郭培成 許鑫

摘要：針對網(wǎng)絡(luò)安全運(yùn)營主動性防御缺乏針對性問題，提出一種基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御技術(shù)。首先，對網(wǎng)絡(luò)安全態(tài)勢感知以及相關(guān)技術(shù)概念進(jìn)行分析；其次，設(shè)計(jì)態(tài)勢感知平臺部署架構(gòu)及主動防御模型；最后，通過實(shí)驗(yàn)驗(yàn)證本文提出的技術(shù)方案的可行性。

關(guān)鍵詞：網(wǎng)絡(luò)安全運(yùn)營；主動防御；態(tài)勢感知

引言

信息化飛速發(fā)展，給個人、企業(yè)甚至國家?guī)砹讼鄳?yīng)的信息安全風(fēng)險(xiǎn)，以震網(wǎng)（Stuxnet）與Havex病毒為主的網(wǎng)絡(luò)安全事故頻頻發(fā)生。傳統(tǒng)網(wǎng)絡(luò)的被動安全防御主要是建立在現(xiàn)有的網(wǎng)絡(luò)體系架構(gòu)之上，通過更多層次的防御體系來提升網(wǎng)絡(luò)的安全性。但是，隨著網(wǎng)絡(luò)安全事故的頻頻發(fā)生，傳統(tǒng)網(wǎng)絡(luò)安全運(yùn)營主動性防御缺乏針對性的問題日益凸顯[1]。針對此種情況，本文對基于安全運(yùn)營中心主動防御體系的態(tài)勢感知技術(shù)進(jìn)行研究，以期為提升網(wǎng)絡(luò)運(yùn)營安全性提供參考。

1. 相關(guān)概念

態(tài)勢感知主要是建立在大數(shù)據(jù)基礎(chǔ)上的一種安全技術(shù)，具備動態(tài)、整體感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。該技術(shù)主要是在大數(shù)據(jù)的基礎(chǔ)上，在一定的時間與空間內(nèi)，采集網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)流量，通過匹配攻擊關(guān)聯(lián)規(guī)則，預(yù)測未來可能出現(xiàn)的網(wǎng)絡(luò)攻擊事件。主動防御技術(shù)（ADSS）主要是通過不斷地改變網(wǎng)絡(luò)基礎(chǔ)屬性，如端口、網(wǎng)絡(luò)協(xié)議等，實(shí)現(xiàn)主動防御。

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，國外有關(guān)研究人員提出了一種基于虛假端口地址轉(zhuǎn)換的主動防御方式，此種方式主要是通過在數(shù)據(jù)傳輸過程中加入虛假的地址以及端口信息，以此來迷惑攻擊者[2]。此外，有關(guān)研究人員還提出了一種基于隱藏信息地址轉(zhuǎn)換的主動防御技術(shù)，該技術(shù)主要是通過網(wǎng)絡(luò)地址的隨機(jī)轉(zhuǎn)換，將數(shù)據(jù)分散至不同的端口進(jìn)行傳輸[3]。

基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御技術(shù)（ADSS）具有以下優(yōu)勢：（1）主要是在網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的基礎(chǔ)上，針對惡意攻擊選擇相應(yīng)的主動防御策略，有效提升了防御的針對性；（2）可根據(jù)轉(zhuǎn)換端接節(jié)點(diǎn)的地址信息，動態(tài)變換網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，進(jìn)而增加網(wǎng)絡(luò)的攻擊難度。

2. 態(tài)勢感知系統(tǒng)部署架構(gòu)設(shè)計(jì)

