行业分析|安防大数据系统网络安全态势与应对之道

一、绪论

安防大数据时代在视频监控方面首先体现在高清化、高帧率化、存储效率化集中化、高像素化和处理效率化规模化以及对数据安全的要求也有明显的升高趋势。随着安全防护行业应用的场景越来越复杂，其技术架构、产品体系和应用部署等早已突破传统的视频监控系统范畴，以便解决很多现在的传统系统已经无法解决的问题，对视频数据的传输和存储的安全性也提出了新的挑战。在政府倡导的平安城市、智慧城市建设逐步推进进程中，例如公安指挥调度、智慧城管、智慧环保、智能交通等各种行业的多级联动应用也在不断的开发中，并且开始进入试验深水区，这些都迫切需要在新时代的发展中找到一个合理有效的解决安全防护行业所面临的问题的方法。

在技术架构上，大数据来源于信息技术和通信技术，在大数据基础上的安全防护技术也已走出独立自我发展的阶段，逐渐地融合了信息技术、通信技术、以及信息通信技术并为之所用。比如分布式组网、终端与服务器模式、网络协同等，以及数据采集、数据存储、数据分析和数据挖掘等信息技术被越来越深地应用到传统的安全防护技术中，通过这些技术在安全防护产品上地整合，我们可以找到在大数据时代下的安全防护产业的发展道路。

在安全风险上，当前大数据的蓬勃发展需要重点关注其安全风险问题。主要体现在两个方面，一个是数据的集中存储带来的安全风险。另一个视频数据的传输和采集面临的安全风险。

放眼目前的整体网络环境针对大数据系统的网络攻击行为具有分布性、规模性和复杂性等特点，传统的单一网络安全防护技术例如防火墙、入侵检测、病毒防护、访问控制等等已经无法有效的应付这些攻击。

所以为了提高大数据网络的安全防护能力，我们应该采用新技术有针对性地检测网络中的异常事件，并且事前开展自动评估，实时掌握网络安全网络的风险状况，从而将安全风险尽量扼杀在萌芽阶段。这种网络安全态势感知的新技术可以综合各个方面的安全因素，动态地反映网络的整体状态，并对网络安全的发展趋势给出预测和预警。大规模网络安全态势感知技术深深植根于大数据技术特有的海量存储，并行计算，高效查询等特点中，通过对数量庞大的网络日志等信息进行自动数据分析和深度挖掘处理，可以对网络的安全状态进行分析和评价，感知到网络异常事件与整体安全趋势，这些为安全防护技术带来了突破。

二、安防产品的更新迭代推进安防进入大数据时代

在新的应用需求面前，前端摄像头的像素从130万，200万发展到500万，800万，1200万甚至更高，产品种类也越来越多，这些更高像素的前端摄像头监控设备能够获取更广泛的整体视野和更细致的局部细节。比如在智能交通中如果使用200万高清摄像机，那么4~6车道，以及整个道路的画面都可以监控得到。较高的像素会产生非常多的海量数据，这些数据需要高性能的处理器来处理，也需要设计各种非结构化的数据来优化存储和快速检索。高帧速率的监控设备产品，如1080@60fps，甚至1080p@120fps的前端摄像头设备被使用在公路、铁路、轨道交通等特殊场合中，以便可以清晰地检测高速运动的物体，同时其记录数据量也成指数般的增长，例如像素为1080p时，帧率60fps产生的数据就相当于400万倍帧率30fps产生的数据。然而实际应用中超高清视频需要4K甚至8K的更高像素，同时也需求如H.265一样更新的编解码算法，以便在监视过程中体现更多的细节，这些都导致了前端摄像头设备产品更新换代的频率加快，其所采集的数据量也远超过传统时期所需求的数据量。综上所述，大数据时代进入安全防护阶段是前端设备不断更新换代的需要。

三、平安城市的深化、智慧城市的建设推进安防进入大数据时代

平安城市发展到今天，不仅是社会安全的需要，也成为智慧城市逐步应用过程中的一个重要部分，也就是说在建设大量的安全监控设备的需求下，平安城市建设和智慧城市联动发展所需的其他系统，才能真正实现对智慧城市的各种智慧应用，包括城市的犯罪预防和控制，联动智能交通、水利、环保、城市管理、医疗学校，等等。这就需要对视频采集设备、感应报警设备、定位设备和传输网络设备如RFID等物联网设备进行数据采集，由于多个数据连接所产生的数据量大大超过了平安城市系统的性能，如数据存储、网络、智能检索等。因此，数据统一存储的建设需要一个完整统一的云计算平台、云存储平台和云平台分析平台，分析和存储所有数据，从而为数据挖掘等高效集成服务的应用提供数据。

