本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種分布式網(wǎng)絡(luò)態(tài)勢感知方法、系統(tǒng)、服務(wù)器及節(jié)點設(shè)備，該方法包含：針對網(wǎng)絡(luò)節(jié)點安全數(shù)據(jù)源，通過調(diào)用HADOOP接口利用MapReduce模型進行數(shù)據(jù)融合，獲取當(dāng)前時間段內(nèi)的安全事件；通過量化安全事件威脅風(fēng)險進行網(wǎng)絡(luò)安全態(tài)勢評估；依據(jù)量化過程中識別的攻擊階段并結(jié)合網(wǎng)絡(luò)攻擊圖，對安全態(tài)勢進行預(yù)測，以獲取攻擊意圖。本發(fā)明將系統(tǒng)中需要巨大計算能力的計算和存儲擴展到HADOOP集群中的各個節(jié)點上，利用集群的并行計算和存儲能力來運算和處理，并利用MapReduce實現(xiàn)并行計算，可以實現(xiàn)面向大規(guī)模數(shù)據(jù)的分布式網(wǎng)絡(luò)安全態(tài)勢感知，優(yōu)化網(wǎng)絡(luò)安全態(tài)勢感知存儲規(guī)模與時效，提升對諸如APT攻擊等隱蔽、協(xié)同、大規(guī)模和多階段攻擊的感知防護能力。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種分布式網(wǎng)絡(luò)態(tài)勢感知方法、系統(tǒng)、服務(wù)器及節(jié)點設(shè)備。

背景技術(shù)

隨著信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)空間安全面臨的攻擊與威脅日益增多，而傳統(tǒng)安全產(chǎn)品越來越無法滿足防護需求。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)作為一種新的防護手段，是在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中認知、理解并預(yù)測網(wǎng)絡(luò)的安全狀態(tài)及其發(fā)展趨勢，有助于管理人員及時掌握網(wǎng)絡(luò)安全狀況，并對未來可能出現(xiàn)的威脅提前做出防護。為全面、準(zhǔn)確、實時地實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的感知。美國空軍通信與信息中心的Tim Bass于1999年首次提出網(wǎng)絡(luò)態(tài)勢感知的概念，并指出該技術(shù)將成為下一代網(wǎng)絡(luò)防御研究的重點。經(jīng)過十多年的發(fā)展，網(wǎng)絡(luò)安全態(tài)勢感知已經(jīng)取得了許多成果。

目前已有大量的研究工作致力于網(wǎng)絡(luò)安全態(tài)勢感知，但是其主要面向于單步、簡單攻擊，以網(wǎng)絡(luò)安全傳感器為數(shù)據(jù)源，采用層次化的分析方式進行態(tài)勢感知，導(dǎo)致其無法準(zhǔn)確反映新型APT攻擊、勒索攻擊等逐漸呈現(xiàn)出的大規(guī)模、協(xié)同、隱蔽和多階段等特點。如何從海量、復(fù)雜、多源異構(gòu)的網(wǎng)絡(luò)安全日志和流量中識別潛在的APT攻擊，挖掘非線性的攻擊特征，需要具有大規(guī)模運算能力的服務(wù)器集群做支撐。APT攻擊的特點、現(xiàn)有大規(guī)模數(shù)據(jù)網(wǎng)絡(luò)和網(wǎng)絡(luò)多節(jié)點設(shè)備集成需要復(fù)雜的數(shù)據(jù)運算處理，均給網(wǎng)絡(luò)安全態(tài)勢感知和防護帶來了諸多挑戰(zhàn)性的問題。

發(fā)明內(nèi)容

為此，本發(fā)明提供一種分布式網(wǎng)絡(luò)態(tài)勢感知方法、系統(tǒng)、服務(wù)器及節(jié)點設(shè)備，利用HADOOP 實現(xiàn)分布式網(wǎng)絡(luò)安全態(tài)勢感知，優(yōu)化網(wǎng)絡(luò)安全態(tài)勢感知的存儲規(guī)模與時效性，提升對諸如APT 攻擊等隱蔽、協(xié)同、大規(guī)模和多階段攻擊的感知防護能力，以準(zhǔn)確、及時感知網(wǎng)絡(luò)攻擊動作，保障網(wǎng)絡(luò)安全和可靠穩(wěn)定性。

按照本發(fā)明所提供的設(shè)計方案，一種分布式網(wǎng)絡(luò)態(tài)勢感知方法，包含如下內(nèi)容：

針對網(wǎng)絡(luò)節(jié)點安全數(shù)據(jù)源，通過調(diào)用HADOOP接口利用MapReduce模型進行數(shù)據(jù)融合，獲取當(dāng)前時間段內(nèi)的安全事件；

通過量化安全事件威脅風(fēng)險進行網(wǎng)絡(luò)安全態(tài)勢評估；依據(jù)量化過程中識別的攻擊階段并結(jié)合網(wǎng)絡(luò)攻擊圖，對安全態(tài)勢進行預(yù)測，以獲取攻擊意圖。

作為本發(fā)明分布式網(wǎng)絡(luò)態(tài)勢感知方法，進一步地，安全數(shù)據(jù)源包含攻防雙方數(shù)據(jù)及網(wǎng)絡(luò)環(huán)境數(shù)據(jù)，其中，攻擊方包含原子攻擊動作信息；防御方包含網(wǎng)絡(luò)防護策略及安全配置信息；網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包含主機、服務(wù)器和終端設(shè)備信息，網(wǎng)絡(luò)連通性信息及網(wǎng)絡(luò)漏洞掃描信息。

作為本發(fā)明分布式網(wǎng)絡(luò)態(tài)勢感知方法，進一步地，針對安全數(shù)據(jù)源，首先對其進行預(yù)處理，通過設(shè)置過濾規(guī)則，剔除不規(guī)范數(shù)據(jù)，通過XML公共數(shù)據(jù)模型進行數(shù)據(jù)格式化處理，得到統(tǒng)一格式的XML文件。

作為本發(fā)明分布式網(wǎng)絡(luò)態(tài)勢感知方法，進一步地，在數(shù)據(jù)集成服務(wù)器上調(diào)用HADOOP 接口，在HADOOP中完成XML文件聚類的運算處理和存儲，聚類結(jié)束后將結(jié)果回傳至數(shù)據(jù)集成服務(wù)器，在數(shù)據(jù)集成服務(wù)器中進行數(shù)據(jù)融合，得到當(dāng)前時間段的安全事件。

作為本發(fā)明分布式網(wǎng)絡(luò)態(tài)勢感知方法，進一步地，量化安全事件威脅風(fēng)險，按網(wǎng)絡(luò)體系規(guī)模和層次關(guān)系，將該量化分為系統(tǒng)層、主機層和服務(wù)層；根據(jù)網(wǎng)絡(luò)系統(tǒng)組織結(jié)構(gòu)，采取自下而上先局部后整體的評估策略。