2019年12月06日 星期五
協會動態
優秀安防企業
優秀論文
您當前所在的位置:首頁 > 協會動態 > 優秀論文
安防大數據系統網絡安全態勢與應對之道
時間:2018-04-17 [ ] 瀏覽次數:1639 來源: 視力保護色:

安防大數據系統網絡安全態勢與應對之道

                                                                        
作者:張棲瑜


一、緒論

安防大數據時代在視頻監控方面首先體現在高清化、高幀率化、存儲效率化集中化、高像素化和處理效率化規模化以及對數據安全的要求也有明顯的升高趨勢。隨著安全防護行業應用的場景越來越復雜,其技術架構、產品體系和應用部署等早已突破傳統的視頻監控系統范疇,以便解決很多現在的傳統系統已經無法解決的問題,對視頻數據的傳輸和存儲的安全性也提出了新的挑戰。在政府倡導的平安城市、智慧城市建設逐步推進進程中,例如公安指揮調度、智慧城管、智慧環保、智能交通等各種行業的多級聯動應用也在不斷的開發中,并且開始進入試驗深水區,這些都迫切需要在新時代的發展中找到一個合理有效的解決安全防護行業所面臨的問題的方法。

在技術架構上,大數據來源于信息技術和通信技術,在大數據基礎上的安全防護技術也已走出獨立自我發展的階段,逐漸地融合了信息技術、通信技術、以及信息通信技術并為之所用。比如分布式組網、終端與服務器模式、網絡協同等,以及數據采集、數據存儲、數據分析和數據挖掘等信息技術被越來越深地應用到傳統的安全防護技術中,通過這些技術在安全防護產品上地整合,我們可以找到在大數據時代下的安全防護產業的發展道路。

在安全風險上,當前大數據的蓬勃發展需要重點關注其安全風險問題。主要體現在兩個方面,一個是數據的集中存儲帶來的安全風險。另一個視頻數據的傳輸和采集面臨的安全風險。

放眼目前的整體網絡環境針對大數據系統的網絡攻擊行為具有分布性、規模性和復雜性等特點,傳統的單一網絡安全防護技術例如防火墻、入侵檢測、病毒防護、訪問控制等等已經無法有效的應付這些攻擊。

所以為了提高大數據網絡的安全防護能力,我們應該采用新技術有針對性地檢測網絡中的異常事件,并且事前開展自動評估,實時掌握網絡安全網絡的風險狀況,從而將安全風險盡量扼殺在萌芽階段。這種網絡安全態勢感知的新技術可以綜合各個方面的安全因素,動態地反映網絡的整體狀態,并對網絡安全的發展趨勢給出預測和預警。大規模網絡安全態勢感知技術深深植根于大數據技術特有的海量存儲,并行計算,高效查詢等特點中,通過對數量龐大的網絡日志等信息進行自動數據分析和深度挖掘處理,可以對網絡的安全狀態進行分析和評價,感知到網絡異常事件與整體安全趨勢,這些為安全防護技術帶來了突破。


 

二、安防產品的更新迭代推進安防進入大數據時代

在新的應用需求面前,前端攝像頭的像素從130萬,200萬發展到500萬,800萬,1200萬甚至更高,產品種類也越來越多,這些更高像素的前端攝像頭監控設備能夠獲取更廣泛的整體視野和更細致的局部細節。比如在智能交通中如果使用200萬高清攝像機,那么4~6車道,以及整個道路的畫面都可以監控得到。較高的像素會產生非常多的海量數據,這些數據需要高性能的處理器來處理,也需要設計各種非結構化的數據來優化存儲和快速檢索。高幀速率的監控設備產品,如[email protected],甚至[email protected]的前端攝像頭設備被使用在公路、鐵路、軌道交通等特殊場合中,以便可以清晰地檢測高速運動的物體,同時其記錄數據量也成指數般的增長,例如像素為1080p時,幀率60fps產生的數據就相當于400萬倍幀率30fps產生的數據。然而實際應用中超高清視頻需要4K甚至8K的更高像素,同時也需求如H.265一樣更新的編解碼算法,以便在監視過程中體現更多的細節,這些都導致了前端攝像頭設備產品更新換代的頻率加快,其所采集的數據量也遠超過傳統時期所需求的數據量。綜上所述,大數據時代進入安全防護階段是前端設備不斷更新換代的需要。

