吳軍英 辛銳

摘 要：論文從實(shí)用角度出發(fā)，通過(guò)安全態(tài)勢(shì)感知系統(tǒng)發(fā)現(xiàn)安全事件的脈絡(luò)，并對(duì)其溯源；提供網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)信息；并且輔助決策優(yōu)先處理網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，加固硬件防護(hù)，保障客戶(hù)的業(yè)務(wù)連續(xù)性。

關(guān)鍵字：安全態(tài)勢(shì)感知；關(guān)聯(lián)分析；數(shù)據(jù)挖掘；

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2016）5（c）-0000-00

0 引言

隨著計(jì)算機(jī)與通信技術(shù)的飛速發(fā)展，用戶(hù)需求日益增加，促使無(wú)處不在的計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模越來(lái)越龐大，安全事件屢見(jiàn)不鮮，這使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的考驗(yàn)。傳統(tǒng)單一的網(wǎng)絡(luò)安全設(shè)備已經(jīng)不能抵御如今復(fù)雜的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全態(tài)勢(shì)感知（NSSA）技術(shù)應(yīng)運(yùn)而生，該技術(shù)綜合網(wǎng)絡(luò)中各方面因素，客觀(guān)、全面的反應(yīng)網(wǎng)絡(luò)現(xiàn)行狀態(tài)，并能夠根據(jù)該狀態(tài)進(jìn)行預(yù)測(cè)、預(yù)警，為網(wǎng)絡(luò)安全性的提高，提供可靠的參考數(shù)據(jù)。目前針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的研究已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。

1 安全態(tài)勢(shì)感知技術(shù)

態(tài)勢(shì)感知的定義：一定時(shí)間內(nèi)，在規(guī)模大的系統(tǒng)環(huán)境中，獲取能夠引起系統(tǒng)變化的環(huán)境因素，并通過(guò)理解、顯示這些因素，預(yù)測(cè)系統(tǒng)未來(lái)的發(fā)展趨勢(shì)。

對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究，國(guó)外研究者相對(duì)比較積極，比較出名的有，學(xué)者Bass提出的基于多傳感器數(shù)據(jù)融合技術(shù)建立網(wǎng)絡(luò)安全空間態(tài)勢(shì)感知的框架，該框架通過(guò)對(duì)入侵者身份、速度、威脅性和入侵目標(biāo)的推理、識(shí)別，能夠評(píng)估當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)。學(xué)者Shiffiet提出的基于模塊化的框架結(jié)構(gòu)，通過(guò)采用本體論，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及相關(guān)概念進(jìn)行了分析與比較得出該框架。加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等[1] 也都參與了網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究。

相對(duì)于國(guó)外的積極研究，國(guó)內(nèi)起步較晚。眾所周知的有，對(duì)我軍網(wǎng)絡(luò)與信息安全領(lǐng)域有較深研究的馮毅，他闡述了在軍事領(lǐng)域中網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的重要作用，同時(shí)指出了兩項(xiàng)關(guān)鍵技術(shù)的應(yīng)用——多元傳感器技術(shù)以及數(shù)據(jù)挖掘技術(shù)；北京理工大學(xué)機(jī)電工程與控制國(guó)家重點(diǎn)實(shí)驗(yàn)室網(wǎng)絡(luò)安全分室提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評(píng)估模型，并給出了分析方法、計(jì)算實(shí)例以及研究展望，該模型是通過(guò)分析博弈論中的模糊矩陣和網(wǎng)絡(luò)空間威脅評(píng)估機(jī)理得出來(lái)的；國(guó)防科技大學(xué)提出的大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)；國(guó)內(nèi)相關(guān)的其他研究工作主要是圍繞入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評(píng)估等方面開(kāi)展的，這為開(kāi)展網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究奠定了基礎(chǔ)[2]。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的總體設(shè)計(jì)

本文中網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)主要通過(guò)掃描蜜網(wǎng)、手機(jī)病毒和DDoS流量檢測(cè)及僵木蠕檢測(cè)系統(tǒng)獲取，其中手機(jī)病毒檢測(cè)主要是感染手機(jī)號(hào)和疑似URL信息；DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源；僵木蠕系統(tǒng)則能夠提供僵尸IP、掛馬網(wǎng)站和控制主機(jī)信息；掃描器能夠提供主機(jī)和網(wǎng)站脆弱性等信息，并可以部分驗(yàn)證；攻擊源、樣本以及攻擊目標(biāo)和行為來(lái)源于蜜網(wǎng)。通過(guò)關(guān)聯(lián)分析技術(shù)對(duì)以上數(shù)據(jù)分析并生成各類(lèi)關(guān)聯(lián)分析后事件，把事件通過(guò)安全策略管理和任務(wù)調(diào)度管理進(jìn)行分配，最終通過(guò)管理門(mén)戶(hù)呈現(xiàn)。系統(tǒng)的結(jié)構(gòu)描述如下。

