趙佩詠

(武警工程大學，陜西 西安 710086)

0 引言

20世紀末，Bass提出了網絡中態(tài)勢運行感知概念，這是網絡安全概念與安全態(tài)勢信息感知系統(tǒng)概念的復合概念，簡稱為網絡安全態(tài)勢感知，起初被應用于航空領域的交通安全監(jiān)管，經過推廣被應用到了網絡安全管理方面。網絡安全態(tài)勢感知主要是以網絡、網絡中的安全監(jiān)控設備與設備之間的日志、預告警作為基礎，對網絡系統(tǒng)進行實時動態(tài)化的綜合分析，旨在解決網絡安全問題。實踐經驗表明，網絡安全態(tài)勢感知系統(tǒng)通過模型方式搭建完成后，可以借助分布式網絡入侵數(shù)據檢測、數(shù)據相互融合分析的聯(lián)合方式，對網絡安全開展有效的態(tài)勢綜合評估。目前，人們在實際應用中增加了觀察黑客網絡攻擊事件足跡、SSARE檢測工具以及機器學習算法等，由此形成了多種適用廣泛、適配性較高的態(tài)勢感知技術。

1 網絡安全態(tài)勢感知技術概述

網絡安全態(tài)勢感知主要是指在網絡安全管理中應用的態(tài)勢感知技術，在形式上屬于一種網絡安全管理產品，在內容上則以態(tài)勢感知技術發(fā)揮作用[1]。自1999年提出該概念、形成理論、推廣應用至今，該技術已經經歷了3大發(fā)展階段：(1)網絡安全態(tài)勢展示階段；(2)網絡安全管理階段；(3)網絡安全態(tài)勢感知模型構建及應用階段。目前，應用大數(shù)據技術、云計算技術、人工智能等可以根據應用主體的實際需求，選擇不同的技術要素進行配置，并借助構建態(tài)勢感知模型的方式，提供智能預警、自動跟蹤、網絡安全態(tài)勢實時分析展示等。

2 網絡安全防護短板分析

以某企業(yè)為例，建立數(shù)據中心后，網絡部署以防火墻、入侵檢測等為主，當網絡受到攻擊時，可以生成大量安全日志，雖然能夠實現(xiàn)追蹤，但是在攻擊行為的溯源方面存在較大難度。同時，在日常的監(jiān)測預警方面沒有設置有效手段，仍然采用人工方式檢查，主動防護能力相對較弱。尤其在漏洞處置方面，通過演練與實踐，基本可以達到漏洞處理目標，然而因弱口令暴力破解以及文件上傳漏洞的存在，并不能很好地防御來自網絡的攻擊行為，整體上的網絡安全防護自動化水平較低。為了有效解決攻擊行為溯源難、主動監(jiān)測預警能力差、漏洞處置自動化水平低的多重問題，該企業(yè)選擇了網絡安全態(tài)勢感知技術，成功搭建了系統(tǒng)結構，并部署了相關技術。

3 網絡安全態(tài)勢感知系統(tǒng)結構分析

該企業(yè)在分析了網絡安全態(tài)勢感知系統(tǒng)后，主要通過概念模型與結構模型的方式搭建系統(tǒng)結構。

3.1 概念模型

在概述模型方面，按照“三層次，四步驟”進行搭建：(1)基礎概念層：為多源異構數(shù)據，包括IDS、防火墻、防病毒、安全審計等。(2)信息概念層：包括數(shù)據信息、特征信息、感知信息、態(tài)勢信息。(3)概念應用層：主要分為特征提取、安全評估、態(tài)勢感知、預警4大步驟?；A概念層、信息概念層、概念應用層中的各個概念構成要素之間，密切關聯(lián)，構成了網絡安全態(tài)勢感知概念體系，并借助概念模型的方式進行呈現(xiàn)。

3.2 網絡安全態(tài)勢感知系統(tǒng)架構

以概念模型為基礎，該企業(yè)分析了搭建的網絡安全態(tài)勢感知系統(tǒng)結構的兩條線路：(1)數(shù)據源集成平臺—特征提取—安全評估—態(tài)勢感知—預警—態(tài)勢可視化顯示。(2)數(shù)據源集成平臺—拓撲發(fā)現(xiàn)—安全拓撲生成—態(tài)勢可視化顯示。其中，第一條線路中的安全評估，主要包括評估模型、漏洞掃描、威脅評估，態(tài)勢感知則以事件關聯(lián)和海量數(shù)據處理為主。第二條線路中的安全拓撲生成環(huán)節(jié)與第一條線路中的安全評估、態(tài)勢感知密切關聯(lián)。因此，在應用網絡安全態(tài)勢感知概述模型、結構模型時，通常要求應用主體根據實際情況，利用二次開發(fā)的方式搭建與其需求相一致的系統(tǒng)架構[2]。該企業(yè)結合實際存在的困難，搭建了由數(shù)據采集、存儲計算、BI展示層4大結構層組成的網絡安全態(tài)勢感知系統(tǒng)架構。具體如圖1所示。

