馮名威

摘要：互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，極大地豐富了和改變了人們的日常生活。但是人們也在遭受著網(wǎng)絡(luò)攻擊的威脅。從國(guó)家和社會(huì)的角度出發(fā)，很多的網(wǎng)絡(luò)攻擊都是致命的，因此，網(wǎng)絡(luò)的安全防御有著至關(guān)重要的作用。目前，基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防御技術(shù)快速發(fā)展，基于此，該文介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的理論知識(shí)，分析了網(wǎng)絡(luò)安全防御的難題，給出了基于態(tài)勢(shì)感知的網(wǎng)絡(luò)防御措施，以期為實(shí)際的網(wǎng)絡(luò)防護(hù)提供指導(dǎo)。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢(shì)感知網(wǎng)絡(luò)防御;技術(shù)研究

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）35-0014-02

1 態(tài)勢(shì)感知簡(jiǎn)述

1.1態(tài)勢(shì)概念介紹

網(wǎng)絡(luò)安全的態(tài)勢(shì)，顧名思義即網(wǎng)絡(luò)的運(yùn)行狀態(tài)。與外界進(jìn)行信息交換的復(fù)雜網(wǎng)絡(luò)，隨時(shí)都有可能收到外界的非法攻擊，對(duì)于安全態(tài)勢(shì)，主要結(jié)合不同網(wǎng)絡(luò)設(shè)備工作情況以及網(wǎng)絡(luò)用戶行為等，對(duì)當(dāng)前網(wǎng)絡(luò)運(yùn)行安全性進(jìn)行分析。態(tài)勢(shì)感知又被稱為態(tài)勢(shì)評(píng)估，獲取、分析、處理導(dǎo)致安全態(tài)勢(shì)波動(dòng)的因素，是其呀牛目標(biāo)。

具體而言，在開展態(tài)勢(shì)感知工作是，需要收集、分析以及處理不同安全設(shè)備日志以及其他安全信息，然后通過(guò)安全事件的關(guān)聯(lián)分析，判斷當(dāng)前網(wǎng)絡(luò)所處的安全狀態(tài)，同時(shí)對(duì)網(wǎng)絡(luò)有可能遭受的攻擊盡心評(píng)估，結(jié)合以往的數(shù)據(jù)信息，預(yù)測(cè)未來(lái)一段是時(shí)間內(nèi)攻擊者將會(huì)采取的行為。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的發(fā)展，使得網(wǎng)絡(luò)安全管理員可以較為準(zhǔn)確、客觀地獲取到某一時(shí)段網(wǎng)絡(luò)安全狀態(tài)，同時(shí)根據(jù)評(píng)判結(jié)果以及預(yù)測(cè)對(duì)網(wǎng)絡(luò)安全采取適當(dāng)?shù)谋Ｗo(hù)措施，減小和預(yù)防網(wǎng)絡(luò)攻擊造成的影響。

1.2安全態(tài)勢(shì)的感知模型

當(dāng)下Endsley模型、JDL模型和TimBass模型等，在安全態(tài)勢(shì)的感知模型構(gòu)建中較為常用。

1.2.1 Endsley模型

1988年，Endsley首次提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，他指出網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是：基于特定時(shí)空環(huán)境，有效獲取于理解環(huán)境因素，對(duì)未來(lái)狀態(tài)進(jìn)行充分預(yù)測(cè)，正如下圖所示，他提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型分為三個(gè)級(jí)別，即態(tài)勢(shì)要素獲取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)。

模型中所講的態(tài)勢(shì)要素獲取即利用網(wǎng)絡(luò)中的安全設(shè)備運(yùn)行日志等信息，對(duì)數(shù)據(jù)進(jìn)行整理和規(guī)范化;要想實(shí)現(xiàn)態(tài)勢(shì)理解，需要分析收集到的信息，特別在相關(guān)性分析方面，進(jìn)而獲取網(wǎng)絡(luò)當(dāng)前運(yùn)行狀態(tài);態(tài)勢(shì)預(yù)測(cè)則是根據(jù)當(dāng)下已掌握的安全態(tài)勢(shì)對(duì)未來(lái)可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行預(yù)估判斷。

