張小林 羅漢云 魯雷

摘 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息化社會帶來了很大的便捷，但是網(wǎng)絡(luò)安全風(fēng)險與日俱增。本文主要研究了來自網(wǎng)絡(luò)入侵、防御、安全審計等安全威脅事件，通過大數(shù)據(jù)和數(shù)據(jù)挖掘技術(shù)進(jìn)行分析，得到網(wǎng)絡(luò)安全態(tài)勢感知趨勢。通過分解獨立安全風(fēng)險域和網(wǎng)絡(luò)中的安全風(fēng)險事件以及信息系統(tǒng)的安全等級進(jìn)行量化，得到網(wǎng)絡(luò)安全風(fēng)險評估的量化風(fēng)險值，給決策者提供網(wǎng)絡(luò)風(fēng)險管理依據(jù)。

關(guān)鍵詞：安全風(fēng)險;安全威脅評估;態(tài)勢感知;日志分析

中圖分類號：TP393.09? 文獻(xiàn)標(biāo)識碼：A? 文章編號：1673-260X（2020）09-0045-04

1 引言

隨著通信技術(shù)的不斷發(fā)展和5G技術(shù)的普及應(yīng)用，促進(jìn)了物聯(lián)網(wǎng)的建設(shè)，也帶動了網(wǎng)絡(luò)的不斷擴(kuò)張。信息化是推動經(jīng)濟(jì)社會發(fā)展轉(zhuǎn)型的一個歷史性過程，伴隨著Web技術(shù)的發(fā)展，H5技術(shù)的出現(xiàn)，基于智能終端的應(yīng)用、App出現(xiàn)爆發(fā)式增長，給人們的工作、生活帶來了極大的便利，但這種野蠻式的增長也帶來了極大的網(wǎng)絡(luò)安全風(fēng)險。

目前，各級人民政府、高校、企事業(yè)單位都擁有自己的局域網(wǎng)，有各種各樣的應(yīng)用系統(tǒng)和業(yè)務(wù)平臺。有的用于辦公，有的是對外提供服務(wù)查詢。在各個系統(tǒng)中含有海量的數(shù)據(jù)，其中也有很多涉及隱私的信息。2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布，信息系統(tǒng)安全等級保護(hù)的建設(shè)也寫進(jìn)了網(wǎng)絡(luò)安全法，網(wǎng)絡(luò)安全建設(shè)已經(jīng)成為信息系統(tǒng)建設(shè)中的一個重要組成部分，目前最常見的方式是通過部署網(wǎng)絡(luò)安全設(shè)備進(jìn)行防御。本文主要研究通過安全設(shè)備、網(wǎng)絡(luò)設(shè)備產(chǎn)生的海量安全威脅事件、安全審計事件等數(shù)據(jù)以及主機(jī)的安全風(fēng)險數(shù)據(jù)進(jìn)行分析，對其中的安全風(fēng)險、安全威脅等進(jìn)行量化處理，從中分析出當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險值以及得到網(wǎng)絡(luò)安全態(tài)勢。

2 網(wǎng)絡(luò)態(tài)勢感知的概念

態(tài)勢感知[1]最早源自在軍事對抗中。1988年，Endsley首次明確提出態(tài)勢感知的定義，態(tài)勢感知是指“在一定的時空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并且對未來的發(fā)展趨勢進(jìn)行預(yù)測”[1]。態(tài)勢感知的思維方式和方法，在戰(zhàn)斗指揮、醫(yī)療應(yīng)急調(diào)度等應(yīng)用范圍很廣，但這個概念并沒有引入網(wǎng)絡(luò)安全領(lǐng)域中。直到1999年，Bass提出了網(wǎng)絡(luò)態(tài)勢感知這個概念，提出“多傳感器數(shù)據(jù)融合技術(shù)為下一代入侵檢測系統(tǒng)和網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)提供了一個重要的功能框架，它可以融合多源異構(gòu)IDS的數(shù)據(jù)，識別出入侵者身份、攻擊頻率及威脅程度等”[2]。

