梁志達 孫瑩

摘要：隨著信息化建設(shè)的不斷推進，網(wǎng)絡(luò)安全事件也隨之增加，給使用專用網(wǎng)單位信息化網(wǎng)絡(luò)及服務(wù)系統(tǒng)安全穩(wěn)定運行造成巨大的威脅。態(tài)勢感知防護技術(shù)可以實時分析并研判出已知的安全漏洞和預測未來有哪些可持續(xù)攻擊行為的發(fā)生，通過相應的安全策略細粒度嚴格過濾每一個數(shù)據(jù)包的內(nèi)容，通過態(tài)勢感知系統(tǒng)聯(lián)動各個防火墻設(shè)備以及EDR和NDR的邊界設(shè)備做到實時精準打擊且不放過任何一個可疑的數(shù)據(jù)包，通過不斷的演練的攻防讓態(tài)勢感知系統(tǒng)學習到更多的特征和行為做到統(tǒng)領(lǐng)全局的效果。

關(guān)鍵詞：態(tài)勢感知技術(shù);信息安全;安全策略

中圖分類號：TP393 ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）02-0048-03

1 背景

態(tài)勢感知是對整體的網(wǎng)絡(luò)環(huán)境和在網(wǎng)絡(luò)節(jié)點中分布探針系統(tǒng)，通過收集環(huán)境中的數(shù)據(jù)信息通過綜合判斷和判別融合大數(shù)據(jù)進行的一種分析過濾并通過直觀的界面展示出來的一種數(shù)據(jù)分析形式[1]。

通過態(tài)勢感知可以快速地溯源數(shù)據(jù)包的來源和威脅情況從而快速定位問題出現(xiàn)的方位和對網(wǎng)絡(luò)整體造成的影響，從而立體地對網(wǎng)絡(luò)的東西向和南北向的數(shù)據(jù)流量增加安全防護[2]。

2 建立智能一體化的專用網(wǎng)信息安全中心

2.1 現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)不滿足信息化的腳步

針對部分專用網(wǎng)單位中的網(wǎng)絡(luò)設(shè)備多數(shù)還以路由交換為主，但這些設(shè)備有強大的數(shù)據(jù)轉(zhuǎn)發(fā)能力的前提下卻不能滿足對數(shù)據(jù)包七層的分析過濾等特征分析的功能，各通信站或者下屬單位沒有直接明顯的邊界區(qū)域概念，即使有防火墻但并不是智能下一代防火墻，因此對于數(shù)據(jù)的分析和判別不精準對APT攻擊防護更是無能為力。APT名字來源 Advanced（高級）Persistent（持續(xù)）Threat（威脅），中文全稱高級持續(xù)性威脅。是一種可以說“蓄謀已久”的攻擊，基本可以大體上分為以下幾個過程進行攻擊：

第一階段：掃描探測目標

在這個階段攻擊者會對目標網(wǎng)絡(luò)環(huán)境進行長時間的掃描或者通過社工學等一系列方式來找到目標網(wǎng)絡(luò)環(huán)境有哪些可以值得利用的漏洞信息和爆破信息。

第二階段：工具的投放

一旦攻擊者找到可以值得利用的漏洞后，攻擊者會采取各式各樣的辦法方式將產(chǎn)生的惡意代碼、惡意木馬、惡意的URL、甚至是偽裝后惡意郵件發(fā)送給目標，目標打開連接后可能不會直接觸發(fā)后面程序，經(jīng)過長時間潛伏期后將收集的網(wǎng)絡(luò)環(huán)境的信息發(fā)送給攻擊者，待時機成熟后大面積開展持續(xù)攻擊以獲取重要數(shù)據(jù)和破壞環(huán)境中其他主機。

第三階段：遠程服務(wù)建立

信息收集后將中毒或者正處于潛伏期的網(wǎng)絡(luò)設(shè)備悄悄地與黑客主機或者服務(wù)器建立遠程連接，并留出大量后門和提升自己的權(quán)限以獲取足夠的權(quán)限來控制“肉雞”。

第四階段：立體擴展攻擊網(wǎng)絡(luò)