1.2.2 TimBass模型

在1999年，Tim Bass對(duì)網(wǎng)絡(luò)安全的態(tài)勢(shì)感知與空中交通監(jiān)管領(lǐng)域的態(tài)勢(shì)感知進(jìn)行了對(duì)比，并且基于JDL模型指出：在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不斷創(chuàng)新于發(fā)展過(guò)程中，應(yīng)該對(duì)由異構(gòu)網(wǎng)絡(luò)傳感器得到的信息進(jìn)行有效融合，提高網(wǎng)絡(luò)空間態(tài)勢(shì)感知的效果，并由此提出了該模型，模型示意圖如下所示：

從上圖中可以看到，TimBass模型是從JDL模型的基礎(chǔ)上發(fā)展而來(lái)的，該模型中Leve10同樣是對(duì)數(shù)據(jù)進(jìn)行提取，Leve1完成采集工作后，Leve11會(huì)校對(duì)相關(guān)數(shù)據(jù)的信息，監(jiān)測(cè)相關(guān)數(shù)據(jù)的類型，并對(duì)相關(guān)數(shù)據(jù)展開關(guān)聯(lián)處理，進(jìn)而北奧正攻擊事件的類型能夠得到有效識(shí)別，而Leve12則會(huì)根據(jù)不同類型的攻擊事件對(duì)當(dāng)前網(wǎng)絡(luò)的安全性進(jìn)行綜合評(píng)估;Leve13在Leve12的基礎(chǔ)上，對(duì)網(wǎng)路攻擊的危害性進(jìn)行評(píng)估，Leve13和Leve12的功能以及側(cè)重點(diǎn)是有區(qū)別的，Leve12側(cè)重于發(fā)現(xiàn)威脅，而Leve13則側(cè)重于對(duì)危險(xiǎn)的程度給出等級(jí)，以后后續(xù)對(duì)不同等級(jí)的威脅采取相適應(yīng)的安全措施;Leve14能夠?qū)υu(píng)估框架中的各種資源進(jìn)行合理分配，涵蓋感知體系工作狀態(tài)、協(xié)調(diào)網(wǎng)絡(luò)設(shè)備以及對(duì)上級(jí)任務(wù)進(jìn)行接受與執(zhí)行等[1]。

1.2.3 JDL模型

JDL模型的示意圖如下所示：

JDL模型是一種數(shù)據(jù)融合模型，該模型會(huì)對(duì)不同來(lái)源的數(shù)據(jù)信息進(jìn)行綜合分析處理，根據(jù)數(shù)據(jù)之間存在的眾多聯(lián)系，模型會(huì)將數(shù)據(jù)的處理細(xì)化為幾個(gè)層次分別處理。其中。1）Leve10主要開展安全設(shè)備數(shù)據(jù)特征與數(shù)據(jù)屬性的關(guān)聯(lián)性分析工作。2）Leve11主要開展多元異構(gòu)數(shù)據(jù)的融合工作。3）Leve12態(tài)勢(shì)評(píng)估層會(huì)分析融合處理之后，不同數(shù)據(jù)信息的關(guān)系，并預(yù)估網(wǎng)絡(luò)安全的態(tài)勢(shì)。4）Leve13則是根據(jù)當(dāng)前態(tài)勢(shì)判斷攻擊者的意圖，對(duì)攻擊者將會(huì)采取的攻擊舉措進(jìn)行預(yù)測(cè)。5）Level4一般借助傳感器以及監(jiān)控系統(tǒng)等，對(duì)融合過(guò)程進(jìn)行動(dòng)態(tài)檢測(cè)，并展開實(shí)施、準(zhǔn)確的預(yù)估。6）Leve能夠優(yōu)化處理感知數(shù)據(jù)，使其能夠更加容易被理解，之后展開人機(jī)交互處理。

2 網(wǎng)絡(luò)防御面臨的難題

隨著信息技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)攻擊防御面臨的難題也越來(lái)越多，其主要表現(xiàn)在以下幾個(gè)方面。

