大数据态势感知系统白皮书_V2.0
中国信通院发布《大数据白皮书(2020年)》(附下载方式)
中国信通院发布《大数据白皮书(2020年)》(附下载方式)2020年12月18日,由中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会大数据技术标准推进委员会主办的“2020数据资产管理大会”在京召开。
会上,中国信通院发布《大数据白皮书(2020年)》。
这是中国信通院第五次发布大数据白皮书。
白皮书在此前四版的基础上,回顾了去年以来大数据各领域的最新进展,并对“十四五”期间大数据的发展趋势进行了展望。
白皮书核心内容1.白皮书全面展现国际国内大数据发展最新情况。
2.白皮书对大数据技术体系与发展趋势进行了全景式解析。
3.白皮书重点关注了发展数据治理的关键问题。
4.白皮书对我国大数据领域的法律建设方向进行了探讨。
白皮书目录一、各国的数据战略(一)数据要素市场化配置上升为国家战略(二)各国加快布局探索数据未来发展之路二、大数据技术发展(一)大数据技术全景解析(二)大数据技术发展趋势(三)大数据科研创新进展三、大数据产业发展(一)大数据产业生态界定探讨(二)大数据产业商业模式解读(三)大数据产业主体发展洞察(四)大数据企业融资趋势分析四、大数据行业应用(一)大数据全面助力打赢疫情防控阻击战(二)需求推动通信大数据价值进一步发挥(三)政策铺垫为工业大数据提供发展机遇(四)互联网大数据助推商业模式创新拓展(五)金融大数据应用成为行业核心竞争力五、数据治理(一)组织内部的数据管理能力逐步提升(二)组织间的数据共享与流通加速推进(三)数据安全治理成为不可忽视的焦点六、大数据法制(一)强化个人权益,个人信息保护立法加快(二)坚持多边合作,数据跨境流动立法加强(三)明确权利属性,数据权属立法探索初现七、展望与建议版权声明:本白皮书版权属于中国信息通信研究院,并受法律保护。
转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院”。
违反上述声明者,本院将追究其相关法律责任。
基于大数据的网络安全态势感知与分析系统
基于大数据的网络安全态势感知与分析系统随着网络的发展和普及,网络安全问题日益突出。
传统的网络安全体系已经不能满足实时监测和预防网络攻击的需求。
为了应对不断增长的网络威胁,基于大数据的网络安全态势感知与分析系统成为了一种有效的解决方案。
在传统的网络安全防御中,常常使用一个规则库来识别已知的威胁。
然而,由于网络攻击日益复杂多变,传统方法很难有效识别全新的威胁。
大数据技术则可以分析海量的网络数据,挖掘出潜在的威胁,并提供实时的态势感知。
基于大数据的网络安全态势感知与分析系统主要包括三个环节:数据采集、数据分析和态势感知。
首先,数据采集是系统的基础。
网络安全数据主要包括网络流量数据、日志数据和安全设备数据等。
通过采集这些数据,并进行整合和清洗,建立起庞大的数据仓库。
同时,还可以引入其他数据源,如社交媒体数据和漏洞信息数据等,以获得更全面的信息。
其次,数据分析是系统的核心。
通过采用机器学习和数据挖掘等算法,可以对海量的数据进行分析和挖掘,从中发现潜在的威胁。
例如,通过监测网络流量数据,可以识别出异常的网络行为;通过分析日志数据,可以发现非法的用户访问;通过分析安全设备数据,可以追踪和阻止正在进行的攻击。
通过这些分析和挖掘,系统可以得出网络的安全态势。
最后,态势感知是系统的输出。
通过将数据分析的结果可视化呈现,提供给安全人员进行实时监测和决策。
安全人员可以通过系统提供的分析图表和报告,了解当前的网络安全状况,及时采取相应的措施进行应对。
同时,系统还可以根据历史数据和趋势分析,提供预测性的安全策略,帮助安全人员制定更加有效的防御措施。
基于大数据的网络安全态势感知与分析系统具有以下优势:首先,系统可以实时监测网络中的异常行为和攻击,及时发现并应对潜在的威胁。
