文｜張雨濤

隨著計算機(jī)網(wǎng)絡(luò)的快速發(fā)展，企業(yè)開始構(gòu)建主動安全防御體系，以應(yīng)對網(wǎng)絡(luò)安全面臨的挑戰(zhàn)。網(wǎng)絡(luò)安全態(tài)勢感知是整個防御體系的核心部分。本文概述企業(yè)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)以及網(wǎng)絡(luò)安全態(tài)勢感知的工作原理，分析網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在企業(yè)的應(yīng)用，為實施網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的企業(yè)提供參考。

一、網(wǎng)絡(luò)安全態(tài)勢感知的概述

近年來，網(wǎng)絡(luò)安全形勢嚴(yán)峻，網(wǎng)絡(luò)攻擊呈現(xiàn)多樣化、復(fù)雜化和規(guī)?；厔?，如網(wǎng)絡(luò)攻擊將一次攻擊目標(biāo)劃分為多個目標(biāo)，通過多個階段的可持續(xù)攻擊來實現(xiàn)，具有高隱蔽性、持續(xù)時間長等特征。傳統(tǒng)的網(wǎng)絡(luò)安全防御體系缺乏威脅信息共享以及協(xié)同防御，安全設(shè)備之間相互隔離，安全事件處理效率低。因此，企業(yè)需要構(gòu)建主動安全防御體系提升網(wǎng)絡(luò)安全整體防御能力，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)則是主動安全防御體系的核心部分。

態(tài)勢感知指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示并據(jù)此預(yù)測未來的網(wǎng)絡(luò)安全發(fā)展趨勢。網(wǎng)絡(luò)安全態(tài)勢感知是態(tài)勢感知技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)從網(wǎng)絡(luò)設(shè)備獲取態(tài)勢安全要素數(shù)據(jù)，通過數(shù)據(jù)融合、風(fēng)險評估、態(tài)勢預(yù)測等技術(shù)，識別網(wǎng)絡(luò)攻擊活動，分析安全事件的原因，及時處置網(wǎng)絡(luò)威脅，評估攻擊活動對網(wǎng)絡(luò)的影響程度，預(yù)測網(wǎng)絡(luò)安全態(tài)勢的發(fā)展變化，為管理人員決策提供依據(jù)，進(jìn)而提升企業(yè)網(wǎng)絡(luò)安全防御能力。

二、網(wǎng)絡(luò)安全態(tài)勢感知的原理

網(wǎng)絡(luò)安全態(tài)勢感知模型由網(wǎng)絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解、網(wǎng)絡(luò)安全態(tài)勢預(yù)測構(gòu)成。網(wǎng)絡(luò)安全態(tài)勢覺察對原始數(shù)據(jù)進(jìn)行預(yù)處理，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)安全態(tài)勢理解對網(wǎng)絡(luò)異常行為進(jìn)行關(guān)聯(lián)分析，感知整體網(wǎng)絡(luò)安全態(tài)勢；網(wǎng)絡(luò)安全態(tài)勢預(yù)測即評估攻擊行為對網(wǎng)絡(luò)安全的影響以及預(yù)測網(wǎng)絡(luò)安全態(tài)勢的變化。

（一）網(wǎng)絡(luò)安全態(tài)勢覺察

網(wǎng)絡(luò)安全態(tài)勢覺察負(fù)責(zé)完成對原始數(shù)據(jù)的預(yù)處理，發(fā)現(xiàn)異常網(wǎng)絡(luò)行為及其特征。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)采集的原始數(shù)據(jù)包括網(wǎng)絡(luò)的拓?fù)湫畔?、網(wǎng)絡(luò)設(shè)備的運(yùn)行日志、安全設(shè)備的告警信息等。原始數(shù)據(jù)是多源異構(gòu)數(shù)據(jù)，來源于各類網(wǎng)絡(luò)設(shè)備，結(jié)構(gòu)不一致，不能被網(wǎng)絡(luò)安全態(tài)勢覺察直接使用。系統(tǒng)將原始數(shù)據(jù)結(jié)構(gòu)化處理，減少重復(fù)數(shù)據(jù)，統(tǒng)一數(shù)據(jù)格式等，使原始數(shù)據(jù)標(biāo)準(zhǔn)化，能被網(wǎng)絡(luò)安全態(tài)勢覺察使用，提高系統(tǒng)分析數(shù)據(jù)的效率。面對大量的企業(yè)網(wǎng)絡(luò)數(shù)據(jù)，傳統(tǒng)入侵檢測系統(tǒng)的檢測結(jié)果存在重復(fù)告警、誤報和漏報等情況，數(shù)據(jù)質(zhì)量低。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能實時監(jiān)測企業(yè)網(wǎng)絡(luò)的所有數(shù)據(jù)，快速發(fā)現(xiàn)、識別網(wǎng)絡(luò)攻擊活動引起的安全態(tài)勢要素的變化。系統(tǒng)采用數(shù)據(jù)融合技術(shù)，將標(biāo)準(zhǔn)化的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，以發(fā)現(xiàn)異常網(wǎng)絡(luò)行為，進(jìn)一步確認(rèn)網(wǎng)絡(luò)攻擊行為。系統(tǒng)將告警數(shù)據(jù)和知識庫相關(guān)的網(wǎng)絡(luò)攻擊行為匹配，從而辨識出網(wǎng)絡(luò)攻擊行為。目前網(wǎng)絡(luò)攻擊趨于復(fù)雜化，知識庫可能沒有未知的網(wǎng)絡(luò)攻擊行為的相關(guān)信息。出現(xiàn)此類情況，系統(tǒng)可將多個告警數(shù)據(jù)與網(wǎng)絡(luò)設(shè)備檢測的數(shù)據(jù)關(guān)聯(lián)分析，識別未知的網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)安全態(tài)勢理解使用網(wǎng)絡(luò)安全態(tài)勢覺察的分析結(jié)果，因此網(wǎng)絡(luò)安全態(tài)勢覺察的分析結(jié)果影響整體網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)果。