1）安全信息的碎片化。當(dāng)網(wǎng)絡(luò)遭受攻擊時(shí)，網(wǎng)絡(luò)攻擊事件一般具有很強(qiáng)的攻擊特性和隱蔽性能，很多情況下網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)難以監(jiān)控，當(dāng)對(duì)這些網(wǎng)絡(luò)節(jié)點(diǎn)的日志信息進(jìn)行分析時(shí)，一般得到的攻擊信息不夠完整，無(wú)法對(duì)相應(yīng)的攻擊目標(biāo)以及源頭等信息進(jìn)行有效還原，相關(guān)人員需要對(duì)此方面加以重視，進(jìn)行有效預(yù)防。

2）被動(dòng)攔截問(wèn)題，借助被動(dòng)攔截進(jìn)行網(wǎng)絡(luò)攻擊，需要與被攔截設(shè)備特征進(jìn)行結(jié)合深入分析其所攔截信息特征，并對(duì)預(yù)防態(tài)勢(shì)與攻擊態(tài)勢(shì)進(jìn)行充分區(qū)別，進(jìn)而保證管理人員科學(xué)制定安全措施，保證網(wǎng)絡(luò)攻擊造成的影響能夠得到有效控制[2]。

3）單點(diǎn)式預(yù)防。網(wǎng)絡(luò)預(yù)防工作與單點(diǎn)工作均屬于單店模式，在不同廠區(qū)運(yùn)營(yíng)商中，安全設(shè)備較為齊全，安全監(jiān)控系統(tǒng)較為完全，其屬于場(chǎng)上設(shè)置的安全組建，與網(wǎng)絡(luò)無(wú)法進(jìn)行聯(lián)動(dòng)處理，進(jìn)而難以實(shí)現(xiàn)信息共享目標(biāo)，網(wǎng)絡(luò)難以形成合力。

4）攻擊結(jié)果不確定。在無(wú)法對(duì)攻擊結(jié)果進(jìn)行充分確定的情況下，難以有效分析與判定攻擊結(jié)果，若是了解攻擊結(jié)果，則相關(guān)人員需要對(duì)網(wǎng)絡(luò)狀況進(jìn)行充分識(shí)別，同時(shí)加以警告，并積極攔截[3]。

3 基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防御

前文中介紹了Endsley模型，這是網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的基礎(chǔ)模型，應(yīng)用中的很多模型都是從此基礎(chǔ)之上改進(jìn)生成的，故所有的網(wǎng)絡(luò)安全態(tài)勢(shì)感知都會(huì)有要素獲取、數(shù)據(jù)分析、網(wǎng)絡(luò)防御措施三個(gè)重要過(guò)程。

1）要素獲取。要素獲取過(guò)程是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的第一步，所謂的要素，其本質(zhì)就是數(shù)據(jù)。通常網(wǎng)絡(luò)安全事件的數(shù)據(jù)采集一般涵蓋防火墻、IDS、DdoS以及IPS等，借助數(shù)據(jù)采集，能夠?qū)Σ煌暾倪M(jìn)行轉(zhuǎn)化，使其成為可用的數(shù)據(jù)結(jié)構(gòu)，同時(shí)可以利用可視化的技術(shù)手段將數(shù)據(jù)信息及時(shí)地展現(xiàn)出來(lái)，一方面可以便于網(wǎng)絡(luò)的管理，另一方面則可以實(shí)時(shí)地對(duì)網(wǎng)絡(luò)進(jìn)行觀察。數(shù)據(jù)采集到以后往往是不能直接利用的，工作人員需要將數(shù)據(jù)劃分一下類別，信息數(shù)據(jù)通常分為三種類型，即結(jié)構(gòu)數(shù)據(jù)、非結(jié)構(gòu)數(shù)據(jù)以及其他類型數(shù)據(jù)、對(duì)于結(jié)構(gòu)數(shù)據(jù)，是指采用一定數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)下來(lái)的數(shù)據(jù)，結(jié)構(gòu)化的數(shù)據(jù)可以經(jīng)過(guò)很小的變動(dòng)就直接使用。對(duì)于非結(jié)構(gòu)數(shù)據(jù).其數(shù)據(jù)結(jié)構(gòu)并不夠點(diǎn)，在開展非結(jié)構(gòu)數(shù)據(jù)處理分析時(shí)，需先對(duì)其進(jìn)行統(tǒng)一化的結(jié)構(gòu)處理，使其成為可以利用的數(shù)據(jù)。其他數(shù)據(jù)一般是站外數(shù)據(jù)或者歷史數(shù)據(jù)。以上三大類數(shù)據(jù)是進(jìn)行數(shù)據(jù)分析時(shí)的主要數(shù)據(jù)，在數(shù)據(jù)采集時(shí)，要保證網(wǎng)絡(luò)數(shù)據(jù)采集的安全性和有效性，這樣才能為數(shù)據(jù)分析和態(tài)勢(shì)感知提供基礎(chǔ)支撐。

