安全管理平臺(tái)在企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用

文/劉洋

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，企業(yè)越來(lái)越依賴(lài)網(wǎng)絡(luò)技術(shù)的應(yīng)用來(lái)提升企業(yè)自身的競(jìng)爭(zhēng)優(yōu)勢(shì)和運(yùn)轉(zhuǎn)效率，借助網(wǎng)絡(luò)實(shí)現(xiàn)無(wú)紙化辦公，通過(guò)互聯(lián)網(wǎng)快速了解市場(chǎng)信息，掌握市場(chǎng)動(dòng)態(tài)，制定出符合企業(yè)發(fā)展的戰(zhàn)略規(guī)劃，方便了企業(yè)管理，提高了工作效率，并節(jié)省成本。不斷擴(kuò)大的網(wǎng)絡(luò)規(guī)模，以及不斷融合的各類(lèi)應(yīng)用，使得我們正處于一個(gè)非常繁榮而又危機(jī)四伏信息社會(huì)。每年數(shù)以千計(jì)的系統(tǒng)安全漏洞被發(fā)現(xiàn)，惡意攻擊、計(jì)算機(jī)病毒、內(nèi)部人員資源濫用、系統(tǒng)和應(yīng)用軟件遭到破壞，企業(yè)重要信息資產(chǎn)被盜取等行為越演越烈，加強(qiáng)企業(yè)信息安全建設(shè)刻不容緩。一方面是企業(yè)業(yè)務(wù)發(fā)展對(duì)信息系統(tǒng)的依賴(lài)，另一方面是不斷出現(xiàn)的網(wǎng)絡(luò)安全事件對(duì)企業(yè)管理層的困擾，怎樣平衡業(yè)務(wù)系統(tǒng)的可用性與信息資產(chǎn)的安全性是企業(yè)信息管理部門(mén)面臨的重要難題。

1 企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀分析

現(xiàn)代企業(yè)，尤其是大型企業(yè)的業(yè)務(wù)分布于全國(guó)各地甚至許多國(guó)家，往往通過(guò)設(shè)立分公司、子公司等形式的分支機(jī)構(gòu)或附屬機(jī)構(gòu)直接從事業(yè)務(wù)，而在企業(yè)信息化層面，往往由總公司負(fù)責(zé)統(tǒng)一的建設(shè)并在公司內(nèi)推廣，但為適應(yīng)各分公司的具體情況，各分公司也有一定的靈活性，根據(jù)需求建設(shè)特有的信息化系統(tǒng)并進(jìn)行網(wǎng)絡(luò)安全管理。為了維護(hù)企業(yè)信息安全，企業(yè)已經(jīng)分別建設(shè)了防火墻、入侵檢測(cè)系統(tǒng)、安全配置核查等網(wǎng)絡(luò)安全設(shè)備，并分別由總公司和分公司進(jìn)行管理。在信息安全的管理上存在以下問(wèn)題和需求：

1.1 安全信息孤島

企業(yè)在不同時(shí)期、不同部門(mén)分別購(gòu)置了各種網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)、配置核查系統(tǒng)、漏洞掃描系統(tǒng)等設(shè)備，各設(shè)備間相互獨(dú)立，分別在不同的側(cè)面保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全；各個(gè)安全設(shè)備間沒(méi)有信息交互，所以無(wú)法利用其它安全設(shè)備發(fā)現(xiàn)的風(fēng)險(xiǎn)，實(shí)時(shí)改進(jìn)安全策略；網(wǎng)絡(luò)系統(tǒng)中的服務(wù)器、交換機(jī)等設(shè)備，以及數(shù)據(jù)庫(kù)等應(yīng)用軟件也記錄了大量安全相關(guān)的事件，而這些事件都是孤立的存在于各系統(tǒng)中，無(wú)法被充分利用起來(lái)，與網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)的安全事件進(jìn)行綜合分析；對(duì)于總公司、分公司類(lèi)型的企業(yè)，在某一公司發(fā)現(xiàn)了安全事件，因缺少統(tǒng)一的管理平臺(tái)，往往不能及時(shí)將告警信息傳遞給總公司和其它分公司，無(wú)法做好防范工作避免更大損失。