相对于传统方法,大数据分析可以更好地识别新型的攻击方式,提高了安全防护的能力。
其次,系统可以提供准确的安全状况报告和分析结果,帮助安全人员快速判断和应对网络威胁。
大数据白皮书2024(二)2024
大数据白皮书2024(二)引言概述:随着科技的不断发展,大数据已经成为了企业和组织中的不可或缺的一部分。
2024年,大数据的发展将进一步加速,并为各行各业带来更多的机遇和挑战。
本文将以大数据白皮书2024(二)为切入点,从五个大点出发,分别阐述大数据在社会、经济、科技、教育和医疗领域的应用和影响。
正文内容:1. 大数据在社会领域的应用a) 大数据助力城市管理和规划:- 实现智慧城市的建设和发展- 提升城市交通、环境和安全管理的效率b) 大数据在社会治理中的作用:- 改善政府决策和公共服务- 实现社会风险防控和公共安全的提升c) 大数据驱动社交媒体和网络平台:- 改善广告和营销策略- 推动个性化服务和用户体验的提升d) 大数据助力社会创新和公益事业:- 促进科研和创新的进步- 加强社会组织和非营利机构的运营和服务能力e) 大数据在法律和法律制度中的应用:- 改善司法判决和执法效率- 加强数据隐私和信息安全的保护2. 大数据在经济领域的应用a) 大数据驱动商业智能和决策:- 提升企业竞争力和市场份额- 优化供应链和产品设计b) 大数据在金融行业中的应用:- 改进风险管理和决策制定- 推动普惠金融和金融科技的发展c) 大数据促进新兴产业的崛起:- 加速人工智能、物联网和云计算等行业的发展 - 为创业者和创新企业提供更多机会和支持d) 大数据在市场营销和销售中的应用:- 实现个性化营销和广告定制- 提高销售效率和客户满意度e) 大数据推动数字经济的发展:- 促进互联网经济和在线消费的增长- 增强数字技术和数据治理的能力和规范3. 大数据在科技领域的应用a) 大数据支持科学研究和创新发展:- 推动基础科学和应用科学的进步- 加速技术创新和产业升级b) 大数据在人工智能领域的应用:- 提供数据驱动的智能决策和预测- 促进机器学习和深度学习技术的发展c) 大数据助力智能制造和工业互联网:- 提高生产效率和质量- 推动智能制造和工业数字化转型d) 大数据在物联网中的应用:- 实现设备和物品之间的互联互通- 改善供应链和物流管理的效率e) 大数据推动区块链和密码学的发展:- 加强数据安全和隐私保护的能力- 提升数字资产和交易的可信度和可追溯性4. 大数据在教育领域的应用a) 大数据改善教学和学习环境:- 个性化教育和学习资源定制- 提升教育质量和学生表现b) 大数据支持教育决策和政策制定:- 提供教学评估和效果分析的依据- 优化教育资源配置和学校管理c) 大数据推动在线教育和远程学习的发展: - 扩大教育覆盖范围和机会均等性- 提高学习效率和灵活性d) 大数据助力教育研究和教师培训:- 支持教育科研和教育改革的进展- 提升教师专业发展和能力提升e) 大数据促进教育与产业融合:- 提供人才需求和供给的匹配度- 支持教育培训和职业发展的衔接5. 大数据在医疗领域的应用a) 大数据在医疗诊断和治疗中的作用:- 提供个性化用药和疾病管理方案- 改善医疗效率和患者体验b) 大数据支持医疗决策和临床研究:- 提供医学数据分析和模型预测- 促进疾病预防和医学进展c) 大数据助力医疗资源配置和优化:- 提高医疗服务的均等性和可及性- 优化医疗机构的运营和管理d) 大数据推动医疗健康产业的发展:- 加速生物科技和医药研发的进展- 推进数字医疗和远程医疗的应用e) 大数据在公共卫生和健康管理中的应用:- 实现疫情分析和预警系统- 改善健康干预和健康数据管理总结:到2024年,大数据将在更多领域发挥重要作用,如社会、经济、科技、教育和医疗等。
等保2.0对态势感知的支撑要求
非授权访问
物
联
历史数据重放攻击
网
安
全 态
网关节点中间人攻击
势
分
接入网关拒绝服务攻击
析
DDoS攻击
网络窃听
数据传输窃取 ……
