李慧敏 周勇

【摘 ?要】網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)安全狀況發(fā)生變化的安全要素進行獲取、分析、可視化，并預(yù)測發(fā)展趨勢，為決策和后續(xù)處置提供依據(jù)。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是通過采集網(wǎng)絡(luò)流量、安全日志、安全告警、威脅情報等安全數(shù)據(jù)，利用數(shù)據(jù)分析和機器學(xué)習(xí)技術(shù)，分析網(wǎng)絡(luò)行為及用戶行為等因素，并對網(wǎng)絡(luò)當(dāng)前狀態(tài)和發(fā)展趨勢進行分析和預(yù)測的系統(tǒng)。

【關(guān)鍵詞】網(wǎng)絡(luò)安全態(tài)勢;感知;關(guān)鍵技術(shù)

1網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知是一門針對現(xiàn)今的網(wǎng)絡(luò)安全問題所提出的網(wǎng)絡(luò)安全技術(shù)。該技術(shù)起源于20世紀(jì)80年代，在美國軍事領(lǐng)域中被提出。美國空軍提出了態(tài)勢感知的概念，覆蓋感知（感覺）、理解和預(yù)測三個層次。因為時代的發(fā)展與網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)中各類網(wǎng)絡(luò)安全問題的出現(xiàn)，網(wǎng)絡(luò)安全態(tài)勢感知逐漸的被網(wǎng)絡(luò)安全人員們所熟知、研究與運用。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)是使用各種網(wǎng)絡(luò)安全技術(shù)進行數(shù)據(jù)的挖掘研究分析與處理，然后提供一個當(dāng)前的網(wǎng)絡(luò)安全示意圖，讓網(wǎng)絡(luò)安全管理員可以清楚的了解當(dāng)前的網(wǎng)絡(luò)安全狀況，通過了解到的狀況進行分析，以采取對應(yīng)的保護方式，達(dá)到保護網(wǎng)絡(luò)安全的作用。數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)融合技術(shù)、智能分析以及可視化等技術(shù)可以幫助網(wǎng)絡(luò)安全態(tài)勢感知實現(xiàn)更好的網(wǎng)絡(luò)保護。網(wǎng)絡(luò)安全管理員利用安全態(tài)勢感知技術(shù)來實時了解網(wǎng)絡(luò)情況，根據(jù)所了解的信息去采取有效措施保護網(wǎng)絡(luò)安全。

2網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)架構(gòu)

早期的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是通過對海量安全數(shù)據(jù)的采集，采用數(shù)據(jù)分析技術(shù)識別海量安全數(shù)據(jù)中有價值的信息，并展示為可理解的報告和圖表，從而讓網(wǎng)絡(luò)安全人員通過報告和圖表數(shù)據(jù)去發(fā)現(xiàn)和分析全網(wǎng)的安全威脅。近年來，隨著大數(shù)據(jù)技術(shù)的出現(xiàn)和發(fā)展，安全技術(shù)與大數(shù)據(jù)技術(shù)充分融合，極大地增強了安全檢測與分析能力，推動了安全態(tài)勢感知的發(fā)展，主要表現(xiàn)在APT截獲、威脅感知和威脅情報共享等方面。

3網(wǎng)絡(luò)安全態(tài)勢感知主要功能

1）可視。通過多維度的安全數(shù)據(jù)儀表盤，涵蓋網(wǎng)絡(luò)安全監(jiān)測的重點環(huán)節(jié)，將網(wǎng)絡(luò)重點環(huán)節(jié)的實時運行及安全狀態(tài)多維度地展示給網(wǎng)絡(luò)安全人員，以便網(wǎng)絡(luò)安全人員及時掌握網(wǎng)絡(luò)安全整體狀況。

2）可知。通過安全數(shù)據(jù)全量管理。收集的安全數(shù)據(jù)包括操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫的安全配置和安全日志等信息，并提供安全日志的全文檢索功能，便于網(wǎng)絡(luò)安全人員從海量日志查找和關(guān)聯(lián)相關(guān)安全日志。在全量收集各種安全數(shù)據(jù)的基礎(chǔ)上，充分利用大數(shù)據(jù)技術(shù)，從海量數(shù)據(jù)中挖掘高價值信息，偵測是否存在異常網(wǎng)絡(luò)行為。

3）可管。通過監(jiān)測操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫的安全配置和安全日志，結(jié)合安全基線、威脅情報和知識庫進行多維度安全分析，對發(fā)現(xiàn)的漏洞和脆弱性及時處置。

4）可控。充分利用大數(shù)據(jù)的分析模型和機器學(xué)習(xí)等算法，為用戶建立行為畫像，可以基于已知威脅檢測和異常行為分析來發(fā)現(xiàn)多態(tài)惡意代碼、APT攻擊、0day攻擊等未知威脅攻擊，并對分析出來的安全事件、異常行為等進行實時告警，通過可視化展現(xiàn)、郵件、手機APP等方式及時通報給相關(guān)網(wǎng)絡(luò)安全人員進行處置。

5）可溯。通過威脅情報、規(guī)則匹配和大數(shù)據(jù)分析模型等技術(shù)對給定的安全事件進行追蹤溯源，刻畫網(wǎng)絡(luò)安全事件的攻擊路徑，為網(wǎng)絡(luò)安全人員采取措施和溯源提供依據(jù)。

6）可預(yù)警。實時動態(tài)展示當(dāng)前網(wǎng)絡(luò)安全狀況，并呈現(xiàn)一定時間內(nèi)整個網(wǎng)絡(luò)空間環(huán)境安全要素，從已知數(shù)據(jù)推演分析將要發(fā)生的安全事件，實現(xiàn)對安全威脅事件的預(yù)測和判斷發(fā)生的概率。

