張小林 羅漢云 魯雷

摘 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，給信息化社會帶來了很大的便捷，但是網(wǎng)絡(luò)安全風(fēng)險與日俱增.本文主要研究了來自網(wǎng)絡(luò)入侵、防御、安全審計等安全威脅事件，通過大數(shù)據(jù)和數(shù)據(jù)挖掘技術(shù)進行分析，得到網(wǎng)絡(luò)安全態(tài)勢感知趨勢.通過分解獨立安全風(fēng)險域和網(wǎng)絡(luò)中的安全風(fēng)險事件以及信息系統(tǒng)的安全等級進行量化，得到網(wǎng)絡(luò)安全風(fēng)險評估的量化風(fēng)險值，給決策者提供網(wǎng)絡(luò)風(fēng)險管理依據(jù).

關(guān)鍵詞：安全風(fēng)險;安全威脅評估;態(tài)勢感知;日志分析

中圖分類號：TP393.09? 文獻標識碼：A? 文章編號：1673-260X（2020）07-0020-04

1 引言

隨著通信技術(shù)的不斷發(fā)展，5G技術(shù)的普及應(yīng)用促進了物聯(lián)網(wǎng)大規(guī)模的建設(shè)，帶動了整個工業(yè)互聯(lián)網(wǎng)的不斷擴張和發(fā)展，也伴隨帶來了網(wǎng)絡(luò)安全問題.信息化是推動經(jīng)濟社會發(fā)展轉(zhuǎn)型的一個歷史性過程，伴隨著Web技術(shù)的發(fā)展，H5技術(shù)的出現(xiàn)，基于智能終端的應(yīng)用、App出現(xiàn)爆發(fā)式增長，給人們的工作、生活帶來了極大的便利，但這種野蠻式的增長同時也帶來了極大的網(wǎng)絡(luò)安全風(fēng)險.

目前，各級人民政府、高校、企事業(yè)單位都擁有自己的局域網(wǎng)，建設(shè)有各種各樣的應(yīng)用系統(tǒng)，業(yè)務(wù)平臺，有的用于辦公，有的是對外提供服務(wù)、查詢，在各個系統(tǒng)中含有海量的數(shù)據(jù)，其中也有很多涉及到隱私的信息，在2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布，信息系統(tǒng)安全等級保護也寫入了網(wǎng)絡(luò)安全法，網(wǎng)絡(luò)安全建設(shè)已經(jīng)成為信息系統(tǒng)建設(shè)中的一個重要組成部分.網(wǎng)絡(luò)安全涉及到很多方面，不僅僅是技術(shù)層面，很大程度上體現(xiàn)在管理層面.網(wǎng)絡(luò)安全從技術(shù)角度，根據(jù)各個系統(tǒng)的邊界、網(wǎng)絡(luò)的邊界部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備，配置相應(yīng)的安全策略進行主動和被動性防御;從管理層面，主要是完善各種規(guī)章制度，嚴格按照要求進行日常的管理、維護、安全加固等.本文主要研究通過安全設(shè)備、網(wǎng)絡(luò)設(shè)備產(chǎn)生的海量安全威脅事件、安全審計事件以及主機的安全風(fēng)險數(shù)據(jù)進行分析，對其中的安全風(fēng)險、安全威脅等進行量化處理，從而分析出當前網(wǎng)絡(luò)的安全風(fēng)險值以及得到網(wǎng)絡(luò)安全態(tài)勢.

2 相關(guān)工作

態(tài)勢感知[1]最早源自軍事對抗中.1988年，Endsley首次明確提出態(tài)勢感知的定義，態(tài)勢感知是指“在一定的時空范圍內(nèi)，認知、理解環(huán)境因素，并且對未來的發(fā)展趨勢進行預(yù)測”[1].態(tài)勢感知的思維方式和方法，在戰(zhàn)斗指揮、醫(yī)療應(yīng)急調(diào)度等應(yīng)用范圍很廣，但是這個概念并沒有引入到網(wǎng)絡(luò)安全領(lǐng)域中.直到1999年，Bass提出了網(wǎng)絡(luò)態(tài)勢感知這個概念，提出“多傳感器數(shù)據(jù)融合技術(shù)為下一代入侵檢測系統(tǒng)和網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)提供了一個重要的功能框架，它可以融合多源異構(gòu)IDS的數(shù)據(jù)，識別出入侵者身份、攻擊頻率及威脅程度等”[2].