所以从应用的角度看，安全在安全城市中的应用已经进入深水区，使得大数据时代的到来在安全上不是一种趋势，而是一种发展的需要。在此基础上，更好地整合安全产品和ICT技术需要一个更好的框架来实现，VSaaS视频监控云应运而生。利用云计算的架构，实现数据的集中存储，负载均衡技术实现存储平衡传输，通过分布式计算可以大大提高分析数据的能力和性能，通过文件技术实现快速检索和多个数据中的应用进行关联。

VSaaS不是一个新的架构。它需要与安全城市现有设备同步升级。它既可以取代现有设备，又可以直接升级到新建区域。一个真正以VSaaS框架实现的方案，可以同时解决接入问题和前端数据采集问题，如模拟监控摄像机大量部署和访问，DVR或NVR与编码器的接入，还需要面对用户的各种需求，还需要使用集中式的服务器集群来解决存储和计算的问题，云计算平台的一种有效的运行和管理是实现视频设备可靠性设备管理和维护监控框架必不可少的，如不需要人工干预来实现设备软件自动升级、用户终端设备自动升级等。同时通过VSaaS云存储平台、云管理平台和集中处理平台进行管理，在该框架下的云计算和云转码操作可以实现大规模视频监控的需要，基于大数据的海量数据处理和存储，可以提供大规模的高清视频监控解决方案。云存储解决了现有嵌入式计算、智能分析、数据处理等性能瓶颈和大规模存储问题，未来应用领域非常广泛。

四、在安防大数据时代下数据安全的解决对策

海量的数据从产生到存储必然经历传输的过程，大规模的视频部署及传输，带来的安全管控问题成几何倍数的增长，通过外露的摄像头接入线路可以直接入侵内部网络，甚至对核心数据发起攻击，面对这种问题我们对视频传输提出了新的需求：

前端摄像机由于数量众多，个体抵挡黑客非法攻击的能力较弱，因此存在伪造终端接入、木马注入、病毒注入等风险，从而海量前端容易被当做DDOS攻击的来源。因此有必要对前端摄像机做基本的安全加固和信息安全监管，并实时监管正在运行的进程，如发现异常进程则进行下线处理。

视频专网网络规模庞大、网络分支较多、网络摄像头(IPC)接入地理位置十分分散、人为监管困难等，导致现在视频专网在运行时在网络摄像头等设备的安全接入控制方面存在较大的安全风险。前端摄像头只需要设置一个IP地址就可以直接连接到视频监控专网中。因此，如果非法入侵者擅自更换视频专网设备，就能扫描专网内的所有设备实现网络的入侵和非法数据的访问。

视频专网要求安全设备具备与网络设备匹配的性能、组网能力、可靠性和扩展性，从而安全设备不会成为网络瓶颈，而传统安全产品的硬件及软件架构和网络差异性较大，无法较好的适配网络，因此无法满足视频专网的部署要求。功能上，传统的基于IP和MAC绑定的准入技术很容易被伪造，也无法达到高等级的安全要求。

综上，加强技术手段建设，公共区域视频摄像头通过视频准入系统后进入视频专网，只允许授信终端接入、只允许专网网络承载视频数据，其他数据一概屏蔽，保证网络前端边界安全可控。同时防范非法私接，非法私接需及时告警，做到设备可知、入网可信、边界可控。

针对这些问题，我们需要在系统中部署强大的边界准入安全防护系统解决这些问题，通过只允许合法视频流及控制信令以及可识别传输数据的L4-7层内容，只允许授权的视频监控业务数据流及控制信令进入视频监控系统，禁止其他非法数据接入，即使黑客伪装MAC/IP也无效。该功能可以和MAC地址认证或IP地址认证同时使用，实现接入边界的双重保障。

通过主动扫描、被动监听和手动设置等手段采集视频专网中的资产信息，包括视频监控设备、PC设备、服务器等，并进行分类统计，建立资产库。同时，可以定期扫描视频专网中的设备，并与资产库进行对比，及时发现异常设备并告警，对合法设备纳入资产库，对非法设备进行处置。

准入控制系统需支持基本的可靠性功能(如VRRP、双机热备、静默双机等)，还需具备多虚一的虚拟化能力，通过虚拟化技术可实现双设备性能叠加，同时实现机框间状态备份，切换时用户无感知。