管理門(mén)戶(hù)主要包括：儀表盤(pán)、關(guān)聯(lián)事件、綜合查詢(xún)視圖、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能。

策略管理主要包括安全策略管理和指標(biāo)管理。

關(guān)聯(lián)分析根據(jù)采集到的DDOS、僵木蠕、手機(jī)病毒、蜜網(wǎng)和IPS事件通過(guò)規(guī)則關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類(lèi)關(guān)聯(lián)分析后事件。

任務(wù)管理包括任務(wù)生成、配置、下發(fā)和核查等功能。

數(shù)據(jù)庫(kù)部分存儲(chǔ)原始事件、關(guān)聯(lián)分析后事件、各種策略規(guī)則及安全知識(shí)。

3 系統(tǒng)組成結(jié)構(gòu)

安全態(tài)勢(shì)感知系統(tǒng)的結(jié)構(gòu)如下圖所示：

3.1 管理門(mén)戶(hù)

管理門(mén)戶(hù)集成了系統(tǒng)的一些摘要信息，主要包括：態(tài)勢(shì)儀表盤(pán)（Dashboard）、個(gè)人工作臺(tái)、綜合查詢(xún)視圖、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能。

態(tài)勢(shì)儀表盤(pán)以地圖形式展現(xiàn)監(jiān)控范圍內(nèi)的整體安全態(tài)勢(shì)，顯示信息包含：安全威脅、弱點(diǎn)和風(fēng)險(xiǎn)情況；掃描任務(wù)完成情況和發(fā)現(xiàn)漏洞情況，系統(tǒng)層面的掃描和web掃描分開(kāi)，展示新設(shè)備上線(xiàn)及其漏洞情況。

個(gè)人工作臺(tái)關(guān)聯(lián)事件以全國(guó)地圖的形式向用戶(hù)展現(xiàn)當(dāng)前系統(tǒng)內(nèi)關(guān)聯(lián)事件的分布情況——顯示各地域不同級(jí)別（按最高）的關(guān)聯(lián)事件情況，并以列表形式展現(xiàn)關(guān)聯(lián)事件。

綜合查詢(xún)視圖包含關(guān)聯(lián)事件查詢(xún)和漏洞查詢(xún)。通過(guò)指定的字段對(duì)相關(guān)信息進(jìn)行查詢(xún)。漏洞查詢(xún)條件包括時(shí)間段、IP段（可支持多個(gè)段同時(shí)查詢(xún)）、漏洞名稱(chēng)、級(jí)別等；結(jié)果以IP為列表，點(diǎn)擊詳情可按時(shí)間倒序查詢(xún)歷史掃描。

執(zhí)行任務(wù)狀態(tài)，給出最近（一日、一天或一周）執(zhí)行的掃描任務(wù)（系統(tǒng)）以及關(guān)聯(lián)事件驗(yàn)證任務(wù)（掃描和爬蟲(chóng)等）的執(zhí)行情況。

系統(tǒng)管理包括用戶(hù)管理、授權(quán)管理、口令管理三部分。用戶(hù)分為三種：系統(tǒng)管理員、操作員、審計(jì)員。系統(tǒng)可以通過(guò)對(duì)角色操作功能的授權(quán)管理，最終實(shí)現(xiàn)用戶(hù)授權(quán)管理?？诹罟芾碇饕獙?duì)用戶(hù)口令策略的管理，包括口令長(zhǎng)度、組成情況（數(shù)字、字母、特殊字符的組成）、過(guò)期的時(shí)間長(zhǎng)度、是否能和最近3次的口令設(shè)置相同等。

3.2 知識(shí)庫(kù)

知識(shí)庫(kù)包括事件特征庫(kù)、關(guān)聯(lián)分析庫(kù)、僵木蠕庫(kù)、漏洞庫(kù)、手機(jī)病毒庫(kù)等，可對(duì)其中的信息進(jìn)行更新維護(hù)。知識(shí)庫(kù)可以與事件、漏洞、告警等信息關(guān)聯(lián)，獲得對(duì)以上信息的說(shuō)明及處理建議。

