面向NSSA的多源異構(gòu)數(shù)據(jù)采集與存儲(chǔ)研究.pdf

1、隨著網(wǎng)絡(luò)安全問題的不斷凸顯，傳統(tǒng)被動(dòng)防御的方法由于缺乏對(duì)安全的可見性和對(duì)網(wǎng)絡(luò)整體安全狀態(tài)與趨勢(shì)的感知性，漸漸無法滿足組織對(duì)網(wǎng)絡(luò)安全的迫切需求。網(wǎng)絡(luò)安全態(tài)勢(shì)感知（Network Security Situation Awareness，NSSA）作為一種主動(dòng)的感知技術(shù)，能夠很好地從多個(gè)數(shù)據(jù)源中發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，從而對(duì)網(wǎng)絡(luò)攻擊進(jìn)行及時(shí)的響應(yīng)。其中，網(wǎng)絡(luò)安全態(tài)勢(shì)要素獲取是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基礎(chǔ)，態(tài)勢(shì)要素獲取的好壞直接影響到上層分析的準(zhǔn)確性。據(jù)

2、此，針對(duì)大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知中的多源異構(gòu)數(shù)據(jù)采集與存儲(chǔ)技術(shù)進(jìn)行深入研究，論文主要?jiǎng)?chuàng)新性工作如下：
　　由于現(xiàn)有的態(tài)勢(shì)要素獲取模型存在單源或多源同質(zhì)的問題，導(dǎo)致獲取的態(tài)勢(shì)要素信息不完整，從而影響上層對(duì)態(tài)勢(shì)的理解與預(yù)測，由此設(shè)計(jì)了一個(gè)面向NSSA的多源異構(gòu)態(tài)勢(shì)要素獲取模型。該模型使用資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、日志數(shù)據(jù)、事件數(shù)據(jù)以及威脅情報(bào)作為數(shù)據(jù)源，從縱向描述了各類數(shù)據(jù)不斷抽象的過程以及它們?cè)诓煌兄獙哟紊纤鸬牟煌饔?，從橫向給出了各類

3、數(shù)據(jù)的時(shí)效性狀況，為不同數(shù)據(jù)的更新頻率與存儲(chǔ)周期設(shè)定提供參考，以減少不必要的磁盤開銷。此外，建立了一個(gè)模型完整性驗(yàn)證流圖，并設(shè)計(jì)了一個(gè)基于該模型的原型系統(tǒng)，驗(yàn)證了該模型的有效性。
　　對(duì)提出模型中的5大類17子類數(shù)據(jù)的采集技術(shù)進(jìn)行分析，設(shè)計(jì)了一個(gè)分布式的網(wǎng)絡(luò)安全數(shù)據(jù)傳感器系統(tǒng)。該系統(tǒng)通過對(duì)傳感器的職能進(jìn)行設(shè)計(jì)，解決了不同安全區(qū)域?qū)W(wǎng)絡(luò)安全數(shù)據(jù)采集內(nèi)容的不同需求；通過對(duì)傳感器觀察點(diǎn)進(jìn)行優(yōu)化，避免了PNAT和防火墻過濾導(dǎo)致采集數(shù)據(jù)存在

4、偏差和殘缺的問題。通過搭建了一個(gè)麻雀式的網(wǎng)絡(luò)環(huán)境，并設(shè)計(jì)了網(wǎng)絡(luò)攻擊實(shí)驗(yàn)，驗(yàn)證了采集數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)分析與理解的價(jià)值。
　　針對(duì)采集到的數(shù)據(jù)存在數(shù)據(jù)量大、數(shù)據(jù)結(jié)構(gòu)各異、數(shù)據(jù)關(guān)系復(fù)雜以及CRUD操作需求上存在差異的問題，提出一個(gè)混合式的數(shù)據(jù)存儲(chǔ)方法。該方法利用Neo4j圖數(shù)據(jù)庫對(duì)資產(chǎn)數(shù)據(jù)進(jìn)行存儲(chǔ)，以解決傳統(tǒng)關(guān)系型數(shù)據(jù)庫對(duì)復(fù)雜關(guān)系查詢難效率低的問題；利用ElasticSearch全文索引技術(shù)與并行查詢能力對(duì)非資產(chǎn)數(shù)據(jù)進(jìn)行存儲(chǔ)與查詢，以