非法节点连接 ……
虚假信息注入 ……
态势感知在工业控制系统安全要求的应用
物理和 环境安全
生产管理层安 全要求
过程监控层安 全要求现场控制源自安 全要求现场设备层安 全要求
网络和 通信安全
应用和 数据安全
身份鉴别 移软动件应审用核安与全检检测测数据 数据完整性 数据保密性移动终端管控数数据据备份恢复
设备和 计算安全
身配份置鉴核别查 移动移终动端终管端控管控应数用据管控 安审全计审日计志 入侵防范 移恶动意终代端码管防控范数据 资源控制
网络和 通信安全
网认络证架日志构 边资界产防 数据护 访AC问L日控志制 入无侵线防IP范S
通流信量传日志输
安审全计审日志计
网设络备设合备规日防志护
物理和 环境安全
无线接入设备安装位置合理
集
中 化 态
无线网络 安全态势
势
展
移动终端
现
安全态势
移动应用 安全态势
移动互联 安全事件预警
仿冒应用
移
动
互
应用提权攻击
联
安
全
系统漏洞攻击
态
势 分
远程监听
析
应用接口漏洞利用 ……
移动终端病毒木马 ……
钓鱼AP
态势感知技术在等级保护方面的工作展望
Ø 手段:为通信网络、区域边界、计算环境提供有力的自动化安 全监控手段。
Ø 方法:为执行等级化、差别化的等级化保护策略、测量评估策 略执行效能提供方法。
大数据安全态势感知平台解决方案
医疗领域:应用于医疗 机构,实时监控患者数
据的安全状况
政府领域:应用于政府 部门,实时监控政务数
据的安全状况
• 监控客户数据的安全状况 • 监控交易数据的安全状况 • 监控风险预警数据的安全状况
• 监控患者基本信息的安全状况 • 监控患者病历数据的安全状况 • 监控患者检查结果数据的安全状 况
• 监控政务数据源的安全状况 • 监控政务数据传输过程中的安全 状况 • 监控政务数据存储和访问的安全 状况
• 数据清洗:去除重复、无效和异常数据 • 数据整合:将来自不同数据源的数据整合成一个统一的数据模型 • 数据转换:将数据转换为适合分析和处理的数据格式
数据分析与处理层设计
数据分析:对预处理后的数据进行深度分析,提取 安全威胁特征
• 异常检测:识别数据中的异常模式, 发现潜在的安全威胁 • 关联分析:分析数据之间的关联关系, 挖掘安全威胁的关联规律 • 趋势分析:分析数据安全事件的发展 趋势,预测未来可能的安全威胁
• 分类算法:根据安全威胁特征,对安全事件进行分类 • 聚类算法:根据安全威胁严重程度,对安全事件进行聚类 • 预测算法:根据历史数据,预测未来可能的安全威胁
安全态势评估与预警技术
安全态势评估技术:根据安全威胁特征和严重程度, 评估大数据系统的安全态势
安全预警技术:根据安全态势评估结果, 发布安全预警信息,提高安全防护能力
大数据安全态势感知平台产业 发展前景
• 市场需求:随着大数据技术的广泛应用,大数据安全态势感知平 台的市场需求将持续增长
• 企业和组织对大数据安全的重视程度不断提高 • 大数据安全威胁的种类和数量不断增加 • 大数据安全防护技术和手段不断升级和创新 • 产业发展:大数据安全态势感知平台产业将迎来快速发展,形成 完整的产业链 • 技术创新:研究和应用新技术,提高大数据安全态势感知平台
工信部大数据白皮书
工信部大数据白皮书[正文]⒈引言⑴背景⑵目的⑶方法⒉大数据概览⑴定义⑵特点⑶影响与挑战⒊大数据应用场景⑴电子商务⑵金融行业⑶医疗保健⑷城市管理⑸交通运输⑹农业⑺其他行业领域⒋大数据技术⑴数据采集与存储⒋⑴传感器数据⒋⑵日志数据⒋⑶图像数据⒋⑷视频数据⒋⑸音频数据⒋⑹文本数据⑵数据处理与分析⒋⑴批处理⒋⑵实时处理⒋⑶机器学习与⑶数据可视化与展示⑷数据安全与隐私⒌大数据发展现状与趋势⑴国内外发展情况⑵产业发展前景⑶技术创新趋势⒍大数据政策与法规⑴数据保护与隐私⑵数据治理与规范⑶数据开放与分享⒎大数据产业生态⑴企业生态系统⑵学术与研究机构⑶与公共部门⑷创新创业生态⒏大数据人才培养与人才储备⑴专业技能培训⑵学术研究与教育体系建设⑶人才储备与流动性⒐大数据的社会影响与伦理问题⑴数据使用与滥用⑵权益保护与公平⒑大数据行业标准与规范⑴国内外标准发展现状⑵标准体系建设与推动1⒈大数据创新与应用案例1⑴工业领域1⑵金融领域1⑶医疗领域(补充其他行业领域)[附件]本文档涉及的附件包括但不限于:附件一:数据采集与存储技术报告附件二:数据处理与分析方法汇总附件三:大数据应用场景案例集锦[法律名词及注释]⒈隐私保护:指个人信息的收集、存储、处理和传输过程中,遵循相关法律法规对个人信息进行保护的措施。