1.2 管理維護(hù)復(fù)雜

網(wǎng)絡(luò)安全設(shè)備多樣且數(shù)量多，各設(shè)備都有獨(dú)立的管理工具，安全管理員維護(hù)多個(gè)設(shè)備就需要學(xué)習(xí)使用不同的設(shè)備管理工具，由于平臺(tái)不同，很難做到安全策略的統(tǒng)一配置，加大了安全管理員的工作復(fù)雜度。

大型企業(yè)的各分公司的安全管理工作一般由分公司的安全管理人員完成，總公司對(duì)分公司的網(wǎng)絡(luò)安全進(jìn)行監(jiān)管，但往往因缺少統(tǒng)一的安全管理平臺(tái)，造成總公司無(wú)法實(shí)時(shí)掌握各分公司的整體安全情況，也無(wú)法及時(shí)對(duì)分公司落實(shí)安全政策進(jìn)行整體評(píng)價(jià)，加大了管理難度，也增加了安全風(fēng)險(xiǎn)。

1.3 缺少預(yù)警能力，喪失了提前處置的最佳時(shí)機(jī)

網(wǎng)絡(luò)安全事件常常不是孤立存在的，一次網(wǎng)絡(luò)入侵行為往往需要先進(jìn)行掃描、嘗試連接等環(huán)節(jié)，這些在時(shí)間和空間上孤立的網(wǎng)絡(luò)事件，會(huì)被不同的網(wǎng)絡(luò)安全設(shè)備、服務(wù)器等設(shè)備記錄下來(lái)，孤立的看待這些事件，均是低等級(jí)或正常的網(wǎng)絡(luò)事件，被淹沒(méi)在海量的網(wǎng)絡(luò)事件中，無(wú)法識(shí)別其中隱藏的風(fēng)險(xiǎn)。

1.4 缺乏網(wǎng)絡(luò)整體安全風(fēng)險(xiǎn)評(píng)價(jià)

企業(yè)設(shè)備資產(chǎn)多，網(wǎng)絡(luò)復(fù)雜，面對(duì)層出不窮的網(wǎng)絡(luò)安全問(wèn)題，雖配置了多種網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)等，這些安全設(shè)備從不同的側(cè)面保護(hù)著網(wǎng)絡(luò)的安全，但對(duì)網(wǎng)絡(luò)的整體安全狀態(tài)仍缺少有效的評(píng)價(jià)。按照“木桶原理”理解，網(wǎng)絡(luò)系統(tǒng)的安全性是由安全最薄弱的環(huán)節(jié)決定的，所以有效評(píng)價(jià)整體安全，發(fā)現(xiàn)系統(tǒng)弱點(diǎn)成為大型企業(yè)網(wǎng)絡(luò)安全建設(shè)的重要工作。

1.5 安規(guī)要求

2016年《網(wǎng)絡(luò)安全法》的頒布，將網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升到法律層面，并對(duì)能源、交通、公共服務(wù)等重要行業(yè)和領(lǐng)域，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中“關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求”明確指出，為了保證分散于各個(gè)層面的安全功能在同一策略的指導(dǎo)下實(shí)現(xiàn)，各個(gè)安全控制組件在可控情況下發(fā)揮各自的作用，應(yīng)建立安全管理中心，集中管理信息系統(tǒng)中的各個(gè)安全控制組件，支持統(tǒng)一安全管理。

2 網(wǎng)絡(luò)安全管理平臺(tái)設(shè)計(jì)

