摘要：為了解決當(dāng)前網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大而導(dǎo)致的網(wǎng)絡(luò)攻擊行為頻發(fā)問題，本文利用威脅情報(bào)能力，通過網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)對威脅進(jìn)行評估，從威脅態(tài)勢、脆弱性態(tài)勢等方面入手，構(gòu)建網(wǎng)絡(luò)安全評估指標(biāo)體系，構(gòu)建網(wǎng)絡(luò)安全態(tài)勢評估手段，提升網(wǎng)絡(luò)安全檢測能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢；網(wǎng)絡(luò)威脅情報(bào)；態(tài)勢評估；安全指標(biāo)

鑒于當(dāng)前網(wǎng)絡(luò)架構(gòu)日益復(fù)雜化，網(wǎng)絡(luò)攻擊手段亦呈現(xiàn)出多樣化的趨勢。傳統(tǒng)的安全威脅檢測方法已無法滿足日益嚴(yán)峻且不斷變化的網(wǎng)絡(luò)環(huán)境安全需求。網(wǎng)絡(luò)安全意識評估可以準(zhǔn)確預(yù)測和預(yù)防潛在的安全問題，最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)威脅情報(bào)（Cyber Threat Intelligence，CTI）可以描述攻擊行為，提供網(wǎng)絡(luò)攻擊的相關(guān)信息，有助于管理網(wǎng)絡(luò)攻擊和防御，并且通過有效地收集和分享威脅信息，助力網(wǎng)絡(luò)安全管理人員更好地管理和防御網(wǎng)絡(luò)攻擊。這樣做還能確保信息交換的安全和質(zhì)量。同時，分析惡意行為也是加強(qiáng)網(wǎng)絡(luò)安全管理的關(guān)鍵，能幫助我們檢測和預(yù)防網(wǎng)絡(luò)攻擊，并進(jìn)一步降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[1]。連續(xù)威脅為開發(fā)網(wǎng)絡(luò)安全態(tài)勢感知模型提供新思路。

一、網(wǎng)絡(luò)安全態(tài)勢評估

網(wǎng)絡(luò)安全主要是指整個網(wǎng)絡(luò)的安全狀況和未來的安全趨勢，涉及網(wǎng)絡(luò)設(shè)備的狀態(tài)、網(wǎng)絡(luò)活動和用戶行為等。網(wǎng)絡(luò)安全態(tài)勢評估是指通過對網(wǎng)絡(luò)環(huán)境中不同安全因素的選擇和組織，以預(yù)測未來趨勢和評估網(wǎng)絡(luò)安全狀態(tài)，其內(nèi)容包括三個方面。

1.預(yù)測態(tài)勢：安全評估的最后階段是態(tài)勢預(yù)測，可用于收集信息，以預(yù)測未來潛在的安全情況并支持系統(tǒng)操作員的決策。

2.態(tài)勢要素提?。菏占ňW(wǎng)絡(luò)流量日志、系統(tǒng)處理日志等網(wǎng)絡(luò)安全的影響因素。完成計(jì)算后，同樣可以提取基本數(shù)據(jù)，為了解網(wǎng)絡(luò)安全情況做準(zhǔn)備。

3.態(tài)勢理解：通過分析潛在因素之間的相關(guān)性，并使用定量和定性的研究方法，全面評估當(dāng)前網(wǎng)絡(luò)安全問題的總體情況，以獲得完整準(zhǔn)確的分析結(jié)果。

二、基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)

根據(jù)業(yè)務(wù)邏輯，網(wǎng)絡(luò)系統(tǒng)由設(shè)備、網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序這幾個部分組成。為了了解網(wǎng)絡(luò)是否安全，需要進(jìn)行評估，評估維度包括安全故障、系統(tǒng)漏洞、系統(tǒng)冗余、系統(tǒng)響應(yīng)等。這些可能會出現(xiàn)的問題，都可以被視作網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)，并被概括為威脅態(tài)勢、自身的脆弱性態(tài)勢。圖1所示為網(wǎng)絡(luò)安全態(tài)勢評估層次。

