安全态势感知系统在电力行业的应用研究

2017-05-27刘琪

中国科技纵横 2016年24期

刘琪

【摘要】论文从实用角度出发，通过安全态势感知系统发现安全事件的脉络，以及安全事件产生原因和溯源；提供网络攻击的发展趋势信息；并且辅助决策优先处理网络中重要系统的脆弱性，加固网络中的主机和服务器，保护客户的业务连续性，本文提出一种新的技术或新的安全解决方案，来应对由于系统漏洞而引发的安全风险。从而保障电力终端微机的安全防护水平。

【关键词】安全态势感知关联分析数据挖掘

随着电力行业计算机和通信技术的迅速发展，伴随着用户需求的不断增加，计算机网络的应用越来越广泛，其规模也越来越庞大。同时，网络安全事件层出不穷，使得计算机网络面临着严峻的信息安全形势，传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全态势感知（NSSA）技术能够综合各方面的安全因素，从整体上动态反映网络安全状况，并对安全状况的发展趋势进行预测和预警，为增强网络安全性提供可靠的参照依据。因此，针对网络的安全态势感知研究已经成为目前网络安全领域的研究热点。

1 安全态势感知技术

态势感知的定义：一定时间和空间内环境因素的获取，理解和对未来短期的预测。

网络安全态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。

国外在网络安全态势感知方面正做着积极的研究，比较有代表性的，如Bass提出应用多传感器数据融合建立网络空间态势感知的框架，通过推理识别入侵者身份、速度、威胁性和入侵目标，进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究，并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等。

国内在这方面的研究起步较晚，近年来也有单位在积极探索。冯毅从我军信息与网络安全的角度出发，阐述了我军积极开展网络态势感知研究的必要性和重要性，并指出了两项关键技术—多源传感器数据融合和数据挖掘；北京理工大学机电工程与控制国家蕈点实验窒网络安全分室在分析博弈论中模糊矩阵博弈原理和网络空间威胁评估机理的基础上，提出了基于模糊矩阵博弈的网络安全威胁评估模型及其分析方法，并给出了计算实例与研究展望；哈尔滨工程大学提出关于入侵检测的数据挖掘框架；国防科技大学提出大规模网络的入侵检测；文献中提到西安交通大学网络化系统与信息安全研究中心和清华大学智能与网络化系统研究中心研究提出的基于入侵检测系统（intrusiondetectionsystem，IDS）的海量報警信息和网络性能指标，结合服务、主机本身的重要性及网络系统的组织结构，提出采用自下而上、先局部后整体评估策略的层次化安全威胁态势量化评估方法，并采用该方法在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上，对服务、主机本身的重要性因子进行加权，计算服务、主机以及整个网络系统的威胁指数，进而评估分析安全威胁态势。其他研究工作主要是围绕入侵检测、网络监控、网络应急响应、网络安全预警、网络安全评估等方面开展的，这为开展网络安全态势感知研究奠定了一定的基础。

2 安全策略管理系统的总体设计

本文中网络安全态势感知系统，数据源目前主要是扫描、蜜网、手机病毒和DDoS流量检测及僵木蠕检测系统，其中手机病毒检测主要是感染手机号和疑似URL信息；DDoS主要提供被攻击IP地址和web网站信息以及可能是伪造的攻击源；僵木蠕系统则能够提供僵尸IP、挂马网站和控制主机信息；扫描器能够提供主机和网站脆弱性等信息，并可以部分验证；蜜网可以提供攻击源、样本和攻击目标和行为。根据以上数据源信息通过关联分析技术生成各类关联分析后事件，把事件通过安全策略管理和任务调度管理进行分配，最终通过管理门户进行呈现。系统的结构描述如下。

（1）管理门户主要包括：仪表盘、关联事件、综合查询视图、任务执行状态和系统管理功能。

（2）安全策略管理主要包括安全策略管理和指标管理。

（3）关联分析根据采集平台采集到的DDOS、僵木蠕、手机病毒、蜜网和IPS事件通过规则关联分析、统计关联分析和漏洞关联规则分析生成各类关联分析后事件。

（4）任务管理包括任务的自动生成、手动生成、任务下发和任务核查等功能。

（5）数据库部分存储原始事件、关联分析后事件、各种策略规则和不同的安全知识库。

（6）新资产发现模块。

3 系统组成结构

安全态势感知平台系统结构如图1所示。

3.1 管理门户

管理门户集成了系统的一些摘要信息、个人需要集中操作/处理的功能部分；它包括态势仪表盘（Dashboard）、个人工作台、综合查询视图、系统任务执行情况以及系统管理功能。

（1）态势仪表盘提供了监控范围内的整体安全态势整体展现，以地图形式展现网络安全形势，详细显示低于的安全威胁、弱点和风险情况，展示完成的扫描任务情况和扫描发现的漏洞的基本情况，系统层面的扫描和web扫描分开展示，展示新设备上线及其漏洞的发现。

（2）个人工作台关联事件分布地图以全国地图的形式向用户展现当前系统内关联事件的情况——每个地域以关联事件的不同级别（按最高）显示其情况，以列表的形式向用户展现系统内的关联事件。