石磊　劉耀華

【摘 要】移動業(yè)務(wù)支撐系統(tǒng)迅猛發(fā)展的同時，給網(wǎng)絡(luò)及系統(tǒng)安全提出嚴(yán)峻考驗(yàn)和巨大挑戰(zhàn)。本文通過對安全態(tài)勢感知和預(yù)警防御體系的研究，基于攻擊態(tài)勢分析、威脅預(yù)警分析和趨勢分析與檢測，有效解決了業(yè)務(wù)支撐系統(tǒng)中的信息孤島問題。從而實(shí)現(xiàn)安全信息的整合收集與數(shù)據(jù)的匯總分析，為安全運(yùn)行維護(hù)人員提供直觀、強(qiáng)大、清晰的安全威脅預(yù)警能力，形成重大問題、事件的整體性報告。

【關(guān)鍵詞】業(yè)務(wù)支撐系統(tǒng)；態(tài)勢感知；威脅預(yù)警分析；態(tài)勢分析

1 安全態(tài)勢感知技術(shù)

1988年，Mica R. Endsley首次明確提出態(tài)勢感知的定義，態(tài)勢感知（situation awareness， SA）是指“在一定的范圍內(nèi)，熟悉并了解環(huán)境因素，并能夠預(yù)測未來的發(fā)展趨勢”，態(tài)勢感知當(dāng)時只是應(yīng)用于航空領(lǐng)域，并未在網(wǎng)絡(luò)領(lǐng)域進(jìn)行應(yīng)用[3]。

1999年，Tim Bass首次提出了網(wǎng)絡(luò)空間的態(tài)勢感知（Cyberspace Situation Awareness，CSA）的概念，網(wǎng)絡(luò)態(tài)勢感知源于空中交通監(jiān)管（Auto-desk Training Center，A T C）態(tài)勢感知，是一個比較新的概念；Tim Bass對A T C態(tài)勢感知和網(wǎng)絡(luò)態(tài)勢感知進(jìn)行了對比分析，希望能把A T C態(tài)勢感知的理論知識和成熟的技術(shù)利用到網(wǎng)絡(luò)態(tài)勢感知中來[4]。目前，網(wǎng)絡(luò)態(tài)勢感知還沒有一個準(zhǔn)確及全面的定義。一般所指的網(wǎng)絡(luò)態(tài)勢主要是指由各種網(wǎng)絡(luò)及安全設(shè)備的運(yùn)行情況、受攻擊行為以及用戶行為等幾個方面的因素所構(gòu)成的網(wǎng)絡(luò)使用情況和所產(chǎn)生的變化。但是，態(tài)勢是一種發(fā)展趨勢，是網(wǎng)絡(luò)設(shè)備運(yùn)營的狀態(tài)，是整個系統(tǒng)網(wǎng)絡(luò)的的概念，其他單一的變化或運(yùn)行狀態(tài)都不能稱之為態(tài)勢。在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境中，進(jìn)行獲取、理解、展示影響網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全數(shù)據(jù)，并能利用這些數(shù)據(jù)預(yù)測未來網(wǎng)絡(luò)安全發(fā)展趨勢。

2 業(yè)務(wù)支撐網(wǎng)的發(fā)展現(xiàn)狀概述

移動業(yè)務(wù)支撐系統(tǒng)分為兩級架構(gòu)，分別為一級（總部）業(yè)務(wù)支撐系統(tǒng)；一級業(yè)務(wù)支撐系統(tǒng)為全網(wǎng)業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營提供支撐和保障，實(shí)現(xiàn)全網(wǎng)信息的交換和管理。二級（省級）業(yè)務(wù)支撐系統(tǒng)為省公司進(jìn)行省內(nèi)業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營提供支撐和保障。二級（省級）業(yè)務(wù)支撐系統(tǒng)與一級業(yè)務(wù)支撐系統(tǒng)通過接口互聯(lián)，實(shí)現(xiàn)數(shù)據(jù)的交換，二者相互協(xié)作與配合，共同支撐移動業(yè)務(wù)的運(yùn)營與管理[5-6]。

