◆梁國光 祁繼鋒 林飛 易永波

關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)標(biāo)準(zhǔn)架構(gòu)模式與應(yīng)用探究

◆梁國光1祁繼鋒2林飛3易永波3

（1.中國移動(dòng)通信集團(tuán)山西有限公司網(wǎng)絡(luò)管理中心 山西 030032；2.山西省通信管理局網(wǎng)絡(luò)安全管理處 山西 030002；3.任子行網(wǎng)絡(luò)技術(shù)股份有限公司 廣東 518057）

網(wǎng)絡(luò)安全態(tài)勢感知是實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測與預(yù)警的一種方式，這項(xiàng)技術(shù)結(jié)合了防火墻、殺毒軟件、入侵檢測系統(tǒng)以及安全審視系統(tǒng)等安全防護(hù)措施的數(shù)據(jù)信息，能夠評估當(dāng)前的網(wǎng)絡(luò)安全情況，預(yù)測未來的網(wǎng)絡(luò)變化形勢，提升網(wǎng)絡(luò)安全。本文研究了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)標(biāo)準(zhǔn)架構(gòu)模式與應(yīng)用，供相關(guān)讀者參考。

安全態(tài)勢感知；架構(gòu)模式；應(yīng)用探究

伴隨著網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展與進(jìn)步，數(shù)據(jù)信息的傳播速度不斷提升，進(jìn)而導(dǎo)致網(wǎng)絡(luò)入侵與安全威脅等網(wǎng)絡(luò)安全問題不斷發(fā)生。為了提升網(wǎng)絡(luò)環(huán)境安全，有效地處理網(wǎng)絡(luò)安全問題，安全管理人員就要加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控管理，使用入侵檢測、防火墻、網(wǎng)絡(luò)安全軟件等措施強(qiáng)化安全監(jiān)管力度，提升應(yīng)用程度以及系統(tǒng)運(yùn)行過程中的安全性，全方位地分析可能引發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的潛在因素，采取有效的應(yīng)急預(yù)案以及響應(yīng)措施等，提升網(wǎng)絡(luò)安全等級。

1 網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)技術(shù)概念

（1）網(wǎng)絡(luò)安全態(tài)勢

我國自進(jìn)入了信息數(shù)字化時(shí)代以來，互聯(lián)網(wǎng)技術(shù)得到了迅猛的發(fā)展，互聯(lián)網(wǎng)技術(shù)在社會(huì)、科研、教育以及生活的各個(gè)方面都得到了充分的運(yùn)用，現(xiàn)階段，信息網(wǎng)絡(luò)呈現(xiàn)出了多樣化、智能化的特征，網(wǎng)絡(luò)運(yùn)行的情況也在不斷地發(fā)生著變化，因此在網(wǎng)絡(luò)管理中的難度也不斷地增加。雖然目前已經(jīng)構(gòu)成了完善的網(wǎng)絡(luò)管理系統(tǒng)，研究出了各式各樣的網(wǎng)絡(luò)管理設(shè)備，提高了網(wǎng)絡(luò)管理工作中的自動(dòng)化程度，但是多樣化網(wǎng)絡(luò)所產(chǎn)生的海量網(wǎng)絡(luò)管理信息仍是一盤散沙，這些信息沒有得到有效的結(jié)合，整體的信息運(yùn)行情況無法得到反饋，進(jìn)而限制對信息網(wǎng)絡(luò)的整體態(tài)勢分析。想要獲取全方位的信息網(wǎng)絡(luò)整體態(tài)勢，預(yù)估未來的網(wǎng)絡(luò)發(fā)展情況，并采取有效的預(yù)防與響應(yīng)措施，是現(xiàn)在的網(wǎng)絡(luò)安全管理工作面臨著一個(gè)重要課題。

態(tài)勢感知提取、態(tài)勢分析與態(tài)勢預(yù)測構(gòu)成了態(tài)勢感知系統(tǒng)，將其進(jìn)行細(xì)分，主要能夠分為以下幾方面：首先在網(wǎng)絡(luò)環(huán)境中進(jìn)行態(tài)勢評估之前，要對多種因素進(jìn)行分析，做好態(tài)勢評估的準(zhǔn)備；其次詳細(xì)地分析事件的深層原因，并對監(jiān)控的態(tài)勢作出綜合性的評價(jià)；最后構(gòu)成態(tài)勢圖，使用不同的圖標(biāo)表示不同的網(wǎng)絡(luò)狀態(tài)，這樣能夠讓管理員直觀地對網(wǎng)絡(luò)環(huán)境獲得了解。網(wǎng)絡(luò)安全態(tài)勢感知會(huì)形成態(tài)勢圖與分析報(bào)告，為網(wǎng)絡(luò)管理提供準(zhǔn)確的決策依據(jù)。

