◆董 超 劉 雷

（浙江乾冠信息安全研究院有限公司 浙江 310015）

隨著我國社會經(jīng)濟(jì)的不斷進(jìn)步，信息網(wǎng)絡(luò)科技得到了長足發(fā)展，目前，絕大多數(shù)信息傳輸業(yè)務(wù)通過互聯(lián)網(wǎng)進(jìn)行，互聯(lián)網(wǎng)在給人們的生產(chǎn)、生活帶來便捷的同時，也時刻面臨著網(wǎng)絡(luò)攻擊的威脅。當(dāng)前我國的網(wǎng)絡(luò)安全預(yù)防手段仍然存在較大缺陷，一般采用的是被動攔截、單點式預(yù)防的手段，即使采用了比較復(fù)雜的防火墻和病毒防治技術(shù)等，仍然不足以確保網(wǎng)絡(luò)環(huán)境的安全與穩(wěn)定。近年來新出現(xiàn)的安全態(tài)勢感知技術(shù)，可以構(gòu)建更加完善的防御體系，有效提升網(wǎng)絡(luò)安全水平。本文首先介紹安全態(tài)勢感知技術(shù)的基本特點和優(yōu)勢，然后分析其應(yīng)用方法。

1 安全態(tài)勢感知技術(shù)的基本特點

安全態(tài)勢感知是通過動態(tài)、全面地監(jiān)測網(wǎng)絡(luò)環(huán)境，利用大數(shù)據(jù)方法，從全局角度來發(fā)現(xiàn)并識別網(wǎng)絡(luò)中存在的安全風(fēng)險，然后對其進(jìn)行分析、處置。安全態(tài)勢感知的最終目標(biāo)是通過持續(xù)監(jiān)控發(fā)現(xiàn)各類安全威脅，以采取相應(yīng)的決策和行動，提高網(wǎng)絡(luò)安全反應(yīng)能力。特別是遭到針對性攻擊時，可以及時進(jìn)行響應(yīng)分析，實現(xiàn)網(wǎng)絡(luò)威脅的可視化處理，快速獲悉網(wǎng)絡(luò)威脅的波及范圍、入侵路徑、入侵手段和入侵目的等。此外，安全態(tài)勢感知技術(shù)還可以用于構(gòu)建風(fēng)險通報和預(yù)警機(jī)制，有效了解入侵者的技術(shù)手段、入侵工具和目的等，建立更加完善的網(wǎng)絡(luò)攻擊防御體系。

2 傳統(tǒng)網(wǎng)絡(luò)攻擊防御方法中存在的問題

與新型的安全態(tài)勢感知技術(shù)相比，傳統(tǒng)的網(wǎng)絡(luò)攻擊防御方法存在較大的缺陷，亟須進(jìn)行替換升級。

（1）攻擊防御體系不完整

當(dāng)前網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，網(wǎng)絡(luò)攻擊速度快、隱蔽性強(qiáng)、監(jiān)控難度大，使用傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)時，網(wǎng)絡(luò)不同節(jié)點中的日志不完整，難以根據(jù)日志還原攻擊者的實際情況，因此無法進(jìn)行系統(tǒng)性的攻擊防御，網(wǎng)絡(luò)信息安全得不到有效保證。

（2）多使用被動式攔截方法

傳統(tǒng)的網(wǎng)絡(luò)攻擊防御方法多使用被動式攔截，必須結(jié)合被攔截設(shè)備的具體特征，才能分析得到其真實情況。因此被動式攔截難以有效保證網(wǎng)絡(luò)環(huán)境安全。

（3）多使用單點式預(yù)防方法

在傳統(tǒng)的網(wǎng)絡(luò)攻擊防御中，普遍采用單點式防御方法，網(wǎng)絡(luò)各區(qū)域內(nèi)部分別建立單獨的攻擊防御設(shè)備和監(jiān)控平臺，使用單獨的安全組件，因此很難實現(xiàn)聯(lián)動式防御，無法及時分享安全信息，從而制約了網(wǎng)絡(luò)攻擊防御的效果。

（4）網(wǎng)絡(luò)攻擊結(jié)果不確定

傳統(tǒng)的網(wǎng)絡(luò)攻擊防御方法不能確定網(wǎng)絡(luò)攻擊結(jié)果，因此難以識別網(wǎng)絡(luò)攻擊的具體情況，不能進(jìn)行充分有效的安全警告和攔截，無法判斷攻擊防御措施是否成功。