當(dāng)網(wǎng)絡(luò)態(tài)勢感知被引入到網(wǎng)絡(luò)安全領(lǐng)域后，國內(nèi)外很多專家針對這個概念提出了概念模型和功能模型，Endsley[3]和Bass[4]為網(wǎng)絡(luò)安全態(tài)勢感知的研究奠定了基礎(chǔ)，給出了網(wǎng)絡(luò)安全態(tài)勢感知的概念，“在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢”。網(wǎng)絡(luò)安全態(tài)勢感知首先需要獲取安全要素，這些安全要素可以理解為與網(wǎng)絡(luò)安全相關(guān)的信息，這些信息可能來源于網(wǎng)絡(luò)傳感器、嗅探器所采集的數(shù)據(jù)、網(wǎng)絡(luò)安全設(shè)備等。當(dāng)這些安全信息收集完成后，需要對它們進(jìn)行分解，對這些安全要素進(jìn)行分析、關(guān)聯(lián)等技術(shù)，最終能夠?qū)⑦@些安全要素所能表達(dá)的過去某個時刻網(wǎng)絡(luò)的狀態(tài)，并且能夠為決策者提供預(yù)測未來的發(fā)展趨勢。

很多文獻(xiàn)對網(wǎng)絡(luò)安全態(tài)勢感知都沒有給出一個完整的概念定義，只是對網(wǎng)絡(luò)態(tài)勢感知進(jìn)行了定義，文獻(xiàn)明確地定義了網(wǎng)絡(luò)安全態(tài)勢感知的概念，以及提出了網(wǎng)絡(luò)安全態(tài)勢感知現(xiàn)狀以及問題[1]。根據(jù)不同角度對安全要素觀測點不同，建立的模型以及研究方法也有很多，在文獻(xiàn)中提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知方法[2]，也提出了基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知研究[5]。也有很多學(xué)者通過網(wǎng)絡(luò)的脆弱性信息來評估網(wǎng)絡(luò)的脆弱性態(tài)勢，有的也有通過采集網(wǎng)絡(luò)的警報信息來評估網(wǎng)絡(luò)的威脅性態(tài)勢。

3 安全要素獲取

3.1 網(wǎng)絡(luò)安全風(fēng)險評估

在網(wǎng)絡(luò)安全風(fēng)險評估領(lǐng)域，我國起步較晚，重視程度也不夠。直到2002年，頒布了國家標(biāo)準(zhǔn)《信息技術(shù)、安全技術(shù)、信息技術(shù)安全評估準(zhǔn)則》（GB 18366-2002）[6]，2009年頒布了《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》GB/T 20984-2009，經(jīng)過反復(fù)修改和征求意見，在2012年發(fā)布了《信息安全技術(shù) 信息安全風(fēng)險管理指南》GB/Z 24364-2012[7]，這些國標(biāo)的出臺，對我國的網(wǎng)絡(luò)安全風(fēng)險評估等方面的建設(shè)帶來依據(jù)，同時也表明國家對網(wǎng)絡(luò)安全風(fēng)險也越來越重視。一般認(rèn)為，對安全風(fēng)險進(jìn)行評估時，需要從三個方面著手：就是資產(chǎn)、威脅、脆弱性。通過基于這三個方面的安全風(fēng)險評估，獲取網(wǎng)絡(luò)的整體安全風(fēng)險。在一個大型網(wǎng)絡(luò)中，首先取得網(wǎng)絡(luò)的拓?fù)鋱D，針對網(wǎng)絡(luò)中的信息系統(tǒng)保護(hù)的級別、邊界防護(hù)設(shè)備的分類，可以將網(wǎng)絡(luò)分解為合適的獨立的網(wǎng)絡(luò)域，形成獨自的安全風(fēng)險域，通過對各個子安全風(fēng)險域進(jìn)行以上三個層面的風(fēng)險評估，最終網(wǎng)絡(luò)安全風(fēng)險將由各個子網(wǎng)絡(luò)域的安全風(fēng)險匯總而成。定義NSR表示網(wǎng)絡(luò)安全風(fēng)險值，則NSR=NSRk，n為網(wǎng)絡(luò)中獨立安全風(fēng)險域的個數(shù)。

網(wǎng)絡(luò)安全威脅是一個動態(tài)的過程，它不是一次就能完全解決的，安全風(fēng)險總是一直存在的。在實踐過程中，存在著風(fēng)險與成本的關(guān)聯(lián)關(guān)系，也存在著安全風(fēng)險與可用性的關(guān)系，所以在客觀實踐中，要合理地評價和分析網(wǎng)絡(luò)安全風(fēng)險。安全風(fēng)險評估是通過科學(xué)的分析，通過量化確定風(fēng)險的過程。通過風(fēng)險評估可以讓管理者更好地預(yù)防風(fēng)險，通過管理和技術(shù)進(jìn)行風(fēng)險控制，以及減少風(fēng)險的產(chǎn)生。

