吳鵬，皇甫濤

（中國移動通信集團(tuán)重慶有限公司，重慶 401420）

1 網(wǎng)絡(luò)安全態(tài)勢感知定義及處理流程

網(wǎng)絡(luò)安全態(tài)勢感知定義：基于網(wǎng)絡(luò)安全態(tài)勢及安全日志記錄的檢測和分析，對未來某段時(shí)間內(nèi)的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行預(yù)測、預(yù)警及展示的安全技術(shù)。網(wǎng)絡(luò)態(tài)勢感知概念于1999年被TimBass等人首次提出，從建立網(wǎng)絡(luò)空間態(tài)勢感知框架，利用入侵檢測分布式傳感器實(shí)施數(shù)據(jù)融合，對網(wǎng)絡(luò)安全態(tài)勢實(shí)施評估，再不斷衍生出其它模型，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)、框架模型被不斷地改進(jìn)、細(xì)化和完善。

網(wǎng)絡(luò)安全態(tài)勢感知處理流程如圖1所示。

2 網(wǎng)絡(luò)安全態(tài)勢感知現(xiàn)狀

圖1 網(wǎng)絡(luò)安全態(tài)勢感知處理流程

網(wǎng)絡(luò)安全態(tài)勢感知作為安全研究領(lǐng)域新熱點(diǎn)之一，對網(wǎng)絡(luò)環(huán)境內(nèi)安全要素進(jìn)行采集、分析，并預(yù)測未來發(fā)展趨勢。網(wǎng)絡(luò)安全態(tài)勢感知已在數(shù)據(jù)融合、評估方法、體系結(jié)構(gòu)等領(lǐng)域取得相應(yīng)研究成果，但基本屬于理論學(xué)術(shù)層面偏多，實(shí)際應(yīng)用案例偏少。

隨著APT攻擊越發(fā)多樣化和復(fù)雜化，新常態(tài)下的安全威脅可利用的攻擊面越來越寬，可覆蓋網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、Web、APP等各種層面和應(yīng)用，依靠傳統(tǒng)入侵檢測提供的安全檢測信息難以滿足現(xiàn)階段需要，伴隨互聯(lián)網(wǎng)業(yè)務(wù)的多樣化、個(gè)性化發(fā)展，尤其是對于互聯(lián)網(wǎng)上新業(yè)務(wù)新技術(shù)的不斷應(yīng)用，更需要通過大數(shù)據(jù)分析方式來采集、分析并判斷或預(yù)測網(wǎng)絡(luò)威脅行為，更為直觀地給展現(xiàn)出APT攻擊的整個(gè)動態(tài)過程。

3 網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)研究

按照網(wǎng)絡(luò)安全態(tài)勢感知的實(shí)現(xiàn)步驟，分析每個(gè)流程，闡述當(dāng)前安全態(tài)勢感知的研究方法及關(guān)鍵技術(shù)。

3.1 網(wǎng)絡(luò)安全態(tài)勢的常用體系結(jié)構(gòu)

網(wǎng)絡(luò)安全態(tài)勢體系結(jié)構(gòu)主要有B-S、C-S、基于Agent的模型、基于云計(jì)算的感知模式等。

目前應(yīng)用較廣泛的是基于Agent的模型，具有異步計(jì)算、并行求解、動態(tài)執(zhí)行、智能化路由等優(yōu)點(diǎn)，可極大提高態(tài)勢感知的速度和效率。

基于云計(jì)算的網(wǎng)絡(luò)安全態(tài)勢感知模型，可有效解決網(wǎng)絡(luò)態(tài)勢信息生成準(zhǔn)確性低和節(jié)點(diǎn)處理能力不足的問題。云計(jì)算的并行計(jì)算方法和分布式文件存儲方法能很好解決大規(guī)模數(shù)據(jù)的高效處理及存儲問題。基于云計(jì)算的網(wǎng)絡(luò)安全態(tài)勢感知模型研究屬于本領(lǐng)域的新方向之一，從技術(shù)層面來講還處于研究階段。

3.2 基于APT攻擊鏈的網(wǎng)絡(luò)安全態(tài)勢體系結(jié)構(gòu)