圖1 網絡安全態(tài)勢感知系統(tǒng)架構

第一，數(shù)據采集層由若干探針硬件與安全管理軟件組成，數(shù)據來源于脆弱性檢測、安全威脅檢測、行為審計3個方面，此類數(shù)據采集定位在與態(tài)勢相關的元數(shù)據方面，包括信息安全產品的日志與告警和信息系統(tǒng)日志。例如，通過系統(tǒng)漏洞掃描與對Web平臺漏洞掃描，可以實時獲取外部情報、安全產品、日志代理、日志方面的脆弱性數(shù)據。再如，在網絡應用過程中，可以通過安全威脅檢測，對僵尸信息、木馬程序、傳播病毒等進行檢測，同時對網絡中應用的WNF，IDP，EDR，APR，DLP以及防火墻等開展安全威脅監(jiān)測，尤其在網絡數(shù)據中心DDos檢測與網站監(jiān)控方面，能夠實現(xiàn)全面實時的檢測，預防網絡運行中的各類威脅。除此之外，借助智能分析與人工信息錄入等方式，可以針對網絡行為、數(shù)據庫行為、日志開展動態(tài)審計，并將采集到的數(shù)據上傳到存儲計算層，通過該層的數(shù)據處理達到對數(shù)據的有效利用。

第二，存儲分析層含有數(shù)據存儲與數(shù)據分析兩個子模塊：(1)數(shù)據存儲模塊分設交換接口與數(shù)據清洗兩個子模塊，通過交換接口子模塊可以完成對數(shù)據采集層獲取數(shù)據的處理，功能包括SYSLOG、文件共享、數(shù)據庫表、消息總線、API等。當交換接口子模塊數(shù)據整理完成后，需要對數(shù)據進行清洗處理，因而在數(shù)據清洗子模塊中，需要通過數(shù)據歸一化、過濾、歸并、打標簽等進行分類[3]，在此基礎上構成數(shù)據集群與關系數(shù)據庫集群。(2)大數(shù)據分析模塊將分類好的數(shù)據存儲到存儲計算引擎模塊中的對應子模塊，常用的模塊有數(shù)據倉庫、分布式檢索、分布式計算、分布式文件存儲、關系型數(shù)據庫，旨在實現(xiàn)數(shù)據的標準化存儲。然后，利用大數(shù)據分析引擎得到數(shù)據結果，為核心業(yè)務層進一步應用提供數(shù)據支持。

第三，核心業(yè)務層將重點放在企業(yè)的資產管理、風險感知、預警管理3大業(yè)務。其中，資產管理業(yè)務通過探針識別、安全管理、風險分析進行操作。例如，在調查分析時，主要通過追蹤溯源、告警分析、事件分析、脆弱性分析、威脅分析、資產分析，保障對數(shù)據存儲計算獲得數(shù)據中異常數(shù)據的抓取。在風險感知業(yè)務中，主要根據溯源分析、關聯(lián)分析、威脅預警分析模塊進行業(yè)務分析，操作時借助對安全事件、攻擊威脅、網站、脆弱性的實時監(jiān)測，實時為安全處置模塊提供風險數(shù)據，并通過該模塊中的處置工作臺與統(tǒng)計報表，完成風險數(shù)據處理，同時利用集中管控模塊為其提供本土地策略管理、在線策略管理以及配置備份。在預警管理業(yè)務中，按照風險預警、安全威脅預警、安全事件預警進行管理?？紤]到資產管理處于核心地位，因而根據實際情況細化了資產管理模塊，并進行資產維護管理、資產屬性管理、資產識別，從而使威脅情報、安全知識通過報表的形式發(fā)送到態(tài)勢大屏中。需要注意的是，在核心業(yè)務層中能夠由用戶根據自身的業(yè)務，開展用戶管理、日志轉發(fā)、安全配置、系統(tǒng)維護。核心業(yè)務層與存儲分析層之間關聯(lián)密切，一旦存儲計算層中存在實時數(shù)據更新，就可以直接發(fā)送到核心業(yè)務層，由其中的相關模塊開展運算分析。

第四，在B1展示層，操作網絡安全態(tài)勢感知的主要界面設置了“安全態(tài)勢可視化→告警可視化→自定義展示→資產可視化→報表評估曲線展示”。從應用經驗來看，可以在大屏中通過全網態(tài)勢、威脅態(tài)勢、安全底圖、安全處置、專題態(tài)勢、自定義態(tài)勢模塊，開展網絡安全管理[4]。尤其是在大屏功能中，配套建立了知識庫，能夠利用以“知識積累—知識創(chuàng)造—知識應用—形成知識平臺—持續(xù)更新與循環(huán)”為基本環(huán)節(jié)的“循環(huán)+升級”模式，持續(xù)深化網絡安全態(tài)勢感知系統(tǒng)。