在網(wǎng)絡(luò)結(jié)構(gòu)中，各個設(shè)備、服務(wù)器、主機(jī)、應(yīng)用系統(tǒng)的重要性不一樣，可以依據(jù)各個信息系統(tǒng)的級別給他們分配不同的權(quán)值。信息系統(tǒng)的安全保護(hù)等級分為五級，一至五級等級逐級增高，在大部分網(wǎng)絡(luò)中，二級和三級的信息系統(tǒng)占大多數(shù)，在[0，1]區(qū)間定義權(quán)值，級別越高，權(quán)值越高。

3.2 安全要素的來源及處理

在網(wǎng)絡(luò)中，每時每刻都會有大量的數(shù)據(jù)在傳輸。在使用涉及網(wǎng)絡(luò)安全的數(shù)據(jù)時，可以從網(wǎng)絡(luò)中的傳感器、網(wǎng)絡(luò)安全設(shè)備的入侵檢測、入侵防御、漏洞掃描系統(tǒng)、堡壘機(jī)、數(shù)據(jù)庫審計等，另外可以服務(wù)器、網(wǎng)絡(luò)設(shè)備等，如服務(wù)器、交換機(jī)、路由器等而產(chǎn)生的信息數(shù)據(jù)。這些數(shù)據(jù)有的是安全日志，對于安全日志只需要提取那些受到威脅或攻擊等的日志，正常日志不需要進(jìn)行收集;對于網(wǎng)絡(luò)底層的數(shù)據(jù)流量，采用NetFlow v5格式，利用SILK收集和分析數(shù)據(jù)流，并將異常的數(shù)據(jù)以一定的格式傳輸?shù)桨踩{數(shù)據(jù)庫中。

網(wǎng)絡(luò)中每天產(chǎn)生的數(shù)據(jù)量增長很快，對這些海量的日志數(shù)據(jù)、威脅數(shù)據(jù)、風(fēng)險警報數(shù)據(jù)、漏洞風(fēng)險等數(shù)據(jù)的存儲，需要整合到系數(shù)據(jù)庫系統(tǒng)、分布式文件系統(tǒng)、數(shù)據(jù)庫集群以此建混合式數(shù)據(jù)倉庫，利用大數(shù)據(jù)技術(shù)，在Hadoop框架下的分布式文件系統(tǒng)HDFS和分布式計算MapReduce對海量數(shù)據(jù)進(jìn)行運算。

3.3 安全要素的分析

通過分類，入侵檢測和防御類的，主要有IDS（入侵檢測系統(tǒng)）、IPS（入侵防御）、Web應(yīng)用防火墻等，這類設(shè)備主要是能提供網(wǎng)絡(luò)中攻擊威脅，也是威脅量化中的一個重要數(shù)據(jù)來源。還有如數(shù)據(jù)庫審計系統(tǒng)、運維審計系統(tǒng)類，能夠提供一些非法的操作、異常行為事件等重要信息。

入侵檢測設(shè)備（IDS）是一種主動防護(hù)的安全技術(shù)，對外網(wǎng)傳入內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。根據(jù)不同的信息來源和不同的檢測方法也有不同分類。在IDS中，會產(chǎn)生大量的入侵事件，系統(tǒng)根據(jù)相關(guān)的規(guī)則庫對事件也進(jìn)行了分類，同時也會有很多類型的日志信息。

Web應(yīng)用防火墻，也稱為WAF設(shè)備，目前有很多使用方式，有的通過云部署，有的通過本地部署。主要用途是針對網(wǎng)站入侵進(jìn)行防護(hù)，隨著web技術(shù)的不斷發(fā)展，很多新技術(shù)不斷涌現(xiàn)，但同時也帶來了大量的安全漏洞，這也成為很多黑客組織攻擊的主要目標(biāo)，OWASP組織提供權(quán)威的十項最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險列表，總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大漏洞，同時也給開發(fā)、測試、服務(wù)、咨詢?nèi)藛T應(yīng)知應(yīng)會的知識。根據(jù)OWASP組織提出的十大風(fēng)險漏洞，給風(fēng)險值較高的威脅分配不同的量化值，結(jié)合其他安全要素定義每個風(fēng)險安全域的量化安全風(fēng)險值。Web防火墻記錄有Web站點入侵事件記錄，同時也會有其他的日志記錄，如web安全日志、web防篡改日志、網(wǎng)絡(luò)層訪問控制日志等。