當網(wǎng)絡(luò)態(tài)勢感知被引入到網(wǎng)絡(luò)安全領(lǐng)域后，國內(nèi)外很多專家針對這個概念提出了概念模型和功能模型，Endsley[3]和Bass[4]為網(wǎng)絡(luò)安全態(tài)勢感知的研究奠定了基礎(chǔ)，給出了網(wǎng)絡(luò)安全態(tài)勢感知的概念，“在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢”.網(wǎng)絡(luò)安全態(tài)勢感知首先需要獲取安全要素，這些安全要素可以理解為與網(wǎng)絡(luò)安全相關(guān)的信息，這些信息可能來源于網(wǎng)絡(luò)傳感器、嗅探器所采集的數(shù)據(jù)、網(wǎng)絡(luò)安全設(shè)備等.當這些安全信息收集完成后，需要對它們進行理解，對這些安全要素進行分析、關(guān)聯(lián)等技術(shù)，最終能夠?qū)⑦@些安全要素能展現(xiàn)出過去某個時刻網(wǎng)絡(luò)的狀態(tài)，并且能夠為決策者提供預(yù)測未來的發(fā)展趨勢.

很多文獻對網(wǎng)絡(luò)安全態(tài)勢感知都沒有給出一個完整的概念定義，只是對網(wǎng)絡(luò)態(tài)勢感知進行了定義，文獻[1]明確地定義了網(wǎng)絡(luò)安全態(tài)勢感知的概念，以及提出了網(wǎng)絡(luò)安全態(tài)勢感知的現(xiàn)狀以及問題.根據(jù)不同角度、對安全要素觀測點不同，建立的模型以及研究方法也有很多，文獻[2]提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知方法，文獻[5]提出了基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知研究.也有很多學(xué)者通過網(wǎng)絡(luò)的脆弱性信息來評估網(wǎng)絡(luò)的脆弱性態(tài)勢，也有通過采集網(wǎng)絡(luò)的報警信息來評估網(wǎng)絡(luò)的威脅性態(tài)勢.

3 安全要素獲取

3.1 網(wǎng)絡(luò)安全風(fēng)險評估

在網(wǎng)絡(luò)安全風(fēng)險評估領(lǐng)域，我們起步較國外晚很多，重試程度也不高.到2002年，頒布了國家標準《信息技術(shù)、安全技術(shù)、信息技術(shù)安全評估準則》（GB 18366-2002）[6]，2009年頒布了《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》GB/T 20984-2009，在2012年發(fā)布了《信息安全技術(shù) 信息安全風(fēng)險管理指南》GB/Z 24364-2012[7]，這些國標的出臺，對我國的網(wǎng)絡(luò)安全風(fēng)險評估等安全方面的建設(shè)帶來了依據(jù)，同時也表明國家對網(wǎng)絡(luò)安全風(fēng)險也越來越重視.一般認為在對安全風(fēng)險進行評估時，需要從三個方面進行，主要是資產(chǎn)、威脅、脆弱性.通過基于這三個方面的安全風(fēng)險評估，獲取網(wǎng)絡(luò)的整體安全風(fēng)險.在一個大型網(wǎng)絡(luò)中，首先取得網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖，劃分網(wǎng)絡(luò)域.可以通過信息系統(tǒng)為核心，針對信息系統(tǒng)在等級保護定級、邊界防護設(shè)備的分類，可以將網(wǎng)絡(luò)分解為合適的獨立的網(wǎng)絡(luò)域，形成獨自的安全風(fēng)險域，通過對各個子安全風(fēng)險域進行以上三個層面的風(fēng)險評估，最終網(wǎng)絡(luò)安全風(fēng)險將由各個子網(wǎng)絡(luò)域的安全風(fēng)險匯總而成.定義NSR表示網(wǎng)絡(luò)安全風(fēng)險值，則NSR=■NSRK，n為網(wǎng)絡(luò)中獨立安全風(fēng)險域的個數(shù).

網(wǎng)絡(luò)安全威脅是一個動態(tài)的過程，它不是一蹴而就的，安全風(fēng)險也總是客觀存在的.在實踐過程中，存在著風(fēng)險與成本的關(guān)聯(lián)關(guān)系，也存在著安全風(fēng)險與可用性的關(guān)系，所以在客觀實踐中，就存在著如何去合理地評價、分析網(wǎng)絡(luò)安全風(fēng)險.安全風(fēng)險評估是通過科學(xué)的分析，通過量化確定風(fēng)險的過程.通過風(fēng)險評估可以讓管理者更好地預(yù)防風(fēng)險，通過管理和技術(shù)進行風(fēng)險控制，以及減少安全風(fēng)險.

