网络与信息安全事件频发,威胁和风险环境已经发生了显著的变化,新的安全漏洞和网络攻击方式不断涌现,对安全防护提出更高要求。 ?黑产链条发展迅猛,外部攻击手法不断升级:漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”;DDOS攻击、APT攻击、拖库、撞库等手法花式翻新; ?资产规模及种类日趋庞大,安全管理难度加大:操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等; ?网络与信息安全的内涵在不断扩充,价值不断提升:以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ,再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显,业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万, “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载
网络安全态势感知的定义及目标 目前,业界普遍接受“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势 ,并以可视化方式展现给用户,并给出响应的报表和应对措施”的论述,但是尚未有统一的定义。经过多年的市场探索,态势感知系统通常作为安全运营体系的技术平台,旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来,国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同: 构建安全防护的“大脑”, 更好地加强纵深防 御,建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年,Tim Bass 提出:下一代NIDS 应该融合大量异构数据源,实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载
.....L . 0)00::fi m ip ili n i p o i a 1000l 001^^B iO IO ^M |i &?^r a ^O lD O i'O o jin D 烛卿議则1 Ig O O IO O lO lD lC r o o i o o f i t j o i B i 本期专I s C ^fe T jT m T iy ■(oioiieicf. u /〇:o r ' 产 OWOlOO W Q fj 丨(H ,m l l f f i 0.1Q ^100l 01Q D 10l |l 0p l t )0 :f l t j i o i i K i 政—’侧,o fiitr r 伞 diooioiiiMiL ju ttoo iod ai g i noiijoiMioioo M fiip o io o ]iio ^ 〇]〇j^]〇o io ilM K io fi)〇i(jRA _ 30100丨丨丨010100丨_丨 :;C 3卬 I。Q !I ]丨Q I fl G D 丨 f firtlD ’lE fiffiB B W P 010*******i 0(基于大数据的网络安全态势分析平台态势感知,即利用当前数据趋势预测未来事件,其思路是通过现有数据预测 即将到来的网络攻击■并进行必要的防护。与被动防御相比,通过科学的数据分析 进行态势感知,从而发现未知风险,对于网络安全具有重要意义。本期专题介绍了一种基于大数据技术的网络安全态势分析平台,从系统基本 信息、受攻击事件、系统漏洞、系统风险等多个维度对大量信息系统进行全方位安 全监控,对安全事件和漏洞情况及时告警和预警,并提供全部监测目标的全局统计 报表和趋势分析,为公安机关维护网络安全提供了有力的技术支撑。
探索网络安全态势感知系统 本文档格式为WORD,感谢你的阅读。 最新最全的学术论文期刊文献年终总结年终报告工作总结个人总结述职报告实习报告单位总结演讲稿 探索网络安全态势感知系统 1网络安全态势感知系统的模型 网络安全态势感知系统是通过融合防火墙、防毒、杀毒软件、入侵检测系统、安全审计系统等技术组成,是实现网络安全实时监测与及时预警的新型感知技术。网络安全态势感知技术能够对网络的目前的运行安全情况进行实时的监测并做出相应的评估,还能够对网络未来一段时间内的变化趋势进行预测。网络安全态势感知系统主要分为了四个层次,第一个层次为特征提取,这一层次中的主要任务是将大量的数据信息进行整合与精炼并从中提取出网络安全态势信息。第二个层次为安全评估,作为网络安全态势感知系统的核心,这一层次的主要任务是将第一个层次中提取出的网络安全态势信息进行分析,利用入侵检测系统、防火墙等技术对网络信息安全进行评估。