系统需提升使用体验，满足可视化的需求。系统需有专用的可视化软件，各厂家流量、总体流量占比、非法私接等情况可在可视化平台上实时显示，使整个的安全状态一目了然。同时，系统需要对不同厂家接入终端的整体在线率情况进行监测与统计，并可查询每个接入终端的上线状态、在线状态、离线状态。

通过准入控制系统建立一张应用感知的网络，从L2-7层解析网络中传输的数据包内容，实现只允许授信终端合法接入，并且只允许授权的视频数据、语音数据、控制信令等在网络中传输，其他数据一概屏蔽，保证网络的安全可控。

同时，大数据带来的是视频数据的集中存储。集中存储后的数据必然带来相应的安全风险。安防数据的敏感度、重要性和安全级别都很高。以目前网络安全的现状来看，在高风险的情况下网络攻击频发，目标主要是全国公共网络基础设施的重要信息系统、移动终端和国计民生的重要系统。攻击方式包括病毒、木马、漏洞、攻击流量和其他类型的攻击，攻击门槛不断降低，攻击手段更为广泛、复杂和多样。攻击范围扩大为全省甚至全国，带动全局利益。在这一阶段面对这种复杂的安全攻防形势，国内各监管机构也在逐步深化安全等级保护和其他遵约制度的实施。在完成各种安全设备部署后，却仅仅实现了被动防御。此时用户开始考虑更深层次的问题：

1)主动检测安全风险的问题是什么，系统能够识别和检测未知威胁的云吗?早期威胁警报能否实现?

2)多设备协同保护的问题是什么，它能实现快速响应和跟踪攻击路径的来源吗?

3)安全防御体系建设与安全情报共享相结合的问题，可以结合安全信息实现对两种攻击的分析和挖掘吗?用户行为和流量趋势是否能够准确地检测并判断为异常?

4)简化操作维护管理的问题，企业能否实现安全合规性的定期自我检测能力?海量设备能在云中实现智能配置管理和故障诊断吗?

在这种情况下，安全形势意识应运而生。

网络安全态势感知是通过数据融合、数据挖掘、智能分析和可视化等手段，直观地显示网络环境的实时安全状况，为网络安全提供安全保障。在网络安全态势感知的帮助，管理者能够及时了解网络攻击，攻击源和服务容易受到攻击和攻击类型等。通过网络测量，网络用户可以清楚地掌握网络安全的现状和发展趋势，进而预防和引起网络病毒和恶意攻击减少损失。应急反应组织也可以从网络安全状况了解服务网络的安全状况和发展趋势，为制定主动应急预案提供依据。

网络安全态势感知的主要任务包括风险感知和事件感知。风险感知包括网络资产的脆弱性感知和认知，网络资产风险感知是指自动感知、快速查找、收集大量网络资产分布、更新和属性信息;网络脆弱性是网络脆弱性分析和发现以及身份管理的脆弱性分析。网络脆弱性包括无形的脆弱性和明显的脆弱性。事件感知主要包括安全事件感知和异常行为感知。安全事件感知是指确定安全事件发生的时间、地点、原因、过程和结果。异常行为感知是指通过异常行为识别风险，弥补无形弱点和未知安全事件的发现，其主要目标是感知未知的攻击。

网络安全态势感知基于多源日志安全设备收集，各种海量数据的多样性检测方法和事件报告机制而的产生的，基于原始的日志信息分析，有大量的冗余和错误等缺陷，不作为直接信息意识的来源，必须进行相关分析和数据处理一体化。哪些技术可以用来快速分析和处理这些海量和多样的数据格式?大数据的出现，扩展了计算和存储资源，大数据有其自身的多样性，支持多种类型的数据格式，海量的数据存储和快速处理的速度三个特征，恰好是基于多源日志的网络安全态势感知所需的分析处理。多类型数据格式的数据模型、日志数据可以为更多类型的网络安全态势感知提供服务。其中包括网络和安全设备，对网络运行日志、信息、服务、维护的日志记录应用;大数据环境下的数据存储为态势感知提供海量日志存储的技术支持;大数据的快速处理为态势感知提供高速网络安全深度分析的技术支持，为高智能算法提供的计算资源。因此，我们利用大数据提供的基本平台和大数据处理的技术对网络安全态势的分析和处理提供的全面的实现条件。

