谷曉鵬

（91001部隊，北京 100841）

0 引言

計算機(jī)網(wǎng)絡(luò)的日益普及和組網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)在深入社會、政治、經(jīng)濟(jì)、軍事等各個領(lǐng)域，對社會治理、產(chǎn)業(yè)發(fā)展、個人生活、思想文化產(chǎn)生了巨大影響。網(wǎng)絡(luò)在人類社會中的作用越來越大，同時入侵攻擊帶來的損失也日益增大，網(wǎng)絡(luò)安全問題逐漸嚴(yán)重。網(wǎng)絡(luò)攻防也日趨規(guī)?；?、分布化、復(fù)雜化，攻擊手段向著態(tài)勢變化迅速、破壞性越來越大的方向發(fā)展。日益嚴(yán)峻的安全威脅迫使政府、社會、企業(yè)不得不加強網(wǎng)絡(luò)系統(tǒng)安全防護(hù)。目前網(wǎng)絡(luò)攻擊向著高級持續(xù)威脅等有組織的攻擊發(fā)展，傳統(tǒng)的單點防御、各種獨立的安全防御措施，在新的攻擊技術(shù)、新形勢下，已經(jīng)完全無法滿足需求。構(gòu)建協(xié)同化、立體防御系統(tǒng)，核心在于有效生成和發(fā)布網(wǎng)絡(luò)安全態(tài)勢信息，使得防御方難于響應(yīng)復(fù)雜網(wǎng)絡(luò)攻擊。在這種情況下，迫切需要一種新的網(wǎng)絡(luò)安全態(tài)勢系統(tǒng)，可協(xié)同各個網(wǎng)絡(luò)防御單元實時掌握網(wǎng)絡(luò)安全態(tài)勢信息，并及時消除網(wǎng)絡(luò)威脅，降低攻擊造成的損失。網(wǎng)絡(luò)安全態(tài)勢信息是不同的安全廠商、網(wǎng)絡(luò)運營單位之間進(jìn)行安全情報共享、敵情我情評估的共性數(shù)據(jù)，而且具備機(jī)器可讀信息。因此，開展網(wǎng)絡(luò)安全態(tài)勢感知研究至關(guān)重要。

本文首先參照國家相關(guān)標(biāo)準(zhǔn)，面向網(wǎng)絡(luò)威脅信息設(shè)計安全態(tài)勢感知模型，并在此基礎(chǔ)上構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，為全面的網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建提供前瞻且務(wù)實的指導(dǎo)思想。

1 國內(nèi)外研究現(xiàn)狀

態(tài)勢感知（Situation Awareness,SA）最早用于研究飛行員對當(dāng)前所處飛行狀態(tài)的認(rèn)識［1］。Endsley 等［2］認(rèn)為態(tài)勢是對抗雙方或多方，在一定時空環(huán)境內(nèi)的各方態(tài)勢要素進(jìn)行探測與信息收集，并對獲得的信息進(jìn)行理解，預(yù)測它們在不久將來的狀態(tài)的方法。態(tài)勢感知通常分為三個層次，分別為察覺、理解和預(yù)測。

1999 年，Bass［3］提出了網(wǎng)絡(luò)空間態(tài)勢感知（Cyberspace Situation Awareness，CSA）和網(wǎng)絡(luò)態(tài)勢感知（Network Situation Awareness，NSA）的概念，是首次將態(tài)勢感知概念引入網(wǎng)絡(luò)安全領(lǐng)域。本文基于Bass 對CSA 的定義，認(rèn)為網(wǎng)絡(luò)安全態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢變化的安全要素進(jìn)行獲取、理解、可視化，并能夠?qū)ξ磥戆l(fā)展趨勢進(jìn)行一定的順延性預(yù)測的技術(shù)方法，其最終的目的是要獲得網(wǎng)絡(luò)安全防御的正確決策，采取正確行動。所以，網(wǎng)絡(luò)空間安全態(tài)勢既是一種狀態(tài)，又是一種趨勢，必須考慮整體、全局多個層級以及它們的關(guān)聯(lián)性，用普遍聯(lián)系的思維研究網(wǎng)絡(luò)安全問題，因此任何單一的安全事件、局部的安全狀態(tài)都不能稱之為網(wǎng)絡(luò)安全態(tài)勢。