從具體的內(nèi)容角度上講，我們將基于APT攻擊鏈的網(wǎng)絡(luò)安全態(tài)勢體系結(jié)構(gòu)的內(nèi)容分為3個(gè)方面。

（1）全新調(diào)整傳統(tǒng)漏洞、安全威脅的規(guī)則劃分維度，解決單一告警、單一事件無狀態(tài)統(tǒng)計(jì)的局面，起到重新按照事件劃分攻擊鏈的作用。

（2）采用數(shù)據(jù)處理中心或?qū)I(yè)云對規(guī)則新分類告警進(jìn)行日志分析，從大數(shù)據(jù)分析角度實(shí)現(xiàn)智能化處理。

（3）APT攻擊整個(gè)過程可分階段、動態(tài)化、直觀地予以展現(xiàn)。

3.3 基于APT攻擊鏈的數(shù)據(jù)采集技術(shù)

數(shù)據(jù)采集技術(shù)主要分為單一要素和多源數(shù)據(jù)，基于APT攻擊鏈的網(wǎng)絡(luò)安全態(tài)勢感知模型也屬于多源異質(zhì)融合的類型，通過部署IDS（入侵檢測系統(tǒng)）、防火墻、流量監(jiān)控、漏洞掃描器等網(wǎng)絡(luò)安全設(shè)備，融合多個(gè)類型的傳感器數(shù)據(jù)，采用被動收集網(wǎng)絡(luò)安全日志和主動獲取網(wǎng)絡(luò)配置信息相結(jié)合的方式，結(jié)合數(shù)據(jù)處理中心或?qū)I(yè)云端對各類數(shù)據(jù)進(jìn)行一系列融合處理，以實(shí)現(xiàn)大數(shù)據(jù)關(guān)聯(lián)分析。建立了具有攻擊行為、網(wǎng)絡(luò)安全服務(wù)和安全態(tài)勢3個(gè)層次的網(wǎng)絡(luò)安全態(tài)勢感知模型。

對于態(tài)勢感知而言，多數(shù)據(jù)源信息采集方式的感知誤差率小于單源采集方式，但其信息融合技術(shù)、數(shù)據(jù)處理的難度卻更大。當(dāng)前網(wǎng)絡(luò)安全態(tài)勢感知的數(shù)據(jù)采集來源主要有設(shè)備配置信息、設(shè)備運(yùn)行日志信息、安全工具警報(bào)信息及日志信息等。以上信息基本涵蓋全部所需的安全信息。有效要素選取和信息提取方式，對態(tài)勢感知研究將起到?jīng)Q定性作用。

為構(gòu)建新常態(tài)下的威脅感知態(tài)勢，結(jié)合海量數(shù)據(jù)的分析，形成以新規(guī)則為主導(dǎo)，以新分類為依據(jù)，以攻擊鏈為引領(lǐng)的新型網(wǎng)絡(luò)安全態(tài)勢感知分析模型；隨著網(wǎng)絡(luò)攻擊行為的變化、升級形成顛覆式的有狀態(tài)的攻擊行為檢測預(yù)警方案；以客觀的多元化的攻擊形態(tài)為基礎(chǔ)，徹底改變固有思維模式中的“一攻一報(bào)”的單點(diǎn)威脅告警模式，從大數(shù)據(jù)挖掘的角度出發(fā)，通過智能化的數(shù)據(jù)分析，真正超越傳統(tǒng)IDS檢測告警的形態(tài)，形成新常態(tài)下安全威脅感知態(tài)勢的解決思路。

3.4 基于APT攻擊鏈的數(shù)據(jù)預(yù)處理技術(shù)

數(shù)據(jù)預(yù)處理工作主要分為以下兩個(gè)方面。

（1）數(shù)據(jù)格式統(tǒng)一，將采集的所有不同類型的文件轉(zhuǎn)換為統(tǒng)一格式的文件或數(shù)據(jù)結(jié)構(gòu)。