漏洞掃描系統(tǒng)，根據(jù)漏洞知識庫從操作系統(tǒng)、服務(wù)、應(yīng)用程序和漏洞嚴(yán)重程度多個視角進(jìn)行分類，需要給出具體的分類信息?？梢葬槍Σ僮飨到y(tǒng)、數(shù)據(jù)庫、中間件、通信協(xié)議進(jìn)行漏洞掃描，也可以對常用軟件、應(yīng)用系統(tǒng)、虛擬化系統(tǒng)等進(jìn)行掃描。漏洞掃描系統(tǒng)可以從弱口令的猜測到主機(jī)系統(tǒng)的安全配置，以及部分應(yīng)用系統(tǒng)和應(yīng)用軟件的漏洞掃描，提出風(fēng)險點，根據(jù)各個風(fēng)險點的級別和重要程度進(jìn)行量化。同時可以在漏洞掃描系統(tǒng)中，將資產(chǎn)納入統(tǒng)一管理，同時建立資產(chǎn)風(fēng)險評估。

在不同的網(wǎng)絡(luò)中，所采取的安全防御措施和網(wǎng)絡(luò)安全設(shè)備的部署情況以及策略設(shè)置、安全管理等不盡相同，是根據(jù)客觀實際情況，對不同的資產(chǎn)重要程度、事件安全風(fēng)險級別、信息系統(tǒng)的安全級別進(jìn)行量化。本文采用的量化標(biāo)準(zhǔn)[9]，對網(wǎng)絡(luò)、服務(wù)器進(jìn)行分類，按照重要程度進(jìn)行分配權(quán)值。目前一些主流的安全產(chǎn)品，主要的漏洞風(fēng)險庫都是參考CVE、CNCVE、CNVD、CNNVD等數(shù)據(jù)庫，每一種風(fēng)險漏洞都有其編號以及其威脅程度。在漏洞掃描時，根據(jù)漏洞的威脅程度，給出安全風(fēng)險級別，根據(jù)風(fēng)險級別高、中、低，進(jìn)行量化。

3.4 安全要素的融合

借助大數(shù)據(jù)技術(shù)，通過對這些安全事件、安全威脅日志等大量的數(shù)據(jù)信息進(jìn)行處理，是為后面進(jìn)行關(guān)聯(lián)規(guī)則分析、態(tài)勢感知提供最可靠的數(shù)據(jù)源，預(yù)處理過程中的第一步數(shù)據(jù)質(zhì)量的把控非常重要，涉及數(shù)據(jù)的誤報和數(shù)據(jù)的聚合等。在數(shù)據(jù)融合根據(jù)關(guān)聯(lián)規(guī)則分析需要的特定的數(shù)據(jù)格式，要在數(shù)據(jù)預(yù)處理階段進(jìn)行轉(zhuǎn)換。

在事務(wù)識別和聚合的分析過程中，源地址和目的地址都是一個主要的特征表示進(jìn)行數(shù)據(jù)挖掘，同時事件的時間是各個安全要素統(tǒng)一的連接點。當(dāng)某個系統(tǒng)在遭受攻擊時，可以對之前的數(shù)據(jù)進(jìn)行梳理，通過關(guān)聯(lián)規(guī)則找到攻擊的時間點以及攻擊路徑，一般的攻擊行為都會通過信息收集、掃描，獲取大量的信息，然后通過漏洞挖掘、查找相關(guān)軟件的漏洞等等，最后通過漏洞利用，進(jìn)入系統(tǒng)，進(jìn)行提權(quán)操作等。那么在所收集的安全要素中，一些常見的掃描、爬蟲等安全事件是不能隨意忽略的，通過多個安全事件以及建立本地的知識庫，將這些看似平淡無奇的安全事件反應(yīng)在網(wǎng)絡(luò)安全態(tài)勢中。

在海量異構(gòu)數(shù)據(jù)處理過程中，數(shù)據(jù)融合是一個非常重要的環(huán)節(jié)，涉及數(shù)據(jù)的提取、理解、分析等，數(shù)據(jù)融合是一個多級、多層面的數(shù)據(jù)處理過程。網(wǎng)絡(luò)安全態(tài)勢感知的數(shù)據(jù)融合有很多算法，有的是基于邏輯關(guān)系，有的是基于數(shù)學(xué)模型，有的是基于概率統(tǒng)計等?；谶壿嬯P(guān)系的數(shù)據(jù)融合是根據(jù)信息內(nèi)在的邏輯關(guān)系進(jìn)行的融合，采取的融合方法是警報關(guān)聯(lián)[10]。這種數(shù)據(jù)融合的方法很好理解，它能可以快速直觀地在海量數(shù)據(jù)信息之中分析出網(wǎng)絡(luò)的安全態(tài)勢。