以點成線，以線成面，以面成體。這個過程是一個立體化的攻擊結(jié)構(gòu)，通過入侵一個點來橫向擴展到其他主機，再通過其他主機獲取交換、路由、防火墻等一系列網(wǎng)絡(luò)設(shè)備的權(quán)限，做到由內(nèi)而外地全面入侵。

第五階段：全面攻擊和控制

把一些有價值的數(shù)據(jù)和敏感數(shù)據(jù)通過加密的方式傳輸?shù)焦粽呋蛘吣骋粋€公開數(shù)據(jù)庫中，通過受害主機為跳板把數(shù)據(jù)打包或者隱匿起來等待時機傳輸，而大部分網(wǎng)絡(luò)中對內(nèi)而外的數(shù)據(jù)包過濾和檢測都不十分關(guān)注，對于專用網(wǎng)單位來說更是要引起高度重視和關(guān)注。

2.2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)模型

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)充分利用大數(shù)據(jù)技術(shù)，融合多種探知檢測系統(tǒng)，提供了大數(shù)據(jù)存儲計算、數(shù)據(jù)挖掘分析、場景引擎分析、大數(shù)據(jù)建模分析、態(tài)勢分析、調(diào)查分析、安全監(jiān)測、安全處置、集中策略管控、資產(chǎn)管理、威脅情報等核心功能，幫助用戶實現(xiàn)全面的態(tài)勢感知。探知檢測系統(tǒng)主動發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，探知終端行為，發(fā)現(xiàn)網(wǎng)站漏洞、掛馬、篡改，檢測流量中的木馬控制、入侵及網(wǎng)絡(luò)訪問，收集網(wǎng)絡(luò)、安全、應用等設(shè)備及系統(tǒng)日志，實現(xiàn)摸清網(wǎng)絡(luò)家底。挖掘分析建立情報關(guān)聯(lián)、攻擊檢測、IP畫像、態(tài)勢分析等模型對探知檢測到的數(shù)據(jù)分析全面找出網(wǎng)絡(luò)風險。信息檢索及探索分析支撐專家進行風險確認和漏洞追溯。通報處置支撐風險事件流程化處置。威脅情報管理匯集多種情報源，提升風險認清效率。從而實現(xiàn)全網(wǎng)資產(chǎn)采集探測、動態(tài)聯(lián)動漏洞掃描設(shè)備、一鍵管理防火墻和IDS策略、全天候網(wǎng)站異常監(jiān)測、多事件關(guān)聯(lián)分析、反向追蹤溯源、資產(chǎn)失陷研判、威脅IP畫像、可視化建模分析、自定義場景引擎組合、多維度可視化態(tài)勢展示等[3]。

2.3 數(shù)據(jù)預處理和特征選擇

態(tài)勢感知首先是通過部署節(jié)點探針通過流量鏡像的方式來獲取網(wǎng)絡(luò)當中的數(shù)據(jù)包，同時采集日志審計設(shè)備、防火墻、IPS、IDS、NDR、EDR等日志信息的流量特征[4]。

收集底層數(shù)據(jù)后進行篩檢和過濾將不重要的數(shù)據(jù)包和特征過濾掉重點判斷和分析存在異常行為的數(shù)據(jù)來匹配特征庫進行比對做出處理動作。

特征收集是一個細粒度的分析過程，通過最小化最優(yōu)原則，將判斷后的結(jié)果分發(fā)到各個節(jié)點設(shè)備讓各節(jié)點采取處理動作。特征的選擇一般有Filter 和Wrapper 這兩類， 當然還有ABB 算法、Relief算法和LVW算法。這幾年的其他算法也起著重要的作用比如：遺傳算法、模擬退火算法。

3 基于態(tài)勢感知技術(shù)的專用網(wǎng)信息安全的具體做法

3.1 建立數(shù)據(jù)中心的安全中心，形成安全智慧大腦

基于態(tài)勢感知的智能安全中心是建立在大量探針的基礎(chǔ)上，通過這些探針收集、監(jiān)測目標的安全狀態(tài)，并及時分析、處理信息網(wǎng)絡(luò)中各種威脅、攻擊等，從而提高整個信息網(wǎng)絡(luò)的安全性。專用網(wǎng)單位綜合各類主流技術(shù)，部署技術(shù)先進，運行穩(wěn)定的探針，具有以下功能：