事件特征庫(kù)中，可以對(duì)威脅、事件進(jìn)行定義，詳述了其特征、影響、嚴(yán)重程度、處理建議等。

關(guān)聯(lián)分析庫(kù)提供大量可以直接使用的內(nèi)置關(guān)聯(lián)規(guī)則（經(jīng)過(guò)驗(yàn)證可以解決某類(lèi)安全問(wèn)題的成熟規(guī)則）；也可以對(duì)這些內(nèi)置關(guān)聯(lián)規(guī)則進(jìn)行各種組合生成新的、復(fù)雜的關(guān)聯(lián)規(guī)則。

僵木蠕庫(kù)是專(zhuān)門(mén)針對(duì)僵尸網(wǎng)絡(luò)、木馬、蠕蟲(chóng)的知識(shí)庫(kù)，對(duì)其特征進(jìn)行定義，并提出處理建議。

手機(jī)病毒庫(kù)，實(shí)現(xiàn)病毒庫(kù)的管理。

IP信譽(yù)庫(kù)數(shù)據(jù)包含惡意IP地址、惡意URL等

安全漏洞信息庫(kù)提供漏洞定義，并詳述了其特征、影響、嚴(yán)重程度及處理建議等。

3.3 任務(wù)調(diào)度管理

任務(wù)調(diào)度管理，首先對(duì)本地安全策略制定任務(wù)計(jì)劃，并通過(guò)配置，實(shí)現(xiàn)任務(wù)的下發(fā)、執(zhí)行等管理功能，最終實(shí)現(xiàn)自動(dòng)調(diào)度任務(wù)。

主要流程：任務(wù)生成—>任務(wù)配置—>任務(wù)下發(fā)—>任務(wù)執(zhí)行—>任務(wù)核查。

任務(wù)調(diào)度的功能：各種信息展示機(jī)功能入口，直觀(guān)地顯示任務(wù)調(diào)度執(zhí)行情況。

任務(wù)生產(chǎn)：通過(guò)根據(jù)安全策略自動(dòng)生成和手動(dòng)創(chuàng)建兩種方式生成任務(wù)。

任務(wù)配置：配置項(xiàng)要有執(zhí)行時(shí)間、執(zhí)行周期、類(lèi)型等內(nèi)容。

任務(wù)下發(fā)和執(zhí)行：將調(diào)度任務(wù)通過(guò)任務(wù)下發(fā)和返回接口將不同類(lèi)型的安全任務(wù)下發(fā)給不同的處理器，例如入侵檢測(cè)系統(tǒng)、漏洞掃描器等。

任務(wù)核查：對(duì)任務(wù)運(yùn)行結(jié)果進(jìn)行分析、判斷以及匯總。核查結(jié)果包括：任務(wù)名、結(jié)果（成功或者失?。?、執(zhí)行時(shí)間、運(yùn)行狀態(tài)、進(jìn)度、出錯(cuò)原因等內(nèi)容。

3.4 策略管理

策略管理包括安全策略管理和指標(biāo)管理兩部分，策略管理針對(duì)重要關(guān)聯(lián)分析后安全事件和重要安全態(tài)勢(shì)分析后擴(kuò)散事件以及發(fā)現(xiàn)新上線(xiàn)設(shè)備等維護(hù)安全策略，目標(biāo)是當(dāng)系統(tǒng)關(guān)注的重點(diǎn)關(guān)聯(lián)分析后事件和大規(guī)模擴(kuò)散病毒發(fā)生后或者新上線(xiàn)設(shè)備匹配安全策略自動(dòng)生成任務(wù)；指標(biāo)管理維護(hù)平臺(tái)中不同類(lèi)型重點(diǎn)關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標(biāo)[3]。

模塊框架如下圖所示：

策略管理對(duì)系統(tǒng)的安全策略進(jìn)行維護(hù)，包括針對(duì)重要關(guān)聯(lián)分析后事件、重要安全態(tài)勢(shì)分析后擴(kuò)散事件、發(fā)現(xiàn)新上線(xiàn)設(shè)備的安全策略，當(dāng)系統(tǒng)中有匹配安全策略的重要關(guān)聯(lián)分析后事件生成時(shí)調(diào)用安全任務(wù)管理模塊自動(dòng)觸發(fā)安全調(diào)度任務(wù)。

