利用读时建模等数据分析能力，实现网络安全态势感知的落地

摘要：本文提出一种基于鸿鹄数据平台的网络安全态势感知系统，系统借助鸿鹄数据平台读时建模、时序处理、数据搜索等高效灵活的超大数据存储和分析处理能力，支持海量大数据存储、分类、统计到数据分析、关联、预测、判断的网络安全态势感知能力需求。以安全大数据为基础，从全局角度提升对安全威胁的发现识别、理解分析、响应处置能力，最终实现网络安全态势感知能力的落地。

关键词：网络安全态势感知  鸿鹄数据平台  读时建模  关联分析

1. 引言

Anderson在1980年发表的论文中首次提出基于日志进行安全审计的思想，此后，经过不断的发展已经形成了相对完善的理论，各大安全厂商也研发了可用的安全系统。

但随着高速网络的快速普及和大数据技术的普遍应用，各类流量监测系统、IDS、防火墙、终端监控系统等网络监控和防护设备，在运行过程中产生了大量有用的数据，如包数据、会话数据、日志、告警等，应用平台日志数量也呈现爆炸性的增长趋势，这些数据一定程度上反应了网络安全状态。

但由于不同的系统设备间缺乏协作，产生的数据格式以及详略程度也存在差别，因此无法对数据进行有效的融合分析，难以实现从整体和全局角度识别、分析入侵者的攻击行为，难以对网络整体安全态势全面、准确、细粒度的展现。基于此，网络安全态势感知技术应运而生，成为下一代安全技术的焦点。

网络安全态势感知是对网络安全性定量分析的一种手段，是对网络安全性的精细度量，利用网络安全态势感知技术可以全面呈现当前网络的整体安全状态，预测其发展趋势并做出有效响应，是实现主动防御的基础和前提。网络安全态势感知系统依赖于防火墙、入侵检测系统、反病毒系统、日志文件系统、恶意软件检测程序等网络安全基础设施，收集态势数据，利用数据处理模型对数据进行融合，形成安全特征信息，并对特征信息关联分析。

从国内外研究现状分析，当前基于网络流量、云平台关键设施和应用系统日志的网络安全态势感知技术仍然存在很多问题。一是数据来源和处理思路单一，现有的网络安全威胁防控产品都是针对单一的数据源，集中在网络和应用入口检测数据源，虽然针对性强、容易实现、单一防控效果好，但是缺少从整体上对多源数据进行分析，对安全性事件的综合处置和关联分析仍存在一定难度。

二是时效性问题，各类流量采集设备报送的内容和结构存在差异，各类监测系统和应用报送的日志结构和粒度也不相同，需要预定义数据模型和数据清洗再进行存储分析，如果后续需要增加一个原始数据字段来辅助分析，则需要调整数据模型并对原始数据再存储，造成存储冗余浪费的同时，降低了系统时效性；此外，针对问题数据，无法快速从原始数据中定位、解决问题，时间成本高。

三是建设成本高，一套完整的网络安全态势感知系统通常需要在各个流量、业务入口位置部署安全设备，综合建设成本高。

针对上述问题，本文基于新一代异构大数据即时分析平台-鸿鹄数据平台，研究网络安全态势感知技术，构建面向网络信息系统的网络安全态势感知系统，实现异构异处安全数据高效关联分析、安全威胁实时识别定位以及异常行为审计与分析。

2. 网络安全态势感知体系框架

2.1 网络安全态势感知体系

网络安全态势感知本质上是获取并理解大量网络安全数据，判断当前整体安全状态并预测短期未来趋势。其可分为三个阶段：态势提取、态势理解和态势预测，概念示意图如图1所示是一个迭代循环的的过程。

基于大规模网络环境中的安全要素和特征，采用数据分析、挖掘和智能推演等方法，准确理解和量化当前网络空间的安全态势，有效检测网络空间中的各种攻击事件，预测未来网络空间安全态势的发展趋势，并对引起态势变化的安全要素进行溯源。

图1 网络安全态势感知概念示意图

2.1.1 态势提取

态势提取阶段主要对网络安全数据进行采集与融合，具体过程和方法如下：

定义安全要素和安全特征：从资产维度、漏洞维度以及威胁维度三个维度对网络安全数据数据进行靶向提取。

数据采集：针对不同维度数据采取不同的数据采集方法，资产维度数据可以采用WMI、SNMP、中央管理器、端口扫描等方式采集；漏洞维度数据通过开源的漏洞数据库获取漏洞数据，通过开放的漏洞数据库获取