金融機(jī)構(gòu)網(wǎng)絡(luò)流量安全分析系統(tǒng)架構(gòu)設(shè)計(jì)與應(yīng)用實(shí)踐

隨著網(wǎng)絡(luò)和信息化、智能化技術(shù)的飛速發(fā)展，黑客破壞、數(shù)據(jù)篡改、信息泄露、間諜軟件等網(wǎng)絡(luò)攻擊事件層出不窮，網(wǎng)絡(luò)安全形勢(shì)正變得愈發(fā)嚴(yán)峻。當(dāng)前，金融業(yè)應(yīng)用和業(yè)務(wù)復(fù)雜多變，自身網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，安全防御措施存在數(shù)據(jù)過(guò)載和失真問(wèn)題。此外，由于大量基于規(guī)則的檢測(cè)技術(shù)本身存在滯后屬性，導(dǎo)致以“被動(dòng)防護(hù)”“平衡風(fēng)險(xiǎn)”“適度安全”為主的傳統(tǒng)網(wǎng)絡(luò)安全防御措施受到挑戰(zhàn)，難以適應(yīng)業(yè)務(wù)發(fā)展與監(jiān)管的新要求。Gartner和CBInsights

的分析表明，網(wǎng)絡(luò)流量分析（NetworkTrafficAnalysis，NTA）技術(shù)是目前網(wǎng)絡(luò)安全監(jiān)測(cè)的重要技術(shù)發(fā)展方向，基于NTA技術(shù)的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)將不同的威脅檢測(cè)重點(diǎn)和功能進(jìn)行融合，既可以解決傳統(tǒng)監(jiān)測(cè)手段的瓶頸問(wèn)題，又可以擴(kuò)展實(shí)現(xiàn)更多復(fù)雜的安全分析需求，具有重要的實(shí)用價(jià)值和現(xiàn)實(shí)意義。金融機(jī)構(gòu)在實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)的過(guò)程中，業(yè)務(wù)系統(tǒng)不斷集中、數(shù)據(jù)規(guī)模不斷增大，同時(shí)高級(jí)持續(xù)性威脅分析數(shù)據(jù)源存儲(chǔ)周期跨度變廣、分析時(shí)效要求也在逐步提高，針對(duì)這些情況，需要保障安全威脅檢測(cè)的及時(shí)性、有效性和可回溯性。本文結(jié)合NTA技術(shù)的特點(diǎn)，提出了一種以大數(shù)據(jù)技術(shù)為基礎(chǔ)，融入人工智能、數(shù)據(jù)挖掘的網(wǎng)絡(luò)流量安全監(jiān)測(cè)體系設(shè)計(jì)方法，并依托金融機(jī)構(gòu)特有的網(wǎng)絡(luò)環(huán)境和安全監(jiān)測(cè)需求，構(gòu)建出新一代以安全分析為核心的威脅檢測(cè)分析系統(tǒng)。該系統(tǒng)能夠采集、處理、轉(zhuǎn)換和存儲(chǔ)大規(guī)模實(shí)時(shí)流量協(xié)議數(shù)據(jù)，提高大規(guī)模網(wǎng)絡(luò)安全監(jiān)測(cè)信息集中處理的效率，有效應(yīng)對(duì)新形勢(shì)下復(fù)雜、動(dòng)態(tài)、隱蔽的網(wǎng)絡(luò)攻擊。1系統(tǒng)架構(gòu)設(shè)計(jì)1.1整體架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)流量安全分析系統(tǒng)在架構(gòu)上主要分為兩個(gè)部分，即大數(shù)據(jù)處理子系統(tǒng)和安全檢測(cè)分析子系統(tǒng)。1.1.1大數(shù)據(jù)處理子系統(tǒng)大數(shù)據(jù)處理子系統(tǒng)基于大數(shù)據(jù)處理平臺(tái)，主要負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行采集、傳輸、處理與存儲(chǔ)。