文/陳文智

隨著網絡空間安全重要性的不斷提高，網絡安全態(tài)勢感知（NSSA，network security situation awareness）的研究與應用正在得到更多的關注。國家通過《“十三五”國家信息化規(guī)劃》明確提出建立國家網絡安全態(tài)勢感知平臺的要求，各大網絡安全廠商也紛紛發(fā)布網絡安全態(tài)勢感知解決方案，安全態(tài)勢感知也成為網絡安全的熱點。

傳統(tǒng)的安全檢測技術針對各類具體問題類別進行處理，如入侵防御、威脅監(jiān)測、惡意文件識別、日志分析等技術，每一類威脅處理技術都能通過特征碼、規(guī)則庫發(fā)現一部分具體的安全技術問題，提出解決辦法。但傳統(tǒng)安全防御技術各項孤立，缺乏評判整體安全狀態(tài)和發(fā)展趨勢的統(tǒng)一視角，面對靈活多變的新型網絡攻擊產生了大量疏漏點。以各類傳統(tǒng)安全技術判別的攻擊事件及攻擊線索的數據為基礎，對安全大數據進一步的分析和預測的研究工作，發(fā)展成了現在的網絡安全態(tài)勢感知研究。

態(tài)勢感知（SA，Situation Awareness）緣于軍事術語，意為在特定時空下，對動態(tài)環(huán)境中各元素或對象的覺察、理解以及對未來狀態(tài)的預測。網絡安全態(tài)勢感知將態(tài)勢感知的理論和方法應用到網絡安全領域中，使網絡安全人員在動態(tài)變化的網絡環(huán)境中宏觀把握整個網絡的安全狀態(tài),是對網絡系統(tǒng)安全狀態(tài)的認知過程, 包括對從系統(tǒng)中測量到的原始數據逐步進行融合處理和實現對系統(tǒng)的背景狀態(tài)及活動語義的提取, 識別出存在的各類網絡活動以及其中異?；顒拥囊鈭D，從而獲得據此表征的網絡安全態(tài)勢和該態(tài)勢對網絡系統(tǒng)正常行為影響的了解，幫助安全人員采取針對性的響應處置措施。

態(tài)勢感知的研究內容主要分為三個方面：網絡安全態(tài)勢要素的提取、評估和預測。

網絡安全態(tài)勢要素的提取

網絡安全態(tài)勢要素提取是指從大規(guī)模網絡安全狀態(tài)數據源中抽取影響網絡安全態(tài)勢的基本元素的過程，它是網絡安全態(tài)勢評估和預測的基礎。態(tài)勢要素的提取處于網絡安全態(tài)勢感知底層，系統(tǒng)從主機、安全設備和網絡設備中獲取信息，并獲取與之相關的上下文信息（用戶、資產、業(yè)務等），通過采用一定的數據格式進行統(tǒng)一，并對數據進行約減、合并，去噪，形成從全局角度看到的現狀“態(tài)”。

態(tài)勢要素信息來源主要有網絡信息、安全信息和主機信息。網絡信息獲取是通過網絡監(jiān)聽捕獲所有網絡中的數據包，分析提取出IP報文五元組，并進一步協(xié)議分析提取出應用層數據包及內容，如HTTP請求包中的url、get、post參數等。DNS數據包作為一類高效的數據源，集中了全網的應用層域名請求，數據量相對實際網絡流較少，也能感知全網威脅態(tài)勢，是很好的補充。安全信息方面，傳統(tǒng)安全設備在網絡流數據抓取和分析方面比較成熟，可提供大量經過預先處理過的先驗信息，便于迅速開展后續(xù)研究。此外，基于主動掃描評估結果、病毒蠕蟲類的預警數據、安全公司及研究機構的威脅情報等也是重要的安全信息來源。主機信息方面，除用戶、資產、業(yè)務等信息外，基于主機的入侵檢測、日志采集技術能很好地反映實際業(yè)務系統(tǒng)的運行狀態(tài)，對跳板攻擊、潛伏木馬等方式的APT類攻擊有很好的補充。如何統(tǒng)一不同技術架構、不同廠商、系統(tǒng)的差異化數據格式，融合處理分析是當前的難點。