4 網絡安全態(tài)勢感知系統(tǒng)的關鍵技術

4.1 攻擊行為分析技術

該企業(yè)網絡受到攻擊時，主要包括預攻擊、攻擊、后攻擊3個階段。第一階段，旨在收集信息；第二階段，重點放在對初步權限的提取方面；最后一個階段，則會對系統(tǒng)相關數(shù)據進行清除處理，并進行滲透控制。例如，在外部攻擊中，該企業(yè)通過實時聚類的辦法，克服開源聚類算法方面的批次聚類不足，對動態(tài)產生的安全日志進行聚類后實施多維加權相似性計算。然后，根據預分類進行聚類處理，結合攻擊算法的多維攻擊方式，采用流式聚類方案，從而在較低資源占用條件下，針對不同攻擊場景，實施最大效用的智能分析。通過防御體系的建立及安全監(jiān)測，該系統(tǒng)每日可以監(jiān)測的境內外疑似攻擊行為數(shù)量大于10 000起，其中IP300條以上惡意攻擊可以快速監(jiān)測并識別，結合應急處置演練方法進行有效處理。

4.2 主機惡意行為監(jiān)測技術

該企業(yè)在網絡安全態(tài)勢感知系統(tǒng)中應用了大數(shù)據技術，而且借助類技術實施了虛擬化數(shù)據中心升級?？紤]到虛擬主機惡意下載、惡意軟件檢測以及惡意識別等現(xiàn)象，該企業(yè)將網絡安全態(tài)勢感知技術與虛擬數(shù)據中心進行了關聯(lián)，能夠針對不同主機惡意行為開展智能監(jiān)測。例如，在木馬程序、蠕蟲病毒、僵尸惡意代碼等方面，隨著對家族變種與代碼演化技術，其惡意攻擊行為越來越隱蔽。在這種情況下，借助網絡安全感知系統(tǒng)數(shù)據采集層設置的安全威脅監(jiān)測模塊，實時跟蹤相關惡意代碼并對其開展全過程分析，在其不同的階段發(fā)起識別與安全處理。尤其在入侵組織識別、文件信譽評定、家族變種識別等方面，該企業(yè)借助“網內風險排查→感知→分析→處置”為主的閉環(huán)管理達到了較好的主機監(jiān)測效果。

4.3 安全信息和事件管理技術

該企業(yè)通過網絡安全態(tài)勢感知系統(tǒng)開展安全信息和事件管理(SIEM)時，主要采用與第三方安全設備等聯(lián)合方式進行操作。該企業(yè)具體應用了SIEM分析系統(tǒng)，通過安全設備、AI機器學習，在“數(shù)據來源→數(shù)據采集&存儲→關聯(lián)分析→數(shù)據展示”的基本框架下，開展深入而細致的數(shù)據標準化分析[5]。在事件管理方面，該企業(yè)通過演習期實踐，發(fā)現(xiàn)三級應用系統(tǒng)、工程控制系統(tǒng)、門戶網站、OA系統(tǒng)、外網電子郵件系統(tǒng)等均沒有被攻陷。另外，該企業(yè)在用戶體驗方面增加了賬號登錄、外發(fā)數(shù)據、訪問、數(shù)據庫、外聯(lián)等方面的異常情況分析功能，借助網絡模型訓練完成對相關行為的畫像后，再結合基線畫線檢測超閾值畫線，得到行為異常數(shù)據。配套應用的決策樹、聚類等計算處理模型保障了系統(tǒng)的良好運行。

5 結語

總之，網絡系統(tǒng)的運用為各行業(yè)企業(yè)管理提供了技術支持，有利于提升管理效率，擴增可營利空間。在新時期高質量發(fā)展階段，有必要結合網絡安全管理需求，進一步增強對網絡安全態(tài)勢感知技術的運用。通過以上初步分析可以看出，網絡安全態(tài)勢感知技術先后經歷了3大發(fā)展階段，現(xiàn)階段的應用主要結合數(shù)字化技術，通過搭建態(tài)勢感知模型的方式，開展網絡安全態(tài)勢分析。其中，應用的關鍵技術包括智能分析外部攻擊、智能監(jiān)測主機惡意行為、安全信息和事件管理、分析用戶實體行為等。因此，建議在當前階段，盡可能加強對態(tài)勢感知技術與智能算法的融合研究，為其網絡安全智能化管理提供技術支撐。