⒉数据治理:指在大数据环境下,对数据进行管理和维护,包括数据收集、数据处理、数据存储和数据分享等方面的规范与机制。
⒊数据开放:指和企业主动将数据对外开放,供社会大众使用和应用,促进创新和发展的行为。
⒋数据分享:指在合法合规的前提下,将数据共享给他人使用和应用,以提供增值服务和共同开发的行为。
基于大数据的网络安全态势感知系统的设计与实现
基于大数据的网络安全态势感知系统的设计与实现随着互联网的普及和信息化的发展,网络安全问题已经成为了我们面临的最大挑战之一。
黑客攻击、网络病毒、勒索软件等安全威胁不断出现,给我们的网络安全带来了极大的风险。
为了提高网络安全防护的能力,我们需要设计和实现一种基于大数据的网络安全态势感知系统。
一、网络安全态势感知系统的必要性网络安全态势感知系统是一种基于大数据和人工智能技术的复杂系统,对于提高网络的安全保护和预警能力具有重要的作用。
网络安全态势感知系统可以通过收集和分析网络流量、日志、操作记录等信息,实现网络安全态势的实时监测和感知,及时发现和定位网络安全威胁,为安全管理者提供全面的安全支持和管理。
在网络安全威胁日益增多的今天,网络安全态势感知系统已经成为企业和组织必备的一种安全管理工具。
二、基于大数据的网络安全态势感知系统的设计和构架1. 数据采集网络安全态势感知系统的核心是数据采集,数据的质量直接关系到系统的准确性和及时性。
在数据采集方面,我们需要收集网络和非网络的数据信息,包括网络流量、日志、操作记录、异常事件等等。
实现数据的自动化收集和纳入系统中,并对数据进行处理和分析,确保数据的准确性和完整性。
2. 数据分析通过对收集到的数据进行处理和分析,可以实现网络安全态势的感知和监测。
在数据分析方面,我们需要采用人工智能和机器学习的算法,对数据进行分类、聚类和关联分析,将数据转化为可视化的信息,为安全管理者提供有效的安全信息和决策支持。
3. 安全预警网络安全预警是网络安全态势感知系统的关键功能之一。
通过对数据的分析和监测,可以实现网络安全威胁的实时预警和定位,为安全管理者提供及时的警示信息和行动建议。
在安全预警方面,我们需要采用先进的算法和工具,实现对网络安全威胁的智能预测和预警。
三、基于大数据的网络安全态势感知系统的实现在实现网络安全态势感知系统时,我们需要采用先进的技术和工具,包括云计算、大数据、人工智能等等。
基于大数据分析的网络安全态势感知与预警系统设计
基于大数据分析的网络安全态势感知与预警系统设计在信息化时代的今天,网络安全问题日趋严峻。
为了防范和应对各类网络攻击,构建一个高效可靠的网络安全态势感知与预警系统至关重要。
基于大数据分析的网络安全态势感知与预警系统能够通过对庞大的网络数据进行实时分析,发现网络威胁并及时预警,为网络安全工作者提供了有力的防御手段。
一、系统架构设计1. 数据采集与处理:网络安全态势感知与预警系统通过网络监控设备、日志收集设备以及告警设备等手段对网络中的数据进行采集。
采集到的数据包括网络流量、攻击日志、入侵检测日志、漏洞扫描结果等。
采集到的庞大数据需要进行实时处理和存储,以保证后续分析和预警的高效可靠。
2. 数据存储与管理:对于采集到的数据,可以使用分布式数据库系统进行存储与管理。
分布式数据库系统具有高可靠性、高可扩展性和高性能的特点,能够满足海量数据的存储需求。
同时,为了提高数据的处理速度和效率,还可以引入缓存技术,将热数据存储在内存中。