網(wǎng)絡(luò)安全態(tài)勢感知，英文名為CyberspaceSecuritySituational，簡稱CSSA，是網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域內(nèi)的主要研究內(nèi)容，同時(shí)也是未來信息安全領(lǐng)域內(nèi)的重要研究內(nèi)容。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能獲取分析監(jiān)測網(wǎng)絡(luò)環(huán)境中的風(fēng)險(xiǎn)因素，并分析網(wǎng)絡(luò)環(huán)境在未來的發(fā)展趨勢。

（2）入侵檢測系統(tǒng)

入侵檢測系統(tǒng)能夠發(fā)現(xiàn)與隔離入侵網(wǎng)絡(luò)的各項(xiàng)行為，通過收集信息網(wǎng)絡(luò)中的一些關(guān)鍵數(shù)據(jù)以及資源信息，判斷網(wǎng)絡(luò)中是否存在違反了安全策略的行為，或是信息網(wǎng)絡(luò)受到攻擊的跡象。入侵檢測系統(tǒng)是基于防火墻發(fā)展而來的，能夠協(xié)助防火墻、路由器進(jìn)行工作，通常情況下，入侵檢測系統(tǒng)位于防火墻之后，是信息網(wǎng)絡(luò)中的第二道防線，能夠?qū)崟r(shí)地檢測信息網(wǎng)絡(luò)環(huán)境，分析當(dāng)前的網(wǎng)絡(luò)活動(dòng)，整理歸納網(wǎng)絡(luò)流量，根據(jù)設(shè)定好的邏輯規(guī)則來判斷從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，在檢測到風(fēng)險(xiǎn)時(shí)及時(shí)地報(bào)警。

（3）風(fēng)險(xiǎn)評估系統(tǒng)

風(fēng)險(xiǎn)評估系統(tǒng)能夠分析網(wǎng)絡(luò)中存在的漏洞與缺陷，不僅能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行描述與分類，也能夠形成評估模型，維護(hù)系統(tǒng)的安全性，保護(hù)系統(tǒng)內(nèi)的重要資源，并評估一些關(guān)鍵數(shù)據(jù)，從而獲得系統(tǒng)性的評估報(bào)告。在此基礎(chǔ)上除了評估分析以外也可以形成網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的形式化模型。

2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的標(biāo)準(zhǔn)架構(gòu)模式

結(jié)合網(wǎng)絡(luò)態(tài)勢感知與網(wǎng)絡(luò)安全態(tài)勢感知的定義，在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)時(shí)要實(shí)現(xiàn)安全因素的獲取分析與顯示。構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，能夠提升網(wǎng)絡(luò)威脅感知的有效性與主動(dòng)性。在網(wǎng)絡(luò)安全感知中，態(tài)勢感知與態(tài)勢理解能夠集成不同類型的威脅種類，增加評估因素，在關(guān)鍵點(diǎn)技術(shù)上沒有本質(zhì)上的區(qū)別，最大的區(qū)別在于態(tài)勢察覺層次的不同。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)需要獲取針對性的數(shù)據(jù)，全程感知網(wǎng)絡(luò)環(huán)境下的各種攻擊行為，就要構(gòu)建集合主動(dòng)與被動(dòng)檢測的傳感器網(wǎng)絡(luò)，能夠預(yù)測與評估未來的網(wǎng)絡(luò)安全發(fā)展趨勢。主要的設(shè)計(jì)需求有以下幾點(diǎn)：

（1）收集數(shù)據(jù)

傳感器網(wǎng)絡(luò)能集成主動(dòng)與被動(dòng)檢測，實(shí)現(xiàn)數(shù)據(jù)收集，主要能夠收集以下幾方面的數(shù)據(jù)：

來自網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的數(shù)據(jù)。這些數(shù)據(jù)的來源主要有防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)以及硬件與軟件的日志數(shù)據(jù)等；

來自主機(jī)與重要服務(wù)器的數(shù)據(jù)。數(shù)據(jù)的主要來源有服務(wù)器安全日志、文件訪問信息、進(jìn)程調(diào)用信息，實(shí)現(xiàn)主機(jī)與網(wǎng)絡(luò)的協(xié)同能夠極大地增強(qiáng)感知網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力；

來自網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)。這類數(shù)據(jù)的主要來源有由運(yùn)營商提供的網(wǎng)絡(luò)原始數(shù)據(jù)，收集到越多的網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)，感知網(wǎng)絡(luò)攻擊路徑的能力就越強(qiáng)；