通過(guò)采集實(shí)時(shí)鏡像流量，將數(shù)據(jù)按照不同協(xié)議進(jìn)行深度解析并歸一化處理，最后經(jīng)過(guò)統(tǒng)一的消息隊(duì)列將數(shù)據(jù)存入數(shù)據(jù)倉(cāng)庫(kù)。大數(shù)據(jù)處理子系統(tǒng)架構(gòu)如圖1所示。圖1大數(shù)據(jù)處理子系統(tǒng)架構(gòu)（1）流量采集。對(duì)網(wǎng)絡(luò)流量進(jìn)行數(shù)據(jù)包捕獲、協(xié)議識(shí)別解析及元數(shù)據(jù)提取，形成原始流量數(shù)據(jù)。（2）數(shù)據(jù)處理。對(duì)原始流量數(shù)據(jù)進(jìn)行處理，包括標(biāo)簽豐富、數(shù)據(jù)轉(zhuǎn)換，最后進(jìn)行歸一化處理，并對(duì)流量數(shù)據(jù)中的文件進(jìn)行捕獲提取。（3）消息隊(duì)列。將經(jīng)過(guò)處理的流量數(shù)據(jù)傳遞給消息隊(duì)列，系統(tǒng)其他組件通過(guò)消息隊(duì)列獲取數(shù)據(jù)。（4）數(shù)據(jù)存儲(chǔ)。將消息隊(duì)列中的原始流量數(shù)據(jù)、歸一化后的協(xié)議數(shù)據(jù)、文件存入數(shù)據(jù)冷、熱倉(cāng)庫(kù)中。1.1.2安全檢測(cè)分析子系統(tǒng)大數(shù)據(jù)處理子系統(tǒng)將數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)倉(cāng)庫(kù)的同時(shí)，也將數(shù)據(jù)傳遞給安全檢測(cè)分析子系統(tǒng)進(jìn)行檢測(cè)與分析，主要包括安全檢測(cè)、安全分析、數(shù)據(jù)存儲(chǔ)、展示平臺(tái)等功能模塊。安全檢測(cè)分析子系統(tǒng)架構(gòu)如圖2所示。（1）安全檢測(cè)。從消息隊(duì)列獲取結(jié)構(gòu)化流量數(shù)據(jù)并進(jìn)行簽名規(guī)則（特征）檢測(cè)、高級(jí)統(tǒng)計(jì)分析檢測(cè)、機(jī)器學(xué)習(xí)模型檢測(cè)、關(guān)聯(lián)分析模型檢測(cè)、威脅情報(bào)匹配，產(chǎn)生相應(yīng)的風(fēng)險(xiǎn)告警事件。（2）安全分析。對(duì)歷史風(fēng)險(xiǎn)告警數(shù)據(jù)及實(shí)時(shí)結(jié)構(gòu)化流量數(shù)據(jù)進(jìn)行分析與處理，實(shí)現(xiàn)高級(jí)安全問(wèn)題深度分析，包括數(shù)據(jù)統(tǒng)計(jì)與查詢、調(diào)查畫布、交互式分析、自定義模型、基線檔案等分析過(guò)程。（3）數(shù)據(jù)存儲(chǔ)。將前述步驟產(chǎn)生的數(shù)據(jù)按照不同的功能進(jìn)行存儲(chǔ)。告警事件存儲(chǔ)至數(shù)據(jù)搜索引擎，系統(tǒng)日志及配置數(shù)據(jù)存儲(chǔ)至關(guān)系數(shù)據(jù)庫(kù)，圖表類數(shù)據(jù)存儲(chǔ)至圖形化數(shù)據(jù)庫(kù)。（4）展示平臺(tái)。對(duì)最終的風(fēng)險(xiǎn)告警事件進(jìn)行可視化展示，同時(shí)提供豐富的數(shù)據(jù)查詢、索引接口以及儀表盤、系統(tǒng)管理信息。1.2流量采集與數(shù)據(jù)處理流量數(shù)據(jù)為整個(gè)系統(tǒng)的數(shù)據(jù)來(lái)源和入口，其采集是整個(gè)安全分析系統(tǒng)中最重要的環(huán)節(jié)之一。流量數(shù)據(jù)的安全檢測(cè)和分析功能要求數(shù)據(jù)結(jié)構(gòu)統(tǒng)一，以利于系統(tǒng)理解。本系統(tǒng)采用鏡像的分布式方式獲取完整的流量數(shù)據(jù)，并基于數(shù)據(jù)包捕獲、協(xié)議解析、元數(shù)據(jù)提取3個(gè)方面進(jìn)行采集處理。1.2.1數(shù)據(jù)包捕獲數(shù)據(jù)包捕獲亦稱全量數(shù)據(jù)包捕獲（Full