3. 数据分析与挖掘:基于大数据分析的网络安全态势感知与预警系统主要依靠数据分析和挖掘技术来提取有用信息。
通过构建适当的数据模型和算法模型,对网络数据进行深入分析,识别出潜在的安全威胁和异常行为。
常用的数据分析技术包括统计分析、机器学习、数据挖掘、图像处理等。
4. 预警与响应:系统通过对网络数据的分析和挖掘,发现异常情况后,可以采取相应的预警和响应措施。
预警方式可以包括短信、邮件、报警声等,及时通知网络安全工作者,以便他们能够及时采取措施防御和修复。
响应措施可以包括封堵IP地址、拦截网络流量、更新安全策略等。
二、系统功能设计1. 实时监控与分析:网络安全态势感知与预警系统可以通过实时监控网络数据流量和日志数据,对网络行为进行分析,发现异常情况和攻击行为。
监控和分析的频率可以根据实际情况进行调整,保证系统的实时性和准确性。
2. 威胁检测与识别:系统利用机器学习和数据挖掘技术,对网络数据进行建模和训练,从而实现对网络威胁的检测和识别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录一、安全现状及挑战 (2)1.1安全现状 (2)1.2面临挑战 (2)二、安全态势感知系统 (3)2.1方案概述 (3)2.2方案内容 (4)2.2.1典型网络状况 (4)2.2.2态势感知工作流程 (5)2.2.3态势感知功能组成 (5)3、系统技术体系 (8)3.1系统总体架构 (8)3.2系统主要功能 (9)4、系统部署方式 (10)4.1部门级部署 (10)4.2企业应用部署 (10)4.3集团应用部署 (11)4.4部署要求 (12)五、系统优势 (12)一、安全现状及挑战1.1安全现状近年来,我国政府和企业信息化建设得到快速发展,越来越多的各类核心业务的开展高度依赖于信息技术应用,信息安全问题的全局性影响作用日益增强。
为了保障国内各企事业单位的信息系统安全,国家出台了网路安全法,各行业和相关主管部门也出台了各类信息安全监控、审计作为保障信息系统安全的制度,相关的制度标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。
这些标准制度从不同角度提出信息安全控制体系,可以有效地控制信息安全风险。
同时公安部发布的《信息系统安全等级保护技术要求》中也对安全监控、审计提出明确的技术要求。
目前,很多政府企业在信息安全保障体系建设方面已经达到了一定的水平,先后建立了非法外联监控管理系统、防病毒系统、补丁分发系统、防火墙、入侵检测系统、漏洞扫描系统等,为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段。
1.2面临挑战目前政府企事业单位通过各类安全产品建立起信息安全保障体系,但当前各种信息安全保障工作相对独立,各自为政,单点的工作开展的多,缺乏有效手段将这些安全工作有效串接,并未形成一个综合防御体系。
这些安全设备往往产生大量违反安全策略和安全规则的告警事件,其中不乏大量的重复报警和误报警,且各类安全事件之间分散独立,缺乏联系,无法给安全管理员提供在攻击时序上和地域上真正有意义的指导,加重了安全运维人员的工作负担,所以通过购买更多的单点的安全设备已经无法保证企业的信息安全综合保障能力的提升。
二、安全态势感知系统2.1方案概述安全态势感知系统是帮助企事业单位建立一套横向贯穿孤立的安全防线的整体安全态势感知平台,通过获取防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、运行主机、交换机、路由器、数据库系统、中间件等日志事件、设备状态事件、网络流量、数据包和各类设备的状态运行数据,实现对来自内部外部各类威胁的发现、分析和响应。
通过分析挖掘异常入侵信息、审计业务系统关键数据,真正让企业和组织的管理者能够把握网络信息整体安全态势,实现有效地协同防御。
