◆張秀成

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用研究

◆張秀成

（內(nèi)蒙古網(wǎng)智科技服務(wù)有限責(zé)任公司 內(nèi)蒙古 010100）

21世紀(jì)以來，社會經(jīng)濟(jì)穩(wěn)步發(fā)展，信息化建設(shè)也得到了高速發(fā)展。為了保障網(wǎng)絡(luò)安全，并使承載信息的環(huán)境得到有效優(yōu)化，構(gòu)建網(wǎng)絡(luò)安全勢態(tài)感知系統(tǒng)非常關(guān)鍵。本文在對網(wǎng)絡(luò)安全勢態(tài)感知進(jìn)行簡要分析的基礎(chǔ)上，進(jìn)一步分析網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的具體構(gòu)建，并對其實(shí)踐應(yīng)用進(jìn)行分析，以期為網(wǎng)絡(luò)提供一個真實(shí)可靠且安全的系統(tǒng)。

網(wǎng)絡(luò)安全勢態(tài)感知系統(tǒng)；系統(tǒng)構(gòu)建；實(shí)踐應(yīng)用

近年來，社會經(jīng)濟(jì)與網(wǎng)絡(luò)信息呈現(xiàn)了協(xié)同發(fā)展的趨勢。在網(wǎng)絡(luò)信息時(shí)代背景下，保障網(wǎng)絡(luò)信息的安全性非常關(guān)鍵。網(wǎng)絡(luò)安全勢態(tài)感知系統(tǒng)可以對網(wǎng)絡(luò)安全環(huán)境進(jìn)行有效評估，進(jìn)一步制定并實(shí)施有效應(yīng)對決策，提高整體信息網(wǎng)絡(luò)的安全性[1]?？傊瑥木W(wǎng)絡(luò)信息的發(fā)展角度考慮，本文圍繞“網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用”進(jìn)行分析研究，具有一定的研究意義。

1 網(wǎng)絡(luò)安全勢態(tài)感知簡要分析

網(wǎng)絡(luò)勢態(tài)感知，是Tim Bass在1999年提出的概念，指的是由各類網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)行為、用戶行為等要素構(gòu)成的整體信息的當(dāng)前狀態(tài)及變化態(tài)勢。值得注意的是，這其中的“態(tài)勢”并非某一類網(wǎng)絡(luò)情況或者現(xiàn)象，指的是能夠反映出的各種網(wǎng)絡(luò)狀況或者現(xiàn)象在交叉作用下所形成的網(wǎng)絡(luò)環(huán)境及未來可能發(fā)展的態(tài)勢。對于網(wǎng)絡(luò)勢態(tài)感知來說，其主要作用是基于網(wǎng)絡(luò)環(huán)境當(dāng)中，針對網(wǎng)絡(luò)態(tài)勢產(chǎn)生的變化要素進(jìn)行采集、分析、評估，進(jìn)一步對未來發(fā)展趨勢進(jìn)行預(yù)測，并作出決策。此外，在網(wǎng)絡(luò)勢態(tài)感知領(lǐng)域，網(wǎng)絡(luò)安全勢態(tài)感知是其重點(diǎn)研究方向，即側(cè)重其中安全要素的采集、分析、評估，為作出安全、可行的決策提供客觀科學(xué)的依據(jù)。

由于近年來國內(nèi)外信息化發(fā)展迅速，無論是從宏觀國家信息數(shù)據(jù)安全性角度考慮，還是從微觀個人信息數(shù)據(jù)安全性角度考慮，均有必要加強(qiáng)信息數(shù)據(jù)安全性保護(hù)[2]。網(wǎng)絡(luò)安全勢態(tài)感知為信息數(shù)據(jù)的安全性保護(hù)提供了理論支持。要想進(jìn)一步提供實(shí)踐支持，需要構(gòu)建優(yōu)化、完善、可行的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)。

2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的具體構(gòu)建及實(shí)踐應(yīng)用分析