（二）網(wǎng)絡(luò)安全態(tài)勢理解

網(wǎng)絡(luò)安全態(tài)勢理解指系統(tǒng)對大量的異常行為數(shù)據(jù)進(jìn)行融合、關(guān)聯(lián)分析，感知整體網(wǎng)絡(luò)的安全狀態(tài)，輔助管理人員決策。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)通過數(shù)據(jù)融合算法，將網(wǎng)絡(luò)異常行為數(shù)據(jù)融合，進(jìn)而分析整體網(wǎng)絡(luò)安全態(tài)勢。以告警數(shù)據(jù)為例，數(shù)據(jù)融合算法將告警數(shù)據(jù)關(guān)聯(lián)，形成整體網(wǎng)絡(luò)的威脅態(tài)勢，同時減少無效或重復(fù)的數(shù)據(jù)。系統(tǒng)通過多個攻擊行為關(guān)聯(lián)分析，分析攻擊行為的語義，挖掘攻擊行為之間的邏輯關(guān)系，推斷攻擊者的意圖、攻擊源和被攻擊的目標(biāo)等。對于多階段的攻擊行為，系統(tǒng)根據(jù)攻擊步驟之間的邏輯關(guān)系和攻擊行為的關(guān)聯(lián)數(shù)據(jù)，掌握整個攻擊過程。網(wǎng)絡(luò)攻擊產(chǎn)生大量的數(shù)據(jù)，網(wǎng)絡(luò)安全態(tài)勢理解能對這些數(shù)據(jù)進(jìn)行聚類分析，高效辨識并深度理解攻擊行為，還能運(yùn)用數(shù)學(xué)模型推斷攻擊行為的變化，如采用馬爾可夫模型，分析攻擊活動之間的關(guān)系，預(yù)測可能發(fā)生的攻擊活動。該模型將網(wǎng)絡(luò)攻擊鏈的每個階段看作一個狀態(tài)，可以保持當(dāng)前狀態(tài)或者轉(zhuǎn)換為另外一個狀態(tài)，根據(jù)轉(zhuǎn)移概率而改變狀態(tài)，進(jìn)而推斷可能發(fā)生的攻擊行為。網(wǎng)絡(luò)安全態(tài)勢理解的分析結(jié)果可供網(wǎng)絡(luò)安全態(tài)勢預(yù)測使用。

（三）網(wǎng)絡(luò)安全態(tài)勢預(yù)測

網(wǎng)絡(luò)安全態(tài)勢預(yù)測指在網(wǎng)絡(luò)環(huán)境中，系統(tǒng)評估企業(yè)的網(wǎng)絡(luò)安全態(tài)勢以及預(yù)測未來網(wǎng)絡(luò)安全態(tài)勢的發(fā)展。網(wǎng)絡(luò)安全態(tài)勢評估運(yùn)用數(shù)學(xué)模型和歷史數(shù)據(jù)，評估攻擊行為和潛在威脅對企業(yè)網(wǎng)絡(luò)的影響程度；網(wǎng)絡(luò)安全態(tài)勢評估選取的評估指標(biāo)及其權(quán)重等因素影響評估結(jié)果的準(zhǔn)確性。網(wǎng)絡(luò)安全態(tài)勢預(yù)測是網(wǎng)絡(luò)安全態(tài)勢感知的重要目標(biāo)。管理人員會根據(jù)合理的預(yù)測結(jié)果，采取相應(yīng)的防御措施，從被動安全防御轉(zhuǎn)為主動安全防御。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的方法有時間序列預(yù)測方法、基于灰色系統(tǒng)理論模型的預(yù)測方法等。時間序列預(yù)測方法預(yù)測網(wǎng)絡(luò)安全態(tài)勢發(fā)展趨勢，將過去的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)，按照時間順序排列，分析這組數(shù)據(jù)的規(guī)律，繪成網(wǎng)絡(luò)安全態(tài)勢變化圖，并預(yù)測未來一段時間的網(wǎng)絡(luò)安全態(tài)勢的發(fā)展變化?；诨疑到y(tǒng)理論模型的預(yù)測方法指在不確定性系統(tǒng)中，算法把少量的無規(guī)律數(shù)據(jù)累加生成有規(guī)律的數(shù)據(jù)，再據(jù)此預(yù)測未來企業(yè)網(wǎng)絡(luò)的安全狀態(tài)。該模型具有可以彌補(bǔ)歷史數(shù)據(jù)樣本少、隨機(jī)性高的優(yōu)點。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的結(jié)果通過可視化的方式，呈現(xiàn)攻擊信息，有助于管理人員分析處理網(wǎng)絡(luò)安全問題。