來自網(wǎng)絡(luò)威脅的數(shù)據(jù)。這類數(shù)據(jù)的來源主要有來自網(wǎng)絡(luò)攻擊源或是網(wǎng)絡(luò)攻擊路徑的追蹤數(shù)據(jù)，或是由安全軟件獲取的網(wǎng)絡(luò)攻擊數(shù)據(jù)；

協(xié)同合作數(shù)據(jù)。主要有來自權(quán)威部門發(fā)布的病毒蠕蟲預(yù)警數(shù)據(jù)，或是網(wǎng)絡(luò)安全公司提供的網(wǎng)絡(luò)攻擊行為分析數(shù)據(jù)等。

在上述數(shù)據(jù)類型中，除了第一種與第二種數(shù)據(jù)類型，其他的數(shù)據(jù)類型都能夠由安全態(tài)勢感知系統(tǒng)來收集，如果能夠獲取骨干網(wǎng)絡(luò)設(shè)備的訪問權(quán)，通過設(shè)備的鏡像功能，能夠獲取流經(jīng)網(wǎng)絡(luò)設(shè)備的詳細(xì)數(shù)據(jù)。

（2）安全態(tài)勢評估

安全態(tài)勢評估分為五個(gè)環(huán)節(jié)，分別為數(shù)據(jù)預(yù)處理、數(shù)據(jù)集成、數(shù)據(jù)穩(wěn)定性評估、網(wǎng)絡(luò)威脅評估以及安全評估。在收集來自于異源異構(gòu)傳感器的數(shù)據(jù)時(shí)，要進(jìn)行格式化統(tǒng)一的數(shù)據(jù)分類處理，在數(shù)據(jù)庫與相關(guān)技術(shù)的支持下，分析與判斷網(wǎng)絡(luò)安全事件，進(jìn)行數(shù)據(jù)的去重與集成，再按照數(shù)據(jù)的脆弱性與安全事件的威脅進(jìn)行專項(xiàng)評估?，F(xiàn)階段，我國在數(shù)據(jù)集成與融合方面的技術(shù)發(fā)展較慢，因此主要以威脅識別為牽引，評估數(shù)據(jù)因安全事件引發(fā)的變化程度，具體來說是面向網(wǎng)絡(luò)攻防對抗的網(wǎng)絡(luò)安全態(tài)勢評估。在此需要解決以下三個(gè)方面的問題：

首先，利用網(wǎng)絡(luò)威脅主動(dòng)探測數(shù)據(jù)，雖然這些數(shù)據(jù)可能缺乏系統(tǒng)性與完整性，但是這些數(shù)據(jù)具有很強(qiáng)的指向性，能夠證明威脅數(shù)據(jù)的存在，能夠直接用于確認(rèn)安全事件，并還原網(wǎng)絡(luò)攻擊路徑。

整合宏觀網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)與具體設(shè)計(jì)某一信息系統(tǒng)的數(shù)據(jù)，通過調(diào)動(dòng)數(shù)據(jù)中的關(guān)鍵字，如IP地址或是攻擊特征等，從這些關(guān)鍵字中尋找有價(jià)值的數(shù)據(jù)信息，解決宏觀與微觀的關(guān)聯(lián)問題。

從網(wǎng)絡(luò)數(shù)據(jù)中提出網(wǎng)絡(luò)攻擊行為特征。借助特征匹配技術(shù)，提取網(wǎng)絡(luò)攻擊模式與數(shù)據(jù)流特征，提升對新型威脅的預(yù)防能力。

（3）安全態(tài)勢預(yù)測

由于部分網(wǎng)絡(luò)數(shù)據(jù)帶有脆弱性，并且經(jīng)常會(huì)調(diào)整安全策略，這會(huì)導(dǎo)致網(wǎng)絡(luò)威脅具有很強(qiáng)的變化能力。對此，當(dāng)獲取網(wǎng)絡(luò)威脅數(shù)據(jù)時(shí)，預(yù)想不同的條件與場景，結(jié)合網(wǎng)絡(luò)安全的歷史信息，在網(wǎng)絡(luò)威脅的基礎(chǔ)下進(jìn)行安全態(tài)勢預(yù)測，能夠直觀地反映出在未來特定時(shí)間內(nèi)的網(wǎng)絡(luò)安全形勢，網(wǎng)絡(luò)安全態(tài)勢預(yù)測的目的并不是形成新準(zhǔn)確預(yù)警信息，而是分析預(yù)警結(jié)果，用于網(wǎng)絡(luò)攻防的對抗中。