2.1 系統(tǒng)功能需求分析

（1）安全數(shù)據(jù)實(shí)現(xiàn)需求。對于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，在構(gòu)建期間需了解其系統(tǒng)功能需求，滿足相關(guān)安全要素的實(shí)現(xiàn)需求，其安全要素主要體現(xiàn)在數(shù)據(jù)與環(huán)境兩大部分。在信息數(shù)據(jù)方面，其信息數(shù)據(jù)指的是由入侵檢測系統(tǒng)、安全神經(jīng)系統(tǒng)、防火墻以及漏洞掃描系統(tǒng)等安全防護(hù)系統(tǒng)組成，進(jìn)一步由這些系統(tǒng)產(chǎn)生信息數(shù)據(jù)；同時(shí)，系統(tǒng)的相關(guān)網(wǎng)絡(luò)設(shè)備，比如服務(wù)器、路由器、網(wǎng)絡(luò)終端以及服務(wù)器等，會受到安全風(fēng)險(xiǎn)的影響，進(jìn)而也產(chǎn)生一些信息數(shù)據(jù)。在環(huán)境方面，指的是相關(guān)系統(tǒng)資產(chǎn)或設(shè)備構(gòu)成的硬件環(huán)境及軟件環(huán)境，進(jìn)一步由用戶通過系統(tǒng)操作而產(chǎn)生的用戶行為環(huán)境。此外，保障網(wǎng)絡(luò)安全的實(shí)現(xiàn)，需通過資產(chǎn)管理、安全設(shè)備所產(chǎn)生的數(shù)據(jù)處理、安全態(tài)勢顯示及分析評估加以實(shí)現(xiàn)，因此這些環(huán)節(jié)均需重視起來。

（2）系統(tǒng)體系結(jié)構(gòu)功能實(shí)現(xiàn)。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中，其系統(tǒng)體系結(jié)構(gòu)分為四個層次：

①資產(chǎn)層，主要針對信息網(wǎng)絡(luò)當(dāng)中的各種資產(chǎn)實(shí)行全方位管理，為態(tài)勢感知供應(yīng)所需的資產(chǎn)運(yùn)行狀態(tài)信息；

②數(shù)據(jù)層，基于資產(chǎn)層當(dāng)中采集的相關(guān)數(shù)據(jù)，通過梳理、歸納以及分析等方式，進(jìn)一步為相關(guān)事件序列提供數(shù)據(jù)支持；

③管理層，通過對數(shù)據(jù)層獲取的數(shù)據(jù)，通過與事件、用戶信息的整合，使態(tài)勢信息數(shù)據(jù)有效形成；

④用戶層，為相關(guān)用戶提供信息獲取的接口，對各種事件的告警信息進(jìn)行掌控，分析評估信息網(wǎng)絡(luò)風(fēng)險(xiǎn)，并預(yù)測信息網(wǎng)絡(luò)的發(fā)展勢態(tài)；此外，還能夠?yàn)橛脩籼峁└黜?xiàng)資產(chǎn)檢測、評估等功能[3]。

2.2 關(guān)鍵技術(shù)實(shí)現(xiàn)分析

在明確網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的功能需求基礎(chǔ)上，需注重其關(guān)鍵技術(shù)的實(shí)現(xiàn)，具體包括：

（1）信息預(yù)處理技術(shù)。該項(xiàng)技術(shù)主要是針對各類子系統(tǒng)的相關(guān)格式的報(bào)警信息進(jìn)行格式層面的統(tǒng)一處理。其中，在入侵檢測系統(tǒng)輸出信息的數(shù)據(jù)標(biāo)準(zhǔn)模型描述中，需使用到入侵檢測信息交換格式（IDMEF），IDMEF通過XML語言加以實(shí)現(xiàn)，并利用相應(yīng)的數(shù)據(jù)庫進(jìn)行存儲。此外，通過IDMEF描述系統(tǒng)的報(bào)警信息，使系統(tǒng)的報(bào)警信息的準(zhǔn)確性得到有效保證。

（2）以Nagios為基礎(chǔ)的分布式遠(yuǎn)程監(jiān)控技術(shù)。即利用遠(yuǎn)程監(jiān)控軟件Nagios，對分布式監(jiān)控系統(tǒng)進(jìn)行構(gòu)建，使服務(wù)器、交換機(jī)、路由器以及主機(jī)等設(shè)備得到全方位的實(shí)時(shí)監(jiān)控。其分布式體現(xiàn)在分布式檢測、集中式報(bào)警等方面。該項(xiàng)技術(shù)能夠提供監(jiān)聽聯(lián)接功能，客戶端接收到服務(wù)檢測結(jié)果信息以后，由守護(hù)進(jìn)程對所接收到的結(jié)果進(jìn)一步傳輸至中心服務(wù)器，并由中心服務(wù)器完成結(jié)果數(shù)據(jù)的處理，避免數(shù)據(jù)信息的遺漏、丟失。