三、平安城市的深化、智慧城市的建設推進安防進入大數據時代

平安城市發展到今天,不僅是社會安全的需要,也成為智慧城市逐步應用過程中的一個重要部分,也就是說在建設大量的安全監控設備的需求下,平安城市建設和智慧城市聯動發展所需的其他系統,才能真正實現對智慧城市的各種智慧應用,包括城市的犯罪預防和控制,聯動智能交通、水利、環保、城市管理、醫療學校,等等。這就需要對視頻采集設備、感應報警設備、定位設備和傳輸網絡設備如RFID等物聯網設備進行數據采集,由于多個數據連接所產生的數據量大大超過了平安城市系統的性能,如數據存儲、網絡、智能檢索等。因此,數據統一存儲的建設需要一個完整統一的云計算平臺、云存儲平臺和云平臺分析平臺,分析和存儲所有數據,從而為數據挖掘等高效集成服務的應用提供數據。

所以從應用的角度看,安全在安全城市中的應用已經進入深水區,使得大數據時代的到來在安全上不是一種趨勢,而是一種發展的需要。在此基礎上,更好地整合安全產品和ICT技術需要一個更好的框架來實現,VSaaS視頻監控云應運而生。利用云計算的架構,實現數據的集中存儲,負載均衡技術實現存儲平衡傳輸,通過分布式計算可以大大提高分析數據的能力和性能,通過文件技術實現快速檢索和多個數據中的應用進行關聯。

VSaaS不是一個新的架構。它需要與安全城市現有設備同步升級。它既可以取代現有設備,又可以直接升級到新建區域。一個真正以VSaaS框架實現的方案,可以同時解決接入問題和前端數據采集問題,如模擬監控攝像機大量部署和訪問,DVRNVR與編碼器的接入,還需要面對用戶的各種需求,還需要使用集中式的服務器集群來解決存儲和計算的問題,云計算平臺的一種有效的運行和管理是實現視頻設備可靠性設備管理和維護監控框架必不可少的,如不需要人工干預來實現設備軟件自動升級、用戶終端設備自動升級等。同時通過VSaaS云存儲平臺、云管理平臺和集中處理平臺進行管理,在該框架下的云計算和云轉碼操作可以實現大規模視頻監控的需要,基于大數據的海量數據處理和存儲,可以提供大規模的高清視頻監控解決方案。云存儲解決了現有嵌入式計算、智能分析、數據處理等性能瓶頸和大規模存儲問題,未來應用領域非常廣泛。


 

四、在安防大數據時代下數據安全的解決對策

海量的數據從產生到存儲必然經歷傳輸的過程,大規模的視頻部署及傳輸,帶來的安全管控問題成幾何倍數的增長,通過外露的攝像頭接入線路可以直接入侵內部網絡,甚至對核心數據發起攻擊,面對這種問題我們對視頻傳輸提出了新的需求:

前端攝像機由于數量眾多,個體抵擋黑客非法攻擊的能力較弱,因此存在偽造終端接入、木馬注入、病毒注入等風險,從而海量前端容易被當做DDOS攻擊的來源。因此有必要對前端攝像機做基本的安全加固和信息安全監管,并實時監管正在運行的進程,如發現異常進程則進行下線處理。

視頻專網網絡規模龐大、網絡分支較多、網絡攝像頭(IPC)接入地理位置十分分散、人為監管困難等,導致現在視頻專網在運行時在網絡攝像頭等設備的安全接入控制方面存在較大的安全風險。前端攝像頭只需要設置一個IP地址就可以直接連接到視頻監控專網中。因此,如果非法入侵者擅自更換視頻專網設備,就能掃描專網內的所有設備實現網絡的入侵和非法數據的訪問。