針對(duì)大型企業(yè)面對(duì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全管理等方面的問(wèn)題，需要建設(shè)一套以網(wǎng)絡(luò)安全管理平臺(tái)為核心的安全管理中心，通過(guò)此平臺(tái)實(shí)現(xiàn)統(tǒng)一管理安全策略、統(tǒng)一管理系統(tǒng)和安全設(shè)備的安全配置、統(tǒng)一管理網(wǎng)絡(luò)系統(tǒng)安全事件、統(tǒng)一管理安全設(shè)備協(xié)同工作、統(tǒng)一管理安全事故的應(yīng)急響應(yīng)過(guò)程；通過(guò)此平臺(tái)收集系統(tǒng)日志、應(yīng)用日志、網(wǎng)絡(luò)安全事件、系統(tǒng)漏洞、配置缺陷等信息，將收集到的數(shù)據(jù)做歸一化處理并存儲(chǔ)，采用大數(shù)據(jù)分析技術(shù)，從海量數(shù)據(jù)中挖掘出在時(shí)間、空間等均不同的各類(lèi)事件之間的聯(lián)系，發(fā)現(xiàn)低風(fēng)險(xiǎn)事件中隱藏的高危風(fēng)險(xiǎn)，并提前預(yù)警；通過(guò)此平臺(tái)，結(jié)合防火墻、入侵檢測(cè)系統(tǒng)等對(duì)網(wǎng)絡(luò)安全實(shí)時(shí)的檢測(cè)與報(bào)警，結(jié)合漏洞掃描、配置核查、系統(tǒng)日志、資產(chǎn)信息，可以對(duì)網(wǎng)絡(luò)安全進(jìn)行態(tài)勢(shì)評(píng)估，發(fā)現(xiàn)網(wǎng)絡(luò)整體變化規(guī)律和趨勢(shì)。

2.1 平臺(tái)特性

為解決企業(yè)網(wǎng)絡(luò)安全管理面臨的問(wèn)題，網(wǎng)絡(luò)安全管理平臺(tái)作為安全管理的統(tǒng)一平臺(tái)，需具有數(shù)據(jù)采集、存儲(chǔ)、查詢(xún)、分析、可視化展示的功能，同時(shí)應(yīng)具有如下特性：

2.1.1 可擴(kuò)展性

平臺(tái)能夠自動(dòng)適應(yīng)或極少量配置調(diào)整，就可以滿(mǎn)足企業(yè)資產(chǎn)不斷增長(zhǎng)、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整的需要。

2.1.2 開(kāi)放性

平臺(tái)應(yīng)具有接入各類(lèi)網(wǎng)絡(luò)安全設(shè)備、系統(tǒng)、網(wǎng)絡(luò)設(shè)備的能力，能夠提供豐富的接口接收其它設(shè)備提供的數(shù)據(jù)，并支持二次開(kāi)發(fā)能力，以適應(yīng)特定的接口接入需求。

2.1.3 分布式部署與管理

大型企業(yè)的分公司往往遍布各地，相應(yīng)的，網(wǎng)絡(luò)安全管理平臺(tái)，也應(yīng)支持分布式部署。對(duì)本地即可完成的管理工作，由本地管理平臺(tái)完成即可，或者由本地平臺(tái)完成預(yù)處理，再由中心平臺(tái)進(jìn)行統(tǒng)一處理。

2.1.4 安全性

平臺(tái)的加入不應(yīng)導(dǎo)致安全漏洞，平臺(tái)本身要提供安全措施保障平臺(tái)以及被管安全設(shè)備的安全性。

2.1.5 平臺(tái)適應(yīng)性

圖1：網(wǎng)絡(luò)安全管理平臺(tái)總體架構(gòu)圖

網(wǎng)絡(luò)安全管理平臺(tái)是一套管理軟件，不同企業(yè)所能提供的平臺(tái)環(huán)境可能是不同的平臺(tái)（物理機(jī)、虛擬機(jī)、容器）、不同的操作系統(tǒng)，因此網(wǎng)絡(luò)安全管理平臺(tái)應(yīng)具備一定的平臺(tái)適應(yīng)性。

2.2 架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)安全管理平臺(tái)總體架構(gòu)如圖1所示。