（2）對轉(zhuǎn)換格式的數(shù)據(jù)進(jìn)行分析，在海量數(shù)據(jù)中排除與安全態(tài)勢感知無關(guān)的噪聲數(shù)據(jù)，將重復(fù)的屬性數(shù)據(jù)進(jìn)行合并，實(shí)現(xiàn)數(shù)據(jù)的合并和約減。針對APT攻擊鏈所引發(fā)出的海量攻擊信息，為達(dá)到及時(shí)、全面、高效的數(shù)據(jù)預(yù)處理，應(yīng)部署數(shù)據(jù)處理中心或?qū)I(yè)云端，并通過配置數(shù)據(jù)預(yù)處理策略來實(shí)施操作。

3.5 基于APT攻擊鏈的態(tài)勢評估

網(wǎng)絡(luò)安全態(tài)勢評估有兩層含義。

（1）對采集信息實(shí)施實(shí)時(shí)地?cái)?shù)據(jù)融合和關(guān)聯(lián)分析，及時(shí)有效展現(xiàn)網(wǎng)絡(luò)的實(shí)際運(yùn)行狀況。

（2）采取合理的技術(shù)及方式對歷史數(shù)據(jù)進(jìn)行分析，以預(yù)測潛在的網(wǎng)絡(luò)攻擊，即態(tài)勢預(yù)測。

針對APT攻擊鏈的構(gòu)建和威脅感知的效果，應(yīng)從不同層次、不同角度建立層次性指標(biāo)體系，細(xì)化各類指標(biāo)信息，層次化評估網(wǎng)絡(luò)安全態(tài)勢。為適應(yīng)新攻擊行為和攻擊手法將規(guī)則分為5個(gè)攻擊階段：探測掃描階段、滲透攻擊階段、攻陷入侵階段、安裝工具階段和惡意行為階段。

（1）探測掃描階段：包括了攻擊者在攻擊前對目標(biāo)的掃描，包括網(wǎng)絡(luò)掃描、系統(tǒng)掃描、端口、漏洞掃描等，掃描行為是攻擊入侵的前期準(zhǔn)備階段，通過信息收集，掌握目標(biāo)機(jī)器的系統(tǒng)，漏洞信息，對進(jìn)一步進(jìn)行入侵攻擊有事半功倍的效果。

（2）滲透攻擊階段：該階段是已經(jīng)對目標(biāo)機(jī)器做了掃描，或是直接對目標(biāo)機(jī)器進(jìn)行攻擊，包括利用棧、堆方面的漏洞，利用Web系統(tǒng)平臺方面的漏洞，邏輯配置錯(cuò)誤方面的漏洞，內(nèi)存破壞方面的漏洞等，對目標(biāo)主機(jī)發(fā)起攻擊。

（3）攻陷入侵階段：該階段表示了目標(biāo)主機(jī)已經(jīng)不被黑客成功攻陷，接下來攻擊者可以做他想做的事情，攻陷階段的表現(xiàn)形式如FTP登錄成功、Telnet猜測成功等。

（4）安裝工具階段：指在攻擊者成功進(jìn)入目標(biāo)主機(jī)后在目標(biāo)主機(jī)中安裝惡意軟件，木馬程序或是直接掛馬等，通過這些惡意的工具實(shí)現(xiàn)與黑客的控制鏈接，下載其它惡意軟件等。

（5）惡意行為階段：即攻擊者在目標(biāo)主機(jī)安裝完惡意軟件后，惡意軟件在目標(biāo)主機(jī)產(chǎn)生的惡意行為包括控制鏈接，對主機(jī)進(jìn)行惡意操作等。

新型規(guī)則攻擊分類如圖2所示。

圖2 新型規(guī)則攻擊分類

對應(yīng)以上各個(gè)階段建立的候選指標(biāo)，按層次、信息來源、需求提煉出宏觀性質(zhì)的二級綜合性指標(biāo)，有機(jī)組織原先設(shè)定的候選指標(biāo)并進(jìn)一步抽象，建立態(tài)勢感知的指標(biāo)體系。從攻擊目的、攻擊手段、漏洞信息等角度分別來進(jìn)一步指標(biāo)體系。