2007 年，美國在愛因斯坦計劃［4］的基礎(chǔ)上提出可信互聯(lián)網(wǎng)連接（TIC）計劃，提出網(wǎng)絡(luò)出口管理。2010 年又通過《聯(lián)邦信息安全管理法》要求各機(jī)構(gòu)的網(wǎng)絡(luò)信息安全方案中，必須包含對各類信息系統(tǒng)進(jìn)行持續(xù)監(jiān)測［5］。美國國家標(biāo)準(zhǔn)與技術(shù)研究院在2016 年發(fā)布了網(wǎng)絡(luò)威脅信息共享指南，該指南中所涉及的信息源的選擇、威脅情報類型、數(shù)據(jù)源的選擇、威脅指標(biāo)等內(nèi)容可以作為態(tài)勢感知系統(tǒng)的有效參考［6］。

國內(nèi)對態(tài)勢感知發(fā)展建設(shè)同樣重視。2017年，中國移動通信集團(tuán)公司業(yè)務(wù)支撐系統(tǒng)部制定了《中國移動業(yè)務(wù)支撐網(wǎng)升級安全威脅分析與預(yù)警平臺技術(shù)規(guī)范》［7］，規(guī)定了中國移動業(yè)務(wù)支撐網(wǎng)省級安全威脅分析與預(yù)警平臺對業(yè)務(wù)支撐系統(tǒng)、管理信息系統(tǒng)各類安全數(shù)據(jù)的采集、存儲、安全威脅分析、安全告警和安全預(yù)警的功能要求。2019年5月，發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》（GB/T36643-2018）［8］中，對網(wǎng)絡(luò)安全威脅信息描述做出了標(biāo)準(zhǔn)規(guī)范，有助于整體的網(wǎng)絡(luò)安全威脅態(tài)勢感知能力的提升。目前態(tài)勢感知已經(jīng)逐步成為網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中越來越重要的組成部分。

2 安全態(tài)勢感知模型

為確保構(gòu)建的安全態(tài)勢感知模型具備通用性、一致性和可移植性，本文在遵循GB/T36643-2018標(biāo)準(zhǔn)要求的基礎(chǔ)上開展設(shè)計，首先介紹上述標(biāo)準(zhǔn)中的威脅信息模型。

2.1 威脅信息模型

為了能夠?qū)崿F(xiàn)不同組織間網(wǎng)絡(luò)安全威脅信息的共享和利用，GB/T36643-2018 標(biāo)準(zhǔn)定義了威脅信息模型，從對象、方法和事件三個維度對各類威脅信息進(jìn)行了劃分。經(jīng)典的威脅信息模型包括可觀測數(shù)據(jù)（Observation）、攻擊指標(biāo)（Indicator）、安全事件（Incident）、攻擊活動（Campaign）、威脅主體（Threat Actor）、攻擊目標(biāo)（Exploit Target）、攻擊方法（TTP）、應(yīng)對措施（Course Of Action）在內(nèi)的八個威脅信息組件描述網(wǎng)絡(luò)安全威脅信息。又可劃分為對象域、方法域和事件域：

（1）對象域：描述了網(wǎng)絡(luò)安全行為的參與角色，核心就是攻防雙方，包括“威脅主體”類角色（一般是攻擊者）和“攻擊目標(biāo)”類角色（一般是被攻擊方）。

（2）方法域：描述網(wǎng)絡(luò)安全威脅中的方法類元素，包括兩個方面：一是“攻擊方法”，二是“應(yīng)對措施”，分別對應(yīng)了攻擊者的主要方法，也就是攻擊和入侵所采用的方法、技術(shù)和過程，和防御方的主要技術(shù)方法，也就是針對攻擊行為的防御措施，如預(yù)警、檢測、防護(hù)、響應(yīng)等動作。

（3）事件域：描述網(wǎng)絡(luò)安全威脅相關(guān)的事件，包括四個組件：攻擊活動、安全事件、攻擊指標(biāo)和可觀測數(shù)據(jù)，其中攻擊活動通常以經(jīng)濟(jì)或政治為攻擊目標(biāo)，攻擊事件是指對目標(biāo)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)滲透的行為、安全時間主要指對終端、網(wǎng)絡(luò)節(jié)點、設(shè)備實施的具體攻擊，可觀測數(shù)據(jù)主要是從網(wǎng)絡(luò)或主機(jī)層面捕獲流量和日志信息。

在對上述模型信息組件研究的基礎(chǔ)上，經(jīng)過各類安全時間和攻防模型的研究，本文在微觀、中觀和宏觀三個層面構(gòu)建了安全態(tài)勢感知模型，并可劃分為運行狀態(tài)態(tài)勢、攻擊活動態(tài)勢和攻擊方法態(tài)勢。