3 安全態(tài)勢感知的模型建立

網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)安全態(tài)勢的具體特點，建立針對性的感知模型，以提供網(wǎng)絡(luò)攻擊防御服務(wù)。網(wǎng)絡(luò)攻擊防御主要包括對安全態(tài)勢感對象的保護(hù)以及攻擊應(yīng)對兩方面內(nèi)容。在安全保護(hù)方面，主要使用IDs技術(shù)和IPs技術(shù)對用戶計算機(jī)中的防火墻進(jìn)行保護(hù)，并監(jiān)測網(wǎng)絡(luò)攻擊者的情況。在攻擊應(yīng)對方面，首先需要詳細(xì)了解攻擊者的具體目的，從而進(jìn)行針對性解決。網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)充分檢查網(wǎng)絡(luò)中對象和元素的情況，分析網(wǎng)絡(luò)安全態(tài)勢的縱向變化，對攻擊者的手段和目標(biāo)進(jìn)行詳細(xì)分析，全面掌握計算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理方法和性質(zhì)，這樣才能夠建立完善的網(wǎng)絡(luò)安全態(tài)勢感知模型。

4 安全態(tài)勢感知在網(wǎng)絡(luò)攻擊防御中的使用

管理人員應(yīng)當(dāng)對網(wǎng)絡(luò)安全信息進(jìn)行檢測、收集，檢測出其中包含的攻擊活動和僵尸網(wǎng)絡(luò)等，然后以此為基礎(chǔ)，推斷出攻擊者的具體攻擊手段、發(fā)起攻擊的位置、攻擊者的技術(shù)水平和攻擊強(qiáng)度等，從而實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的全面感知。在安全態(tài)勢感知平臺上，要制定完善的安全態(tài)勢數(shù)據(jù)采集、分析以及防御應(yīng)對等一系列流程，才能起到良好的網(wǎng)絡(luò)攻擊防御效果。

（1）網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的采集

要建立安全態(tài)勢感知平臺，首先就應(yīng)當(dāng)對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行監(jiān)測，采集網(wǎng)絡(luò)當(dāng)中發(fā)生的各類安全事件的原始數(shù)據(jù)信息，建立全流量的網(wǎng)絡(luò)安全日志。網(wǎng)絡(luò)安全數(shù)據(jù)采集的對象包括IPS、IDS、DDoS、防火墻等，將傳統(tǒng)安全監(jiān)控系統(tǒng)中碎片化的各項監(jiān)測項目綜合起來，將網(wǎng)絡(luò)威脅警告轉(zhuǎn)變?yōu)榻Y(jié)構(gòu)化的數(shù)據(jù)形式，呈現(xiàn)可視化的攻擊防御計劃，從而為網(wǎng)絡(luò)安全態(tài)勢的管理提供基礎(chǔ)，并為用戶實時觀察網(wǎng)絡(luò)安全狀況提供有效途徑。

管理人員應(yīng)當(dāng)對采集到的安全態(tài)勢數(shù)據(jù)進(jìn)行分類管理，可分為結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)和第三方數(shù)據(jù)。三類數(shù)據(jù)進(jìn)行分別采集管理，可以提升網(wǎng)絡(luò)安全數(shù)據(jù)采集的有效性和實用性，為安全態(tài)勢感知平臺的建立提供充分的依據(jù)和技術(shù)支持。

（2）網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的分析

在對網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)進(jìn)行充分采集，建立流量日志之后，管理人員應(yīng)當(dāng)對采集到的數(shù)據(jù)進(jìn)行進(jìn)一步分析，找出安全事件的發(fā)生原因和影響機(jī)制。例如，管理人員在分析某些小規(guī)模的網(wǎng)絡(luò)攻擊事件時，可以首先查看流量日志，并尋找安全事件過程中的報警記錄，將流量日志和報警記錄結(jié)合起來，分析網(wǎng)絡(luò)安全事件的發(fā)生機(jī)制。管理人員還要將原始日志與現(xiàn)代日志放在一起，進(jìn)行對比分析，找到原始日志中的安全事件，將其轉(zhuǎn)化為直觀、可視化的形式，使其便于理解，能夠快速掌握網(wǎng)絡(luò)安全事件的發(fā)生原因和影響因素。