指標(biāo)管理對(duì)系統(tǒng)接收的各類(lèi)安全事件、漏洞、手機(jī)病毒等進(jìn)行關(guān)聯(lián)分析處理，生成關(guān)聯(lián)分析后事件，并對(duì)其排名和權(quán)重等指標(biāo)進(jìn)行維護(hù)管理。

3.5 關(guān)聯(lián)分析

安全分析功能利用統(tǒng)計(jì)分析、關(guān)聯(lián)分析、數(shù)據(jù)挖掘等技術(shù)，從宏觀(guān)和微觀(guān)兩個(gè)層面，對(duì)網(wǎng)絡(luò)與信息安全事件監(jiān)測(cè)數(shù)據(jù)進(jìn)行綜合分析，實(shí)現(xiàn)對(duì)當(dāng)前的安全事件、歷史事件信息進(jìn)行全面、有效的分析處理，通過(guò)多種分析模型為信息安全管理提供決策依據(jù)。對(duì)于宏觀(guān)安全態(tài)勢(shì)監(jiān)測(cè)，需要建立好各種分析模型，有針對(duì)性的模型才能把宏觀(guān)安全態(tài)勢(shì)監(jiān)測(cè)做到實(shí)處，給用戶(hù)提供真正的價(jià)值。同時(shí)也不能只關(guān)注“面”而放棄了“點(diǎn)”的關(guān)注，在實(shí)際應(yīng)用中，我們更需要對(duì)系統(tǒng)采集到的各類(lèi)安全信息進(jìn)行關(guān)聯(lián)分析，并對(duì)具體IP的事件和漏洞做分析和處理[4]。

關(guān)聯(lián)分析：對(duì)網(wǎng)絡(luò)安全各種關(guān)聯(lián)進(jìn)行分析，將系統(tǒng)中的原始安全事件進(jìn)行歸納為不同的典型的網(wǎng)絡(luò)安全事件，進(jìn)而能夠快速、全面、準(zhǔn)確地識(shí)別當(dāng)前安全事件。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)提供三種關(guān)聯(lián)分析類(lèi)型：基于規(guī)則的事件關(guān)聯(lián)分析，統(tǒng)計(jì)關(guān)聯(lián)分析以及漏洞關(guān)聯(lián)分析。根據(jù)此關(guān)聯(lián)分析模塊的功能，結(jié)合事件的特征和安全監(jiān)測(cè)策略，制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則。

4 結(jié)束語(yǔ)

本文主要對(duì)信息安全建設(shè)中的安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行了具體設(shè)計(jì)，詳細(xì)定義并設(shè)計(jì)了系統(tǒng)的基本功能和各個(gè)模塊的實(shí)現(xiàn)方式。通過(guò)對(duì)地址熵模型、三元組模型、熱點(diǎn)事件傳播模型、事件擴(kuò)散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測(cè)模型等模型的研究，來(lái)實(shí)現(xiàn)平臺(tái)對(duì)安全態(tài)勢(shì)與趨勢(shì)分析、安全防護(hù)預(yù)警與決策[5]。

根據(jù)系統(tǒng)組成與網(wǎng)絡(luò)結(jié)構(gòu)初步分析，安全態(tài)勢(shì)感知平臺(tái)將系統(tǒng)安全事件表象歸類(lèi)為業(yè)務(wù)數(shù)據(jù)篡改、業(yè)務(wù)數(shù)據(jù)刪除、業(yè)務(wù)中斷等，并對(duì)可能造成此現(xiàn)象的安全事件進(jìn)行分析，請(qǐng)見(jiàn)下表內(nèi)容：

參考文獻(xiàn)

[1] 李碩；戴欣；周渝霞； 網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究進(jìn)展 計(jì)算機(jī)應(yīng)用研究

[2] 解讀網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究進(jìn)展 計(jì)算機(jī)應(yīng)用研究

[3] 馬洪梅 基于流量特征的網(wǎng)絡(luò)可用性量化評(píng)估與控制 計(jì)算機(jī)應(yīng)用研究

[4] 網(wǎng)絡(luò)安全事件異常問(wèn)題檢測(cè)方案 計(jì)算機(jī)與網(wǎng)絡(luò)

[5] 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型 計(jì)算機(jī)研究與發(fā)展