PacketCapture，F(xiàn)PC），是指對(duì)網(wǎng)絡(luò)流量以網(wǎng)絡(luò)數(shù)據(jù)包文件（PacketCapture，PCAP）等標(biāo)準(zhǔn)文件的格式進(jìn)行保存。由于攻擊事件發(fā)生后對(duì)事件的調(diào)查分析依賴歷史流量數(shù)據(jù)，因此需要對(duì)流量進(jìn)行完整記錄和保存，以便開(kāi)展后續(xù)的全流量回溯分析。安全分析系統(tǒng)在具備FPC功能的基礎(chǔ)上，增加數(shù)據(jù)包協(xié)議種類、大小、頭部字段等定制化選擇功能，用戶可以自主可控予以配置。1.2.2協(xié)議解析協(xié)議解析亦稱深度數(shù)據(jù)包解析（Deep

PacketInspection，DPI），是指對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)包按照開(kāi)放式系統(tǒng)互聯(lián)模型（OpenSystem

InterconnectionModel，OSI）網(wǎng)絡(luò)分層的第二層至第七層進(jìn)行完整解析。由于安全檢測(cè)和分析建立在協(xié)議數(shù)據(jù)可理解的基礎(chǔ)上，解析出的數(shù)據(jù)結(jié)構(gòu)會(huì)保持一致性以便進(jìn)行統(tǒng)一化處理。將從流量中提取的協(xié)議結(jié)構(gòu)化數(shù)據(jù)提交給消息隊(duì)列，供大數(shù)據(jù)處理子系統(tǒng)和安全檢測(cè)分析子系統(tǒng)獲取。同時(shí)，系統(tǒng)對(duì)特定時(shí)間段的結(jié)構(gòu)化協(xié)議數(shù)據(jù)（原始協(xié)議數(shù)據(jù)）予以存儲(chǔ)，供用戶在安全事件調(diào)查分析時(shí)使用；并將從不同應(yīng)用層協(xié)議傳輸中還原出來(lái)的文件進(jìn)行存儲(chǔ)，用于后續(xù)開(kāi)展基于文件的惡意樣本檢測(cè)。1.2.3元數(shù)據(jù)提取元數(shù)據(jù)提取亦稱會(huì)話數(shù)據(jù)采集，是指系統(tǒng)按照不同協(xié)議對(duì)IP數(shù)據(jù)流信息進(jìn)行元數(shù)據(jù)的提?。ㄈ缥逶M信息等），解析并記錄流量數(shù)據(jù)，將數(shù)據(jù)進(jìn)行歸一化后推送至消息隊(duì)列。會(huì)話數(shù)據(jù)可以用于掃描探測(cè)類事件檢測(cè)與處理，降低安全檢測(cè)分析子系統(tǒng)的壓力；也可用于網(wǎng)絡(luò)會(huì)話統(tǒng)計(jì)、流分析，表述網(wǎng)絡(luò)環(huán)境整體情況。IP數(shù)據(jù)流信息包括IP流信息輸出（IPFlowInformationExport，IPFIX）信息和網(wǎng)絡(luò)流量監(jiān)控（NetFlow）信息。1.3安全檢測(cè)與分析當(dāng)前，企業(yè)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的監(jiān)測(cè)大多基于服務(wù)器和網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。