在網(wǎng)絡(luò)系統(tǒng)中，各個設(shè)備、服務(wù)器、主機、應(yīng)用系統(tǒng)的重要程度不一樣，依據(jù)所承載的信息系統(tǒng)的等級保護級別給他們分配不同的權(quán)值.信息系統(tǒng)的安全保護等級分為以下五級，一至五級等級逐級增高，在大部分網(wǎng)絡(luò)中，二級和三級的信息系統(tǒng)占大多數(shù)，為了更好地體現(xiàn)風(fēng)險價值，在[0，1]區(qū)間定義權(quán)值，級別越高，權(quán)值越高.

3.2 安全要素的來源及處理

各個應(yīng)用系統(tǒng)的運行、訪問、操作等行為，每時每刻都會有大量的數(shù)據(jù)在傳輸.其中涉及安全要素的數(shù)據(jù)，可以從網(wǎng)絡(luò)中的傳感器中直接獲取，也需要從網(wǎng)絡(luò)安全設(shè)備如入侵檢測、入侵防御、漏洞掃描系統(tǒng)、堡壘機、數(shù)據(jù)庫審計等，另外還有部分從服務(wù)器、網(wǎng)絡(luò)設(shè)備等獲取，如服務(wù)器、交換機、路由器等產(chǎn)生的日志數(shù)據(jù).這些數(shù)據(jù)有的是安全日志，對于安全日志只需要提取那些受到威脅或攻擊等日志，正常日志不需要進行收集;對于網(wǎng)絡(luò)底層的數(shù)據(jù)流量，采用NetFlow v5格式，利用SILK收集和分析數(shù)據(jù)流，并將異常的數(shù)據(jù)以一定的格式傳輸?shù)桨踩{數(shù)據(jù)庫中.

對這些海量的日志數(shù)據(jù)、威脅數(shù)據(jù)、風(fēng)險警報數(shù)據(jù)、漏洞風(fēng)險等數(shù)據(jù)的存儲，需要整合到混合式數(shù)據(jù)倉庫中，利用大數(shù)據(jù)技術(shù)，在Hadoop框架下的分布式文件系統(tǒng)HDFS和分布式計算MapReduce對海量數(shù)據(jù)進行運算.

3.3 安全要素的分析

根據(jù)收集的安全要素進行分類，入侵檢測、防御類，主要有IDS（入侵檢測系統(tǒng)）、IPS（入侵防御）、Web應(yīng)用防火墻等，這類設(shè)備主要是提供網(wǎng)絡(luò)中攻擊威脅事件，也是威脅量化中的一個重要的數(shù)據(jù)來源.還有如數(shù)據(jù)庫審計系統(tǒng)、運維審計系統(tǒng)類，能夠提供一些非法的操作、異常行為事件等重要信息.

入侵檢測設(shè)備（IDS）是一種主動防護的安全技術(shù)，對外網(wǎng)傳入內(nèi)網(wǎng)的數(shù)據(jù)流進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備.根據(jù)不同的信息來源和不同的檢測方法也有不同分類.在IDS中，會產(chǎn)生大量的入侵事件，系統(tǒng)根據(jù)相關(guān)的規(guī)則庫對事件也進行了分類，同時也會有很多類型的日志信息.

Web應(yīng)用防火墻，也稱為WAF設(shè)備，部署方式有多種形式，可以通過云部署方式，也可以通過本地部署方式，兩種部署方式從結(jié)構(gòu)上有所不同.它的主要用途是針對網(wǎng)站入侵進行防護，隨著Web技術(shù)的不斷發(fā)展，很多新技術(shù)不斷涌現(xiàn)，但是同時也帶來了大量的安全漏洞，這也成為很多黑客組織攻擊的主要目標，OWASP組織提供權(quán)威的十項最嚴重的Web應(yīng)用程序安全風(fēng)險列表，總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大漏洞，同時也給開發(fā)、測試、服務(wù)、咨詢?nèi)藛T應(yīng)知應(yīng)會的知識.根據(jù)OWASP組織提出的十大風(fēng)險漏洞，給與風(fēng)險值較高的威脅分配權(quán)值高的量化值，同時結(jié)合其他安全要素定義每個風(fēng)險安全域的量化安全風(fēng)險值.Web防火墻記錄有Web站點入侵事件記錄，同時也有其他的日志事件，如Web安全日志、Web防篡改日志、網(wǎng)絡(luò)層訪問控制日志等.