4網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

4.1多源異構(gòu)數(shù)據(jù)的采集與融合

目前，在企業(yè)網(wǎng)絡(luò)中，安全數(shù)據(jù)和日志數(shù)據(jù)由各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生，且這些數(shù)據(jù)缺乏統(tǒng)一標(biāo)準(zhǔn)與關(guān)聯(lián)，分析各自獨立的數(shù)據(jù)，無法得到全局精準(zhǔn)的分析結(jié)果，因此，建設(shè)統(tǒng)一的大數(shù)據(jù)日志分析平臺，進行集中化的存儲、備份、查詢、審計、告警和分析，實現(xiàn)日志的全生命周期管理，從宏觀上感知全局的風(fēng)險及安全態(tài)勢，智能感知威脅，獲悉全局的安全態(tài)勢，提升企業(yè)信息安全管理能力顯得尤其重要。由于企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫及各種應(yīng)用系統(tǒng)等多源異構(gòu)數(shù)據(jù)，就要求網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)具備支持Syslog、SNMPTrap、UDP/TCP、WebService、ODBC、JDBC等多種數(shù)據(jù)協(xié)議類型數(shù)據(jù)采集能力，具備多種安全采集工具，為態(tài)勢感知平臺的上層分析研判業(yè)務(wù)提供有力的支撐。

4.2數(shù)據(jù)挖掘技術(shù)

隨著信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)的不斷應(yīng)用，網(wǎng)絡(luò)上存在著大量數(shù)據(jù)。如何將海量的數(shù)據(jù)進行分析，找到其中所存在的各種關(guān)聯(lián)關(guān)系，這時候就需要數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘泛指從海量的數(shù)據(jù)信息中發(fā)現(xiàn)和提取出有用的信息，而專業(yè)解釋是，數(shù)據(jù)挖掘是從大量不完整、噪聲、模糊、隨機的實際應(yīng)用中發(fā)現(xiàn)數(shù)據(jù)之間的規(guī)律和數(shù)據(jù)之中所隱含的意義等，但又有潛在有用的并且最終可理解的信息和只是的非平凡過程。如今，數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域中所存在的技術(shù)有：聚類分析與關(guān)聯(lián)分析。聚類分析是，根據(jù)數(shù)據(jù)的不同特征與性質(zhì)將數(shù)據(jù)分為不同的簇，沒一個簇在數(shù)據(jù)的特征中都具備一定的相似性。關(guān)聯(lián)分析是。將海量、繁多復(fù)雜的數(shù)據(jù)進行分

4.3態(tài)勢預(yù)測技術(shù)

態(tài)勢預(yù)測技術(shù)是指分析以前的網(wǎng)絡(luò)安全資料信息，把以前的實踐經(jīng)驗同現(xiàn)今發(fā)展的理論整合、分析來預(yù)測網(wǎng)絡(luò)安全未來的情況。網(wǎng)絡(luò)安全態(tài)勢發(fā)展擁有不確定性，并且預(yù)測的性質(zhì)、范圍及對象等會導(dǎo)致預(yù)測的方法不同。根據(jù)網(wǎng)絡(luò)安全態(tài)勢預(yù)測的屬性可以分為三種：因果預(yù)測方法、定性預(yù)測方法和時間序列分析法。因果預(yù)測方法是指：在系統(tǒng)變量之間的各類關(guān)系的基礎(chǔ)上，確定某些因素將可能會造成什么樣的結(jié)果，然后建立與其對應(yīng)的數(shù)學(xué)模型關(guān)系，通過模型中因素的變化，來對網(wǎng)絡(luò)安全態(tài)勢進行未來方向和趨勢的預(yù)測。定性預(yù)測方法是指：將一切的網(wǎng)絡(luò)系統(tǒng)同現(xiàn)在的網(wǎng)絡(luò)安全數(shù)據(jù)結(jié)合起來，人們將基于直覺邏輯對網(wǎng)絡(luò)安全態(tài)勢進行評估和判斷。時間序列分析法是指：研究過去的信息同時間之間的關(guān)系，然后對接下來的系統(tǒng)變量進行預(yù)測。因為這種方式只參考了時間變化而引起的系統(tǒng)性能變量，所以比較適合應(yīng)用在依據(jù)簡單統(tǒng)計數(shù)據(jù)隨著時間而改變的對象。

4.4態(tài)勢要素獲取技術(shù)

態(tài)勢要素的獲取是實現(xiàn)態(tài)勢感知的基礎(chǔ)，從多樣的網(wǎng)絡(luò)設(shè)備中進行網(wǎng)絡(luò)數(shù)據(jù)的分析與處理以此得到態(tài)勢要素，這些數(shù)據(jù)是多維的、異構(gòu)的、大規(guī)模的，并且這些數(shù)據(jù)中存在很多冗雜的信息。發(fā)現(xiàn)網(wǎng)絡(luò)中的異常信息是獲取態(tài)勢要素的關(guān)鍵。

結(jié)語

網(wǎng)絡(luò)安全態(tài)勢技術(shù)仍在不斷的發(fā)展，各種關(guān)鍵的技術(shù)不斷的被研究出來但當(dāng)今還存在著不少問題，如信息格式不統(tǒng)一、事件關(guān)聯(lián)性的處理方式、如何提高態(tài)勢感知系統(tǒng)的響應(yīng)速度以及態(tài)勢感知系統(tǒng)的負(fù)荷等等還有待進一步的研究。

參考文獻：

[1]李奎.網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J].電腦知識與技術(shù)，2016，12（32）：26-28.

[2]陳娜.網(wǎng)絡(luò)安全態(tài)勢感知體系及關(guān)鍵技術(shù)研究[J].自動化與儀器儀表，2015（01）：47-49.