視頻專網要求安全設備具備與網絡設備匹配的性能、組網能力、可靠性和擴展性,從而安全設備不會成為網絡瓶頸,而傳統安全產品的硬件及軟件架構和網絡差異性較大,無法較好的適配網絡,因此無法滿足視頻專網的部署要求。功能上,傳統的基于IP和MAC綁定的準入技術很容易被偽造,也無法達到高等級的安全要求。

綜上,加強技術手段建設,公共區域視頻攝像頭通過視頻準入系統后進入視頻專網,只允許授信終端接入、只允許專網網絡承載視頻數據,其他數據一概屏蔽,保證網絡前端邊界安全可控。同時防范非法私接,非法私接需及時告警,做到設備可知、入網可信、邊界可控。

針對這些問題,我們需要在系統中部署強大的邊界準入安全防護系統解決這些問題,通過只允許合法視頻流及控制信令以及可識別傳輸數據的L4-7層內容,只允許授權的視頻監控業務數據流及控制信令進入視頻監控系統,禁止其他非法數據接入,即使黑客偽裝MAC/IP也無效。該功能可以和MAC地址認證或IP地址認證同時使用,實現接入邊界的雙重保障。

通過主動掃描、被動監聽和手動設置等手段采集視頻專網中的資產信息,包括視頻監控設備、PC設備、服務器等,并進行分類統計,建立資產庫。同時,可以定期掃描視頻專網中的設備,并與資產庫進行對比,及時發現異常設備并告警,對合法設備納入資產庫,對非法設備進行處置。

準入控制系統需支持基本的可靠性功能(如VRRP、雙機熱備、靜默雙機等),還需具備多虛一的虛擬化能力,通過虛擬化技術可實現雙設備性能疊加,同時實現機框間狀態備份,切換時用戶無感知。

系統需提升使用體驗,滿足可視化的需求。系統需有專用的可視化軟件,各廠家流量、總體流量占比、非法私接等情況可在可視化平臺上實時顯示,使整個的安全狀態一目了然。同時,系統需要對不同廠家接入終端的整體在線率情況進行監測與統計,并可查詢每個接入終端的上線狀態、在線狀態、離線狀態。

通過準入控制系統建立一張應用感知的網絡,從L2-7層解析網絡中傳輸的數據包內容,實現只允許授信終端合法接入,并且只允許授權的視頻數據、語音數據、控制信令等在網絡中傳輸,其他數據一概屏蔽,保證網絡的安全可控。

同時,大數據帶來的是視頻數據的集中存儲。集中存儲后的數據必然帶來相應的安全風險。安防數據的敏感度、重要性和安全級別都很高。以目前網絡安全的現狀來看,在高風險的情況下網絡攻擊頻發,目標主要是全國公共網絡基礎設施的重要信息系統、移動終端和國計民生的重要系統。攻擊方式包括病毒、木馬、漏洞、攻擊流量和其他類型的攻擊,攻擊門檻不斷降低,攻擊手段更為廣泛、復雜和多樣。攻擊范圍擴大為全省甚至全國,帶動全局利益。在這一階段面對這種復雜的安全攻防形勢,國內各監管機構也在逐步深化安全等級保護和其他遵約制度的實施。在完成各種安全設備部署后,卻僅僅實現了被動防御。此時用戶開始考慮更深層次的問題:

1)主動檢測安全風險的問題是什么,系統能夠識別和檢測未知威脅的云嗎?早期威脅警報能否實現?

2)多設備協同保護的問題是什么,它能實現快速響應和跟蹤攻擊路徑的來源嗎?

3)安全防御體系建設與安全情報共享相結合的問題,可以結合安全信息實現對兩種攻擊的分析和挖掘嗎?用戶行為和流量趨勢是否能夠準確地檢測并判斷為異常?

4)簡化操作維護管理的問題,企業能否實現安全合規性的定期自我檢測能力?海量設備能在云中實現智能配置管理和故障診斷嗎?