漏洞掃描系統(tǒng)，根據(jù)漏洞知識庫從操作系統(tǒng)、服務(wù)、應(yīng)用程序和漏洞嚴重程度多個視角進行分類，需要給出具體的分類信息.可以針對操作系統(tǒng)、數(shù)據(jù)庫、中間件、通信協(xié)議進行漏洞掃描，也可以對常用軟件、應(yīng)用系統(tǒng)、虛擬化系統(tǒng)等進行漏洞掃描.漏洞掃描系統(tǒng)可以從弱口令的猜測到主機系統(tǒng)的安全配置，以及部分應(yīng)用系統(tǒng)、應(yīng)用軟件的漏洞掃描，提出風(fēng)險點，依據(jù)各個風(fēng)險點的級別，重要程度進行量化.同時可以在漏洞掃描系統(tǒng)中，將資產(chǎn)納入統(tǒng)一管理，同時建立資產(chǎn)風(fēng)險評估.

根據(jù)不同的網(wǎng)絡(luò)環(huán)境，所采取的安全防御措施和網(wǎng)絡(luò)安全設(shè)備的部署情況以及策略設(shè)置、安全管理等不盡相同.根據(jù)客觀實際情況，對不同的資產(chǎn)重要程度、事件安全風(fēng)險級別、信息系統(tǒng)的安全級別進行量化.本文采用文獻[9]的量化標準，對網(wǎng)絡(luò)、服務(wù)器進行分類，按照重要程度進行分配權(quán)值.目前一些主流的安全產(chǎn)品，其主要的漏洞風(fēng)險庫都是參考CVE、CNCVE、CNVD、CNNVD等數(shù)據(jù)庫，每一種風(fēng)險漏洞都有其編號以及其威脅程度.在漏洞掃描時，根據(jù)漏洞的威脅程度，給出安全風(fēng)險級別，根據(jù)風(fēng)險級別高、中、低，進行量化.

3.4 安全要素的融合

借助大數(shù)據(jù)技術(shù)，通過對安全事件、安全威脅日志等海量的數(shù)據(jù)信息進行處理，為下一步進行關(guān)聯(lián)規(guī)則分析、態(tài)勢感知提供最可靠的數(shù)據(jù)源.預(yù)處理過程中的第一步數(shù)據(jù)質(zhì)量的把控非常重要，涉及到數(shù)據(jù)的誤報、數(shù)據(jù)的聚合等.在數(shù)據(jù)融合根據(jù)關(guān)聯(lián)規(guī)則分析需要的特定的數(shù)據(jù)格式，在數(shù)據(jù)預(yù)處理階段進行轉(zhuǎn)換.

在事務(wù)識別和聚合以及在后面分析過程中，源地址和目的地址都是一個主要的特征表示，同時事件的時間字段是各個安全要素統(tǒng)一的連接點.當某個系統(tǒng)在遭受攻擊時，可以對之前的數(shù)據(jù)進行梳理，通過關(guān)聯(lián)規(guī)則找到攻擊的時間點以及攻擊路徑.通常在攻擊行為實施前，攻擊者都會通過信息收集、掃描，獲取大量的信息，然后通過漏洞挖掘、查找相關(guān)軟件的漏洞等，最后通過漏洞利用，進入系統(tǒng)，提權(quán)等操作.那么在所收集到的安全要素中，一些常見的掃描、爬蟲等安全事件是不能隨意忽略的，通過多個安全事件以及建立本地的知識庫，將這些看似平淡無奇的安全事件反應(yīng)在網(wǎng)絡(luò)安全態(tài)勢中.