系統(tǒng)架構(gòu)主要由前端服務(wù)器（TSA、IDS服務(wù)器）、防火墻等部分組成，如圖1所示。不同類型服務(wù)器可為網(wǎng)絡(luò)安全態(tài)勢感知平臺提供相應(yīng)的數(shù)據(jù)來源，以便于態(tài)勢感知預(yù)警系統(tǒng)進(jìn)行相應(yīng)的數(shù)據(jù)分析與檢索。采集服務(wù)器的作用在于收集TSA、IDS等前端服務(wù)器中的數(shù)據(jù)，并對其進(jìn)行過濾、緩存處理。在數(shù)據(jù)經(jīng)過相應(yīng)的處理后，通過預(yù)處理服務(wù)器進(jìn)行數(shù)據(jù)匯總，對其進(jìn)行統(tǒng)一的規(guī)范化處理，并根據(jù)數(shù)據(jù)的類型將其存儲至相對應(yīng)的存儲系統(tǒng)中。在數(shù)據(jù)經(jīng)過預(yù)處理服務(wù)器處理后，將其轉(zhuǎn)存至hadoop服務(wù)器中，通過hadoop進(jìn)行存儲與分析，并對數(shù)據(jù)的關(guān)聯(lián)性進(jìn)行統(tǒng)計(jì)與挖掘，然后再將數(shù)據(jù)結(jié)果導(dǎo)入數(shù)據(jù)導(dǎo)入檢索引擎中，以便于在web服務(wù)器中查詢。ES節(jié)點(diǎn)（elasticsearch）服務(wù)器的作用在于對hadoop中的數(shù)據(jù)結(jié)果進(jìn)行二次統(tǒng)計(jì)，并向web服務(wù)器提供相應(yīng)的檢索數(shù)據(jù)?？蛻舳朔?wù)器主要是在態(tài)勢感知平臺的基礎(chǔ)上，提供相應(yīng)的自動化運(yùn)維以及監(jiān)控服務(wù)，此時運(yùn)維人員便可通過服務(wù)器提供的接口進(jìn)行管理平臺的調(diào)度與運(yùn)維[4]。

web服務(wù)器主要分為兩種類型，一種為web數(shù)據(jù)庫服務(wù)器，另一種為web展示服務(wù)器。其中，前者主要存放態(tài)勢感知預(yù)警平臺中的業(yè)務(wù)功能數(shù)據(jù)，后者通過業(yè)務(wù)服務(wù)器中的基礎(chǔ)數(shù)據(jù)與態(tài)勢感知預(yù)警平臺系統(tǒng)的數(shù)據(jù)，根據(jù)業(yè)務(wù)功能與威脅數(shù)據(jù)分析功能，實(shí)現(xiàn)數(shù)據(jù)的可視化展現(xiàn)。

3. 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知主動防御技術(shù)（ADSS）

在網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大的背景下，網(wǎng)絡(luò)攻擊也變得多種多樣，雖然人們加大了網(wǎng)絡(luò)安全的建設(shè)力度，并增設(shè)相應(yīng)的安全設(shè)備與系統(tǒng)，如防火墻、殺毒軟件等，但由于傳統(tǒng)安全設(shè)備僅能檢測已知的網(wǎng)絡(luò)攻擊，導(dǎo)致漏報(bào)與誤報(bào)的情況頻頻發(fā)生。同時APT產(chǎn)品只是對惡意代碼樣本進(jìn)行分析，業(yè)務(wù)結(jié)合性相對較差，缺乏針對性，使得在追溯惡意代碼時還需通過人工分析的方式在海量的數(shù)據(jù)中尋找，在一定程度上增加了網(wǎng)絡(luò)攻擊檢測的難度。此外，雖然網(wǎng)絡(luò)安全運(yùn)營中心（SOC）、安全信息、事件管理（SIEM）將安全系統(tǒng)中的日志進(jìn)行了整合，但是由于數(shù)據(jù)源相對單一，加之缺乏針對性的分析手段，在一定程度上加大了安全分析人員分析數(shù)據(jù)的難度[5]。

在網(wǎng)絡(luò)運(yùn)營過程中，傳統(tǒng)安全設(shè)備、系統(tǒng)、SOC均可確保網(wǎng)絡(luò)的運(yùn)營安全，但是由于這些部分相互獨(dú)立，難以實(shí)現(xiàn)信息共享，在發(fā)生相應(yīng)的網(wǎng)絡(luò)安全事件后，僅僅通過人工的方式進(jìn)行解決，難以充分發(fā)揮各部分之間的作用。

針對此種情況，提出了一種基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知主動防御技術(shù)（ADSS）。該技術(shù)主要是將多維度、多層次的安全數(shù)據(jù)源進(jìn)行整合，通過構(gòu)建大數(shù)據(jù)分析技術(shù)的態(tài)勢感知預(yù)警監(jiān)測平臺，在挖掘關(guān)聯(lián)性的基礎(chǔ)上對其進(jìn)行深度分析，全面發(fā)展態(tài)勢感知與高效的數(shù)據(jù)分析技術(shù)，進(jìn)一步提升網(wǎng)絡(luò)態(tài)勢感知與防御能力[6]。