（一）威脅態(tài)勢

威脅態(tài)勢評估網(wǎng)絡(luò)、資源及其他因素對網(wǎng)絡(luò)安全的潛在影響。內(nèi)部安全事件，也稱內(nèi)部攻擊，包括未經(jīng)授權(quán)訪問系統(tǒng)、應(yīng)用程序或數(shù)據(jù)。外部安全事件，也稱外部攻擊，即對系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)、資源等的外部攻擊。外部攻擊的形式十分多樣化，常見的攻擊包括選擇風(fēng)險(xiǎn)指標(biāo)時，需重視網(wǎng)絡(luò)內(nèi)外部安全事件，如惡意代碼攻擊、計(jì)算機(jī)盜版和DDoS攻擊。依據(jù)攻擊特性和網(wǎng)絡(luò)變化進(jìn)行科學(xué)分類，借助威脅評估指標(biāo)區(qū)分。威脅信息源自設(shè)備記錄、網(wǎng)絡(luò)流量、警報(bào)數(shù)據(jù)等。構(gòu)建評估體系時，納入警報(bào)數(shù)量、事件頻率、流量波動和帶寬變化等要素，審視安全事件歷史與現(xiàn)狀。確保管理人員快速捕捉威脅，采取有效應(yīng)對措施。

（二）脆弱性態(tài)勢

脆弱性態(tài)勢含網(wǎng)絡(luò)脆弱性與資源脆弱性。網(wǎng)絡(luò)脆弱性指網(wǎng)絡(luò)架構(gòu)的弱點(diǎn)和潛在風(fēng)險(xiǎn)，若被利用，將威脅網(wǎng)絡(luò)安全。資源脆弱性涉及軟硬件資源問題，如軟件缺陷和硬件故障，影響系統(tǒng)穩(wěn)定。兩者均需高度重視，并采取管理措施，保障信息資產(chǎn)安全穩(wěn)定。在軟件層面，部分系統(tǒng)和應(yīng)用程序存在薄弱環(huán)節(jié)。若這些弱點(diǎn)被惡意利用，可能對系統(tǒng)造成威脅。為確保全面評估軟件漏洞，需考慮整體安全狀態(tài)、不同損壞級別的漏洞數(shù)量、補(bǔ)丁安裝和端口開放狀況。從硬件脆弱性方面來看，重點(diǎn)在于設(shè)備的物理可靠性，如能源安全、平均故障率等。此外，網(wǎng)絡(luò)脆弱性中的漏洞亦不容忽視，其主要與網(wǎng)絡(luò)拓?fù)溆嘘P(guān)。通過專業(yè)分析，人們可以了解網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)連接等結(jié)構(gòu)特征，以評估網(wǎng)絡(luò)拓?fù)渎┒磳W(wǎng)絡(luò)服務(wù)性能的影響[3]。在安全威脅分析方面，需關(guān)注系統(tǒng)漏洞、系統(tǒng)配置和網(wǎng)絡(luò)安全等多個方面。評估過程中，應(yīng)注意一些關(guān)鍵指標(biāo)，如安全級別、網(wǎng)絡(luò)故障率、開放端口數(shù)量和網(wǎng)絡(luò)結(jié)構(gòu)脆弱性等。

（三）網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)

針對威脅態(tài)勢、脆弱性狀況等多個維度，基于網(wǎng)絡(luò)系統(tǒng)的設(shè)備、系統(tǒng)與應(yīng)用以及網(wǎng)絡(luò)本身進(jìn)行綜合考量，筆者總結(jié)出如表1所示的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)。

就如評價一個人的健康狀況需要從多個指標(biāo)展開一樣，網(wǎng)絡(luò)系統(tǒng)的安全狀況也應(yīng)從多個方面來評估。在威脅態(tài)勢方面，需要分析不同類型的網(wǎng)絡(luò)攻擊，然后找出那些普遍存在的、可以操作的評估指標(biāo)。在脆弱性態(tài)勢方面，需重點(diǎn)關(guān)注資產(chǎn)和網(wǎng)絡(luò)本身的脆弱性，這樣可以更全面地了解網(wǎng)絡(luò)安全的脆弱性。在資產(chǎn)維度方面，需查看網(wǎng)絡(luò)系統(tǒng)是否正常運(yùn)行，以及機(jī)器持續(xù)服務(wù)能力等?？偟膩碚f，制定一套簡單易懂、操作方便的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)，有助于更好地了解網(wǎng)絡(luò)系統(tǒng)的安全狀況。