網(wǎng)絡(luò)安全管理平臺(tái)架構(gòu)從邏輯上可分為安全要素提取層、集群化的數(shù)據(jù)資源存儲(chǔ)服務(wù)層、數(shù)據(jù)引擎分析引擎資源池層、系統(tǒng)功能資源池層、以及系統(tǒng)基礎(chǔ)服務(wù)支撐模塊集合，同時(shí)平臺(tái)支持對(duì)物理主機(jī)及云平臺(tái)等虛擬化平臺(tái)資源。

安全要素提取層：該層負(fù)責(zé)對(duì)流量數(shù)據(jù)、系統(tǒng)日志、應(yīng)用日志、安全事件、系統(tǒng)漏洞等信息的采集、預(yù)處理，并將預(yù)處理后的數(shù)據(jù)傳遞給數(shù)據(jù)資源存儲(chǔ)服務(wù)層。該層采取資源池架構(gòu)管理，各功能模塊間耦合性低，并可根據(jù)業(yè)務(wù)需要擴(kuò)展自定義的功能模塊。

集群化的數(shù)據(jù)資源存儲(chǔ)服務(wù)：該層負(fù)責(zé)接收安全要素提取層、系統(tǒng)功能資源池層、數(shù)據(jù)分析引擎池層產(chǎn)生的各類(lèi)數(shù)據(jù)并存儲(chǔ)，并為它們提供數(shù)據(jù)查詢(xún)等服務(wù)。該層采取大數(shù)據(jù)存儲(chǔ)架構(gòu)與傳統(tǒng)關(guān)系數(shù)據(jù)庫(kù)并存的存儲(chǔ)模式，以滿(mǎn)足不同業(yè)務(wù)服務(wù)的需要。

數(shù)據(jù)分析引擎池層：該層負(fù)責(zé)對(duì)對(duì)海量安全相關(guān)數(shù)據(jù)進(jìn)行深度分析挖掘，形成知識(shí)化數(shù)據(jù)，為業(yè)務(wù)應(yīng)用層提供數(shù)據(jù)結(jié)果支撐。數(shù)據(jù)分析引擎微服務(wù)架構(gòu)管理方式，各引擎間相對(duì)獨(dú)立，支持自定義方式擴(kuò)展，以滿(mǎn)足系統(tǒng)應(yīng)用層功能的數(shù)據(jù)分析要求。

系統(tǒng)功能資源池層：該層負(fù)責(zé)提供面向用戶(hù)具體業(yè)務(wù)功能、UI界面操作等，根據(jù)項(xiàng)目建設(shè)的不同，功能組件可以選配組合，以定制最貼近企業(yè)需要的功能平臺(tái)。

系統(tǒng)服務(wù)支撐模塊集合：該模塊集合包含了一系列支撐平臺(tái)功能的基礎(chǔ)服務(wù)和安全措施，包括權(quán)限管理、數(shù)據(jù)備份、硬件監(jiān)控、升級(jí)管理、授權(quán)管理、兼容性、完整性等等。

2.3 關(guān)鍵技術(shù)

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)接入終端越來(lái)越多，數(shù)據(jù)流量也不斷增大，網(wǎng)絡(luò)安全管理平臺(tái)也需要能夠接入海量、異構(gòu)的數(shù)據(jù)。隨著網(wǎng)絡(luò)入侵和攻擊正在向規(guī)模化、復(fù)雜化的趨勢(shì)發(fā)展，網(wǎng)絡(luò)安全管理平臺(tái)需要具備從海量異構(gòu)數(shù)據(jù)中挖掘有用信息的能力，準(zhǔn)確掌握網(wǎng)絡(luò)整體安全態(tài)勢(shì)狀況。主要包括以下4個(gè)關(guān)鍵技術(shù)：

2.3.1 多源數(shù)據(jù)接入技術(shù)

在平臺(tái)設(shè)計(jì)中，安全要素提取層負(fù)責(zé)采集與安全相關(guān)的海量異構(gòu)數(shù)據(jù)，為提高管理平臺(tái)安全識(shí)別能力，需完整收集安全相關(guān)要素的數(shù)據(jù)?？蓪踩?cái)?shù)據(jù)分為三種類(lèi)型：