業(yè)務(wù)支撐系統(tǒng)在不同的安全域之間部署了大量的安全防護(hù)設(shè)備及安全審計(jì)及安全管理系統(tǒng)，但是安全設(shè)備、各安全系統(tǒng)之間信息孤立，存在安全隱患、無法實(shí)現(xiàn)信息共享，達(dá)到當(dāng)系統(tǒng)遭受攻擊時實(shí)現(xiàn)攻擊溯源和預(yù)警分析。

3 安全態(tài)勢感知的功能設(shè)計(jì)

3.1 攻擊態(tài)勢分析

攻擊威脅分析場景是對攻擊檢測的結(jié)果數(shù)據(jù)進(jìn)行多維度統(tǒng)計(jì)分析，其結(jié)果用于支撐攻擊態(tài)勢視圖展示；數(shù)據(jù)來源涉及密碼猜測攻擊、WEB攻擊、惡意掃描、惡意程序等4種攻擊檢測結(jié)果，及異常流量的檢測結(jié)果；從攻擊類維度，以分、時、天、周、月、年等時間周期分析統(tǒng)計(jì)攻擊類型和次數(shù)；從地理位置維度，對攻擊源IP、攻擊資產(chǎn)、攻擊類型、攻擊次數(shù)進(jìn)行分析統(tǒng)計(jì)；實(shí)現(xiàn)從資產(chǎn)維度，對攻擊類型，攻擊者數(shù)量及攻擊次數(shù)進(jìn)行分析統(tǒng)計(jì)；并能夠根據(jù)攻擊的類型源IP數(shù)量以及受影響的資產(chǎn)數(shù)量進(jìn)行周期統(tǒng)計(jì)與分析得出危害等級進(jìn)行視圖展示。

3.2 威脅預(yù)警分析

對獲取的威脅情報進(jìn)行篩選和提煉，識別出可能存在外部攻擊行為，定位出與此外部攻擊的相關(guān)資產(chǎn)信息和漏洞。

外部攻擊識別：提取安全設(shè)備告警日志和Web中間件訪問日志中的源IP地址、URL地址，與IP信譽(yù)庫、URL信譽(yù)庫進(jìn)行對比，篩選識別出所有惡意訪問請求，并對訪問源/目標(biāo)進(jìn)行資產(chǎn)關(guān)聯(lián)。

資產(chǎn)篩選：將情報內(nèi)容中資產(chǎn)（受到威脅的對象，如Linux版本號等）與省份資產(chǎn)信息對比分析，識別出與此情報相關(guān)資產(chǎn)信息。

漏洞對比：對上述分析結(jié)果資產(chǎn)進(jìn)行漏洞掃描，掃描結(jié)果結(jié)合威脅情報的漏洞信息對比，進(jìn)一步分析識別出具備與情報相同漏洞的資產(chǎn)信息。

3.3 趨勢分析與檢測

網(wǎng)絡(luò)態(tài)勢是由現(xiàn)網(wǎng)各種網(wǎng)絡(luò)及安全設(shè)備的運(yùn)行狀態(tài)以及用戶的訪問行為等因素所構(gòu)成的整個系統(tǒng)網(wǎng)絡(luò)的當(dāng)前的狀態(tài)和變化趨勢。網(wǎng)絡(luò)態(tài)勢感知主要指在現(xiàn)網(wǎng)復(fù)雜網(wǎng)絡(luò)環(huán)境中，獲取、理解并展示引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的一系列因素，通過這一系列因素能夠未來的發(fā)展趨勢。系統(tǒng)從安全本身的發(fā)展變化入手，采用多種分析模型，通過對事件和威脅的分析來評估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢，為用戶提升安全防護(hù)能力提供決策支持。分析呈現(xiàn)歷史安全概況，結(jié)合本地的活動日歷，使用回歸分析對未來一段時間內(nèi)出現(xiàn)的攻擊類型和數(shù)量進(jìn)行預(yù)測。