3 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的應(yīng)用

（1）脆弱點(diǎn)分析評估

當(dāng)外界因素發(fā)現(xiàn)并利用了信息網(wǎng)絡(luò)中的脆弱數(shù)據(jù)時(shí)，就會(huì)引發(fā)網(wǎng)絡(luò)安全事故，處理網(wǎng)絡(luò)安全事件的最佳方式是及時(shí)地發(fā)現(xiàn)并使用正確的方式處理數(shù)據(jù)中的脆弱部分，這也是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的目的之一。獲取系統(tǒng)中脆弱數(shù)據(jù)的分布情況，能夠挾制網(wǎng)絡(luò)安全態(tài)勢感系統(tǒng)進(jìn)行安全事件的預(yù)估，在信息網(wǎng)絡(luò)中，根據(jù)威脅程度的大小可以將漏洞分為嚴(yán)重、高、中、低的等級，一旦威脅程度為嚴(yán)重的漏洞被利用，就會(huì)帶來非常嚴(yán)重的后果，這種漏洞要將其視為重點(diǎn)，及時(shí)地進(jìn)行修補(bǔ)，以避免造成更大的損失。

（2）安全態(tài)勢分析評估

隨機(jī)性是安全事件的一項(xiàng)基本特征，部分網(wǎng)絡(luò)數(shù)據(jù)還帶有脆弱性，需要經(jīng)常調(diào)整安全策略，但是分析數(shù)據(jù)在一段時(shí)間內(nèi)的運(yùn)行狀態(tài)，能夠從中提取出網(wǎng)絡(luò)安全事件發(fā)展規(guī)律。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)等能夠以星期為周期總結(jié)安全事件的發(fā)展趨勢，也能夠以日為周期總結(jié)安全事件的發(fā)生頻率，通過安全事件的發(fā)展信息，能夠分析每一天出現(xiàn)的安全事件。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能夠?qū)⑹录拿Q發(fā)生時(shí)間、事件源、資產(chǎn)值與風(fēng)險(xiǎn)值進(jìn)行直觀地概括，其中風(fēng)險(xiǎn)值越小就代表這一安全事件所造成的網(wǎng)絡(luò)威脅程度越小。如果只存在少量的風(fēng)險(xiǎn)或是不存在安全風(fēng)險(xiǎn)時(shí)，當(dāng)前的信息網(wǎng)絡(luò)環(huán)境就是安全可控狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能夠記錄風(fēng)險(xiǎn)事件的全部信息，將事件進(jìn)行類型判斷，例如，當(dāng)事件被判斷為告警類型的P2P策略沖突的關(guān)聯(lián)事件，系統(tǒng)可以通過修改P2P策略來控制該事件。

4 結(jié)束語

綜上所述，在網(wǎng)絡(luò)安全管理中，構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，能夠提升安全事件分析與預(yù)防的準(zhǔn)確性與穩(wěn)定性。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)集成了多種監(jiān)測技術(shù)、數(shù)據(jù)分析技術(shù)等，能夠分析在信息網(wǎng)絡(luò)或是設(shè)備上的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是未來網(wǎng)絡(luò)安全領(lǐng)域中重點(diǎn)研究與發(fā)展的方向之一，現(xiàn)階段，網(wǎng)絡(luò)安全態(tài)勢感知的研究已經(jīng)受到了國內(nèi)外學(xué)者的關(guān)注。本文總結(jié)了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的標(biāo)準(zhǔn)架構(gòu)模式，闡述了網(wǎng)絡(luò)安全感知系統(tǒng)中的各項(xiàng)需求，為構(gòu)建系統(tǒng)提出了思路與方案。

[1]殷亞玲. 基于態(tài)勢感知系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)與應(yīng)用[J]. 科技風(fēng)，2020（33）：102-103.

[2]張秀成. 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：1-2.

[3]宣慧. 高校網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J]. 電腦知識與技術(shù)，2020，16（29）：72-74.

[4]馮文靜. 基于安全態(tài)勢感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)設(shè)計(jì)[J]. 現(xiàn)代電子技術(shù)，2020，43（16）：85-88.

[5]許慶帥，孔貴琴，王學(xué)良. 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)技術(shù)研究[J]. 數(shù)碼世界，2020（04）：236.

[6]李若愚，張新躍，張晉豪. 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)架構(gòu)淺析[J]. 信息記錄材料，2019，20（08）：101-102.

[7]韓曉櫻. 淺談網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及其關(guān)鍵技術(shù)[J]. 電子世界，2019（11）：206.

[8]陶源，黃濤，張墨涵，等. 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究及發(fā)展趨勢分析[J]. 信息網(wǎng)絡(luò)安全，2018（08）：79-85.