基于服務(wù)器的入侵檢測(cè)主要依靠審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性和完整性，若攻擊者設(shè)法逃避審計(jì)或進(jìn)行攻擊痕跡清理，將導(dǎo)致這種檢測(cè)方式失效。基于網(wǎng)絡(luò)的入侵檢測(cè)主要依靠特定的檢測(cè)規(guī)則，存在規(guī)則被繞過(guò)和無(wú)法調(diào)查溯源的弱點(diǎn)。傳統(tǒng)檢測(cè)設(shè)備無(wú)法有效存儲(chǔ)大量的事件日志和網(wǎng)絡(luò)日志，導(dǎo)致攻擊事件發(fā)生后難以有效取證，同時(shí)造成《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》[3]中相關(guān)規(guī)定難以落地。伴隨機(jī)器學(xué)習(xí)和人工智能技術(shù)的發(fā)展，入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全監(jiān)測(cè)和防御領(lǐng)域得到越來(lái)越廣泛的應(yīng)用，相關(guān)的理論體系和商業(yè)產(chǎn)品也不斷面世。基于機(jī)器學(xué)習(xí)和人工智能技術(shù)的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，能夠彌補(bǔ)傳統(tǒng)基于靜態(tài)簽名特征的檢測(cè)方式存在的短板，進(jìn)一步提高系統(tǒng)的安全檢測(cè)可靠性。例如，神經(jīng)網(wǎng)絡(luò)技術(shù)在分布式拒絕服務(wù)攻擊、蠕蟲病毒、垃圾郵件、僵尸網(wǎng)絡(luò)等多種威脅的檢測(cè)方法中具備較高的檢測(cè)效率和有效性?；诖?，本系統(tǒng)對(duì)分布采集來(lái)的數(shù)據(jù)進(jìn)行集中安全關(guān)聯(lián)檢測(cè)，分為5個(gè)方面，分別為簽名規(guī)則檢測(cè)、統(tǒng)計(jì)分析檢測(cè)、機(jī)器學(xué)習(xí)模型檢測(cè)、關(guān)聯(lián)分析模型檢測(cè)、威脅情報(bào)關(guān)聯(lián)匹配。在上述安全檢測(cè)的基礎(chǔ)上，系統(tǒng)提供對(duì)惡意攻擊事件和威脅行為的進(jìn)一步分析、調(diào)查功能，這部分主要包括協(xié)議數(shù)據(jù)統(tǒng)計(jì)與查詢、可視化告警事件調(diào)查、交互式安全分析。1.4數(shù)據(jù)存儲(chǔ)一套完整的安全分析系統(tǒng)需要具備對(duì)安全檢測(cè)分析子系統(tǒng)產(chǎn)生的結(jié)果數(shù)據(jù)、流量深度解析后的結(jié)構(gòu)化數(shù)據(jù)等多種數(shù)據(jù)進(jìn)行存儲(chǔ)的能力。本系統(tǒng)根據(jù)不同的數(shù)據(jù)需求場(chǎng)景集成了多種數(shù)據(jù)存儲(chǔ)方案。1.4.1分布式搜索引擎（數(shù)據(jù)庫(kù)）安全檢測(cè)分析子系統(tǒng)產(chǎn)生的大量安全告警事件需具備快速響應(yīng)、查詢和搜索的能力，針對(duì)這類數(shù)據(jù)的存儲(chǔ)，本系統(tǒng)選用了分布式搜索引擎，可以向用戶提供海量安全告警數(shù)據(jù)的快速檢索及熱數(shù)據(jù)（原始協(xié)議數(shù)據(jù)）的實(shí)時(shí)分析能力，提高系統(tǒng)的響應(yīng)能力和使用體驗(yàn)。