對于本次設(shè)計(jì)的網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警平臺而言，其內(nèi)部在機(jī)器學(xué)習(xí)與智能分析算法基礎(chǔ)上建立了多種網(wǎng)絡(luò)安全模型，計(jì)算框架為TEZ，SPARK并行，通過數(shù)據(jù)挖掘、文本分析等方式對數(shù)據(jù)進(jìn)行深度分析，并結(jié)合入侵檢測模型、網(wǎng)絡(luò)異常行為模型等實(shí)現(xiàn)安全威脅的甄別。同時通過信息系統(tǒng)的實(shí)時監(jiān)控，構(gòu)建了主動防御信息安全管理體系，將傳統(tǒng)的被動防御轉(zhuǎn)變?yōu)橹鲃臃烙?，并逐漸完善了已發(fā)生事件的應(yīng)急處理機(jī)制，有效提升了網(wǎng)絡(luò)運(yùn)營安全主動防御針對性的能力。網(wǎng)絡(luò)安全態(tài)勢感知平臺中主要包括以下幾種分析模型：

3.1 關(guān)聯(lián)分析模型

對于平臺中的網(wǎng)絡(luò)安全設(shè)備而言，其產(chǎn)生的日志詳細(xì)記錄了安全事件發(fā)生的整個過程，可針對性地對網(wǎng)絡(luò)中疑似攻擊事件產(chǎn)生報(bào)警，并且將其與對應(yīng)的日志進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)數(shù)據(jù)包的回溯分析，此時便可實(shí)現(xiàn)對應(yīng)TCP過程的可視化，將整個網(wǎng)絡(luò)攻擊事件完整地還原[7]。通過此種在相似度基礎(chǔ)上進(jìn)行的報(bào)警關(guān)聯(lián)分析，不僅有效降低了關(guān)聯(lián)分析的難度，而且還在一定程度上提升了關(guān)聯(lián)分析的準(zhǔn)確性。基于相似度的報(bào)警關(guān)聯(lián)分析流程如圖2所示。

（1）提取報(bào)警日志中的主要屬性，目的在于將攻擊報(bào)警屬性還原攻擊時間，進(jìn)而形成相應(yīng)的原始報(bào)警；

（2）在得到相應(yīng)的原始報(bào)警后，將其中重復(fù)的部分進(jìn)行合并，對其進(jìn)行分類匹配，并將相似度相對較高的報(bào)警進(jìn)行聚合，形成相信的聚合報(bào)警；

（3）在得到聚合報(bào)警后，通過報(bào)警屬性相似度的計(jì)算方法，分配屬性權(quán)重；

（4）權(quán)重分配完成后，計(jì)算不同聚合報(bào)警的相似度，通過比較計(jì)算結(jié)果來判斷是否需要進(jìn)行再次報(bào)警；

（5）在報(bào)警關(guān)聯(lián)性比較時，可通過基于時間窗口的報(bào)警方式來實(shí)現(xiàn)，并構(gòu)建相應(yīng)的關(guān)聯(lián)知識庫，深度挖掘原始數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，根據(jù)相應(yīng)的報(bào)警繪制事件關(guān)聯(lián)圖；

（6）通過將同一類型的報(bào)警事件輸出，形成相應(yīng)的安全事件，并按時間節(jié)點(diǎn)將報(bào)警事件發(fā)生的次數(shù)、攻擊目標(biāo)IP等進(jìn)行記錄。

3.2 融合分析模型

在安全設(shè)備運(yùn)行過程中，通常會存在一定的冗余性，為了生成更為精確的安全態(tài)勢，需對設(shè)備采集的日志進(jìn)行融合，并對單源日志報(bào)警信息的相似度進(jìn)行關(guān)聯(lián)分析，這樣可將日志中攻擊時間的原始過程還原。在進(jìn)行多源安全事件的判別時，主要通過D－S證據(jù)理論實(shí)現(xiàn)，此種方式不僅可對安全事件的可信度進(jìn)行評估，而且還可有效提升準(zhǔn)確率，對于降低安全設(shè)備的誤報(bào)率有著十分重要的作用，其融合分析的過程如下：

（1）由于安全事件具有多維度的特征，為實(shí)現(xiàn)安全事件的容和分析，可通過多維信息的分域、層次融合等方式來實(shí)現(xiàn)，并采用初始信息確定融合所需的概率分布近似算法實(shí)現(xiàn)對安全事件的融合處理，進(jìn)而生成原始報(bào)警日志[8]；

（2）在得到原始報(bào)警日志后，通過初始信任的方式，分配信息度相似函數(shù)；

（3）通過D－S證據(jù)理論，對融合報(bào)警日志的可信度進(jìn)行計(jì)算。

3.3 攻擊要素分析模型

通過部署在網(wǎng)絡(luò)出口的設(shè)備，可采集網(wǎng)絡(luò)輸出中的全部數(shù)據(jù)流量。由于采集的數(shù)據(jù)量相對較大，在分析過程中需采用逐層分析的方式，分析過程如下：