（3）以時(shí)間序列為基礎(chǔ)的關(guān)聯(lián)分析技術(shù)。在對特定安全時(shí)間未來發(fā)生進(jìn)行預(yù)測過程中，基于時(shí)間序列的關(guān)聯(lián)分析技術(shù)具備很高的應(yīng)用價(jià)值。例如：基于時(shí)間的序列s，1個規(guī)則包中具備s的序列數(shù)據(jù)占比是s的支持度；而基于數(shù)據(jù)采集模塊當(dāng)中提供的實(shí)施序列數(shù)據(jù)集D，與用戶特定的最低支持度閾值minsup，在基于時(shí)間序列的關(guān)鍵分析技術(shù)的應(yīng)用下，便能夠?qū)⒅С侄取輒insup的全部序列查找出來[4]。而該技術(shù)的實(shí)現(xiàn)主要依靠：其一，實(shí)時(shí)約束，涉及最大跨度約束、最小間隔約束以及最大間隔約束；其二，計(jì)數(shù)方式，可采取以滑動窗口技術(shù)的方式，最小出現(xiàn)窗口技術(shù)的方式，或者只要出現(xiàn)便計(jì)數(shù)的方式，有效實(shí)現(xiàn)系統(tǒng)相關(guān)數(shù)據(jù)信息的關(guān)聯(lián)分析。

2.3 相關(guān)實(shí)踐應(yīng)用分析

以安全態(tài)勢分析評估為例，在網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的應(yīng)用之前，需了解對于安全事件，其發(fā)生具有隨機(jī)性的特點(diǎn)，進(jìn)一步使得信息網(wǎng)絡(luò)安全環(huán)境存在不固定變化的情況。但是，基于某一個周期，對安全事件的發(fā)展趨勢進(jìn)行分析，便能夠?qū)ζ浒踩录兓l(fā)展的規(guī)律進(jìn)行找尋。因此在安全勢態(tài)分析評估工作過程中，可利用到網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)對1周及1天安全事件發(fā)展趨勢進(jìn)行分析評估[5]。如圖1所示，利用網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，通過攻擊鏈分析、歸并統(tǒng)計(jì)及關(guān)聯(lián)分析技術(shù)的應(yīng)用，為用戶呈現(xiàn)了更多的攻擊信息，將攻擊的告警的信息分類成了不同的事件，包括了一對一攻擊、一對多攻擊、多對一攻擊等形式，同時(shí)展示單位時(shí)間內(nèi)的攻擊次數(shù)，攻擊事件等信息。為用戶及時(shí)了解、掌握攻擊的整體態(tài)勢提供可視化的顯示模式，顯然這在很大程度上提高了網(wǎng)絡(luò)安全信息，并對未來預(yù)測非安全事件提供了客觀科學(xué)的依據(jù)。

3 結(jié)語

綜上所述，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)建，需明確其系統(tǒng)功能需求，掌握其功能實(shí)現(xiàn)關(guān)鍵技術(shù)，進(jìn)一步將該項(xiàng)系統(tǒng)投入到網(wǎng)絡(luò)安全實(shí)踐工作當(dāng)中，提高網(wǎng)絡(luò)信息的安全性及可靠性，并對安全態(tài)勢進(jìn)行分析評估，找出非安全事件，進(jìn)一步通過原因的分析，提出并實(shí)施有效的預(yù)防解決策略，使網(wǎng)絡(luò)信息的安全性得到全面提升?？傊?，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)具有很高應(yīng)用價(jià)值，值得在網(wǎng)絡(luò)信息領(lǐng)域借鑒應(yīng)用。

圖1·網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)實(shí)踐應(yīng)用圖示

[1]郭杰華.大型水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)應(yīng)用與研究[J].科技創(chuàng)新與應(yīng)用，2019（35）：163-164.

[2]王惠，劉霓，劉東全.政務(wù)部門網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)構(gòu)建研究[J].中國信息安全，2019（03）：78-79.

[3]莫禹鈞，潘愈嘉，黃捷.醫(yī)院網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)構(gòu)建[J].醫(yī)學(xué)信息學(xué)雜志，2018，39（12）：25-28.

[4]王昌明.如何構(gòu)建廣播電視網(wǎng)絡(luò)安全預(yù)警和態(tài)勢感知系統(tǒng)[J].有線電視技術(shù)，2018（08）：27-30.

[5]蘇忠，林繁，陳厚金，賴建榮.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用[J].信息網(wǎng)絡(luò)安全，2014（05）：73-77.