（1）高頻數(shù)據(jù)：也就是通常所說(shuō)的大數(shù)據(jù)，以海量、高速、異構(gòu)為特征，主要有外部流、運(yùn)行狀態(tài)和性能數(shù)據(jù)、日志和事件、原始流量鏡像包和Flow流數(shù)據(jù)等，通過(guò)高速數(shù)據(jù)總線(xiàn)采集；

（2）中頻數(shù)據(jù)：通過(guò)在網(wǎng)絡(luò)關(guān)鍵位置部署相應(yīng)的探測(cè)器采集引擎，對(duì)全網(wǎng)安全威脅包括業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用配置問(wèn)題、安全事件、病毒木馬等安全威脅進(jìn)行監(jiān)測(cè)；

（3）低頻數(shù)據(jù)：包括常見(jiàn)的資產(chǎn)信息、配置信息、弱點(diǎn)信息、身份信息和威脅情報(bào)等，通過(guò)低頻數(shù)據(jù)總線(xiàn)進(jìn)行采集。

針對(duì)每種類(lèi)型的數(shù)據(jù)需采取不同的數(shù)據(jù)采集技術(shù)進(jìn)行數(shù)據(jù)收集，平臺(tái)提出全要素?cái)?shù)據(jù)適應(yīng)性采集技術(shù)，用于實(shí)現(xiàn)高頻、中頻、低頻數(shù)據(jù)的匯集接入。

2.3.2 基于機(jī)器學(xué)習(xí)的日志模式識(shí)別與可視化范化技術(shù)

網(wǎng)絡(luò)安全管理平臺(tái)接入了多種異構(gòu)安全設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、操作系統(tǒng)日志等，各類(lèi)安全設(shè)備大都采用自定義的告警傳輸及交換格式，這給告警信息處理帶來(lái)實(shí)現(xiàn)難度。

（1）定義方式缺乏規(guī)范性，各系統(tǒng)定義的事件格式僅在各自系統(tǒng)內(nèi)部有效，系統(tǒng)間缺乏互操作性；

（2）對(duì)同一類(lèi)事件，各系統(tǒng)采用的表達(dá)和描述方式不一致，從而導(dǎo)致一個(gè)系統(tǒng)內(nèi)定義的事件，在沒(méi)有人工參與的情況下，不被其它系統(tǒng)理解。

傳統(tǒng)的日志范式化技術(shù)一般采用正則表達(dá)式來(lái)編寫(xiě)，日志格式稍一改變，正則表達(dá)式可能就會(huì)失效，造成無(wú)法識(shí)別和范化。而采用機(jī)器學(xué)習(xí)技術(shù)對(duì)海量日志進(jìn)行學(xué)習(xí)和識(shí)別，通過(guò)分析日志語(yǔ)法結(jié)構(gòu)和聚類(lèi)算法，自動(dòng)化對(duì)日志進(jìn)行聚類(lèi)合并，形成一個(gè)個(gè)包含相似數(shù)據(jù)內(nèi)容的日志集。另外，采用可視化范化技術(shù)，針對(duì)范化需求，運(yùn)維人員可在頁(yè)面編寫(xiě)正則表達(dá)式后直接顯示提取結(jié)果，并可將提取內(nèi)容通過(guò)鼠標(biāo)將內(nèi)容拖曳至相應(yīng)的范化字段，直接完成字段對(duì)應(yīng)，系統(tǒng)會(huì)根據(jù)運(yùn)維人員的操作自動(dòng)生成范式化解析腳本并開(kāi)始生效工作，可視化范化技術(shù)大幅降低范化工作復(fù)雜度，提升日志范化的效率，使平臺(tái)變得更易用高效。

2.3.3 海量數(shù)據(jù)融合技術(shù)