1.4.2基于大數(shù)據(jù)平臺(tái)的數(shù)據(jù)倉(cāng)庫(kù)大數(shù)據(jù)處理子系統(tǒng)需要對(duì)歸一化后的原始協(xié)議數(shù)據(jù)進(jìn)行長(zhǎng)時(shí)間段的存儲(chǔ)，處理數(shù)據(jù)規(guī)模十分龐大，系統(tǒng)不僅需要存儲(chǔ)大規(guī)模數(shù)據(jù)，還需要實(shí)時(shí)安全檢測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)、基于歷史數(shù)據(jù)開(kāi)展規(guī)模訓(xùn)練等業(yè)務(wù)，因此本系統(tǒng)選用了基于大數(shù)據(jù)平臺(tái)的數(shù)據(jù)倉(cāng)庫(kù)，具備易擴(kuò)展和函數(shù)式編程的特點(diǎn)，對(duì)數(shù)據(jù)的離線分析具有較好的支持，這與安全檢測(cè)分析子系統(tǒng)的使用需求相吻合。1.4.3輕量關(guān)系型數(shù)據(jù)庫(kù)鑒于安全檢測(cè)分析子系統(tǒng)在展示安全告警事件時(shí)需存儲(chǔ)的用戶信息、風(fēng)險(xiǎn)描述信息、告警策略等數(shù)據(jù)之間存在相互關(guān)系且符合關(guān)系型數(shù)據(jù)庫(kù)特征，本系統(tǒng)選用了輕量關(guān)系型數(shù)據(jù)庫(kù)對(duì)其進(jìn)行存儲(chǔ)，具備數(shù)據(jù)更新開(kāi)銷小、數(shù)據(jù)一致性高的特點(diǎn)，能滿足系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行安全、可靠的復(fù)雜查詢需求。1.4.4圖形數(shù)據(jù)庫(kù)安全檢測(cè)分析子系統(tǒng)提供基于可視化的交互式分析能力，對(duì)于圖形化數(shù)據(jù)及圖關(guān)系數(shù)據(jù)具有較大的存儲(chǔ)需求，并且性能要求較高。目前，圖形數(shù)據(jù)庫(kù)得到廣泛運(yùn)用，其具有的快速圖形化數(shù)據(jù)存儲(chǔ)、檢索、處理能力可滿足分析系統(tǒng)使用需求。2關(guān)鍵檢測(cè)分析技術(shù)及應(yīng)用場(chǎng)景網(wǎng)絡(luò)流量安全分析系統(tǒng)的安全檢測(cè)分析能力主要體現(xiàn)在兩個(gè)方面，一是基礎(chǔ)安全能力，二是高級(jí)安全應(yīng)用能力?；A(chǔ)安全能力通過(guò)基于簽名規(guī)則、行為統(tǒng)計(jì)及智能模型的融合分析產(chǎn)生安全告警事件。高級(jí)安全應(yīng)用能力則是以安全告警事件為基礎(chǔ)，通過(guò)運(yùn)用科學(xué)的計(jì)算方法及可視化技術(shù)提供面向基線檔案、事件關(guān)聯(lián)分析、安全事件溯源等應(yīng)用的安全能力。2.1基于簽名規(guī)則的安全檢測(cè)技術(shù)本系統(tǒng)保留了傳統(tǒng)安全工具的檢測(cè)方式，利用簽名規(guī)則進(jìn)行分析檢測(cè)，包括網(wǎng)絡(luò)攻擊特征檢測(cè)、入侵指標(biāo)（IndicatorofCompromise，IoC）信標(biāo)檢測(cè)、超文本傳輸協(xié)議（HypertextTransferProtocol，HTTP）雙向內(nèi)容檢測(cè)等。由于能夠進(jìn)行快速地更新上線，簽名規(guī)則在漏洞爆發(fā)的第一時(shí)間可實(shí)現(xiàn)對(duì)攻擊行為的檢測(cè)和捕獲，避免檢測(cè)的滯后性。2.2基于統(tǒng)計(jì)分析的安全檢測(cè)技術(shù)對(duì)于一些復(fù)雜場(chǎng)景的惡意攻擊行為，難以通過(guò)單一的簽名規(guī)則實(shí)現(xiàn)檢測(cè)，需要借助統(tǒng)計(jì)分析技術(shù)進(jìn)行識(shí)別。