通過分析獲取的一系列安全信息數(shù)據(jù)，建立一套動態(tài)的多維度威脅指標(biāo)體系，幫助安全管理人員對目前的安全威脅因素進(jìn)行辨別，最終找出導(dǎo)致威脅態(tài)勢異常的關(guān)鍵安全事件。

態(tài)勢感知是對當(dāng)前的系統(tǒng)狀態(tài)進(jìn)行評估和判斷，而趨勢預(yù)測則是基于歷史信息結(jié)合當(dāng)前的狀態(tài)去預(yù)測系統(tǒng)未來狀態(tài)的發(fā)展趨勢，通過預(yù)測可以為決策系統(tǒng)提供制定決策所需要的必要知識和參考信息。在面對復(fù)雜的網(wǎng)絡(luò)信息化環(huán)境的時候，預(yù)測模型的建立是對被預(yù)測問題的一種高度抽象，系統(tǒng)越復(fù)雜，建模的準(zhǔn)確性度就越難以保證，而結(jié)果的不確定性也就越高，因此僅僅利用單一的一種方法進(jìn)行預(yù)測往往準(zhǔn)確描述出需要預(yù)測的結(jié)果。

采用組合預(yù)測的方法，結(jié)合定量預(yù)測法和定性預(yù)測法構(gòu)建出一個基于大數(shù)據(jù)的預(yù)測分析系統(tǒng)。系統(tǒng)使用灰色系統(tǒng)預(yù)測GM（1，1）模型來預(yù)測趨勢平緩的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢；使用指數(shù)加權(quán)移動平均（EWMA）模型對非周期性網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測，EWMA模型保持了對歷史數(shù)據(jù)的逐期溯源性和對最新數(shù)據(jù)的指數(shù)加權(quán)性，能夠?qū)崿F(xiàn)較好的預(yù)測效果；使用Holt-Winters模型預(yù)測周期性和季節(jié)規(guī)律較強(qiáng)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測。針對不同網(wǎng)絡(luò)規(guī)模下的網(wǎng)絡(luò)安全態(tài)勢總體趨勢，可以選擇不同的預(yù)測模型，最終實(shí)現(xiàn)對安全態(tài)勢的準(zhǔn)確預(yù)測。

使用各類歷史安全數(shù)據(jù)和資料，最新的攻擊和漏洞情報，將兩期或多期連續(xù)的相同攻擊態(tài)勢數(shù)據(jù)進(jìn)行同比和環(huán)比，得出安全攻擊趨勢，明確未來一段時間的防范重點(diǎn)。本期輸出是未來時段遭受某類型攻擊的概率。

重大活動及節(jié)假日對一段時間內(nèi)的攻擊態(tài)勢造成顯著影響，分析這些活動的特點(diǎn)，總結(jié)安保過程中經(jīng)驗(yàn)，記錄到活動日歷。通過活動日歷，集團(tuán)共享，相互借鑒，對將來的重大活動及節(jié)假日安保與應(yīng)對有借鑒和指導(dǎo)意義。

4 結(jié)束語

在介紹網(wǎng)絡(luò)安全態(tài)勢相關(guān)概念和技術(shù)的基礎(chǔ)上，對當(dāng)前移動業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)攻擊防御與預(yù)警面臨的問題進(jìn)行了探討，著重對網(wǎng)絡(luò)安全態(tài)勢感知設(shè)計(jì)以及預(yù)警分析建設(shè)要素進(jìn)行闡述。將態(tài)勢感知技術(shù)應(yīng)用于業(yè)務(wù)支撐系統(tǒng)的網(wǎng)絡(luò)攻擊防御中，不僅能夠全面掌握當(dāng)前移動業(yè)務(wù)支撐網(wǎng)網(wǎng)絡(luò)安全狀態(tài)，還可以預(yù)測系統(tǒng)網(wǎng)絡(luò)安全的趨勢。

【參考文獻(xiàn)】

[1]林菁.業(yè)務(wù)支撐網(wǎng)網(wǎng)管系統(tǒng)的發(fā)展歷程及方向[J].信息通信，2017（6）.

[責(zé)任編輯：張濤]endprint