运 营 商 专 栏

            定安全事件发生的时间、地点、起因、经过和结果；异常行为                          析，判定安全攻击并进行验证，同时结合资产脆弱性等维度，
            感知是指通过异常行为判定风险，主要面向的是感知未知的攻                          利用风险评估模型进行综合风险评估，最后将风险评估结果送
            击。                                                   至威胁态势展现模块进行展现。针对高级持续性攻击（APT），
                                                                 主要依靠大数据的威胁情报，通过对企业内网中存储的历史数
                四、网络安全态势感知关键技术                                   据进行检索，从而发现内网中可能存在的未知威胁，并将发现
                为了实时、准确地显示整个网络安全态势状况，检测出                         的APT攻击事件直观展现在态势展现模块。
            潜在、恶意的攻击行为，网络安全态势感知要在对网络资源进                           图2 信息安全态势感知系统模型图
            行要素采集的基础上，通过数据预处理、网络安全态势特征提
            取、态势评估、态势预测和态势展示等过程来完成，这其中涉
            及许多相关的技术问题，主要包括数据融合技术、数据挖掘技
            术、特征提取技术、态势预测技术和可视化技术等。
                1、数据融合技术
                由于网络空间态势感知的数据来自众多的网络设备，其数
            据格式、数据内容、数据质量千差万别，存储形式各异，表达
            的语义也不尽相同。如果能够将这些使用不同途径、来源于不
            同网络位置、具有不同格式的数据进行预处理，并在此基础上
            进行归一化融合操作，就可以为网络安全态势感知提供更为全
            面、精准的数据源，从而得到更为准确的网络态势。
                2、数据挖掘技术                                             系统整体设计成五层分布式体系架构，分为数据采集层、
                数据挖掘是指从大量的数据中挖掘出有用的信息，即从大                        预处理层、存储层、大数据分析层和态势展现层。从系统架构
            量的、不完全的、有噪声的、模糊的、随机的实际应用数据中                          上说，主要分为两大部分，一部分通过采集各种安全设备、监
            发现隐含的、规律的、事先未知的，但又有潜在用处的并且最                          控系统的报警信号，及时发现系统中的信息安全事件，被动对
            终可理解的信息和知识的非平凡过程。数据挖掘方法主要有：                          威胁进行感知；另一部分对采集的环境数据、配置数据、行为
            关联分析法、序列模式分析法、分类分析法和聚类分析法。                           数据、协议解析数据等进行智能的关联分析，发现、预警潜在
                3、特征提取技术                                         的信息安全事件，甚至对事件背后的组织背景、影响范围、破
                网络安全态势特征提取技术是通过一系列数学方法处理，                        坏能力等进行评估，主动对威胁进行感知。系统核心组件包括
            将大规模网络安全信息归并融合成一组或者几组在一定值域范                          大数据采集探针（日志、流量）、云端数据采集、分布式实时
            围内的数值，这些数值具有表现网络实时运行状况的一系列特                          计算系统、复杂事件处理引擎、分布式全文搜索引擎等。
            征，用以反映网络安全状况和受威胁程度等情况。
                                                                  图3 信息安全态势感知系统结构框架图
                4、态势预测技术
                网络安全态势预测就是根据网络运行状况发展变化的实际
            数据和历史资料，运用科学的理论、方法和各种经验、判断、
            知识去推测、估计、分析其在未来一定时期内可能的变化情
            况，是网络安全态势感知的一个重要组成部分。
                5、可视化技术
                在网络安全态势感知的每一个阶段都充分利用可视化方
            法，将网络安全态势合并为连贯的网络安全态势图，快速发现
            网络安全威胁，直观把握网络安全状况。


                五、网络安全态势感知的大数据平台实践
                1、设计思路                                               2、技术实现
                网络安全态势感知大数据平台实践是结合企业内网安全数                            构建网络安全态势感知平台，一是采集整个防御链条下
            据以及互联网安全数据，对企业内部的信息安全威胁进行综合                          的终端、边界、服务、应用等各类安全数据，收集与网络安全
            的威胁评估和风险分析，从而全面感知企业所面临的威胁，最                          有关的各类威胁情报信息，并将这些数据进行统一存储，形成
            大限度的掌握企业的整体安全态势。                                     安全数据仓库。二是结合各类安全规划、安全模型、分析算法
                企业内网的安全数据源主要包括安全设备告警、设备日志                        等，对数据仓库中的海量安全数据进行深度挖掘分析，从中发
            （网络设备、服务器、应用等）、内网安全评估数据、网络重                          现安全事件、分析潜在威胁、预判未知风险，通过大数据智能
            要区域边界的网络流量数据等。外网安全数据源主要包括来自                          分析产生网络威胁情报。三是基于大数据的分析结果和产生的
            互联网的商业及开源威胁情报数据、互联网安全舆情和漏洞监                          威胁情报，实现网络安全威胁报警、重要安全系统的实时监
            测数据等。安全态势感知系统将内、外部安全数据进行关联分                          测、网络风险预警及感知、可视化态势展示等应用。

            20                                         网络电信 二零一九年七月