安全態(tài)勢(shì)感知系統(tǒng)在電力行業(yè)的應(yīng)用研究

劉琪

【摘 要】論文從實(shí)用角度出發(fā)，通過(guò)安全態(tài)勢(shì)感知系統(tǒng)發(fā)現(xiàn)安全事件的脈絡(luò)，以及安全事件產(chǎn)生原因和溯源；提供網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)信息；并且輔助決策優(yōu)先處理網(wǎng)絡(luò)中重要系統(tǒng)的脆弱性，加固網(wǎng)絡(luò)中的主機(jī)和服務(wù)器，保護(hù)客戶的業(yè)務(wù)連續(xù)性，本文提出一種新的技術(shù)或新的安全解決方案，來(lái)應(yīng)對(duì)由于系統(tǒng)漏洞而引發(fā)的安全風(fēng)險(xiǎn)。從而保障電力終端微機(jī)的安全防護(hù)水平。

【關(guān)鍵詞】安全態(tài)勢(shì)感知 關(guān)聯(lián)分析 數(shù)據(jù)挖掘

隨著電力行業(yè)計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著用戶需求的不斷增加，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，其規(guī)模也越來(lái)越龐大。同時(shí)，網(wǎng)絡(luò)安全事件層出不窮，使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)，傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無(wú)法滿足安全需求。網(wǎng)絡(luò)安全態(tài)勢(shì)感知（NSSA）技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此，針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。

1 安全態(tài)勢(shì)感知技術(shù)

態(tài)勢(shì)感知的定義：一定時(shí)間和空間內(nèi)環(huán)境因素的獲取，理解和對(duì)未來(lái)短期的預(yù)測(cè)。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。

國(guó)外在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面正做著積極的研究，比較有代表性的，如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢(shì)感知的框架，通過(guò)推理識(shí)別入侵者身份、速度、威脅性和入侵目標(biāo)，進(jìn)而評(píng)估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念進(jìn)行了分析比較研究，并提出基于模塊化的技術(shù)無(wú)關(guān)框架結(jié)構(gòu)。其他開(kāi)展該項(xiàng)研究的個(gè)人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等。

國(guó)內(nèi)在這方面的研究起步較晚，近年來(lái)也有單位在積極探索。馮毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā)，闡述了我軍積極開(kāi)展網(wǎng)絡(luò)態(tài)勢(shì)感知研究的必要性和重要性，并指出了兩項(xiàng)關(guān)鍵技術(shù)—多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘；北京理工大學(xué)機(jī)電工程與控制國(guó)家蕈點(diǎn)實(shí)驗(yàn)窒網(wǎng)絡(luò)安全分室在分析博弈論中模糊矩陣博弈原理和網(wǎng)絡(luò)空間威脅評(píng)估機(jī)理的基礎(chǔ)上，提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評(píng)估模型及其分析方法，并給出了計(jì)算實(shí)例與研究展望；哈爾濱工程大學(xué)提出關(guān)于入侵檢測(cè)的數(shù)據(jù)挖掘框架；國(guó)防科技大學(xué)提出大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)；文獻(xiàn)中提到西安交通大學(xué)網(wǎng)絡(luò)化系統(tǒng)與信息安全研究中心和清華大學(xué)智能與網(wǎng)絡(luò)化系統(tǒng)研究中心研究提出的基于入侵檢測(cè)系統(tǒng)（intrusiondetectionsystem，IDS）的海量報(bào)警信息和網(wǎng)絡(luò)性能指標(biāo)，結(jié)合服務(wù)、主機(jī)本身的重要性及網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)，提出采用自下而上、先局部后整體評(píng)估策略的層次化安全威脅態(tài)勢(shì)量化評(píng)估方法，并采用該方法在報(bào)警發(fā)生頻率、報(bào)警嚴(yán)重性及其網(wǎng)絡(luò)帶寬耗用率的統(tǒng)計(jì)基礎(chǔ)上，對(duì)服務(wù)、主機(jī)本身的重要性因子進(jìn)行加權(quán)，計(jì)算服務(wù)、主機(jī)以及整個(gè)網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù)，進(jìn)而評(píng)估分析安全威脅態(tài)勢(shì)。其他研究工作主要是圍繞入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評(píng)估等方面開(kāi)展的，這為開(kāi)展網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究奠定了一定的基礎(chǔ)。