按信息抽象程度的高低，可將數(shù)據(jù)融合從低到高分為三個(gè)層次：數(shù)據(jù)級(jí)融合、特征級(jí)融合與決策級(jí)融合。數(shù)據(jù)級(jí)融合是對(duì)采集的、未經(jīng)處理的數(shù)據(jù)進(jìn)行綜合分析；特征級(jí)融合是對(duì)采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理，然后對(duì)預(yù)處理后的數(shù)據(jù)提取特征信息的一種綜合分析和處理過(guò)程；決策級(jí)融合是對(duì)不同類(lèi)型的傳感器進(jìn)行本地化處理，包括預(yù)處理、特征抽取、識(shí)別或判決，以建立對(duì)所觀(guān)察目標(biāo)的初步結(jié)論，然后通過(guò)關(guān)聯(lián)過(guò)程做出決策層融合，最終獲得聯(lián)合推斷結(jié)果。決策級(jí)融合相比其它兩種融合方法，是基于一定的準(zhǔn)則和決策可信度做最優(yōu)決策，具有良好的實(shí)時(shí)性和容錯(cuò)性。

目前，在大規(guī)模網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全數(shù)據(jù)和日志數(shù)據(jù)由多種類(lèi)、大量設(shè)備或應(yīng)用系統(tǒng)產(chǎn)生，且這些安全數(shù)據(jù)和日志數(shù)據(jù)缺乏統(tǒng)一標(biāo)準(zhǔn)與關(guān)聯(lián)；另外異構(gòu)安全設(shè)備輸出的告警事件往往存在很大的冗余，表現(xiàn)在同一安全設(shè)備對(duì)同一事件的重復(fù)告警，不同安全設(shè)備對(duì)同一事件的告警。因此網(wǎng)絡(luò)安全管理平臺(tái)綜合分析所有安全要素?cái)?shù)據(jù)時(shí)，要打破傳統(tǒng)的單一模式，打破表與表、行與行之間的孤立特性，把數(shù)據(jù)融合成一個(gè)整體，從整體上進(jìn)行全局的關(guān)聯(lián)分析，對(duì)數(shù)據(jù)整體進(jìn)行高性能的處理，以互動(dòng)的形式對(duì)數(shù)據(jù)進(jìn)行多維度的裁剪和可視化。

2.3.4 多層次智能安全分析技術(shù)

隨著信息化的發(fā)展，網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻，網(wǎng)絡(luò)攻擊的形式多樣，有顯式的破壞性行為，如DDoS攻擊、暴力破解等；也有針對(duì)特定政府或企業(yè)的高級(jí)持續(xù)性威脅（Advanced Persistent Threat, APT），發(fā)動(dòng)APT攻擊的黑客或組織不為短時(shí)間獲利，而是把被控主機(jī)或系統(tǒng)當(dāng)成跳板，持續(xù)隱蔽攻擊，攻擊周期可以持續(xù)長(zhǎng)達(dá)數(shù)年。不斷演化的攻擊手段也使得傳統(tǒng)防御系統(tǒng)效果越來(lái)越差。

針對(duì)復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，網(wǎng)絡(luò)安全管理平臺(tái)應(yīng)提供多層次的安全事件分析技術(shù)。對(duì)于已知安全風(fēng)險(xiǎn)，通過(guò)對(duì)安全事件的分析，在系統(tǒng)內(nèi)置多種安全分析場(chǎng)景規(guī)則，也可以通過(guò)可視化方法編輯關(guān)聯(lián)規(guī)則，關(guān)聯(lián)分析引擎實(shí)時(shí)分析采集的安全日志和流量元數(shù)據(jù)，結(jié)合各類(lèi)情境數(shù)據(jù)，及時(shí)發(fā)現(xiàn)已知的攻擊和威脅；針對(duì)未知威脅，平臺(tái)采用基于機(jī)器學(xué)習(xí)的異常行為檢測(cè)方法，從海量日志和流量元數(shù)據(jù)中選擇屬性特征進(jìn)行學(xué)習(xí)，構(gòu)建實(shí)體的行為基線(xiàn)模型，通過(guò)實(shí)際值與預(yù)測(cè)值的偏差分析識(shí)別異常行為，并通過(guò)對(duì)置信度的進(jìn)一步計(jì)算，超出置信度閾值的將被判斷為安全事件；針對(duì)攻擊鏈行為，采取深度分析技術(shù)，探索整個(gè)攻擊鏈過(guò)程中的不同階段的攻擊，構(gòu)建攻擊行為鏈和影響性分析。

