事件理解引擎将归并后的日志，基于一定的事件理解规则，进行关联分析，将日志理解为安全事件，提高告警准确性，并降低日志量。

过去服务人员通过手动的形式，将各种安全日志进行关联分析，分析出事件，现在，我们将过去积累的东西，抽象成分析模型，并将分析模型在Spark-streaming中进行代码实现，从而完成了从过去的安全服务分析，到现在的大数据智能化分析方案。

图 2.2 事件理解引擎

攻击链模型设计

攻击链分析模型通过分析各个网络安全设备收集的安全日志和流量日志生成网络安全事件，进行正反双向推理，正向推理预警潜在威胁，反向推理还原攻击情景。

攻击链挖掘程序在网络安全事件的基础之上，按照目的资产的维度将各个安全事件进行聚合，并对应到攻击链的各个阶段，从而发现当前网络中的脆弱主机。网络安全管理员通过分析攻击链的结果，可以了解整个网络当前的安全态势，并且有针对性的对脆弱资产进行加固，提升网络的安全性和抗攻击能力。

图 2.3 攻击链模型

情报关联模型设计

通过云端情报与本地事件的关联分析，大幅度提高安全事件告警准确度，并能够基于云端情报信息，实现潜在威胁报警。

云端情报，能够给企业端分析引擎提供知识库输入，如恶意IP、恶意URL等，安全日志经过分析引擎时，与知识库进行匹配，将日志打上标签，产生安全事件，事件再上传到云端情报，进行情报验证，提高分析准确性，此外，查询云端情报中恶意IP信息，分析恶意IP其他攻击行为，并反馈，实现预警功能。

情报预警预警事件分析引擎事件分析事件知识库提供事件上传云端情报情报验证验证后事件

图 2.4 情报关联分析

风险评估模型设计

外部威胁、系统脆弱性，都会为资产带来风险，我们通过风险评估模型，将外部威胁、资产脆弱性，结合资产价值，进行风险评估，通过风险评估，得到风险计分，基于风险评分，产生处置方式的决策，进行脆弱性修补，威胁阻断。

系统对整个系统的风险进行评估，针对每个资产，都会对其外部发起的一些安全事件，如入侵事件、异常流量事件、僵木蠕事件等作为威胁进行评分；又会对其内部自身的一些脆弱性，如系统漏洞、网站安全等进行评分。最后，再结合资产价值，进行综合分析，得出基于资产组、业务域乃至整个系统的安全评分。

脆弱性存在资产破坏威胁阻止

修复产生风险风险评估风险计分决策处置方式

图 2.5 风险评估模型

2.1.4 安全态势感知

基于上述大数据安全体系、及安全分析模型，实现了基于大数据的安全态势感知系统。

系统采用大数据挖掘思路进行挖掘分析，通过收集各种网络安全数据，并通过大数据平台进行分析，结合威胁情报进行关联，再基于可视化技术，实现网络安全态势感知呈现。

图 2.6 大数据挖掘分析

系统可以针对整体范围或某一特定时间与环境，基于这样的条件进行因素理解与分析，最终形成历史的整体态势以及对未来短期的预测。通过态势分析能够很好的洞察企业内部整体安全状态，通过量化的评判指标能够直观的理解当前态势情况。

3. 结语

大数据为我们带来了巨大的财富，同样带来了巨大的安全挑战。为了应对这些安全挑战，我们不能仅在表面做文章，需要做到纵深防御、全面防护，建立多层塔防式防御体系，层层保护业务的安全运行, 滴水不漏；需要形成一套安全大数

据防护平台的方法论，建立基于大数据的安全态势感知，以不变应万变；还需要做到能够基于各种业务场景下的大数据应用，形成可以实际落地的安全解决方案，满足企业多样化安全需求。

参考文献

[1] CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Model (Second Draft) 2012 [2] Continuous Asset Evaluation, Situational Awareness, and Risk Scoring Reference Architecture Report(CAESARS) Version 1.8 September 2010

[3] 美国网络空间态势感知预警防护体系建设. 肖岩军、张旭. 北京：保密科学技术，2015

[4] 大数据时代的美国信息网络安全新战略分析[J]. 陈明奇,姜禾,张娟,廖方宇 信息网络安全. 2012(08)