石磊 劉耀華
【摘 要】移動業(yè)務支撐系統(tǒng)迅猛發(fā)展的同時,給網(wǎng)絡及系統(tǒng)安全提出嚴峻考驗和巨大挑戰(zhàn)。本文通過對安全態(tài)勢感知和預警防御體系的研究,基于攻擊態(tài)勢分析、威脅預警分析和趨勢分析與檢測,有效解決了業(yè)務支撐系統(tǒng)中的信息孤島問題。從而實現(xiàn)安全信息的整合收集與數(shù)據(jù)的匯總分析,為安全運行維護人員提供直觀、強大、清晰的安全威脅預警能力,形成重大問題、事件的整體性報告。
【關鍵詞】業(yè)務支撐系統(tǒng);態(tài)勢感知;威脅預警分析;態(tài)勢分析
1 安全態(tài)勢感知技術
1988年,Mica R. Endsley首次明確提出態(tài)勢感知的定義,態(tài)勢感知(situation awareness, SA)是指“在一定的范圍內(nèi),熟悉并了解環(huán)境因素,并能夠預測未來的發(fā)展趨勢”,態(tài)勢感知當時只是應用于航空領域,并未在網(wǎng)絡領域進行應用[3]。
1999年,Tim Bass首次提出了網(wǎng)絡空間的態(tài)勢感知(Cyberspace Situation Awareness,CSA)的概念,網(wǎng)絡態(tài)勢感知源于空中交通監(jiān)管(Auto-desk Training Center,A T C)態(tài)勢感知,是一個比較新的概念;Tim Bass對A T C態(tài)勢感知和網(wǎng)絡態(tài)勢感知進行了對比分析,希望能把A T C態(tài)勢感知的理論知識和成熟的技術利用到網(wǎng)絡態(tài)勢感知中來[4]。目前,網(wǎng)絡態(tài)勢感知還沒有一個準確及全面的定義。一般所指的網(wǎng)絡態(tài)勢主要是指由各種網(wǎng)絡及安全設備的運行情況、受攻擊行為以及用戶行為等幾個方面的因素所構(gòu)成的網(wǎng)絡使用情況和所產(chǎn)生的變化。但是,態(tài)勢是一種發(fā)展趨勢,是網(wǎng)絡設備運營的狀態(tài),是整個系統(tǒng)網(wǎng)絡的的概念,其他單一的變化或運行狀態(tài)都不能稱之為態(tài)勢。在目前復雜的網(wǎng)絡環(huán)境中,進行獲取、理解、展示影響網(wǎng)絡態(tài)勢發(fā)生變化的安全數(shù)據(jù),并能利用這些數(shù)據(jù)預測未來網(wǎng)絡安全發(fā)展趨勢。
2 業(yè)務支撐網(wǎng)的發(fā)展現(xiàn)狀概述
移動業(yè)務支撐系統(tǒng)分為兩級架構(gòu),分別為一級(總部)業(yè)務支撐系統(tǒng);一級業(yè)務支撐系統(tǒng)為全網(wǎng)業(yè)務管理和業(yè)務運營提供支撐和保障,實現(xiàn)全網(wǎng)信息的交換和管理。二級(省級)業(yè)務支撐系統(tǒng)為省公司進行省內(nèi)業(yè)務管理和業(yè)務運營提供支撐和保障。二級(省級)業(yè)務支撐系統(tǒng)與一級業(yè)務支撐系統(tǒng)通過接口互聯(lián),實現(xiàn)數(shù)據(jù)的交換,二者相互協(xié)作與配合,共同支撐移動業(yè)務的運營與管理[5-6]。
業(yè)務支撐系統(tǒng)在不同的安全域之間部署了大量的安全防護設備及安全審計及安全管理系統(tǒng),但是安全設備、各安全系統(tǒng)之間信息孤立,存在安全隱患、無法實現(xiàn)信息共享,達到當系統(tǒng)遭受攻擊時實現(xiàn)攻擊溯源和預警分析。
3 安全態(tài)勢感知的功能設計
3.1 攻擊態(tài)勢分析
攻擊威脅分析場景是對攻擊檢測的結(jié)果數(shù)據(jù)進行多維度統(tǒng)計分析,其結(jié)果用于支撐攻擊態(tài)勢視圖展示;數(shù)據(jù)來源涉及密碼猜測攻擊、WEB攻擊、惡意掃描、惡意程序等4種攻擊檢測結(jié)果,及異常流量的檢測結(jié)果;從攻擊類維度,以分、時、天、周、月、年等時間周期分析統(tǒng)計攻擊類型和次數(shù);從地理位置維度,對攻擊源IP、攻擊資產(chǎn)、攻擊類型、攻擊次數(shù)進行分析統(tǒng)計;實現(xiàn)從資產(chǎn)維度,對攻擊類型,攻擊者數(shù)量及攻擊次數(shù)進行分析統(tǒng)計;并能夠根據(jù)攻擊的類型源IP數(shù)量以及受影響的資產(chǎn)數(shù)量進行周期統(tǒng)計與分析得出危害等級進行視圖展示。
3.2 威脅預警分析
對獲取的威脅情報進行篩選和提煉,識別出可能存在外部攻擊行為,定位出與此外部攻擊的相關資產(chǎn)信息和漏洞。
