引言
随着“数字孪生流域”“智慧水利”等国家工程的全面推进,水利行业已构建起涵盖水情测报、工控调度、视频监控、政务云等多业务融合的大型信息基础设施。各类传感器、PLC、边缘网关每日产生亿级日志数据,成为掌握全网安全态势的关键战略资源。然而,日志的多源异构、高噪声、高重复特性,导致基于传统SOC/SIEM平台告警疲劳严重,平台日均新增待研判安全事件超过8万条,基层安全人员疲于处置,真正的APT级攻击反而被淹没在海量误报之中。水利系统一旦遭受入侵,不仅可能造成工控设备误动作、水质监测数据被篡改,甚至引发城市供水瘫痪或下游洪灾误判,社会影响和生命财产损失不可估量。因此,研究面向水利业务场景的高精度日志降噪与攻击源评分方法,实现百万条安全事件到几十条高置信度攻击IP的跃迁,是提升行业级安全运营效率、保障国家水安全的迫切现实需求。水利网络中已经部署了网络安全一体化运营保障平台,该平台能够接收APT检测系统、日志审计系统、应用系统、堡垒机等多种安全产品的日志数据,经过多源异构信息处理,形成统一格式的包括SQL注入、XSS攻击、病毒传播、系统漏洞利用等共168种类型的攻击日志,日均日志量超过500万条。平台以大规模日志智能处理及安全事件溯源分析为核心目标,构建了从数据采集、实时处理到威胁识别与联动防御的闭环体系,为水利行业网络安全运营提供了基础支撑。但是在实际应用中,其在集中分析与智能研判能力方面仍面临提升瓶颈,亟待进一步优化。针对目前日志规模的急剧增长,大量冗余、误报及噪声数据的存在,安全分析人员面临高负载与高误判率双重挑战。本文提出了一种高噪声日志攻击源识别方法,该方法利用基于多维规则的攻击源IP动态评分模型完成攻击源IP的识别,然后针对识别的攻击源IP,映射为“攻击源IP-事件类型-目标资产IP-时间戳”四元语义网络,构建攻击事件图谱,还原完整攻击链,在水利场景实现跨区域、跨业务系统的图谱化溯源。该系统可融合到网络安全一体化运营保障平台或SOC/SIEM等平台,大幅降低人工研判工作量,提高关键业务系统的网络安全应急响应能力和防御能力。
本文详细内容请下载:
http://www.chinaaet.com/resource/share/2000006928
作者信息:
高原1,2, 汪辰瑞1,3
(1.安徽省水科学与智慧水利重点实验室,安徽合肥230091;
2.安徽省大禹水利工程科技有限公司,安徽合肥230088;
3.安徽省建筑工程质量监督检测站有限公司,安徽合肥230088)