3 平臺(tái)應(yīng)用實(shí)踐

不同企業(yè)網(wǎng)絡(luò)具體情況不同，安全管理制度有差異，網(wǎng)絡(luò)安全管理平臺(tái)的具體應(yīng)用場(chǎng)景也會(huì)有差異。對(duì)于典型的總公司、分公司管理模式的大型企業(yè)，一般將網(wǎng)絡(luò)安全管理平臺(tái)部署在公司總部，通過(guò)syslog、JDBC等方式獲取總部及各分公司所有被監(jiān)控服務(wù)接待的系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫(kù)日志，經(jīng)過(guò)對(duì)日志的粗慮、日志泛化、日志歸并等處理后，被統(tǒng)一納入總部數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)統(tǒng)一存儲(chǔ)，日志泛化管理列表如圖2所示；通過(guò)SNMP Trap、syslog等方式獲取入侵檢測(cè)系統(tǒng)、防火墻等設(shè)備產(chǎn)生的網(wǎng)絡(luò)安全事件；另外，納入對(duì)配置核查系統(tǒng)的管理，自動(dòng)調(diào)度并載入漏洞掃描系統(tǒng)提供的漏掃結(jié)果。從而通過(guò)對(duì)網(wǎng)絡(luò)安全管理平臺(tái)的建設(shè)，實(shí)現(xiàn)對(duì)多數(shù)量、多種類(lèi)安全管理設(shè)備的統(tǒng)一管理，實(shí)現(xiàn)對(duì)多種安全要素信息的綜合分析，并做到對(duì)安全事件告警的統(tǒng)一管理與態(tài)勢(shì)感知。資產(chǎn)態(tài)勢(shì)監(jiān)控界面如圖3所示。

4 總結(jié)展望

網(wǎng)絡(luò)安全管理平臺(tái)通過(guò)為政府、企業(yè)等提供數(shù)據(jù)分析結(jié)果和全網(wǎng)的安全風(fēng)險(xiǎn)情況，輔助管理者做安全戰(zhàn)略決策，并根據(jù)最終結(jié)果對(duì)網(wǎng)絡(luò)安全防護(hù)策略進(jìn)行調(diào)整，其應(yīng)用方興未艾。但是，現(xiàn)階段網(wǎng)絡(luò)安全管理平臺(tái)普遍存在大數(shù)據(jù)分析技術(shù)與態(tài)勢(shì)感知雖有應(yīng)用結(jié)合但仍不夠緊密、深度學(xué)習(xí)技術(shù)還有廣泛的應(yīng)用空間、網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)能力還不夠成熟等現(xiàn)象。

圖2：日志泛化管理列表

圖3：資產(chǎn)態(tài)勢(shì)監(jiān)控界面

隨著整個(gè)社會(huì)對(duì)網(wǎng)絡(luò)安全的重視，以及大數(shù)據(jù)、人工智能技術(shù)的不斷成熟，深度融合大數(shù)據(jù)和人工智能技術(shù)必將在網(wǎng)絡(luò)安全管理平臺(tái)中得到更深入的應(yīng)用。通過(guò)在平臺(tái)中融合使用深度學(xué)習(xí)、知識(shí)圖譜等大數(shù)據(jù)分析算法和人工智能模型，從而在整體上把握網(wǎng)絡(luò)空間安全狀態(tài)，實(shí)現(xiàn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)攻擊和重大網(wǎng)絡(luò)安全威脅實(shí)現(xiàn)看得見(jiàn)、防得住、可追溯，做到及時(shí)發(fā)現(xiàn)提前預(yù)警，并提供有效處置建議。