2）數(shù)據(jù)分析。對(duì)于安全時(shí)間日志，主要為借助流量式對(duì)安全事件進(jìn)行刻畫，相關(guān)人員需要深入分析安全事件，進(jìn)而確定安全事件影響因素。比如，開展網(wǎng)絡(luò)運(yùn)營(yíng)工作時(shí)，對(duì)于一些網(wǎng)絡(luò)攻擊事件，管理員應(yīng)該對(duì)相關(guān)重要日志進(jìn)行充分關(guān)注，并且需要及時(shí)翻閱相關(guān)報(bào)警記錄，同時(shí)對(duì)報(bào)警記錄和網(wǎng)絡(luò)日志進(jìn)行有機(jī)結(jié)合，對(duì)攻擊事件展開深入分析。對(duì)此，管理人員應(yīng)該對(duì)比分析當(dāng)前日志和原始日志的異同點(diǎn)，并對(duì)原始日志展開管理分析工作，對(duì)原始日志進(jìn)行安全事件轉(zhuǎn)化，此種形式的轉(zhuǎn)化，直觀性非常突出，也是產(chǎn)生安全威脅的主要原因之一。

3）安全防御。網(wǎng)絡(luò)安全防御過(guò)程是一個(gè)策略執(zhí)行過(guò)程，策略的執(zhí)行需要建立在網(wǎng)絡(luò)安全態(tài)勢(shì)感知和有效的未來(lái)預(yù)測(cè)之上。在網(wǎng)絡(luò)運(yùn)行的過(guò)程中，安全評(píng)估系統(tǒng)會(huì)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的安全等級(jí)進(jìn)行劃分，不同的安全等級(jí)所要采取的措施是不一樣的。針對(duì)普通的攻擊類型，系統(tǒng)會(huì)將攻擊記錄以安全事件的形式存儲(chǔ)，防御成功后會(huì)將其過(guò)程存于安全日志中。對(duì)于威脅程度比較高的攻擊，系統(tǒng)會(huì)優(yōu)先采取相應(yīng)的防御側(cè)露，此種主動(dòng)響應(yīng)體系，能夠結(jié)合關(guān)鍵功能中的敏感數(shù)據(jù)，提高安全防護(hù)層級(jí)，進(jìn)而有效防止出現(xiàn)操作失誤問(wèn)題。該響應(yīng)體系與感知系統(tǒng)存在緊密關(guān)聯(lián)，能夠需要防止數(shù)據(jù)對(duì)網(wǎng)絡(luò)邊界進(jìn)行穿透，進(jìn)而保證不會(huì)接入惡意網(wǎng)絡(luò)。