三、網(wǎng)絡(luò)安全態(tài)勢感知的應(yīng)用

企業(yè)部署網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，可以實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知模型的態(tài)勢覺察、態(tài)勢理解、態(tài)勢預(yù)測的功能。系統(tǒng)監(jiān)測整體網(wǎng)絡(luò)的安全狀態(tài)，呈現(xiàn)綜合安全態(tài)勢、資產(chǎn)態(tài)勢、脆弱性態(tài)勢、攻擊態(tài)勢、安全事件態(tài)勢等。在綜合安全態(tài)勢模塊，系統(tǒng)展示脆弱性態(tài)勢、攻擊態(tài)勢、安全事件態(tài)勢等情況，以及網(wǎng)絡(luò)安全態(tài)勢的綜合評分。在資產(chǎn)態(tài)勢模塊，系統(tǒng)監(jiān)測網(wǎng)絡(luò)中服務(wù)器、終端等資產(chǎn)狀況。在脆弱性態(tài)勢模塊，系統(tǒng)實時監(jiān)測脆弱性資產(chǎn)，包括風(fēng)險主機(jī)、脆弱性等級、脆弱性的類型等，并且定位漏洞資產(chǎn)，展示全部漏洞類型以及風(fēng)險態(tài)勢。在攻擊態(tài)勢模塊，檢索列表描述每次攻擊行為的類型、來源和目的信息、嚴(yán)重等級和發(fā)生時間等。在安全事件態(tài)勢模塊，系統(tǒng)展示整體網(wǎng)絡(luò)發(fā)生的安全事件的總數(shù)及處置狀態(tài)、事件類型、嚴(yán)重等級、安全事件態(tài)勢圖等。

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的工作過程如下：流量探針和日志采集器獲取原始數(shù)據(jù)，流量探針接收網(wǎng)絡(luò)設(shè)備的原始流量，采集器采集日志數(shù)據(jù)；系統(tǒng)分別處理原始流量和日志數(shù)據(jù)，提取有效數(shù)據(jù)，進(jìn)行安全檢測。安全檢測的類型主要有隱蔽通道異常檢測、加密流量異常檢測、郵件異常檢測等，如隱蔽通道異常檢測用于發(fā)現(xiàn)攻擊者利用正常的協(xié)議，將數(shù)據(jù)嵌入?yún)f(xié)議字段，規(guī)避防火墻、入侵主機(jī)等行為。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)若判斷被檢測數(shù)據(jù)存在安全威脅，則輸出一個異常事件，運(yùn)用可視化技術(shù)呈現(xiàn)給管理人員，同時聯(lián)動安全設(shè)備阻斷網(wǎng)絡(luò)攻擊。在攻擊前期，系統(tǒng)能發(fā)現(xiàn)異常網(wǎng)絡(luò)行為，提醒管理人員采取相應(yīng)的防御措施。在攻擊過程中，系統(tǒng)快速發(fā)現(xiàn)異常網(wǎng)絡(luò)設(shè)備，識別攻擊行為，隔離網(wǎng)絡(luò)設(shè)備，減少損失。在攻擊結(jié)束后，系統(tǒng)對攻擊行為進(jìn)行關(guān)聯(lián)分析，溯源攻擊過程，輔助管理人員調(diào)整防御策略。因此，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能辨識網(wǎng)絡(luò)攻擊行為，及時處置網(wǎng)絡(luò)安全威脅，提升網(wǎng)絡(luò)安全防御效率，保證網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行。

四、結(jié)束語

本文選取網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)進(jìn)行研究，概述網(wǎng)絡(luò)安全態(tài)勢感知的工作原理，分析網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在企業(yè)的應(yīng)用。此類系統(tǒng)能防御大規(guī)模網(wǎng)絡(luò)中的攻擊行為和潛在的網(wǎng)絡(luò)威脅，評估攻擊行為對網(wǎng)絡(luò)安全態(tài)勢的影響，運(yùn)用可視化技術(shù)呈現(xiàn)攻擊信息，為管理人員提供決策依據(jù)，提升網(wǎng)絡(luò)安全防御的效率，幫助企業(yè)構(gòu)建主動安全防御體系。