2 安全策略管理系統(tǒng)的總體設(shè)計(jì)

本文中網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，數(shù)據(jù)源目前主要是掃描、蜜網(wǎng)、手機(jī)病毒和DDoS流量檢測(cè)及僵木蠕檢測(cè)系統(tǒng)，其中手機(jī)病毒檢測(cè)主要是感染手機(jī)號(hào)和疑似URL信息；DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源；僵木蠕系統(tǒng)則能夠提供僵尸IP、掛馬網(wǎng)站和控制主機(jī)信息；掃描器能夠提供主機(jī)和網(wǎng)站脆弱性等信息，并可以部分驗(yàn)證；蜜網(wǎng)可以提供攻擊源、樣本和攻擊目標(biāo)和行為。根據(jù)以上數(shù)據(jù)源信息通過(guò)關(guān)聯(lián)分析技術(shù)生成各類關(guān)聯(lián)分析后事件，把事件通過(guò)安全策略管理和任務(wù)調(diào)度管理進(jìn)行分配，最終通過(guò)管理門戶進(jìn)行呈現(xiàn)。系統(tǒng)的結(jié)構(gòu)描述如下。

（1）管理門戶主要包括：儀表盤、關(guān)聯(lián)事件、綜合查詢視圖、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能。

（2）安全策略管理主要包括安全策略管理和指標(biāo)管理。

（3）關(guān)聯(lián)分析根據(jù)采集平臺(tái)采集到的DDOS、僵木蠕、手機(jī)病毒、蜜網(wǎng)和IPS事件通過(guò)規(guī)則關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類關(guān)聯(lián)分析后事件。

（4）任務(wù)管理包括任務(wù)的自動(dòng)生成、手動(dòng)生成、任務(wù)下發(fā)和任務(wù)核查等功能。

（5）數(shù)據(jù)庫(kù)部分存儲(chǔ)原始事件、關(guān)聯(lián)分析后事件、各種策略規(guī)則和不同的安全知識(shí)庫(kù)。

（6）新資產(chǎn)發(fā)現(xiàn)模塊。

3 系統(tǒng)組成結(jié)構(gòu)

安全態(tài)勢(shì)感知平臺(tái)系統(tǒng)結(jié)構(gòu)如圖1所示。

3.1 管理門戶

管理門戶集成了系統(tǒng)的一些摘要信息、個(gè)人需要集中操作/處理的功能部分；它包括態(tài)勢(shì)儀表盤（Dashboard）、個(gè)人工作臺(tái)、綜合查詢視圖、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能。

（1）態(tài)勢(shì)儀表盤提供了監(jiān)控范圍內(nèi)的整體安全態(tài)勢(shì)整體展現(xiàn)，以地圖形式展現(xiàn)網(wǎng)絡(luò)安全形勢(shì)，詳細(xì)顯示低于的安全威脅、弱點(diǎn)和風(fēng)險(xiǎn)情況，展示完成的掃描任務(wù)情況和掃描發(fā)現(xiàn)的漏洞的基本情況，系統(tǒng)層面的掃描和web掃描分開(kāi)展示，展示新設(shè)備上線及其漏洞的發(fā)現(xiàn)。

（2）個(gè)人工作臺(tái)關(guān)聯(lián)事件分布地圖以全國(guó)地圖的形式向用戶展現(xiàn)當(dāng)前系統(tǒng)內(nèi)關(guān)聯(lián)事件的情況——每個(gè)地域以關(guān)聯(lián)事件的不同級(jí)別（按最高）顯示其情況，以列表的形式向用戶展現(xiàn)系統(tǒng)內(nèi)的關(guān)聯(lián)事件。

（3）綜合查詢視圖包含關(guān)聯(lián)事件的查詢和漏洞查詢。關(guān)聯(lián)事件的查詢可以通過(guò)指定的字段對(duì)事件的相關(guān)信息進(jìn)行查詢。漏洞查詢的查詢條件：包括時(shí)間段、IP段（可支持多個(gè)段同時(shí)查詢）、漏洞名稱、級(jí)別等；結(jié)果以IP為列表，點(diǎn)擊詳情可按時(shí)間倒序查詢歷史掃描。