針對所建立的指標(biāo)體系，采用縱向數(shù)據(jù)融合和橫向信息關(guān)聯(lián)的方式，運(yùn)用一定的數(shù)學(xué)模型和先驗(yàn)知識進(jìn)行關(guān)聯(lián)分析和理解，給出一個(gè)可信的態(tài)勢值?？梢圆捎玫墓ぞ甙ㄘ惾~斯網(wǎng)絡(luò)理論、隱馬爾可夫模型、D-S證據(jù)理論、模糊邏輯等，采用多種評估相結(jié)合的方法，如利用模糊識別和D-S證據(jù)理論，較好地解決多樣本識別的不一致問題，有效地對識別結(jié)果進(jìn)行融合。

3.6 基于APT攻擊鏈的態(tài)勢預(yù)測

態(tài)勢預(yù)測是態(tài)勢評估的最后步驟，目前預(yù)測方法較多，如灰色理論、時(shí)間序列分析、神經(jīng)網(wǎng)絡(luò)和支持向量機(jī)等，很多技術(shù)和方法都是相輔相成的。

綜合APT攻擊鏈多樣性特點(diǎn)，以及網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法的優(yōu)缺點(diǎn)，采用多種預(yù)測方式相結(jié)合的方式對態(tài)勢進(jìn)行預(yù)測。對此提出一種支持向量機(jī)和神經(jīng)算法相結(jié)合的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。

利用支持向量機(jī)作為融合技術(shù)，能對基于APT安全感知模型的多源、多屬性信息進(jìn)行融合，從而產(chǎn)生對態(tài)勢的感知，結(jié)合神經(jīng)網(wǎng)絡(luò)方法，能進(jìn)一步完善對網(wǎng)絡(luò)安全態(tài)勢預(yù)測的精準(zhǔn)度。

3.7 基于APT攻擊鏈的態(tài)勢可視化

網(wǎng)絡(luò)安全態(tài)勢可視化，即利用可視化方式展現(xiàn)網(wǎng)絡(luò)當(dāng)前狀態(tài)和未來趨勢的一種技術(shù)，可更直觀地展示相關(guān)信息。可視化技術(shù)的3個(gè)重要要素是數(shù)據(jù)、設(shè)計(jì)和溝通?？梢暬夹g(shù)目前發(fā)展迅速，已實(shí)現(xiàn)動態(tài)視圖實(shí)時(shí)顯示、多視圖切換等，用戶對可視化技術(shù)的需求和依賴程度也越來越高。

基于APT攻擊鏈的威脅感知效果。

3.7.1 按APT攻擊分階段性的展示方式

為了更好、更直觀的展現(xiàn)APT攻擊的各個(gè)階段和各事件的持續(xù)時(shí)間、時(shí)序，可采用如圖3所示的形式進(jìn)行展示。

3.7.2 大數(shù)據(jù)分析下的威脅感知效果

為讓用戶更加直觀感知攻擊態(tài)勢，大數(shù)據(jù)處理中心或?qū)I(yè)云端形成了多種呈現(xiàn)方式的效果圖，從時(shí)間和攻擊數(shù)量上動態(tài)感知網(wǎng)絡(luò)攻擊的行為，如圖4所示。

為了給用戶呈現(xiàn)更多的攻擊信息，將攻擊的告警信息分類成了不同的事件，也包括了一對一攻擊、一對多攻擊、多對一攻擊等形式，同時(shí)展示單位時(shí)間內(nèi)的攻擊次數(shù)，攻擊事件等信息。為用戶及時(shí)了解、掌握攻擊的整體態(tài)勢提供可視化的顯示模式。如圖5所示。

不同的攻擊行為在不同時(shí)間段的攻擊特征形成的攻擊曲線如圖6所示。

針對目標(biāo)主機(jī)進(jìn)行的一系列攻擊行為，通過對告警日志的分析，將攻擊行為在不同時(shí)間5個(gè)不同階段做了可視化分析展示，直觀感受受影響系統(tǒng)的被攻擊的各種行為。圖6中不同顏色代表了不同的攻擊階段，通過圖形化的表示模式能清楚的了解目標(biāo)主機(jī)受攻擊的狀態(tài)。