網絡安全態(tài)勢感知將態(tài)勢感知的理論和方法應用到網絡安全領域中，使網絡安全人員在動態(tài)變化的網絡環(huán)境中宏觀把握整個網絡的安全狀態(tài)。

網絡安全態(tài)勢要素的評估

評估技術基于識別出的攻擊活動及其特征, 通過進一步分析這些攻擊活動的語義以及它們之間可能的關聯(lián)關系來推斷攻擊者的意圖, 其主要任務包括識別這些攻擊活動的源頭、類型, 并判斷攻擊者的能力、機會和攻擊成功的可能性等。攻擊行為的識別主要利用已有的檢測技術，包含以下五個方面的檢測能力：基于流量特征的實時檢測;基于流量日志的異常分析機制；針對內容的靜態(tài)、動態(tài)分析機制；基于終端行為特征的實時檢測；基于終端行為日志的異常分析機制。目前常見的全局評估思路為將同一個目標識別出的各類不同安全警報事件匯總，根據類型或時間分為攻擊準備、攻擊中、入侵成功等不同階段，給予不同的風險等級評價，分析相關攻擊活動對被保護目標造成的危害，并將前后所有攻擊過程進行可視化展現。

傳統(tǒng)評估方式通過預設的安全規(guī)則庫進行特征碼比對，新評估技術如語義分析、動態(tài)識別、AI處理等也在不斷發(fā)展，各安全組織也在積極發(fā)展云服務，云端不斷更新惡意IP列表、最新攻擊特征碼、威脅文件樣本等，提高終端產品的威脅識別能力。如何通過大數據技術集中分析海量異構數據，研究網絡活動特征提取和意圖識別的機器處理方法，提升分析技術的效能，提高攻擊行為識別的準確性，以提高網絡安全態(tài)勢感知系統(tǒng)的自治能力，實現全方位網絡安全態(tài)勢感知及自動響應，是態(tài)勢感知評估的研究重點。

網絡安全態(tài)勢要素的預測

安全態(tài)勢預測需要根據當前的網絡狀況，找出網絡安全隱患進行分析，對未來一定時間內的安全趨勢進行判斷，并提供相應的解決方法。安全態(tài)勢預測的目標不是產生準確的預警信息，而是要將預測結果用于決策分析與支持，特別是對網絡攻防對抗的支持。

現有網絡安全態(tài)勢預測方法主要分為以下三種：第一，基于時空序列的方法。該方法的假設條件為安全態(tài)勢值的變化具有規(guī)則和周期性，通過分析安全態(tài)勢的前后依賴關系，實現對網絡安全趨勢的預測；第二，基于圖論的方法。該方法利用網絡環(huán)境中的脆弱性信息生成狀態(tài)轉移圖，并從攻擊者角度出發(fā)，依據當前狀態(tài)對網絡未來可能出現的安全狀況進行預測；第三，基于博弈論的方法。該方法在攻防對抗環(huán)境中，利用博弈理論預測攻防雙方的下一步動作進而分析網絡的安全態(tài)勢，在態(tài)勢要素選擇上較為全面。

目前，網絡安全態(tài)勢預測研究還存在許多問題。預測過程對所有攻擊者無差別處理，然而不同攻擊者的實際漏洞利用能力不同，缺乏對攻擊者的區(qū)分；攻擊預測集中于分析攻擊意圖、目標、路徑和概率，缺乏對入侵時間的量化；如何合理地衡量攻擊威脅對網絡系統(tǒng)的影響，給出一種通用有效的安全態(tài)勢量化標準還有待進一步研究。目前網絡安全態(tài)勢感知在指導安全防御方面作用有限，安全決策還是依靠安全專家、安全運營團隊的人工分析和判斷。