1）感知探針能夠分析現(xiàn)存的大量數(shù)據(jù)協(xié)議，通過細粒度劃分可以精準判斷數(shù)據(jù)的行為，感知探針設(shè)備一般性能非常強，可以將大量數(shù)據(jù)分析特征包的比對，同時面對現(xiàn)在數(shù)據(jù)爆發(fā)的時代，可以采用多級別、多節(jié)點、冗余等網(wǎng)絡(luò)架構(gòu)削弱數(shù)據(jù)帶來的壓力，做到層級式的網(wǎng)絡(luò)攔截分析。

2）感知探針同時可以加載多種引擎模塊比如IPS、AV等入侵和防病毒模塊，可以直接在探針層就可以把流量特征分析出來，以減輕態(tài)勢感知服務(wù)器的壓力，避免遭受木馬、蠕蟲、宏病毒和流量攻擊，以及腳本病毒的危害。

3）感知探針本身就是一臺具有特征庫和一定性能的設(shè)備，通過設(shè)備自身的收集信息的作用和效果大大提高精準度和緩解大量的網(wǎng)絡(luò)數(shù)據(jù)處理的壓力，更加細粒度挖掘數(shù)據(jù)存在的風險和網(wǎng)絡(luò)結(jié)構(gòu)中東西向的防護，更精確可靠，同時能夠基于IP地址、病毒庫匹配特征、攻擊事件、應用協(xié)議等產(chǎn)生的流量信息和攻擊信息以及已經(jīng)失陷等事件信息，可以通過編輯自定義統(tǒng)計指定協(xié)議流量的TOP排名，能夠協(xié)助信息運維人員了解當前網(wǎng)絡(luò)帶寬和攻擊響應的狀況，并及時做出響應。

圖2 展示了態(tài)勢感知的攻擊界面和存在攻擊的top排行榜和形象地展示了哪種類型的攻擊以及應急預案的匹配，而且還體現(xiàn)出哪些高危漏洞和已經(jīng)被入侵的業(yè)務(wù)。

3.2 建立專用網(wǎng)信息安全培訓演練平臺

專用網(wǎng)單位必須非常重視日常的安全培訓和演練，要想增強信息化建設(shè)的腳步首先要改變?nèi)藛T對網(wǎng)絡(luò)安全的意識，通過觀念的改變來帶動行動的改變，原有的培訓形式已不能滿足現(xiàn)代化信息快速發(fā)展的腳步，應該以多學、多練、多交流為主導。

通過部署各類網(wǎng)絡(luò)安全設(shè)備發(fā)揮對網(wǎng)絡(luò)的層級保護，并長期開展訓練對抗平臺操作來發(fā)現(xiàn)現(xiàn)有的技術(shù)存在哪些缺點和不足，對抗演練平臺能充分地說明工作當中有哪些已知和未知的攻擊參數(shù)和行為，也是對各個廠商設(shè)備的一種考驗的判斷，彌補現(xiàn)存網(wǎng)絡(luò)中的病毒和威脅的一種認知。圖3展示一次實際演練過程。

3.3 強化專用網(wǎng)智能檢測的動態(tài)特性

隨著網(wǎng)絡(luò)安全設(shè)備的不斷增加，下一代智能防火墻、入侵檢測系統(tǒng)（IPS）、入侵掃描系統(tǒng)（IDS）、行為管理等安全設(shè)備的大量部署使用，安全網(wǎng)絡(luò)設(shè)備在實際機房環(huán)境中也起著重要的作用，甚至可以說依賴作用，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備對抗現(xiàn)在多種多樣的新型攻擊卻顯得力不從心，傳統(tǒng)的防火墻只能對四層的網(wǎng)絡(luò)協(xié)議和簡單的七層協(xié)議做出判斷，而現(xiàn)代化的防御系統(tǒng)卻要大家一起努力共同進步，做到知識與病毒庫的共享方能應對更多的攻擊行為。