关联分析。网络中的防火墙日志和入侵检测日志都是对进入网络的安全事件的流量的刻画，针对某一个可能的攻击事件，会产生大量的日志和相关报警记录，这些记录存在着很多的冗余和关联，因此首先要对得到的原始日志进行单源上的关联分析，把海量的原始日志转换为直观的、能够为人所理解的、可能对网络造成危害的安全事件。基于多源日志的网络安全态势感知采用基于相似度的报警关联，可以较好地控制关联后的报警数量，有利于减少复杂度。其处理过程是：首先提取报警日志中的主要属性，形成原始报警;再通过重复报警聚合，生成聚合报警;对聚合报警的各个属性定义相似度的计算方法，并分配权重;计算两个聚合报警的相似度，通过与相似度阀值的比较，来决定是否对聚合报警进行超报警;最终输出属于同一类报警的地址范围和报警信息，生成安全事件。

融合分析。多源日志存在冗余性、互补性等特点，态势感知借助数据融合技术，能够使得多个数据源之间取长补短，从而为感知过程提供保障，以便更准确地生成安全态势。经过单源日志报警关联过程，分别得到各自的安全事件。而对于来自防火墙和入侵检测日志的多源安全事件，采用D-S证据理论(由Dempster于1967年提出，后由Shafer于1976年加以推广和发展而得名)方法进行融合判别，对安全事件的可信度进行评估，进一步提高准确率，减少误报。D-S证据理论应用到安全事件融合的基本思路：首先研究一种切实可行的初始信任分配方法，对防火墙和入侵检测分配信息度函数;然后通过D-S的合成规则，得到融合之后的安全事件的可信度。

态势要素分析。通过对网络入口处安全设备日志的安全分析，得到的只是进入目标网络的可能的攻击信息，而真正对网络安全状况产生决定性影响的安全事件，则需要通过综合分析攻击知识库和具体的网络环境进行最终确认。主要分为三个步骤：一是通过对大量网络攻击实例的研究，得到可用的攻击知识库，主要包括各种网络攻击的原理、特点，以及它们的作用环境等;二是分析关键主机上存在的系统漏洞和承载的服务的可能漏洞，建立当前网络环境的漏洞知识库，分析当前网络环境的拓扑结构、性能指标等，得到网络环境知识库;三是通过漏洞知识库来确认安全事件的有效性，也即对当前网络产生影响的网络攻击事件。在网络安全事件生成和攻击事件确认的过程中，提取出用于对整个网络安全态势进行评估的态势要素，主要包括整个网络面临的安全威胁、分支网络面临的安全威胁、主机受到的安全威胁以及这些威胁的程度等。

利用态势感知技术，可以有效的从海量数据中甄别出潜在的安全威胁并提取关键特征，掌控全网安全态势，提前预警安全风险。在异常行为分析预测过程中，围绕网络流量、行为、外部情报等数据，利用数学建模、机器学习、关联挖掘等核心技术，为每个行为进行精确画像，建立用户行为模型和行为基线。利用安全云平台，实现智能化安全运维是提升运维效率的有效手段。在满足简易化运维的基础上，还可以对VSAAS服务提供技术支撑。通过访问关系分析、路径分析、合规分析、变更分析等环节，实现安全策略的生命周期闭环且可视化。最终实现安防数据在大数据时代下的保驾护航。

五、结语

在大数据时代，传统的安全防护产品厂商为了满足新时代的安全监控高清化、网络化、高感知化等应用问题和技术问题，他们在产品升级换代时都逐步深入的融合信息通信技术。此外传统的信息通信技术厂商，如华为、H3C等，也携带自身在信息通信技术和经验的优势基础上，积极的拥抱安全防护产品，同时为安全防护行业注入新鲜的血液，并逐步发展为该行业的核心技术。

在大数据时代的安全防护技术，除开信息通信技术作为解决当前面临安全问题的技术和方案，云计算也是另外一个技术和解决方案。而且如果从基于物联网集成发展方向的应用前景、实施部署和技术实现来看，应该优先选择云计算技术。

在大数据时代，在利用边界安全准入系统保证大规模数据传输安全的同时，利用态势感知系统作为传统安全防护技术与信息通信技术深度融合发展起来的新技术，通过对已知安全风险和未知安全风险的多维度分析和可视化显示，以及对安全风险的趋势分析和安全风险异常行为预测等，获得非常良好的整体数据安全体验。另外在此基础上加上对云运算的设计实现，对安全合规专业的自我检查，对系统视频数据的安全加固完善，真切的实现了对数据的安全性“主动发现，协同防御、感知安全、预知未来”。