基于統(tǒng)計(jì)分析的安全檢測(cè)技術(shù)通過(guò)對(duì)惡意行為予以統(tǒng)計(jì)，能夠有效識(shí)別離線特性的數(shù)據(jù)場(chǎng)景，彌補(bǔ)傳統(tǒng)簽名規(guī)則特征檢測(cè)的不足，實(shí)現(xiàn)對(duì)復(fù)雜行為的檢測(cè)?；诮y(tǒng)計(jì)分析的安全檢測(cè)技術(shù)流程如圖3所示。圖3基于統(tǒng)計(jì)分析的安全檢測(cè)技術(shù)流程本系統(tǒng)通過(guò)基于統(tǒng)計(jì)分析的安全檢測(cè)技術(shù)，在暴力破解、端口掃描等攻擊行為的檢測(cè)上得到較好的應(yīng)用效果，實(shí)現(xiàn)準(zhǔn)確識(shí)別。另外，系統(tǒng)使用統(tǒng)計(jì)分析技術(shù)從攻擊者視角建立攻擊畫像，進(jìn)一步協(xié)助安全管理人員進(jìn)行調(diào)查分析。下述為用于構(gòu)建惡意攻擊者用戶畫像的適配特征。（1）攻擊行為：暴力破解行為、掃描行為（通用型、組件型）、數(shù)據(jù)獲取、提權(quán)行為、高危端口掃描、主機(jī)存活掃描、地址解析協(xié)議網(wǎng)絡(luò)掃描等。（2）工具類型：攻擊者使用的工具特征、User-Agent信息。（3）活躍特征：攻擊者IP、攻擊活動(dòng)持續(xù)時(shí)長(zhǎng)。（4）資產(chǎn)信息：敏感文件、敏感數(shù)據(jù)。（5）協(xié)議行為統(tǒng)計(jì)：HTTP數(shù)據(jù)統(tǒng)計(jì)。2.3基于機(jī)器學(xué)習(xí)的安全模型檢測(cè)技術(shù)基于簽名規(guī)則的檢測(cè)方法與基于統(tǒng)計(jì)分析的檢測(cè)方法均依賴于靜態(tài)的固定特征、有限的簡(jiǎn)單攻擊行為模式，存在漏報(bào)和誤報(bào)的概率較大，無(wú)法預(yù)測(cè)相似的未知攻擊。為解決此問(wèn)題，本系統(tǒng)使用基于機(jī)器學(xué)習(xí)的安全模型檢測(cè)方法，通過(guò)學(xué)習(xí)惡意攻擊行為特征，實(shí)現(xiàn)對(duì)未知攻擊的精準(zhǔn)預(yù)測(cè)，在基線異常檢測(cè)（數(shù)據(jù)庫(kù)異常、資產(chǎn)異常、賬號(hào)異常等）、隱蔽隧道檢測(cè)、域名生成算法生成域名檢測(cè)、Web網(wǎng)絡(luò)后門木馬檢測(cè)等方面得到較好的應(yīng)用，對(duì)處于攻擊過(guò)程中的數(shù)據(jù)滲漏、系統(tǒng)控制階段具有顯著檢測(cè)效果?；跈C(jī)器學(xué)習(xí)的安全模型檢測(cè)方法主要包括在線實(shí)時(shí)檢測(cè)和離線檢測(cè)兩類。在線實(shí)時(shí)檢測(cè)是指通過(guò)已知特征進(jìn)行模型訓(xùn)練，利用可用模型直接對(duì)采集解析后的數(shù)據(jù)進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)識(shí)別，輸出對(duì)應(yīng)的安全告警事件，準(zhǔn)確性較高?；跈C(jī)器學(xué)習(xí)的安全模型檢測(cè)流程如圖4所示。離線檢測(cè)是指根據(jù)離線流量數(shù)據(jù)進(jìn)行自學(xué)習(xí)，通過(guò)對(duì)行為基線的特征學(xué)習(xí)，尋找數(shù)據(jù)中的異?，F(xiàn)象，如資產(chǎn)基線檔案異常檢測(cè)、結(jié)構(gòu)化查詢語(yǔ)言（StructuredQueryLanguage，SQL）基線檔案檢測(cè)模型等。以數(shù)據(jù)庫(kù)異常檢測(cè)模型為例，從離線原始協(xié)議數(shù)據(jù)中獲取SQL語(yǔ)句，經(jīng)過(guò)詞法分析、語(yǔ)法分析等技術(shù)形成SQL語(yǔ)法樹，再提取數(shù)據(jù)中的行為特征、結(jié)構(gòu)特征及規(guī)范語(yǔ)法樹特征入庫(kù)形成基線，設(shè)置學(xué)習(xí)次數(shù)，最后通過(guò)反復(fù)學(xué)習(xí)實(shí)現(xiàn)檔案模型。