高校網絡安全工作中的態(tài)勢感知

高校在信息化過程中發(fā)展較快，如浙江大學智慧校園、網上浙大等信息化建設項目誕生了大量的校級信息化應用系統(tǒng)，各院系部處、科研團隊也有自己的網站和信息系統(tǒng)建設需求，校園網內運行站點數極多。高校信息化業(yè)務部門中網絡安全專門人才少，而校園網規(guī)模和用戶量龐大，網絡安全保障壓力大。建設安全防護體系過程中部署的各類軟硬件產品、系統(tǒng)需要安全技術團隊的運維，隨著系統(tǒng)增多、規(guī)模擴大、防護縱深加大，管理難度不斷增加。安全運維工作局限于漏洞、攻擊事件的發(fā)現和響應，缺乏全局性視角和評估。

態(tài)勢感知技術能夠有效幫助解決部分上述問題。態(tài)勢感知技術會收集各類原始網絡信息，收集過程中能統(tǒng)計各類產生網絡流的未知IT信息資產，一定程度上消除了部分管理盲點；安全部門將同類安全運營數據收集至統(tǒng)一態(tài)勢感知平臺平臺，進行集中式分析及安全態(tài)勢感知展示，減輕安全運維工作量；未來，隨著態(tài)勢感知技術發(fā)展，各類異構安全數據、運行數據也將逐步集中化，對校園全網的安全狀態(tài)感知會更加清晰。

具體來說，在高校安全工作中應用態(tài)勢感知技術，有以下幾個層面：

首先是包含態(tài)勢感知技術的校園網安全保障體系建設。近年來，各高校為應對互聯(lián)網安全風險，已部署安全廠商的各類防火墻、入侵檢測等安全設備，具有發(fā)展態(tài)勢感知的硬件基礎。廠商安全態(tài)勢感知產品部署后，將各類不同安全產品的告警、攔截信息統(tǒng)籌，集中式監(jiān)控分析，一方面能統(tǒng)一處理各類安全設備信息，減輕安全運維工作量；另一方面也能集中展示校園網絡入侵情況，構建“風暴中心”式的安全監(jiān)測中心，提升校園全網安全感知與威脅響應能力。在廠商安全態(tài)勢感知產品的使用過程中，安全技術團隊應多研究態(tài)勢感知系統(tǒng)所需的安全設備數據提取和原始數據提取工作，建立態(tài)勢感知的數據采集平臺，逐步準備自己的態(tài)勢感知技術研究工作。

其次是通過大數據平臺來發(fā)展自己的安全態(tài)勢感知技術研究工作。大數據工作是高校信息化建設的新熱點，網絡安全研究工作可以態(tài)勢感知為技術切入點，大數據平臺為基礎，將全校信息化業(yè)務實際運營中產生的業(yè)務數據、安全數據集中至大數據平臺，進行異構數據的關聯(lián)合并、網絡攻擊威脅辨識、安全態(tài)勢評估及展現等方面的研究工作。同時也可與校內信息安全學科研究團隊合作，整合校內優(yōu)勢資源，建立專業(yè)網絡信息安全研究及應用團隊，分析脫敏后的原始業(yè)務數據、實際網絡流、安全日志數據，進行更深層次的APT潛伏攻擊、0day未知攻擊等技術研判，全校網絡安全態(tài)勢評估及預測，安全預警及應急處置工作等。研究中發(fā)現的安全事件、得出的安全結論既能產生科研成果，又能指導實際安全工作，實現多贏局面，共同提升校園網安全。

最后是參與教育行業(yè)以及全社會的安全態(tài)勢信息共享工作?！笆濉眹倚畔⒒?guī)劃已明確指出：“建立政府和企業(yè)網絡安全信息共享機制，加強網絡安全大數據挖掘分析，更好感知網絡安全態(tài)勢，做好風險防范工作?！苯逃袠I(yè)內各高校信息化建設趨勢相同，面臨的網絡安全風險相同，利害一致。各行業(yè)安全信息共享中需要實現的信息交換、通信協(xié)議協(xié)商、標準數據結構統(tǒng)一、信息安全保護等，目前都是發(fā)展中的課題。高校之間網絡安全信息共享工作研究，能提升教育行業(yè)整體的安全態(tài)勢感知水平，推動全社會層面安全信息共享行為，維護國家網絡空間安全。