（3）建立網(wǎng)絡(luò)安全態(tài)勢感知平臺

網(wǎng)絡(luò)安全態(tài)勢感知平臺可以兼容大數(shù)據(jù)技術(shù)進(jìn)行構(gòu)建，在其架構(gòu)內(nèi)應(yīng)當(dāng)包含基礎(chǔ)設(shè)備層、數(shù)據(jù)采集層、數(shù)據(jù)存儲層、實時檢測層、數(shù)據(jù)分析層和業(yè)務(wù)功能層等結(jié)構(gòu)。

基礎(chǔ)設(shè)備層主要包括網(wǎng)絡(luò)安全漏洞掃描設(shè)備、網(wǎng)站安全監(jiān)控設(shè)備、可用性監(jiān)控設(shè)備、數(shù)據(jù)庫審計、終端安全、互聯(lián)網(wǎng)威脅情報等組成部分，以提供基礎(chǔ)的信息設(shè)備安全情況。

數(shù)據(jù)采集層主要包括各類安全數(shù)據(jù)信息的采集部分。蓋層覆蓋了網(wǎng)絡(luò)當(dāng)中的所有核心骨干節(jié)點、重要的聯(lián)網(wǎng)系統(tǒng)，以及重要的站點、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)情報數(shù)據(jù)等內(nèi)容，使用流量采集檢測、布點監(jiān)測、掃描監(jiān)測、定制數(shù)據(jù)推動、規(guī)則數(shù)據(jù)提取等方法獲取全面的網(wǎng)絡(luò)安全數(shù)據(jù)。在網(wǎng)絡(luò)中的核心骨干節(jié)點上，布置數(shù)據(jù)采集設(shè)備，以采集網(wǎng)絡(luò)流量數(shù)據(jù)。

數(shù)據(jù)存儲層主要是對數(shù)據(jù)采集層所采集到數(shù)據(jù)進(jìn)行預(yù)處理操作，將采集到的不完整、價值密度低的初始數(shù)據(jù)，處理成為高質(zhì)量、價值密度高的存儲數(shù)據(jù)，為后續(xù)的數(shù)據(jù)挖掘操作提供基礎(chǔ)，提高數(shù)據(jù)挖掘的效率。對于原始數(shù)據(jù)，可以采用多種預(yù)處理方法，例如數(shù)據(jù)清洗、數(shù)據(jù)比對、數(shù)據(jù)歸并、數(shù)據(jù)標(biāo)識等。

實時檢測層主要檢測網(wǎng)絡(luò)中的攻擊行為，通過一定的特征與規(guī)則識別攻擊行為和惡意文件的類型。此外，還可以添加自定義規(guī)則，對數(shù)據(jù)進(jìn)行檢測。

數(shù)據(jù)分析層是對平臺中儲存的安全數(shù)據(jù)進(jìn)行深度挖掘分析，可以使用Mahout的經(jīng)典算法，對數(shù)據(jù)進(jìn)行分類和聚類，從而挖掘出數(shù)據(jù)中的隱含的各類信息。

業(yè)務(wù)功能層可以根據(jù)具體的業(yè)務(wù)需求，對實時監(jiān)測層和數(shù)據(jù)分析層中的數(shù)據(jù)與分析結(jié)果進(jìn)行可視化處理，提供基礎(chǔ)設(shè)備管理、安全漏洞管理、安全事件數(shù)據(jù)、安全預(yù)警等多種業(yè)務(wù)功能，滿足管理人員的不同需求。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知平臺的架構(gòu)

5 結(jié)語

在網(wǎng)絡(luò)攻擊防御中使用安全態(tài)勢感知技術(shù)，可以充分提高防御水平，與傳統(tǒng)的網(wǎng)絡(luò)傳統(tǒng)網(wǎng)絡(luò)安全監(jiān)控方法相比，具有較大的優(yōu)勢。傳統(tǒng)的網(wǎng)絡(luò)攻擊防御方法具有信息碎片化、被動式攔截、單點式預(yù)防、攻擊結(jié)果不確定等缺陷。而使用安全態(tài)勢感知技術(shù)后，通過對網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)的采集、存儲和分析，可以建立完善的網(wǎng)絡(luò)安全態(tài)勢感知平臺，為管理人員提供高效、可靠、使用的安全防御工具，全面提升網(wǎng)絡(luò)系統(tǒng)的安全防御能力。