外部攻擊識別:提取安全設備告警日志和Web中間件訪問日志中的源IP地址、URL地址,與IP信譽庫、URL信譽庫進行對比,篩選識別出所有惡意訪問請求,并對訪問源/目標進行資產(chǎn)關聯(lián)。
資產(chǎn)篩選:將情報內(nèi)容中資產(chǎn)(受到威脅的對象,如Linux版本號等)與省份資產(chǎn)信息對比分析,識別出與此情報相關資產(chǎn)信息。
漏洞對比:對上述分析結(jié)果資產(chǎn)進行漏洞掃描,掃描結(jié)果結(jié)合威脅情報的漏洞信息對比,進一步分析識別出具備與情報相同漏洞的資產(chǎn)信息。
3.3 趨勢分析與檢測
網(wǎng)絡態(tài)勢是由現(xiàn)網(wǎng)各種網(wǎng)絡及安全設備的運行狀態(tài)以及用戶的訪問行為等因素所構(gòu)成的整個系統(tǒng)網(wǎng)絡的當前的狀態(tài)和變化趨勢。網(wǎng)絡態(tài)勢感知主要指在現(xiàn)網(wǎng)復雜網(wǎng)絡環(huán)境中,獲取、理解并展示引起網(wǎng)絡態(tài)勢發(fā)生變化的一系列因素,通過這一系列因素能夠未來的發(fā)展趨勢。系統(tǒng)從安全本身的發(fā)展變化入手,采用多種分析模型,通過對事件和威脅的分析來評估當前網(wǎng)絡的整體安全態(tài)勢,為用戶提升安全防護能力提供決策支持。分析呈現(xiàn)歷史安全概況,結(jié)合本地的活動日歷,使用回歸分析對未來一段時間內(nèi)出現(xiàn)的攻擊類型和數(shù)量進行預測。
通過分析獲取的一系列安全信息數(shù)據(jù),建立一套動態(tài)的多維度威脅指標體系,幫助安全管理人員對目前的安全威脅因素進行辨別,最終找出導致威脅態(tài)勢異常的關鍵安全事件。
態(tài)勢感知是對當前的系統(tǒng)狀態(tài)進行評估和判斷,而趨勢預測則是基于歷史信息結(jié)合當前的狀態(tài)去預測系統(tǒng)未來狀態(tài)的發(fā)展趨勢,通過預測可以為決策系統(tǒng)提供制定決策所需要的必要知識和參考信息。在面對復雜的網(wǎng)絡信息化環(huán)境的時候,預測模型的建立是對被預測問題的一種高度抽象,系統(tǒng)越復雜,建模的準確性度就越難以保證,而結(jié)果的不確定性也就越高,因此僅僅利用單一的一種方法進行預測往往準確描述出需要預測的結(jié)果。
采用組合預測的方法,結(jié)合定量預測法和定性預測法構(gòu)建出一個基于大數(shù)據(jù)的預測分析系統(tǒng)。系統(tǒng)使用灰色系統(tǒng)預測GM(1,1)模型來預測趨勢平緩的大規(guī)模網(wǎng)絡安全態(tài)勢;使用指數(shù)加權(quán)移動平均(EWMA)模型對非周期性網(wǎng)絡安全態(tài)勢進行預測,EWMA模型保持了對歷史數(shù)據(jù)的逐期溯源性和對最新數(shù)據(jù)的指數(shù)加權(quán)性,能夠?qū)崿F(xiàn)較好的預測效果;使用Holt-Winters模型預測周期性和季節(jié)規(guī)律較強的網(wǎng)絡安全態(tài)勢預測。針對不同網(wǎng)絡規(guī)模下的網(wǎng)絡安全態(tài)勢總體趨勢,可以選擇不同的預測模型,最終實現(xiàn)對安全態(tài)勢的準確預測。
使用各類歷史安全數(shù)據(jù)和資料,最新的攻擊和漏洞情報,將兩期或多期連續(xù)的相同攻擊態(tài)勢數(shù)據(jù)進行同比和環(huán)比,得出安全攻擊趨勢,明確未來一段時間的防范重點。本期輸出是未來時段遭受某類型攻擊的概率。
重大活動及節(jié)假日對一段時間內(nèi)的攻擊態(tài)勢造成顯著影響,分析這些活動的特點,總結(jié)安保過程中經(jīng)驗,記錄到活動日歷。通過活動日歷,集團共享,相互借鑒,對將來的重大活動及節(jié)假日安保與應對有借鑒和指導意義。
4 結(jié)束語
在介紹網(wǎng)絡安全態(tài)勢相關概念和技術的基礎上,對當前移動業(yè)務支撐系統(tǒng)網(wǎng)絡攻擊防御與預警面臨的問題進行了探討,著重對網(wǎng)絡安全態(tài)勢感知設計以及預警分析建設要素進行闡述。將態(tài)勢感知技術應用于業(yè)務支撐系統(tǒng)的網(wǎng)絡攻擊防御中,不僅能夠全面掌握當前移動業(yè)務支撐網(wǎng)網(wǎng)絡安全狀態(tài),還可以預測系統(tǒng)網(wǎng)絡安全的趨勢。
【參考文獻】
[1]林菁.業(yè)務支撐網(wǎng)網(wǎng)管系統(tǒng)的發(fā)展歷程及方向[J].信息通信,2017(6).
[責任編輯:張濤]endprint