4 網(wǎng)絡(luò)安全態(tài)勢感知量化

通過網(wǎng)絡(luò)安全風(fēng)險評估，基于網(wǎng)絡(luò)中的大量的安全要素，以及通過大數(shù)據(jù)技術(shù)、數(shù)據(jù)挖掘技術(shù)對這些安全信息進(jìn)行研究分析，最終將這些數(shù)據(jù)理解、量化，通過可視化技術(shù)來顯示。

通過采集、分析Web防火墻、IPS、數(shù)據(jù)庫審計等安全要素，得到某Web站點的攻擊趨勢圖，如圖1所示。

根據(jù)文獻(xiàn)，并根據(jù)信息系統(tǒng)的安全等級保護(hù)的級別、漏洞等要素，將網(wǎng)絡(luò)安全態(tài)勢的安全等級進(jìn)行分級[11]，用[0，1]區(qū)間進(jìn)行量化描述，分為安全、輕度危險、一般危險、中度危險、高度危險幾個級別，通過這些量化，給管理者提供更直觀的安全感知。

5 結(jié)束語

通過大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)中的安全要素進(jìn)行處理，將單個的網(wǎng)絡(luò)安全事件、安全漏洞、安全威脅、安全日志等，通過量化每個風(fēng)險指標(biāo)，形成網(wǎng)絡(luò)安全態(tài)勢。將整個網(wǎng)絡(luò)通過分解成多個獨立安全域進(jìn)行安全風(fēng)險評估，根據(jù)等級保護(hù)級別，依據(jù)量化的風(fēng)險值，從而形成了整個網(wǎng)絡(luò)的安全風(fēng)險值，安全威脅是一個動態(tài)的過程，雖然所采集的是歷史的數(shù)據(jù)，但是通過安全風(fēng)險評估和關(guān)聯(lián)規(guī)則分析，能夠形成網(wǎng)絡(luò)安全態(tài)勢的趨勢預(yù)測。通過網(wǎng)絡(luò)安全風(fēng)險評估，能夠給管理者提供更全面的網(wǎng)絡(luò)安全態(tài)勢，更好地有針對性地做好安全保障工作。

——————————

參考文獻(xiàn)：

〔1〕龔儉、臧小東、蘇琪、胡曉艷、徐杰.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學(xué)報，2017，28（04）：1011-1026.

〔2〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢感知新方法[J].北京郵電大學(xué)學(xué)報，2014，37（05）：31-35.

〔3〕Trusted Computing Group.TCG Specification architecture overview specification revision 1.2[EB/OL].[2011-04-15].http：//www.trustedcomputinggroup.org /.

〔4〕BASS T，ARBOR A.Multisensor data fusion for next generation distributed intrusion detection systems[C]. Proceeding of IRIS National Symposium on Sensor and Data Fusion.Laurel，1999： 24 - 27.

〔5〕王春雷，方蘭，王東霞，戴一奇.基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J].計算機(jī)科學(xué)，2012，39（07）：11-17.

〔6〕中國國家標(biāo)準(zhǔn)化管理委員會.信息技術(shù)、安全技術(shù)、信息技術(shù)安全評估準(zhǔn)則：GB18366-2002[S].北京：中國標(biāo)準(zhǔn)出版社，2002.

〔7〕中國國家標(biāo)準(zhǔn)化管理委員會.信息安全風(fēng)險管理指南：GB/Z24364-2012[S].北京：中國標(biāo)準(zhǔn)出版社，2012.

〔8〕中國國家標(biāo)準(zhǔn)化管理委員會.網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南：GB/T36627-2018[S].北京：中國標(biāo)準(zhǔn)出版社，2018.

〔9〕司加全，張冰，荷大鵬，等.基于攻擊圖的網(wǎng)絡(luò)安全性增強(qiáng)策略制定方法[J].通信學(xué)報，2009，30（02）：123-128.

〔10〕單宇鋒.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的關(guān)鍵技術(shù)研究與實現(xiàn)[D].北京郵電大學(xué)，2012.

〔11〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢感知新方法[J].北京郵電大學(xué)學(xué)報，2014，37（05）：31-35.