智网安云网络安全在线监测与智能分析平台

方案背景

       本项目为国家电网某地电力公司建设了一套网络安全在线监测与智能分析平台，平台通过对某地市电网公司互联网大区所有安全设备的日志进行统一采集、标准化清洗和大数据分析，实现了告警事件的精细化分类管理和去重合并。基于攻击特征提取，有效识别并聚合同一攻击事件在不同安全设备产生的重复告警和同一安全设备的重复告警，减少告警的误报和重复，提升了网络安全监测效率。同时平台消除了不同品牌、不同类型设备之间的数据壁垒，实现了基于统一平台的不同品牌、类型多源异构数据的集中监控和分析应用。

需求分析

       为应对日益复杂的网络安全形势，某地市电网公司在2019年开展网络安全专项建设并建成网络安全分析室，由网络安全分析室开展某地市电网公司网络安全监测、安全攻击研判分析、应急处置等相关安全工作。同时，为做好网络安全防护，网络安全分析室共计建设并装备各类网络安全设备三十余套，设备功能各异、种类繁多且互不兼容。安全防御能力得到提升的同时产生了大量安全告警，一个安全运维人员同时负责监测多台设备，同一攻击事件会被多台安全设备捕捉产生多次重复告警。按照某地市电网公司7*24小时三班两运转常态化监测要求，共计需要投入18人开展网络安全监测，人力成本较高工作压力大，且大量重复告警严重消耗了监测人员的精力导致运维处置效率低下。

       具体需求包括：

（1）对网络内众多安全设备产生的告警日志进行集中收集和统一管理，对不同格式的安全告警日志进行范式化解析，生成统一日志属性的日志数据。

（2）对重复告警进行合并处理，包括对不同对单个安全事件在同一安全设备一定时间内的重复告警进行分析合并，以及对同一安全事件在不同安全设备的多次告警进行关联合并。

（3）建立大数据安全分析引擎，支持自定义安全分析规则，将不同设备不同类型的安全数据进行集中关联分析。

（4）从资产的角度主动进行资产安全评估，基于资产的流量、行为、漏洞、事件等进行多维度画像分析。

技术方案

       本项目为国家电网某地电力公司建设了一套网络安全在线监测与智能分析平台，平台通过对某地市电网公司互联网大区所有安全设备的日志进行统一采集、标准化清洗和大数据分析，实现了告警事件的精细化分类管理和去重合并。基于攻击特征提取，有效识别并聚合同一攻击事件在不同安全设备产生的重复告警和同一安全设备的重复告警，减少告警的误报和重复，提升了网络安全监测效率。同时平台消除了不同品牌、不同类型设备之间的数据壁垒，实现了基于统一平台的不同品牌、类型多源异构数据的集中分析展示和利用。

网络安全在线监测与智能分析平台业务架构图

日志审计管理服务

       用于为系统提供资源管理、服务配置管理等能力，主要负责设备管理、配置管理、范式库管理等工作。

大数据管理服务

       用于为业务应用提供服务模型和服务管理的基础能力，主要负责资源管理、告警管理、事件管理与查询、报表管理等基础模块实现工作。

数据存储分析服务

       用于为系统提供存储和数据检索能力。主要负责实时告警、数据检索、数据分析以及搜索引擎等基础工作。

日志采集服务

       用于为系统提供不同类型格式化数据。主要负责数据的范式化、清洗、归并、过滤以及不同数据处理阶段的规则配置、持久化存储等工作。

网络安全在线监测与智能分析平台技术框架图

数据接入

       对不同类型的数据，包括资产数据、终端安全日志、网络安全日志、应用层日志、流量分析数据等进行采集，并对数据进行范式化。

数据解析

       对不同类型不同格式数据及其特征的模板化、标签化、体系化归并，是智能分析和关联查询的基础。

安全大数据中台

       数据采集并完成标准化和清洗工作后，由安全大数据中台对接入的各类安全数据进行统一存储和定义，按照安全业务封装，建立分类专题库提供不同维度的安全数据索引。

检测分析

       平台不仅需要具备通过威胁情报和威胁特征库进行已知威胁检测，还可检测未知威胁。依托于大数据处理技术和机器学习的建模技术，解决绕过传统安全设备的内部威胁，提升内部威胁识别能力。

安全响应

       安全运营过程中的响应目标是消除安全事件产生的影响。这依赖于将威胁分析阶段生成的威胁情报转换成防守方可执行的行动方案，并将行动方案拆解成可供执行的命令准确下达到安全组织中。

应用效果

1、平台建成后，某地市电网公司网络安全分析室常态化安全监测人员需求由18人减少至5人。

2、由以往每人负责两台网络安全设备的分散监测模式，变为了统一平台集中监测，极大提高了人员监测效率，每个运维人员监测覆盖范围大大提升。

3、有效降低了重复告警数量，平均告警处置数量减少达99%以上，大大提升了运维人员处置效率。

案例亮点和创新点

1、基于语义识别和特征关联的告警降噪分析模型

       随着网络安全法及等保2.0上线，网络安全建设标准逐渐提高。“安全设备越多，网络越安全”成了许多单位管理者直接感受，导致的结果便是各级网络防护层层加码，安全设备及系统越建越多。安全防护越严格的单位安全告警越多，各类安全设备混杂了大量重复告警和误报造成安全运维人员处置压力巨大，疲于应对且容易忽视潜在的高风险攻击行为。项目建立了基于语义识别和特征关联的去重分析模型，在实现不同品牌、类型安全告警数据的集中接入、清洗的基础上，进一步根据语义识别和攻击特征提取，关联归并同一攻击事件在不同设备触发的重复告警，在不丢失告警数据的基础上准确识别同一攻击行为带来的重复告警。提供自定义语义特征定义，大大提升

2、基于资产的画像分析及安全评估模型

       当前企事业单位网络安全建设的重心集中在边界防护和处置安全设备的告警，进行被动的防御。当威胁绕过检测手段之后，往往只有当问题爆发损失产生之后才被发现。网络安全建设的目的是保障网络空间中的信息资产的安全，感知资产的状态是进行主动防御的前提。项目以资产梳理为基础，结合资产的流量及行为、遭受的威胁事件、存在的风险漏洞，进行资产的整体安全评估定级和详细行为刻画分析，掌控资产运行状态，及时进行资产安全预警和安全风险的处置，提升风险预测及响应能力。

3、基于大数据的智能威胁分析引擎

       “重合规，轻分析”是当前网络安全建设的普遍现状。重视日志数据采集合规，但缺乏有效利用，仅关注告警日志分析忽视非告警日志数据的价值，不同安全设备及系统存在技术架构和数据壁垒，安全研判全靠人。项目通过建设大数据安全中台，实现对各类设备全量日志汇聚、清洗和分析，建设智能威胁分析引擎实现跨设备数据调用分析，开放引擎能力提供用户自定义，将安全运维人员经验和平台相结合变成可自动化执行的策略，利用大数据分析能力实现更有效的关联分析，做到人机共智。

 编发：龚梦琪

审核：王彬