三、威脅情報(bào)在網(wǎng)絡(luò)安全態(tài)勢感知中的應(yīng)用

基于威脅情報(bào)的態(tài)勢感知模型，可以分為態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射三個部分，圖2所示為態(tài)勢感知模型圖。

（一）態(tài)勢察覺

1.異常行為的識別和攻擊檢測方法

在態(tài)勢感知中，傳統(tǒng)的檢測識別方法包括攻擊模式檢測方法、DDoS攻擊檢測方法、基F分布攻擊檢測方法。然而，所有這些方法都有其缺點(diǎn)，使得很難檢測到隱藏的和長期的攻擊。通過威脅分析，即對IP信譽(yù)、文件信譽(yù)、其他指紋屬性等進(jìn)行比較，密切監(jiān)測系統(tǒng)異常行為，同時辨別攻擊行為，確定優(yōu)先級，以及采取適當(dāng)措施緩解這些行為[4]。

一些在線威脅分析來自移動或移動網(wǎng)絡(luò)，這些網(wǎng)絡(luò)使用一些專門的威脅行為分析工具來生成威脅數(shù)據(jù)。威脅信息包括攻擊威脅評估方法、檢測方法、攻擊特征、安全補(bǔ)救方法、防御計(jì)劃等。此外，威脅情報(bào)包括使用豐富的威脅情報(bào)數(shù)據(jù)庫來分析互聯(lián)網(wǎng)，該數(shù)據(jù)庫可以將暗網(wǎng)絡(luò)數(shù)據(jù)與現(xiàn)有數(shù)據(jù)相結(jié)合，創(chuàng)建智能資源。

2.確定攻擊特征

為了使用開源威脅情報(bào)檢測攻擊，有必要盡可能準(zhǔn)確、完整、簡潔地描述攻擊特征，以確定攻擊的目的、影響和防御方法。威脅情報(bào)涵蓋指標(biāo)、背景、機(jī)制、相關(guān)性分析及風(fēng)險(xiǎn)建議。評估現(xiàn)有及新風(fēng)險(xiǎn)，考量資產(chǎn)風(fēng)險(xiǎn)。利用情報(bào)，深度處理攻擊數(shù)據(jù)，創(chuàng)建結(jié)構(gòu)化標(biāo)準(zhǔn)化格式，提升識別全面性和準(zhǔn)確性。文本威脅分析可識別流量欺詐特征，避免依賴自然語言處理獲取基本信息，并基于該特征建立了攻擊的檢測規(guī)則[5]。

基于態(tài)勢感知來說，開源數(shù)據(jù)庫對于特定攻擊做出反應(yīng)的概率相對較小。所以，在此種情況下，可以使用外部威脅數(shù)據(jù)，對于收集的網(wǎng)絡(luò)安全要素進(jìn)行預(yù)處理分析，如存儲目標(biāo)網(wǎng)絡(luò)資源數(shù)據(jù)、風(fēng)險(xiǎn)統(tǒng)計(jì)和警告數(shù)據(jù)等，對系統(tǒng)中的異常行為進(jìn)行有效識別，解析攻擊的目的、采用的方法以及這些行為所可能產(chǎn)生的具體影響。同時，利用外部獲取的威脅情報(bào)，轉(zhuǎn)化為內(nèi)部可用的威脅信息，并將這些威脅的有關(guān)信息進(jìn)行共享，能夠有效增強(qiáng)網(wǎng)絡(luò)對攻擊的抵御能力，有助于提高大型網(wǎng)絡(luò)的安全性。