圖3 APT攻擊階段性展示形式

動態(tài)感知著眼于全球范圍的攻擊行為，通過專業(yè)化、智能化的大數(shù)據(jù)挖掘，分析、發(fā)現(xiàn)、溯源、還原整個(gè)攻擊過程，找到安全薄弱點(diǎn)，最終能夠部署對抗措施，提升覆蓋已知威脅和未知威脅的主動防御能力，將安全隱患消滅于萌芽狀態(tài)。

數(shù)據(jù)處理中心或?qū)I(yè)云端以全球多點(diǎn)支撐，分類告警日志為核心，側(cè)重?cái)?shù)據(jù)可視化、支持網(wǎng)絡(luò)架構(gòu)多級數(shù)據(jù)提取，從攻擊源、攻擊類型、攻擊目標(biāo)等多角度展示網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢，提供全面縱深的威脅態(tài)勢感知預(yù)警，也為用戶及時(shí)做出應(yīng)對策略提供幫助。

4 總結(jié)

圖4 大數(shù)據(jù)分析下的威脅感知效果1

圖5 大數(shù)據(jù)分析下的威脅感知效果2

圖6 大數(shù)據(jù)分析下的威脅感知效果3

本文介紹了基于APT攻擊鏈網(wǎng)絡(luò)安全態(tài)勢感知研究框架，從數(shù)據(jù)采集、預(yù)處理、態(tài)勢評估、態(tài)勢預(yù)測以及態(tài)勢可視化方面，闡述針對APT攻擊鏈的網(wǎng)絡(luò)安全態(tài)勢感知的體系結(jié)構(gòu)、主要研究思路和關(guān)鍵技術(shù)方法。此類網(wǎng)絡(luò)安全態(tài)勢感知的研究對于做好APT攻擊監(jiān)測和防護(hù)具有重大意義。

伴隨著互聯(lián)網(wǎng)應(yīng)用愈發(fā)廣泛和深入，新業(yè)務(wù)新技術(shù)層出不窮，尤其是社會對大數(shù)據(jù)、云計(jì)算和移動互聯(lián)網(wǎng)的深度依賴，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)空前加大，特別是APT攻擊鏈越來越復(fù)雜化、多樣化。傳統(tǒng)IDS檢測方式已不再適用萬物互聯(lián)狀態(tài)和大數(shù)據(jù)驅(qū)動形式下的網(wǎng)絡(luò)威脅變化。

針對APT攻擊鏈，依托全新模式規(guī)則分類模型、海量數(shù)據(jù)采集、專業(yè)智能的大數(shù)據(jù)挖掘和分析模塊相互融合的方式，充分利用數(shù)據(jù)驅(qū)動安全，以全量覆蓋，多點(diǎn)上報(bào)，多級互聯(lián)的形式，及時(shí)呈現(xiàn)可視化檢測預(yù)警信息，實(shí)現(xiàn)“人-機(jī)-地-云”的全方位、全天候、多維度、立體式的網(wǎng)絡(luò)安全威脅感知解決思路。

[1]郭方方, 唐勻龍, 修龍亭, 等.基于云計(jì)算的網(wǎng)絡(luò)安全態(tài)勢感知模型研究[DB/OL].http://www.paper.edu.cn/html/releasepaper/2014/01/1081/，2014-01-23.

[2]劉效武, 王慧強(qiáng), 賴積保, 等.基于多 源異質(zhì)融合的網(wǎng)絡(luò)安全態(tài)勢生成與評 價(jià)[J].系統(tǒng)仿真學(xué)報(bào), 2010,22（6):1411－1415.

[3]賈焰, 王曉偉, 韓偉紅, 等.YHSSAS：面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J].計(jì)算機(jī)科學(xué), 2011,38（2):4－8,37.

[4]梁穎, 王慧強(qiáng), 賴積保.一種基于粗糙集理論的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].計(jì)算機(jī)科學(xué), 2007,34（8):95－97,145.

[5]陳秀真, 鄭慶華, 管曉宏, 等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J].軟件學(xué)報(bào), 2006,17（4):885－897.

[6]王娟, 張鳳荔, 傅翀, 等.網(wǎng)絡(luò)態(tài)勢感知中的指標(biāo)體系研究[J].計(jì)算機(jī)應(yīng)用, 2007,27（8):1907－1909,1912.