在這種情況下,安全形勢意識應運而生。

網絡安全態勢感知是通過數據融合、數據挖掘、智能分析和可視化等手段,直觀地顯示網絡環境的實時安全狀況,為網絡安全提供安全保障。在網絡安全態勢感知的幫助,管理者能夠及時了解網絡攻擊,攻擊源和服務容易受到攻擊和攻擊類型等。通過網絡測量,網絡用戶可以清楚地掌握網絡安全的現狀和發展趨勢,進而預防和引起網絡病毒和惡意攻擊減少損失。應急反應組織也可以從網絡安全狀況了解服務網絡的安全狀況和發展趨勢,為制定主動應急預案提供依據。


網絡安全態勢感知的主要任務包括風險感知和事件感知。風險感知包括網絡資產的脆弱性感知和認知,網絡資產風險感知是指自動感知、快速查找、收集大量網絡資產分布、更新和屬性信息;網絡脆弱性是網絡脆弱性分析和發現以及身份管理的脆弱性分析。網絡脆弱性包括無形的脆弱性和明顯的脆弱性。事件感知主要包括安全事件感知和異常行為感知。安全事件感知是指確定安全事件發生的時間、地點、原因、過程和結果。異常行為感知是指通過異常行為識別風險,彌補無形弱點和未知安全事件的發現,其主要目標是感知未知的攻擊。

網絡安全態勢感知基于多源日志安全設備收集,各種海量數據的多樣性檢測方法和事件報告機制而的產生的,基于原始的日志信息分析,有大量的冗余和錯誤等缺陷,不作為直接信息意識的來源,必須進行相關分析和數據處理一體化。哪些技術可以用來快速分析和處理這些海量和多樣的數據格式?大數據的出現,擴展了計算和存儲資源,大數據有其自身的多樣性,支持多種類型的數據格式,海量的數據存儲和快速處理的速度三個特征,恰好是基于多源日志的網絡安全態勢感知所需的分析處理。多類型數據格式的數據模型、日志數據可以為更多類型的網絡安全態勢感知提供服務。其中包括網絡和安全設備,對網絡運行日志、信息、服務、維護的日志記錄應用;大數據環境下的數據存儲為態勢感知提供海量日志存儲的技術支持;大數據的快速處理為態勢感知提供高速網絡安全深度分析的技術支持,為高智能算法提供的計算資源。因此,我們利用大數據提供的基本平臺和大數據處理的技術對網絡安全態勢的分析和處理提供的全面的實現條件。

關聯分析。網絡中的防火墻日志和入侵檢測日志都是對進入網絡的安全事件的流量的刻畫,針對某一個可能的攻擊事件,會產生大量的日志和相關報警記錄,這些記錄存在著很多的冗余和關聯,因此首先要對得到的原始日志進行單源上的關聯分析,把海量的原始日志轉換為直觀的、能夠為人所理解的、可能對網絡造成危害的安全事件。基于多源日志的網絡安全態勢感知采用基于相似度的報警關聯,可以較好地控制關聯后的報警數量,有利于減少復雜度。其處理過程是:首先提取報警日志中的主要屬性,形成原始報警;再通過重復報警聚合,生成聚合報警;對聚合報警的各個屬性定義相似度的計算方法,并分配權重;計算兩個聚合報警的相似度,通過與相似度閥值的比較,來決定是否對聚合報警進行超報警;最終輸出屬于同一類報警的地址范圍和報警信息,生成安全事件。

融合分析。多源日志存在冗余性、互補性等特點,態勢感知借助數據融合技術,能夠使得多個數據源之間取長補短,從而為感知過程提供保障,以便更準確地生成安全態勢。經過單源日志報警關聯過程,分別得到各自的安全事件。而對于來自防火墻和入侵檢測日志的多源安全事件,采用D-S證據理論(由Dempster1967年提出,后由Shafer1976年加以推廣和發展而得名)方法進行融合判別,對安全事件的可信度進行評估,進一步提高準確率,減少誤報。D-S證據理論應用到安全事件融合的基本思路:首先研究一種切實可行的初始信任分配方法,對防火墻和入侵檢測分配信息度函數;然后通過D-S的合成規則,得到融合之后的安全事件的可信度。