對(duì)于網(wǎng)絡(luò)安全防御，IP分類查詢算法一種常用的網(wǎng)絡(luò)優(yōu)化算法。當(dāng)各種網(wǎng)絡(luò)安全設(shè)備把所需的數(shù)據(jù)信息提取到以后，經(jīng)過(guò)數(shù)據(jù)分析等過(guò)程，會(huì)對(duì)具有一定價(jià)值的信息進(jìn)行深入采集，并輸送到過(guò)濾器中進(jìn)行處理。雖然數(shù)據(jù)經(jīng)過(guò)了進(jìn)一步的處理，但在實(shí)際的操作過(guò)程中，數(shù)據(jù)量是非常大的，因此不能直接調(diào)用這些數(shù)據(jù)來(lái)進(jìn)行處理。有一個(gè)辦法能夠有效解決該問(wèn)題，就是對(duì)過(guò)濾器相關(guān)規(guī)則進(jìn)行定制化設(shè)置，相關(guān)人員可以結(jié)合網(wǎng)絡(luò)中實(shí)時(shí)工作情況以及硬件條件愛你等，對(duì)規(guī)則庫(kù)中具體規(guī)則數(shù)量進(jìn)行合理設(shè)定。進(jìn)行規(guī)則庫(kù)更新工作是，需要數(shù)量充足的樣本訓(xùn)練提供支撐，進(jìn)行訓(xùn)練更新時(shí)，IP分類算法單元會(huì)介入，因此，態(tài)勢(shì)感知的報(bào)分析效能主要就是看IP分類查詢算法的優(yōu)劣[4]。

上述所講的各種措施都是從算法或者軟件的層面采取的防御，當(dāng)然也可以從硬件層面進(jìn)行防御，常用的硬件防御技術(shù)就是安全隔離。所謂的安全隔離就是在計(jì)算機(jī)硬件中，對(duì)信息流傳輸直接進(jìn)行阻斷。所有網(wǎng)絡(luò)攻擊活動(dòng)，均需要借助網(wǎng)絡(luò)線路實(shí)現(xiàn)信息傳遞，所有的操作最終都需要硬件來(lái)執(zhí)行，安全隔離則是從根本條件上進(jìn)行防護(hù)。一旦防御系統(tǒng)檢測(cè)到當(dāng)前網(wǎng)絡(luò)被攻擊時(shí)，或者受到威脅程度較高的攻擊時(shí)，硬件防護(hù)裝置就可以將內(nèi)網(wǎng)與外網(wǎng)隔離，此時(shí)內(nèi)網(wǎng)之間的各個(gè)客戶端可以進(jìn)行正常交流，但是不能與外界進(jìn)行信息的交換。安全隔離技術(shù)具有響應(yīng)快、安全性好、穩(wěn)定性好的優(yōu)點(diǎn)，但是會(huì)阻斷內(nèi)部與外界的交流，因此這種網(wǎng)絡(luò)安全防御方式一般適用于軍事單位、保密單位、重大科研單位等。

4 結(jié)束語(yǔ)

互聯(lián)網(wǎng)的快速發(fā)展在不斷地改變著人們的生活，但是網(wǎng)絡(luò)攻擊的威脅也在逐漸威脅著人們的生活。當(dāng)今時(shí)代人們的各種信息都充斥在網(wǎng)絡(luò)世界中，一旦某些網(wǎng)絡(luò)遭受攻擊，可能很多人的生命財(cái)產(chǎn)都會(huì)受到威脅。因此，網(wǎng)絡(luò)安全防御是信息技術(shù)發(fā)展中的重要組成部分。從目前的發(fā)展來(lái)看，態(tài)勢(shì)感知對(duì)于網(wǎng)絡(luò)安全狀態(tài)的判斷已成為基礎(chǔ)，由于大數(shù)據(jù)、人工智能、云計(jì)算等新興技術(shù)，在快速發(fā)展過(guò)程中會(huì)將智能處理與態(tài)勢(shì)感知進(jìn)行有機(jī)幾何，另外，網(wǎng)絡(luò)防御也將會(huì)從軟硬件的基礎(chǔ)上引入智能化的措施。

參考文獻(xiàn)：

[1]黃寧.云計(jì)算環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D].西安：西安工程大學(xué)，2018.

[2]董超，劉雷.基于安全態(tài)勢(shì)感知在網(wǎng)絡(luò)攻擊防御中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（8）.

[3]王楠，孫璐.基于安全態(tài)勢(shì)感知在網(wǎng)絡(luò)攻擊防御中的應(yīng)用[J].電信技術(shù)，2017，8（3）：86-88.

[4]張媛.網(wǎng)絡(luò)安全態(tài)勢(shì)感知防御技術(shù)[J].信息技術(shù)與信息化，2019（8）.

【通聯(lián)編輯：謝媛媛】