智能態(tài)勢感知系統(tǒng)的部署對整體的信息化的建設(shè)不僅起到承上啟下的重要作用，它的關(guān)鍵在于對于數(shù)據(jù)的分析和動作的處理更加精準和快速，傳統(tǒng)的運維機制完全是靠人力，人員的技術(shù)水平和技術(shù)要求更是要精益求精，但現(xiàn)實中人員存在多種不穩(wěn)定因素和技術(shù)缺陷等問題，對于數(shù)據(jù)是分析更是因人而異，通過態(tài)勢感知技術(shù)的快速部署和判讀大大節(jié)省人為的多種復雜因素和條件上的束縛。

信息化不僅僅是某個人的任務(wù)也不是一個團隊的任務(wù)，它是一個數(shù)據(jù)共享、數(shù)據(jù)互通的形式，通過自動化運維讓判斷更精準、處理動作更快速、人員更方便的作用。

4 態(tài)勢感知應用的成效

4.1 信息安全管理水平提高

通過部署態(tài)勢感知系統(tǒng)直觀地展示攻擊數(shù)據(jù)流向爆發(fā)的原點，從而大大提高技術(shù)上的能力的快速應急處理能力，從而將風險控制在可控范圍內(nèi)，避免不必要的大面積失控場面的發(fā)生。通過監(jiān)控和管理面對極其復雜的網(wǎng)絡(luò)攻擊尤其是以日益增多的0day攻擊和APT攻擊，態(tài)勢感知可以快速應對做出處理[5]。通過態(tài)勢感知探針收集到日志和流量信息傳送給態(tài)勢感知平臺，快速做出判斷和處理結(jié)果和是否放行和阻斷等動作，幫助信息管理人員快速處理問題。

4.2 安全信息管理人員技術(shù)和觀念的提升

建設(shè)基于態(tài)勢感知的智能一體化平臺的作用不僅僅是體現(xiàn)在設(shè)備的部署和動態(tài)的感知，更重要的是提升每一個作為安全運維人員的認知和技術(shù)能力，面對傳統(tǒng)運維和智能運維的對抗技術(shù)是一方面而另一方面還是觀念的改變和應急處理的更替，通過安全事件緊急處理流程的升級來帶動處理突發(fā)事件的緊急應對能力。

5 結(jié)束語

隨著網(wǎng)絡(luò)安全意識不斷增強，及時發(fā)現(xiàn)網(wǎng)絡(luò)中各種風險顯得尤為重要，及早發(fā)現(xiàn)安全隱患，控制風險在萌芽有利于專用網(wǎng)絡(luò)安全管理，態(tài)勢感知系統(tǒng)應用較好地解決了這個問題，它通過發(fā)現(xiàn)網(wǎng)絡(luò)中存在的各種威脅信息并直觀地通報網(wǎng)絡(luò)管理者存在風險與需要處置的信息，同時聯(lián)動各個防火墻以及IPS、WAF、IDS讓網(wǎng)絡(luò)的管理更加立體，加快了專用網(wǎng)單位信息化建設(shè)的步伐，達到發(fā)現(xiàn)問題及時聯(lián)動的效果，大大減少處理錯誤和工作量，為專用網(wǎng)單位實現(xiàn)智能化網(wǎng)絡(luò)安全管理提供了有力的技術(shù)支撐。

參考文獻：

[1] 王娟，張鳳荔，傅翀，等.網(wǎng)絡(luò)態(tài)勢感知中的指標體系研究[J].計算機應用，2007，27（8）：1907-1909，1912.

[2] 王慧強，賴積保，朱亮，等.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學，2006，33（10）：5-10.

[3] 陳彥德，趙陸文，王瓊，等.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究[J].計算機工程與應用，2008，44（1）：100-102，147.

[4] 龔儉，臧小東，蘇琪，等.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學報，2017，28（4）：1010-1026.

[5] 劉冬蘭，劉新，張昊，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知及主動防御技術(shù)研究與應用[J].計算機測量與控制，2019，27（10）：229-233.

【通聯(lián)編輯：謝媛媛】

1800500511373