一种基于大数据分析的广电网络多层次安全防护方案.docx

??

?

??

一种基于大数据分析的广电网络多层次安全防护方案

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

李睿

摘要目前，随着广播电视数字化、网络化的广泛应用，广播电视信息网络安全工作的重要性日益彰显。而以高级持续威胁为代表的新型网络攻击，给网络异构、网络访问和安全防护需求多元化的广电网络带来了严重威胁。面对这些挑战，本文提出了一种基于大数据分析的广电网络多层次安全防护方案，创新利用细粒度的安全域划分、多层次安全防护和安全相关日志大数据分析等技术，灵活支持各业务域细粒度的安全防护需求，将高价值资产部署于防护框架的内核范围中，并利用大数据分析技术，形成协作防御、融合检测和联动响应。

关键词广电网络；大数据分析；多层次安全防护；高级持续威胁

中图分类号TP3文献标识码A文章编号1674-6708（2018）218-0139-02

近年来，网络攻击逐渐向针对性强、复杂度高的方向演化，高级持续威胁（APT，？Advanced？Persistent？Threats）作为这类攻击的代表，更是频繁占据安全事件新闻的头条，使得对APT类攻击的检测和防护成为网络安全领域的研究热点之一。

广电网络业务域众多，软、硬件系统复杂多样，安全防护等级要求和访问用户群各不相同，是一个典型的异构复杂网络。在该类型网络中，已部署的传统信息安全防护方案主要存在如下4个方面问题：1）难以与多样化异构软、硬件系统兼容；2）主要基于安全网关等网络边界设备进行安全域划分，难以支持安全等级、业务类型和用户访问等多维度需求的细粒度安全域划分；3）主要基于边界和网络终端的安全防护技术，缺乏层次化；4）各安全设备基于不完整的网络安全信息进行单独检测，导致不能成有效的关联和联动，容易造成防护孤岛，难以应对APT类高级网络攻击和窃密手段。

APT攻击是一种分阶段、长期的复杂性攻击，Hutchins？EM等人提出利用IKC（Intrusion？Kill？Chain）模型来描述APT攻擊，该模型将APT攻击按顺序划分为7个阶段：网络侦察、武器研制、攻击体传输、初始入侵、通信和控制（CC;）、横向攻击和窃取数据。而从攻击事件发生的网络层次而言，APT攻击可发生在物理位面、网络位面、用户位面和应用位面。此外，APT攻击的持续性和高技术性，使其具备较强的防护规避和检测逃逸能力，甚至有可能修改对网络防护系统的安全日志，造成检测信息的缺失。而且，APT攻击具有针对性，是根据目标定制的攻击，很难从第三方获取其历史检测数据和进行基于签名的检测。因此，传统的单视角的网络入侵检测系统难以对APT进行有效检测。

针对以上问题，参考国内外相关领域的研究成果，根据广电网络安全防护的实际需求，本文提出了一种基于大数据分析的广电网络多层次安全防护方案。该方案创新利用多层次安全防护和大数据分析技术和细粒度安全域划分技术，可有效融合多视角的安全相关日志数据，以检测具有逃逸能力的网络攻击窃密行为。灵活适配多维度的细粒度安全域划分，实施多元化的安全防护策略，能有效对抗高级网络攻击和窃密手段，具备攻击前准确预测、攻击中精确检测和联动安全响应防护能力。

1相关研究工作

《电视技术》编辑部对在开放的网络环境中如何保障安全播出的问题进行了研究，从安全播出的现状，威胁安全播出的因素，技术应对策略和管理应对策略等方面进行了阐述。刘娜对电视播控系统中存在的信息安全的重要性进行了分析，深入研究了恶意软件和网络攻击对播控系统的危害，并给出了相关解决方案。陆肖元等人对下一代广电网络网管系统的发展进行了研究，分析了广电网网管发展的主要需求，提出了适合广电网的三层管理模型，并设计了基于Web技术的集成融合网管。

在安全域模型研究方面，Raimundas？Matulevi？ius等人在2017年提出了一种信息系统安全威胁管理的域模型——ISSRM模型，该模型从安全威胁管理出发，依据信息资产、安全威胁、安全威胁防护策略、安全威胁响应等维度，可有效对网络安全域进行划分。

在多层次防护框架技术方面，Daesung？Moon等人在2015年提出了一种高级威胁检测方法，以网络各层次的安全相关日志为输入，对异常事件进行关联，融合各防护层次系统日志，检测APT等传统防护系统无法应对的高级威胁等。

2总体安全防护方案

基于大数据分析的广电网络多层次安全防护方案，利用细粒度域划分技术，将电视台的广电网络划分为若干安全域，实施与域业务及安全防护需求相匹配的多元化需求的安全访问和防护策略；其次，系统采用多层次的防护技术，针对不同的安全域和防护目标，部署如边界防护、入侵检测、授权认证、安全审计等多种安全技术手段和设备，并通过安全管理中心有效协调联动各安全设备；此外，在各网络位置部署安全相关日志采集器，采集各网络