（二）態(tài)勢理解

在NSSA的第一階段，基于威脅情報(bào)對系統(tǒng)中不正常的行為、攻擊特征等進(jìn)行檢測識別，然后確定攻擊者的目標(biāo)、產(chǎn)生的影響、攻擊方法等。了解這些攻擊行為后，制定有效的應(yīng)對策略，并以標(biāo)準(zhǔn)威脅數(shù)據(jù)格式生成內(nèi)部攻擊數(shù)據(jù)。通過將內(nèi)部威脅情報(bào)與共享威脅情報(bào)進(jìn)行比較和分析，可以確定適當(dāng)?shù)姆烙呗?。?yīng)優(yōu)先考慮具體的風(fēng)險(xiǎn)緩解措施，包括糾正或預(yù)防措施，以及影響事件的補(bǔ)償或緩解措施。

（三）態(tài)勢投射

1.態(tài)勢量化評估

隨機(jī)博弈、馬爾可夫、支持向量機(jī)（SVM）等評估模型是當(dāng)前網(wǎng)絡(luò)安全評估的關(guān)鍵評估模型。使用這些模型來評估網(wǎng)絡(luò)安全情況可能會導(dǎo)致準(zhǔn)確性不同，無法適應(yīng)在線環(huán)境的變化。威脅信息共享技術(shù)保持情報(bào)數(shù)據(jù)庫實(shí)時更新，精準(zhǔn)反映網(wǎng)絡(luò)安全動態(tài)。具體而言，威脅情報(bào)深入剖析系統(tǒng)潛在威脅，實(shí)現(xiàn)精準(zhǔn)識別和有效應(yīng)對。潛在的威脅將直接影響系統(tǒng)的穩(wěn)定性和安全性，所以，對于系統(tǒng)而言，威脅情報(bào)具有重要意義。例如，基于攻擊圖模型的安全評估方法，用于分析成功攻擊周期的可能性和系統(tǒng)丟失的風(fēng)險(xiǎn)。因此，將適當(dāng)?shù)娘L(fēng)險(xiǎn)分析系統(tǒng)納入態(tài)勢評估，能夠有效提高網(wǎng)絡(luò)安全態(tài)勢評估的準(zhǔn)確性[6]。

2.攻擊預(yù)測

網(wǎng)絡(luò)預(yù)測主要是基于歷史數(shù)據(jù)和趨勢的預(yù)測，并未考慮到網(wǎng)絡(luò)環(huán)境正在日益復(fù)雜化，且會隨時發(fā)生變化。要實(shí)現(xiàn)預(yù)測的準(zhǔn)確性，就需要考慮網(wǎng)絡(luò)可能發(fā)生的變化。為提升攻擊預(yù)測準(zhǔn)確性，我們引入威脅情報(bào)。情報(bào)分析包括廣泛安全事件數(shù)據(jù)，并告知網(wǎng)絡(luò)管理者關(guān)鍵信息，以便及時應(yīng)對潛在威脅。在威脅情報(bào)分析中引入人工智能技術(shù)，可以使分析變得智能化、準(zhǔn)確化。

3.攻擊溯源

由于網(wǎng)絡(luò)空間結(jié)構(gòu)的復(fù)雜性，攻擊方法和入侵者防御技術(shù)的不斷發(fā)展是監(jiān)控網(wǎng)絡(luò)安全攻擊是保障網(wǎng)絡(luò)環(huán)境穩(wěn)定與數(shù)據(jù)安全的關(guān)鍵。

目前，廣泛采用高效且具針對性的攻擊跟蹤方法，主要分為兩類：基于哈希技術(shù)的溯源方法和基于IP地址的溯源方法。前者通過哈希運(yùn)算追蹤攻擊源頭，后者通過解析與追蹤IP地址揭示攻擊者位置與身份。兩者相輔相成，是網(wǎng)絡(luò)安全防護(hù)體系的重要組成。基于代數(shù)的攻擊溯源方法以及基于IP隧道的攻擊溯源方法等。這些方法過于簡單，功能有限，監(jiān)測結(jié)果不盡如人意[7]。