第三个层次为态势感知,这一层次是将安全评估的信息与信息源进行识别,确定二者之间的关系并根据威胁程度生成安全态势图,将网络安全的现状与可能的发展趋势直观的体现。第四个层次为预警,是根据安全态势图分析网络安全的发展趋势,对可能存在网络安全隐患的情况做出及时的预警,便于网络安全管理人员的介入并采取有针对性的措施进行处理。根据网络安全态势感知概念模型的四个层次,笔者又试探性的构建了网络安全态势感知系统体系结构模型,从上图中我们可以直观的了解网络安全态势感知系统的体系结构构成,便于相关人员进行分析与研究。 2网络安全态势感知系统关键模块分析 网络安全态势感知概念图中,我们可以发现网络安全态势感知系统主要由四个层次即特征提取、安全评估、态势感知与预警构成。针对这四个层次,下面进行进一步的分析。
2018专业技术人员--大数据网络信息安全80分
1:大数据网络信息安全>大数据网络信息安全-蓟州区>试卷1 80分 判断题 1:[5分]PKI(Public Key Infrastructure,公钥基础设施),将成为所有应用的计算基础结构的核心部件。 正确错误 我的答案:√ 2:[5分]利用计算机硬件或某些信息存储介质保存的认证和加密信息,实现对软件系统的安全加密保护,叫做基于硬件介质的软件安全保护技术 正确错误 我的答案:√ 3:[5分]蠕虫病毒需要将其自身附着到宿主程序。 正确错误 我的答案:X 4:[5分]计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。 正确错误 我的答案:√
5:[5分]人工智能将涉及到计算机科学、心理学、哲学和语言学等学科,可以说几乎是自然科学和社会科学的所有学科,其范围已远远超出了计算机科学的范畴。 正确错误 我的答案:√ 6:[5分]操作系统安全是计算机系统软件安全的必要条件,缺乏这个安全的根基,构筑在其上的应用系统以及安全系统,如PKI(Public Key Infrastructure,公钥基础设施)、加密解密技术的安全性是得不到根本保障的。 正确错误 我的答案:√ 7:[5分]云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。 正确错误 我的答案:√ 8:[5分]对于实际应用中的密码系统而言,如果加密算法足够强大,则可以实现不可破译,满足无条件安全性。 正确错误 我的答案:√
栏目编辑:梁丽雯 E-mail:liven_01@https://www.doczj.com/doc/676273308.html, 2019年·第10期 44 基于大数据的网络安全态势感知平台的 应用思考 ■ 中国人民银行池州市中心支行 胡志军 摘要: 随着人民银行系统数据的“省级集中”,云计算和大数据技术越来越多地被应用在关键信息基础设施和重要信息系统中。同时,数据的集中也带来了安全风险的集中,现有的安全防护措施难以应对大数据环境下的安全新形势。基于大数据的网络安全态势感知平台,能够利用大数据技术分析系统内的海量安全数据,从全局上动态地反映系统的安全风险状况,实现网络系统的安全、持续监控能力,及时预警各种威胁与异常。本文针对人行系统的实际情况,分析了大数据技术在网络态势感知平台的应用优势及存在的问题,并提出了相应的建议。 关键词: 大数据;态势感知;数据集中;网络安全作者简介:?胡志军(1991-),男,安徽池州人,工学硕士,工程师,供职于中国人民银行池州市中心支行,研究方向:计算机应用。收稿日期:?2019-07-12 大数据技术的发展使得数据成为科技发展的关键,并形成新的网络安全形势:海量数据带来的数据分布式存储问题、数据类型的多样性带来的数据标准化问题、数据来源多样性导致的数据源安全问题。为应对大数据产生的网络安全风险,及时遏制各种新型网络攻击,实现对网络系统可能存在的威胁进行预警,有必要研究基于大数据的网络安全态势感知平台。 目前,网络安全态势感知平台可以处理冗余的、结构化的安全数据,但对于大数据环境下的海量非结构化数据,其具有较大的局限性。海量数据的分布式存储、高效率的并行计算和智能化的数据分析等大数据技术的优势,可以有效解决这一局限性。同时,随着 近年来人民银行省级分支机构通过实施“省级数据中心基础环境‘云’化工程”,使得各类网络服务需求快速增长,数据越来越多地被集中在省一级,创建大数据平台成为了趋势,这也使得利用大数据技术构建网络安全态势感知平台具备了可操作的可能。 一、研究背景 (一)数据集中带来的安全风险 大数据技术虽然给日常工作带来了便利,但同时也带来了一些新的安全问题。大数据的分布式结构带来的海量设备安全管理问题、非结构化数据的存储和融合问题、接口开放导致的被攻击面扩大问题、实时