（1）分析大量的網(wǎng)絡(luò)攻擊事件，并建立相應(yīng)的攻擊特征庫；

（2）將建立的攻擊特征庫加入網(wǎng)絡(luò)態(tài)勢感知平臺中，通過平臺自匹配攻擊事件；

（3）通過攻擊事件的類型，分析服務(wù)端口中可能存在的漏洞；

（4）在現(xiàn)有網(wǎng)絡(luò)環(huán)境中建立相應(yīng)的漏洞知識庫；

（5）若網(wǎng)絡(luò)中存在異常流量，則自動生成攻擊事件；

（6）將生成的攻擊事件與漏洞知識庫中的時間進(jìn)行對比，進(jìn)而確認(rèn)攻擊事件。

4. 實(shí)驗(yàn)分析

為了驗(yàn)證上述態(tài)勢感知平臺的可行性，將其接入信息外網(wǎng)出口流量、服務(wù)器流量、內(nèi)網(wǎng)出口流量、防火墻、信息外網(wǎng)APT系統(tǒng)中。在其運(yùn)行過程中，獲取的威脅事件數(shù)據(jù)達(dá)8TB記錄威脅數(shù)據(jù)條數(shù)總計(jì)為6170兆條。以2021年某網(wǎng)絡(luò)運(yùn)營中心的數(shù)據(jù)為例，外網(wǎng)威脅事件總計(jì)674310條，重點(diǎn)威脅事件為1868條，觸發(fā)web攻擊類2640次，DDOS攻擊2200次，瀏覽器掃描275500次。從整體上來講，該技術(shù)可將不同策略的掃描成功率降低至90%以上，可針對不同類型的攻擊類型制定相應(yīng)的防御策略。除此之外，該技術(shù)實(shí)施的成本相對合理，確保了技術(shù)方案的可行性。

結(jié)語

為了有效解決網(wǎng)絡(luò)安全運(yùn)營主動性防御缺乏針對性問題，本文采用態(tài)勢感知技術(shù)實(shí)時感知預(yù)測網(wǎng)絡(luò)安全威脅，深入分析了網(wǎng)絡(luò)安全態(tài)勢感知及主動防御技術(shù)，重點(diǎn)研究部分為多源日志的關(guān)聯(lián)分析、融合分析等技術(shù)。通過在網(wǎng)絡(luò)運(yùn)營中心外網(wǎng)網(wǎng)絡(luò)出口部署流量采集服務(wù)器的方式，對網(wǎng)絡(luò)中的流量數(shù)據(jù)進(jìn)行實(shí)時采集，并通過大數(shù)據(jù)分析技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅事件的實(shí)時分析，回溯分析攻擊事件的整個過程，有針對性地制定防御措施。實(shí)驗(yàn)驗(yàn)證表明，本文設(shè)計(jì)的系統(tǒng)可將不同策略的掃描成功率提高至90%以上，可針對不同類型的攻擊類型制定相應(yīng)的防御策略。

參考文獻(xiàn)：

[1]孫佳煒，戴然，闞沁怡，等.基于態(tài)勢感知設(shè)備安全事件的主動防御技術(shù)應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021，（2）：105-107.

[2] Zhang JW， Feng HM，Liu B.Survey of Technology in Network Security Situation Awareness[J].Sensors，2023，23（5）：2608.

[3]Wu Y，Guo NW，Wang BB，et al.Research on Situational Awareness Technology of Industrial Control Network Based on Big Data[J].Journal of Physics：Conference Series，2022，（1）：2216.

[4]王勇，孫嘉啟，淮華瑞.基于“業(yè)務(wù)+數(shù)據(jù)”視角的民航網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[J].信息安全研究，2020，6（6）：549-554.

[5]景文強(qiáng)，余波，李昂陽，等.天地一體化信息網(wǎng)絡(luò)主動防御安全體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（8）：17-21.

[6]王路遙.機(jī)器學(xué)習(xí)構(gòu)建智能網(wǎng)安主動防御體系[J].上海信息化，2019，（5）：57-61.

[7]程智力.智能車聯(lián)網(wǎng)主動防御體系探析[J].摩托車技術(shù)，2018，（6）：27-32.

[8]畢曉東.態(tài)勢感知技術(shù)構(gòu)建企業(yè)主動防御體系的研究[J].信息技術(shù)時代，2022，（3）：37-39.

作者簡介：郭培成，本科，高級工程師，研究方向：信息化管理；許鑫，本科，工程師，研究方向：信息化管理。