方案涵盖以下几个方面:整合企业目前部署的各种相对孤立的安全防护资源(主要包括:防火墙、入侵检测系统、漏洞扫描系统、UTM等),实现对各种网络安全装置信息的综合采集、存储、监测、管理、分析和场景建模;在大数据时代,以数据为核心,用新技术提供的低成本、高可靠、可弹性扩展的数据处理能力,满足组织和企业对异构海量日志数据的处理需求;以关联分析(知所已知)和行为分析(知所未知)为基础,为安全管理人员提供智能化分析方法,以应对日益复杂的隐蔽攻击和威胁;紧密围绕对各类系统和安全设备日志、网络流量、网络数据包内容的实时监测,建立基于各类安全场景相关的态势感知模型,如重点设备的流量特征模型、异常用户行为模型、异常日志模型等,通过各类态势感知模型提升网络系统的整体合规安全。
安全态势感知平台充分利用大数据分析及预测技术,大幅度提高安全事件监测预警和快速响应能力。
平台将海量数据采集、大数据分析、统计学习、和机器学习等技术充分融合,形成新一代的安全态势感知平台,解决目前信息系统安全被动防御的状况。
2.2方案内容2.2.1典型网络状况对于一个典型的用户而言,经过较为系统的安全建设后,都会部署较多的安全产品。
这些安全产品每天产生的事件量是巨大的,如下表所示:安全目标安全产品每天产生的日志量网络安全防火墙600万条网络设备(交换机、路由器)>10000条网络入侵检测>200万条防病毒/桌面管理防病毒服务器、防病毒网关10万条内网安全桌面终端管理系统>3000条保护关键业务系统主机审计系统、数据库服务器审计系统、应用程序审计系统。
15万条总日志量/每天820余万条面对上面用户典型的网络状况,收集和分析上述海量的安全事件是一个巨大的挑战,而能否做到这点将直接决定一个安全态势感知系统的成败。
同时,安全态势感知系统决不能简单地将这些海量的信息直接展示给客户,否则,用户面对这些海量的网络安全事件将束手无策,管理运维效率将不升反降。
态势感知系统的目标就是要收集这些海量事件,并通过有效的分析手段输出很少量的、真正值得管理员关注的安全事件。
2.2.2态势感知工作流程态势感知平台首先是对海量的网络各类数据的采集、规格化和存储;根据日常安全运营工作的业务需要,分析、总结和抽象基于安全运营业务需求的各类安全场景和高阶威胁,形成具体的安全感知对象。
通过体系化的分析方法,建立相应的分析模型。
基于大数据技术,分析原始日志和网络流量数据,形成基于场景的态势。
最后,场景态势感知实现自动化,从而提高感知效率。
2.2.3态势感知功能组成安全态势感知平台是对设备系统日志、网络流量和网络数据包的数据分析为核心,提供有效的安全分析模型和管理工具来融合这些数据,通过实时分析、离线分析、关联分析、统计分析、规则库、专家经验库以及外部安全情报的交换、机器学习等多方位进行风险分析,可准确、高效地感知整个网络的安全状态以及发展趋势。
从而对网络的资源作出合理的安全加固,对外部的攻击与危害行为可以及时的发现并进行应急响应,从而有效的实现防外及安内,保障信息系统安全。
安全态势感知平台体系可分为如下四个功能部分:•态势察觉态势察觉是通过各种类型的网络数据了解当前的网络状态,包括状态识别与确认(攻击发现),以及对态势认知所需信息来源和素材的质量评价。
任何单一的情况和状态都不能叫做态势,态势察觉阶段完成多层次多维度的态势要数采集。
•态势数据包含:态势要素名称描述说明网络安全系统数据各类网络安全设备日志,例如:防火墙、IDS/IPS、WAF、网络安全审计系统等设备的日志或告警数据。
服务器、主机及中间件系统数据来自重要服务器、主机、数据库等的日志,例如服务器日志、中间件日志、文件访问日志、Web访问日志、主机进程调用日志等。
网络骨干节点数据网络的关键路径,如服务器区、核心区、出口区的网络流量数据,网络节点数据采集越多,追踪确认网络攻击路径的可能性越高。
协同合作数据权威部门发布的预警数据和第三方的威胁情报数据。
资产脆弱性数据基于主动的漏洞评估、渗透测试发现的漏洞数据。