近年來，威脅情報(bào)的增加為攻擊跟蹤的發(fā)展提供了新的動力，威脅情報(bào)共享已成為實(shí)現(xiàn)有效攻擊跟蹤的關(guān)鍵手段。為了提高攻擊跟蹤的有效性和準(zhǔn)確性，專家們提出了一個共享和使用基于STIX的威脅信息的簡化框架。例如，本文通過監(jiān)測威脅信息的交換和使用來討論C2數(shù)據(jù)，并通過實(shí)驗(yàn)驗(yàn)證了使用威脅信息追蹤攻擊的可能性[8]。這一研究成果對于加強(qiáng)網(wǎng)絡(luò)安全防護(hù)、提升攻擊溯源能力具有重要意義。

經(jīng)過深入研究，將威脅情報(bào)應(yīng)用在態(tài)勢投射中具有非常好的效果。威脅情報(bào)能夠顯著提高態(tài)勢感知的效果。然而，值得注意的是，威脅信息列表存儲了大量數(shù)據(jù)，其中，部分情報(bào)自收集以來并未得到實(shí)際應(yīng)用。因此，為了進(jìn)一步提高態(tài)勢投射的準(zhǔn)確性，相關(guān)人員應(yīng)當(dāng)重點(diǎn)研究和發(fā)掘高質(zhì)量的威脅情報(bào)，并將其應(yīng)用于態(tài)勢評估和預(yù)測中。這將是未來網(wǎng)絡(luò)安全研究的重要方向。

四、結(jié)束語

綜上所述，相較于傳統(tǒng)的網(wǎng)絡(luò)安全手段，網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)更能有效地監(jiān)測網(wǎng)絡(luò)安全環(huán)境中的各類風(fēng)險(xiǎn)，并實(shí)現(xiàn)快速檢測與及時緩解。此項(xiàng)工作極具復(fù)雜性與挑戰(zhàn)性，涵蓋了多種類型與來源的數(shù)據(jù)與場景，特別是在數(shù)據(jù)資源豐富的環(huán)境下，無疑進(jìn)一步提升了評估的難度。為應(yīng)對這一挑戰(zhàn)，可充分利用威脅情報(bào)進(jìn)行態(tài)勢感知，一方面有助于強(qiáng)化網(wǎng)絡(luò)態(tài)勢的實(shí)時監(jiān)控，另一方面可精準(zhǔn)識別內(nèi)部威脅，從而實(shí)現(xiàn)持續(xù)的安全監(jiān)控，并快速準(zhǔn)確地應(yīng)對各類網(wǎng)絡(luò)安全威脅。此外，還需要不斷提升網(wǎng)絡(luò)技術(shù)的管理能力，為國家網(wǎng)絡(luò)管理的加速發(fā)展提供堅(jiān)實(shí)的技術(shù)支撐。

作者單位：雷穎 岑嵐 周崎 中國移動通信集團(tuán)安徽有限公司

參考文獻(xiàn)

[1]李學(xué)民，顧麗旺，宮克.基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢評估方法研究[J].情報(bào)工程，2023，9（04）：3-13.

[2]王廣利.基于深度學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢評估算法設(shè)計(jì)[J].長江信息通信，2023，36（01）：97-99.

[3]張然，潘芷涵，尹毅峰，等.基于SAA-SSA-BPNN的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 計(jì)算機(jī)工程與應(yīng)用，2022，58（11）：117-124.

[4]龔嘉瑤，王鐘莊.基于卷積神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].長江信息通信，2023，36（04）：93-95.

[5]肖鵬，王柯強(qiáng)，黃振林. 基于IABC和聚類優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)的電力信息網(wǎng)絡(luò)安全態(tài)勢評估[J].智慧電力，2022，50（06）：100-106.

[6]王帥.多源異構(gòu)數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢評估體系研究[J].軟件，2023，44（06）：141-143.

[7]俞洋.高等院校網(wǎng)絡(luò)安全態(tài)勢評估模型應(yīng)用設(shè)計(jì)研究[J].電子測試，2022（13）：86-88，85.

[8]喬溢.基于多通道機(jī)制的網(wǎng)絡(luò)安全態(tài)勢評估研究[J].信息技術(shù)，2022，46（10）：159-165.