前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全態勢感知系統探究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

文章提出了一種網絡安全態勢感知系統的設計方案，該方案構建的一個統一的網絡安全數據采集、存儲和分析平臺，為網絡安全管理提供了一種高效的網絡安全態勢感知技術平臺構架。

關鍵詞：

網絡安全；態勢感知；漏洞；事件

0引言

隨著企業信息化進程的快速發展，企業網絡系統與生產業務、日常管理工作緊密結合，同時還承載著企業內部大量敏感信息。為保障企業正常運行，應做好網絡安全管理工作。隨著企業網絡規模的逐步擴大，信息化設備數量日益龐大，網絡安全管理工作難度越來越大。傳統的入侵監測、防火墻、訪問控制等網絡安全設備等只能識別網絡攻擊行為，并不能有效識別網絡攻擊事件，會產生海量攻擊日志，導致網絡管理人員無法有效處理網絡安全日志；各個網絡安全設備之間相互獨立，不能有效利用多種數據源加強網絡安全管理；缺乏安全漏洞、安全事件聯動處置機制。為了適應當前網絡安全管理的新形勢，企業應加強網絡安全監測手段建設,降低網絡安全管理工作的復雜度和難度，提高網絡安全相關工作的效率，維護企業網絡系統的穩定運行。

1網絡安全態勢感知系統

態勢感知概念起源于20世紀80年代的美國空軍，是指在大規模系統環境中，對能夠引起系統狀態發生變化的安全要素進行獲取、理解、顯示并預測未來的發展趨勢。根據現有的網絡安全管理工作需要，網絡安全態勢感知系統應具備網絡安全態勢要素采集、網絡攻擊行為分析、網絡安全事件溯源、安全漏洞預警等基本功能，進一步可以實現網絡安全攻擊行為自動阻斷、網絡安全漏洞防護措施自動下發等功能。網絡安全態勢感知系統可以整合現有IDS、WAF等網絡安全設備的能力，建立統一的網絡安全態勢數據采集、分析以及預警平臺。

2網絡安全態勢要素

網絡安全態勢要素應能滿足網絡安全系統的功能需求，能反映網絡系統運行的基本情況，應至少包括網絡資產信息、網絡安全日志以及網絡安全漏洞庫等信息。網絡資產信息庫應至少包含服務器、網絡設備、安全設備以及WEB應用；網絡安全日志應該至少包含所有設備的系統日志、安全設備的安全日志、網絡設備的網絡流量日志等；網絡安全漏洞庫應至少包括系統漏洞、中間件漏洞、插件漏洞、應用漏洞等。

3網絡安全態勢系統設計

網絡安全態勢系統應定義標準化數據格式，建立統一數據管理平臺。該平臺可充分利用多源海量數據，建立網絡安全事件監測分析機制；通過大數據關聯分析攻擊行為日志，精確高校識別高風險入侵行為；實時收集網絡安全漏洞庫，快速定位網絡資產信息庫中存在漏洞的設備或應用。

3.1標準化數據格式

網絡資產信息庫包括服務器、網絡設備、安全設備以及WEB應用等。其中設備信息應包括設備類型、設備型號、設備硬件配置、設備IP、開放端口、運行服務、服務版本等信息，WEB應用應包含應用名稱、服務器IP、運行端口、WEB頁面、使用的插件、插件版本等信息。網絡安全日志應該至少包含所有設備的系統日志、安全設備的安全日志、網絡設備的網絡流量日志，其中系統日志應包括設備IP、時間、日志內容，安全日志應該包括時間、攻擊源、攻擊目標、攻擊動作以及攻擊內容，網絡流量日志應該包括時間、源IP、目標IP、源端口、目的端口。網絡安全漏洞庫應至少包括系統漏洞、中間件漏洞、插件漏洞、應用漏洞，所有漏洞應包含漏洞類型、漏洞危害、漏洞檢測方法等。

3.2攻擊行為分析

傳統的IDS、WAF等設備每天產生海量攻擊日志，比如一次SQL注入可能產生1萬余條攻擊告警，一天產生10萬余條攻擊告警，產生的告警信息對網絡管理員來說是一種誤報，不能將攻擊日志用于網絡安全管理。本文設計將持續性攻擊日志合并后，結合系統日志進行關聯分析識別于攻擊行為，結合資產信息庫對新型高危漏洞攻擊進行安全預警，詳情流程如圖2。

3.3安全漏洞預警

當互聯網上新公布網絡安全漏洞時，傳統的網絡安全設備和管理手段不能快速定位哪些設備、服務或應用存在網絡安全漏洞。本文設計，首先通過掃描普查所有信息資產，建立統一的網絡資產信息庫，并采取定期掃描進行數據更新；其次將已公布的網絡安全漏洞標準化后建立統一的漏洞信息庫，同時通過爬蟲實時獲取互聯網上新出現的網絡安全漏洞；然后通過提取最新漏洞受影響的系統、服務或插件與網絡資產信息庫進行關聯分析快速定位存在網絡安全漏洞的設備或應用；最后可以通過自動推送服務將信息發送給該設備或應用的責任人，也可以制定阻斷策略進行自動化下發至防火墻。

3.4安全事件溯源

本文提出一種攻擊鏈分析模型，通過分析各個網絡安全設備收集的安全日志和流量日志生成網絡安全事件，進行反向推理還原攻擊情景。首先通過異常流量、攻擊行為日志建立惡意IP畫像庫，通過系統日志、WAF日志建立源IP危險動作庫，通過僵木蠕、網頁后門等監測系統建立網絡安全事件庫，然后通過時間序列分析方法還原網絡安全事件攻擊路徑追溯網絡攻擊源。

4結語

本文研究了當前網絡安全管理工作中的難點和不足，提出了一種的網絡安全態勢感測系統，建立了統一的數據采集、存儲、分析平臺，可以實現網絡攻擊行為的自動化精準分析，實現網絡安全漏洞精準預警，實現網絡安全事件自動化溯源分析。本文為網絡安全管理提供了一種高效的網絡安全態勢感知技術平臺構架。

參考文獻：

[1]姚書科.網絡安全態勢要素指標體系研究[J].電子設計工程(專業版),2012(7).

[2]胡華平,張怡,陳海濤,宣蕾,孫鵬.面向大規模網絡的入侵檢測與預警系統研究[J].國防科技大學學報,2003(1).

[3]劉宗峰.網絡安全態勢感知關鍵技術研究[D].解放軍信息工程大學,2015.

作者:夏智偉 李樂成 單位:湖北省通信管理局