在海量異構(gòu)數(shù)據(jù)處理過程中，數(shù)據(jù)融合是一個非常重要的環(huán)節(jié)，涉及到數(shù)據(jù)的提取、理解、分析等，數(shù)據(jù)融合是一個多級、多層面的數(shù)據(jù)處理過程.網(wǎng)絡(luò)安全態(tài)勢感知的數(shù)據(jù)融合有很多算法，有的是基于邏輯關(guān)系，有的是基于數(shù)學(xué)模型，有的是基于概率統(tǒng)計等.基于邏輯關(guān)系的數(shù)據(jù)融合是根據(jù)信息內(nèi)在的邏輯關(guān)系進行的融合，采取的融合方法是警報關(guān)聯(lián)[10].這種數(shù)據(jù)融合的方法很好理解，它可以快速直觀地在海量數(shù)據(jù)信息之中分析出網(wǎng)絡(luò)的安全態(tài)勢.

4 網(wǎng)絡(luò)安全態(tài)勢感知量化

通過網(wǎng)絡(luò)安全風(fēng)險評估，基于網(wǎng)絡(luò)中的大量的安全要素，以及通過大數(shù)據(jù)技術(shù)、數(shù)據(jù)挖掘技術(shù)對這些安全信息進行研究分析，最終將這些數(shù)據(jù)理解、量化，通過可視化技術(shù)顯示出來.

通過采集、分析Web防火墻、IPS、數(shù)據(jù)庫審計等安全要素，得到某Web站點的攻擊趨勢圖，如圖1所示.

根據(jù)文獻[11]，并根據(jù)信息系統(tǒng)的安全等級保護的級別、漏洞等要素，將網(wǎng)絡(luò)安全態(tài)勢的安全等級進行分級，用[0，1]區(qū)間進行量化描述，分為安全、輕度危險、一般危險、中度危險、高度危險幾個級別，通過將網(wǎng)絡(luò)安全風(fēng)險進行量化，結(jié)合可視化技術(shù)，給管理者提供更直觀的安全感知.

5 結(jié)束語

通過大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)中的安全要素進行處理，將單個的網(wǎng)絡(luò)安全事件、安全漏洞、安全威脅、安全日志等，通過量化每個風(fēng)險指標，形成網(wǎng)絡(luò)安全態(tài)勢.將整個網(wǎng)絡(luò)通過分解成多個獨立安全域進行安全風(fēng)險評估，根據(jù)等級保護級別，依據(jù)量化的風(fēng)險值，從而形成了整個網(wǎng)絡(luò)的安全風(fēng)險值.安全威脅是一個動態(tài)的過程，雖然所采集的是歷史的數(shù)據(jù)，但是通過安全風(fēng)險評估和關(guān)聯(lián)規(guī)則分析，能夠形成網(wǎng)絡(luò)安全態(tài)勢的趨勢預(yù)測.通過網(wǎng)絡(luò)安全風(fēng)險評估，能夠給管理者提供更全面的當前網(wǎng)絡(luò)安全態(tài)勢，更好地有針對性地做好安全保障工作.

——————————

參考文獻：

〔1〕龔儉，臧小東，蘇琪，胡曉艷，徐杰.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學(xué)報，2017，28（04）：1011-1026.

〔2〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢感知新方法[J].北京郵電大學(xué)學(xué)報，2014，37（05）：31-35.

〔3〕Trusted Computing Group.TCG Specification architecture overview specification revision 1.2[EB/OL].[2011-04-15].http：//www.trustedcomputinggroup.org /.

〔4〕BASS T，ARBOR A.Multisensor data fusion for next generation distributed intrusion detection systems[C]// Proceeding of IRIS National Symposium on Sensor and Data Fusion.Laurel， MD：：[s.n.]，1999： 24 - 27.

〔5〕王春雷，方蘭，王東霞，戴一奇.基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J].計算機科學(xué)，2012，39（07）：11-17，24.

〔6〕中國國家標準化管理委員會.信息技術(shù)、安全技術(shù)、信息技術(shù)安全評估準則：GB 18366-2002[S].北京：中國標準出版社，2002.

〔7〕中國國家標準化管理委員會.信息安全風(fēng)險管理指南：GB/Z 24364-2012[S].北京：中國標準出版社，2012.

〔8〕中國國家標準化管理委員會.網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南：GB/T 36627-2018[S]，北京：中國標準出版社，2018.

〔9〕司加全，張冰，荷大鵬，等.基于攻擊圖的網(wǎng)絡(luò)安全性增強策略制定方法[J].通信學(xué)報，2009，30（02）：123-128.

〔10〕單宇鋒.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的關(guān)鍵技術(shù)研究與實現(xiàn)[D].北京郵電大學(xué)，2012.

〔11〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢感知新方法[J].北京郵電大學(xué)學(xué)報，2014，37（05）：31-35.