態勢要素分析。通過對網絡入口處安全設備日志的安全分析,得到的只是進入目標網絡的可能的攻擊信息,而真正對網絡安全狀況產生決定性影響的安全事件,則需要通過綜合分析攻擊知識庫和具體的網絡環境進行最終確認。主要分為三個步驟:一是通過對大量網絡攻擊實例的研究,得到可用的攻擊知識庫,主要包括各種網絡攻擊的原理、特點,以及它們的作用環境等;二是分析關鍵主機上存在的系統漏洞和承載的服務的可能漏洞,建立當前網絡環境的漏洞知識庫,分析當前網絡環境的拓撲結構、性能指標等,得到網絡環境知識庫;三是通過漏洞知識庫來確認安全事件的有效性,也即對當前網絡產生影響的網絡攻擊事件。在網絡安全事件生成和攻擊事件確認的過程中,提取出用于對整個網絡安全態勢進行評估的態勢要素,主要包括整個網絡面臨的安全威脅、分支網絡面臨的安全威脅、主機受到的安全威脅以及這些威脅的程度等。

利用態勢感知技術,可以有效的從海量數據中甄別出潛在的安全威脅并提取關鍵特征,掌控全網安全態勢,提前預警安全風險。在異常行為分析預測過程中,圍繞網絡流量、行為、外部情報等數據,利用數學建模、機器學習、關聯挖掘等核心技術,為每個行為進行精確畫像,建立用戶行為模型和行為基線。利用安全云平臺,實現智能化安全運維是提升運維效率的有效手段。在滿足簡易化運維的基礎上,還可以對VSAAS服務提供技術支撐。通過訪問關系分析、路徑分析、合規分析、變更分析等環節,實現安全策略的生命周期閉環且可視化。最終實現安防數據在大數據時代下的保駕護航。


 

五、結語

在大數據時代,傳統的安全防護產品廠商為了滿足新時代的安全監控高清化、網絡化、高感知化等應用問題和技術問題,他們在產品升級換代時都逐步深入的融合信息通信技術。此外傳統的信息通信技術廠商,如華為、H3C等,也攜帶自身在信息通信技術和經驗的優勢基礎上,積極的擁抱安全防護產品,同時為安全防護行業注入新鮮的血液,并逐步發展為該行業的核心技術。

在大數據時代的安全防護技術,除開信息通信技術作為解決當前面臨安全問題的技術和方案,云計算也是另外一個技術和解決方案。而且如果從基于物聯網集成發展方向的應用前景、實施部署和技術實現來看,應該優先選擇云計算技術。

在大數據時代,在利用邊界安全準入系統保證大規模數據傳輸安全的同時,利用態勢感知系統作為傳統安全防護技術與信息通信技術深度融合發展起來的新技術,通過對已知安全風險和未知安全風險的多維度分析和可視化顯示,以及對安全風險的趨勢分析和安全風險異常行為預測等,獲得非常良好的整體數據安全體驗。另外在此基礎上加上對云運算的設計實現,對安全合規專業的自我檢查,對系統視頻數據的安全加固完善,真切的實現了對數據的安全性“主動發現,協同防御、感知安全、預知未來”。


參考文獻

[1] 張云濤,龔玲.數據挖掘原理與技術[M].北京:電子工業出版社,2004.

[2] 席榮榮.網絡安全態勢感知綜述[J].計算機應用,2012,32(1):1-4.

[3] 陳秀真,鄭慶華,管曉宏,.層次化網絡安全威脅態勢量化評估方法[J].軟件學報,2006,17(4):885-897.

[4] 龔正虎,卓瑩.網絡態勢感知研究[J].軟件學報, 2010,21(7):1605-1619.

[5] 韋勇,連一峰,馮國登.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展,2009,46(3):353-362.

[6] 劉鵬,孟炎,吳艷艷.大規模網絡安全態勢感知及預測[J].計算機安全,2013(3):28-35.

[7] HALL D L. Mathematical Techniques in Multi-sensor Data Fusion[M]. Boston: Artech House, 2012: 125-137.

更多
聯系電話:0851-85611319、85603233    通信地址:貴陽市南明區蟠桃宮蟠桃大廈20樓1號
技術支持:愛瑞科網絡   ICP備案號:黔ICP備11001522號   站點統計:2444605    今天:1087

貴公網安備 52010202000555號

2019白小姐特马救世报