圖4基于機(jī)器學(xué)習(xí)的安全模型檢測(cè)流程2.4關(guān)聯(lián)分析模型檢測(cè)技術(shù)與威脅情報(bào)匹配通過(guò)特征、統(tǒng)計(jì)、模型檢測(cè)出的事件往往都是獨(dú)立的事件點(diǎn)，而這些事件的準(zhǔn)確性主要依賴于規(guī)則及模型的健壯性。本系統(tǒng)使用關(guān)聯(lián)分析模型檢測(cè)技術(shù)，采用由點(diǎn)及面的設(shè)計(jì)思路，將安全事件場(chǎng)景化，借助大數(shù)據(jù)平臺(tái)的計(jì)算效率，通過(guò)對(duì)不同檢測(cè)引擎產(chǎn)生的告警事件進(jìn)行快速組合串聯(lián)，具備有效檢測(cè)出特定攻擊場(chǎng)景下的完整攻擊事件及攻擊鏈的能力。同時(shí)，可以將攻擊事件中體現(xiàn)出的戰(zhàn)術(shù)點(diǎn)進(jìn)行劃分，并與MITREATT&CK攻擊矩陣進(jìn)行對(duì)應(yīng)展示，能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)的安全狀態(tài)提供科學(xué)有效的數(shù)據(jù)依據(jù)。本系統(tǒng)進(jìn)一步將威脅情報(bào)匹配納入關(guān)聯(lián)分析范疇，通過(guò)提取流量數(shù)據(jù)中的IoC信標(biāo)信息，與系統(tǒng)內(nèi)置的威脅情報(bào)庫(kù)信息比對(duì)進(jìn)行安全檢測(cè)。威脅情報(bào)數(shù)據(jù)采用結(jié)構(gòu)化威脅信息表達(dá)式的標(biāo)準(zhǔn)格式存儲(chǔ)，具備可擴(kuò)展和自動(dòng)化管理、應(yīng)用的特點(diǎn)。2.5數(shù)據(jù)可視化與交互式安全分析技術(shù)網(wǎng)絡(luò)安全可視化作為新興的交叉研究領(lǐng)域，為傳統(tǒng)的網(wǎng)絡(luò)安全數(shù)據(jù)分析方法注入了新的活力。海量的安全數(shù)據(jù)需要借助可視化交互式分析技術(shù)才能發(fā)揮更大的價(jià)值，使用戶能夠快速定位和理解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本系統(tǒng)通過(guò)交互式分析工具，可建立人與數(shù)據(jù)之間的圖像通信，借助人的視覺(jué)處理能力，進(jìn)一步提高分析人員的感知、分析和理解網(wǎng)絡(luò)安全問(wèn)題的能力。例如，基于IoC信標(biāo)數(shù)據(jù)可以建立協(xié)助安全管理人員調(diào)查分析的調(diào)查畫布。對(duì)于流量中出現(xiàn)的異常連接，結(jié)合金融機(jī)構(gòu)內(nèi)外部地址轉(zhuǎn)換頻多的特點(diǎn)，使用?；鶊D等圖形可有效體現(xiàn)異常連接的狀況，幫助安全人員快速確認(rèn)是否為有效攻擊。傳輸控制協(xié)議（TransmissionControlProtocol，TCP）建連關(guān)系如圖5所示。圖5傳輸控制協(xié)議建聯(lián)關(guān)系3系統(tǒng)部署與典型組網(wǎng)網(wǎng)絡(luò)流量安全分析系統(tǒng)主要分為流量采集服務(wù)器（Sensor）與安全檢測(cè)分析服務(wù)器集群兩部分。（1）流量采集服務(wù)器。通過(guò)旁路方式部署在網(wǎng)絡(luò)節(jié)點(diǎn)（路由器、交換機(jī)）處，對(duì)網(wǎng)絡(luò)流量進(jìn)行鏡像，同時(shí)識(shí)別