2.2 運行狀態(tài)態(tài)勢

運行狀態(tài)態(tài)勢是針對所要描述的網(wǎng)絡(luò)環(huán)境，給出其運行狀況的定性及定量評估，如圖1 所示。運行狀態(tài)所基于的網(wǎng)絡(luò)環(huán)境，應(yīng)當(dāng)是單個資產(chǎn)，或基于一定關(guān)系組織起來的局部網(wǎng)絡(luò)或資產(chǎn)組合，從微觀到中觀到宏觀，可基于應(yīng)用、設(shè)備、信息系統(tǒng)、業(yè)務(wù)活動、域、子、整體網(wǎng)絡(luò)等給出運行狀態(tài)態(tài)勢?；跁r間序列給出的運行狀態(tài)評估值序列稱為運行狀態(tài)變化趨勢。

2.3 攻擊活動態(tài)勢

安全事件基于威脅主體及具體意圖的融合理解，形成攻擊活動。對于安全事件最直接的融合是基于過濾條件（如時間、威脅主體、攻擊方法、攻擊目標(biāo)等）輸出事件列表及事件次數(shù)統(tǒng)計信息。從微觀、中觀到宏觀視角對安全事件-攻擊活動的態(tài)勢如圖2所示。

圖2 安全事件-攻擊活動態(tài)勢

同樣，也可針對事件數(shù)量及威脅評估值在時間序列上的變化形成事件數(shù)量時間趨勢及威脅評估值時間趨勢，如圖3所示。

圖3 攻擊鏈模型

從態(tài)勢感知角度，基于威脅事件的特征把事件分配到攻擊鏈各個環(huán)節(jié)，從IP 關(guān)聯(lián)、時間關(guān)聯(lián)、大類關(guān)聯(lián)、階段關(guān)聯(lián)等多種關(guān)聯(lián)手段分析攻擊者意圖，建立起事件與事件之間的關(guān)聯(lián)關(guān)系，還原攻擊過程。

從攻擊鏈模型的七大階段看，前三階段事實上是攻擊的試探及準(zhǔn)備階段，第四個階段“滲透”是個分界線，后面三個階段都是滲透成功，獲得部分權(quán)限后所執(zhí)行的威脅活動。攻擊鏈的具體實例，基于不同的威脅過程，可能不一定包含七個步驟的內(nèi)容。

2.4 攻擊方法態(tài)勢

攻擊方法的分類分為兩種維度。其一是對攻擊技術(shù)手段的維度，其二是針對攻擊目標(biāo)所利用的脆弱性進(jìn)行分類。

對攻擊技術(shù)手段的分類分為基于攻擊機(jī)制及攻擊領(lǐng)域兩種分類方式。針對攻擊目標(biāo)的脆弱性的分類方式可按研究概念視圖、開發(fā)概念視圖、架構(gòu)概念視圖等不同視圖進(jìn)行分類。

不管采用哪種分類方法，攻擊方法的分類都是多層次的結(jié)構(gòu)，如圖4所示。攻擊方法在微觀上的態(tài)勢分析是針對單個事件具體使用的攻擊方法的分析。對攻擊方法的態(tài)勢融合在分類層面的從微觀層次到中觀再到宏觀的融合遵循從單個具體的方法到小類型到上級類型的規(guī)律。

圖4 攻擊方法態(tài)勢

3 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架

結(jié)合大數(shù)據(jù)、人工智能等技術(shù)，實現(xiàn)安全態(tài)勢感知模型的應(yīng)用，形成網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架如圖5 所示。該系統(tǒng)分為資源層、采集管控層、大數(shù)據(jù)層、服務(wù)層和業(yè)務(wù)層，采集層對資源層進(jìn)行安全數(shù)據(jù)采集，通過大數(shù)據(jù)層實現(xiàn)數(shù)據(jù)存儲與分析，這三層為平臺的服務(wù)層和業(yè)務(wù)層提供數(shù)據(jù)支撐。而平臺的服務(wù)層和業(yè)務(wù)層，為用戶提管理服務(wù)和技術(shù)服務(wù)。

圖5 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架

3.1 數(shù)據(jù)支撐服務(wù)

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在數(shù)據(jù)支撐上，支持對網(wǎng)絡(luò)下所有節(jié)點日志的統(tǒng)一管理，以及多種日志采集方式收集云平臺設(shè)備和系統(tǒng)日志，并通過對日志的分類、過濾、強化、分析和存儲，為技術(shù)服務(wù)與管理服務(wù)提供數(shù)據(jù)支撐。