威胁感知数据已经建立的基于场景的威胁感知数据。
•态势理解态势理解则包括了解攻击的影响、攻击者(对手)的行为和态势发生的原因及方式。
为保障态势感知结果准确和全面,在最大限度地确保获取数据的完整性时,对所有检测设备获得的原始数据进行分析。
为满足系统实时性的要求,态势理解过程首先采用简单的数据级融合,然后分析融合后数据的相关性。
步骤步骤描述原始数据分析归类将安全数据归类为资产数据、威胁数据、脆弱性数据,不考虑数据类之间的关系。
数据规范去除重复冗余信息,合并同类信息,修正错误信息,得到规范化的资产数据集、威胁数据集、脆弱性数据集。
综合分析将资产、威胁和脆弱性相关联,综合分析得到安全事件数据集。
•态势评估态势评估是网络安全态势感知的核心,是对网络安全状况的定性定量描述。
可用多层次、多维度、多粒度的态势评估框架。
目前场景专题评估覆盖以下面场景。
评估感知感知描述网络入侵态势感知通过海量日志的挖掘和决策支持系统,结合Attack Tree攻击树的相关研究,形成推理决策系统,借助大数据分析系统的分布式数据库,可以实现决策预警网络异常流量感知通过一段时间的统计学习得到其正常状态的流量上限。
自学习过程中系统自动记录网络的流量变化特征,进行基础数据建模,按照可信范围的数据设置置信区间,通过对置信区间内的历史数据进行分析计算,得到流量的变化趋势和模型特征。
APT攻击态势感知通过全流量审计和日志审计结合,对长时间数据流量深入细致分析,结合全流量应用还原和异常检测。
僵木蠕态势感知防病毒引擎加网络流量监控,发现僵木蠕的传播,并通过僵木蠕态势监控,实现僵尸网络发现、打击及效果评估。
•态势预测系统提供的态势预测是根据当前的网络状况,找出网络安全隐患进行分析,对未来一定时间内的安全趋势进行判断,并提供相应的解决方法。
在全面获取网络威胁相关状态数据的前提下,设定不同的场景和条件,根据网络安全的历史和当前状态信息,建立符合网络及业务场景的分析模型,并基于网络威胁结合资产脆弱性来进行态势预测,能够更好地反映网络安全在未来一段时间内的发展趋势。
3、系统技术体系3.1系统总体架构安全态势中心总体技术架构功能分为四大部分:各类日志及流量书记的实时采集、海量数据的存储、实时数据流的分析引擎、安全分析中心及管理平台。
网络原始数据采集是整个平台的基础,为态势感知平台提供数据各类数据源。
采集层面使用了异步通讯、高速缓存、日志范式化流水线和消息中间件技术,对海量异构日志进行持续不断地高速采集,使用户能够采集并预处理网络中大规模审计对象的日志、网络流量及数据包数据。
数据存储方面,针对大数据日志、网络流量和数据包,系统采用了分布式非关系型数据库从根本上解决了使用传统关系型数据库的系统的性能瓶颈,包括数据存储、数据索引、数据搜索和数据备份的不足,使态势感知系统真正迈向了大数据时代,实现了存储和分析的水平弹性扩展,满足用户存储长期日志数据的要求。
分析引擎对采集的原始数据按照不同的维度进行数据的分类,同时按照安全场景和行为规则对数据进行分析和安全场景感知。
其中数据流式分析采用内存实时计算、复杂事件处理技术帮助用户及时发现安全异常,快速关联出安全隐患;安全感知分析中心及管理平台,包含了交互式分析、全文检索、历史数据回放、批处理分析等多种先进技术。
其中,历史数据回放提供了历史数据检测的功能,方便安全审计员对保存在系统中的海量数据进行回放,通过高速回放技术为用户重现历史安全场景;3.2系统主要功能4、系统部署方式4.1部门级部署对于网络环境比较简单,设备数量较小的网络,可采用独立部署模式,部署一套安全审计系统,直接管理所有的安全设备与网络主机。
4.2企业应用部署对于网络环境复杂、或者存在大量安全设备的网络,采用集中部署模式。
根据网络划分的多个区域(如:生产区、WEB服务器)每个分区内部部署一套采集组件,实现本分区内的信息收集和处理。
同时,在中心区域部署一套安全审计系统,通过与各类事件组件或安全设备通信,实现整个网络的全局管理。