通過內(nèi)置過濾器，系統(tǒng)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全資源池等進(jìn)行日志過濾、歸并和規(guī)范化，過濾掉嚴(yán)重程度較低的原始日志信息。通過指定日志影響的設(shè)備、日志采用協(xié)議、日志類別、日志標(biāo)題等日志屬性進(jìn)行過濾，對日志數(shù)據(jù)過濾的開啟狀態(tài)進(jìn)行手工設(shè)定，多級過濾。日志采集引擎支持預(yù)處理安全日志，在采集引擎段即可生成標(biāo)準(zhǔn)化的日志格式。通過交互式界面，動態(tài)識別和提取日志關(guān)鍵信息，并自動生成正則表達(dá)式，通過所見即所得的交互式模式進(jìn)行正則的驗證。

3.2 管理服務(wù)功能

系統(tǒng)以安全管理體系為輸入，進(jìn)行管理流程設(shè)計。如結(jié)合安全管理體系中的規(guī)章制度、規(guī)范流程設(shè)計平臺的工作流；參照管理機(jī)構(gòu)與人員，對應(yīng)用戶設(shè)置不同權(quán)限，制定審批鏈，并以此為參照，進(jìn)行用戶權(quán)限管理；結(jié)合運維過程中的記錄、表單，設(shè)計工單管理中的流轉(zhuǎn)頁面。在平臺運營過程中，結(jié)合平臺資產(chǎn)庫、漏洞庫、配置基線庫等，通過平臺開展運維管理。

結(jié)合網(wǎng)絡(luò)內(nèi)的掃描類產(chǎn)品，系統(tǒng)支持網(wǎng)絡(luò)資產(chǎn)自動發(fā)現(xiàn)功能，能夠自動發(fā)現(xiàn)和識別資產(chǎn)。能夠?qū)崿F(xiàn)全局模式下通過搜索IP 地址、資產(chǎn)名稱、MAC、操作系統(tǒng)、資產(chǎn)編號、物理位置、資產(chǎn)類型等方式查詢資產(chǎn)表信息，實現(xiàn)事件快速定位。

脆弱性管理包括漏洞脆弱性和配置脆弱性兩個部分，是網(wǎng)絡(luò)環(huán)境重要的風(fēng)險評估項，在等保與分保標(biāo)準(zhǔn)中，也要求定期開展配置檢查和漏洞掃描。脆弱性管理功能從脆弱性、漏洞情報和資產(chǎn)管理三維度出發(fā)，分析資產(chǎn)受影響情況，提供防護(hù)措施。通過脆弱性管理功能模塊加強漏洞風(fēng)險管理。

3.3 技術(shù)服務(wù)功能

系統(tǒng)以安全態(tài)勢感知模型為基礎(chǔ)，綜合應(yīng)用威脅情報系統(tǒng)，建立攻防場景模型，對態(tài)勢進(jìn)行大數(shù)據(jù)分析，對各類相關(guān)數(shù)據(jù)設(shè)計了可視化展示方法，能夠建立對安全態(tài)勢的全面監(jiān)控，在綜合其他數(shù)據(jù)源的基礎(chǔ)上，可以進(jìn)行安全威脅的實時預(yù)警和安全事件的智能決策，具備安全事故聯(lián)動響應(yīng)的能力。系統(tǒng)能夠高效地結(jié)合情境上下文分析，協(xié)助安全運維人員和安全分析工程師快速發(fā)現(xiàn)和分析安全問題。指導(dǎo)實際運維手段，提升網(wǎng)絡(luò)安全防御水平。

平臺在技術(shù)服務(wù)上包含三大核心：情報預(yù)警中心、態(tài)勢感知中心、聯(lián)動響應(yīng)中心。

威脅情報管理根據(jù)來自內(nèi)部預(yù)警信息和外部預(yù)警信息，分析獲得對可能發(fā)生的威脅的提前通告。

安全中心安全態(tài)勢分析的定位是可以針對整體范圍或某一特定時間與環(huán)境，基于條件開展微觀、中觀和宏觀的態(tài)勢感知評估，最終形成歷史的整體態(tài)勢以及對未來短期的預(yù)測。

聯(lián)動響應(yīng)的安全架構(gòu)自頂向下可分為安全應(yīng)用、安全控制平臺和安全設(shè)備三層。態(tài)勢感知應(yīng)用對整體攻防態(tài)勢進(jìn)行感知，決策引擎進(jìn)行分析判斷，最終生成安全決策，向安全控制平臺下達(dá)處置策略。

4 結(jié)語

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是安全體系中融合技術(shù)與管理，提供整體運維和安全管控的支撐平臺。它一方面從網(wǎng)絡(luò)中采集安全數(shù)據(jù)，進(jìn)行安全狀態(tài)實時監(jiān)控，并通過大數(shù)據(jù)分析，結(jié)合威脅信息，形成多層面的態(tài)勢感知呈現(xiàn)。通過對全網(wǎng)安全數(shù)據(jù)的采集，應(yīng)用大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)，形成安全管控的智能決策。