李學(xué)民 顧麗旺 宮克

1.山東省大數(shù)據(jù)中心 濟(jì)南 250011；

2.山東省市場(chǎng)監(jiān)管監(jiān)測(cè)中心 濟(jì)南 250014；

3.山東省網(wǎng)絡(luò)安全與信息化技術(shù)中心 濟(jì)南 250011

引言

隨著我國(guó)網(wǎng)絡(luò)綜合治理體系建設(shè)加快推動(dòng)，強(qiáng)化技術(shù)管網(wǎng)治網(wǎng)能力已成為重中之重。為增強(qiáng)自身風(fēng)險(xiǎn)防范能力，我國(guó)將網(wǎng)絡(luò)空間安全治理上升到國(guó)家戰(zhàn)略層面，進(jìn)行一系列政策布局，開啟我國(guó)網(wǎng)絡(luò)安全大合規(guī)時(shí)代[1]。當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，網(wǎng)絡(luò)攻擊技術(shù)和手段層出不窮，傳統(tǒng)的安全威脅檢測(cè)技術(shù)已不足以應(yīng)對(duì)如此復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)安全態(tài)勢(shì)感知（NSSA,Network Security Situation Awareness）能夠動(dòng)態(tài)地提取和分析網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)，理解網(wǎng)絡(luò)攻擊意圖，主動(dòng)采取防御措施，已經(jīng)成為網(wǎng)絡(luò)安全技術(shù)的一個(gè)研究熱點(diǎn)。將態(tài)勢(shì)感知理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，針對(duì)能夠引起網(wǎng)絡(luò)環(huán)境變化的大量安全數(shù)據(jù)，采用相關(guān)的分析方法，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析與理解、評(píng)估與預(yù)測(cè)、應(yīng)急處置以及判斷發(fā)展趨勢(shì)的處理過程[2]。網(wǎng)絡(luò)威脅情報(bào)（CTI, Cyber Threat Intelligence）描述了攻擊行為，提供了網(wǎng)絡(luò)攻擊的上下文數(shù)據(jù)（圖1），能夠指導(dǎo)網(wǎng)絡(luò)攻擊和和防御，為網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的發(fā)展提供了新的思路[3]。網(wǎng)絡(luò)威脅情報(bào)是關(guān)于IT、信息資產(chǎn)面臨現(xiàn)有或醞釀中的威脅的證據(jù)性知識(shí)，包括可實(shí)施上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議，這些知識(shí)可以為威脅的響應(yīng)、處理決策提供技術(shù)支持。

圖1 威脅情報(bào)類型及價(jià)值

基于威脅情報(bào)收集和分析網(wǎng)絡(luò)系統(tǒng)中的代表性數(shù)據(jù)，發(fā)現(xiàn)攻擊行為的重要信息與攻擊特征，可以預(yù)判潛在的威脅，為安全事件的響應(yīng)、防御策略的制定提供高效的處理決策（圖2）。

圖2 威脅情報(bào)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的應(yīng)用

本文探討了網(wǎng)絡(luò)安全態(tài)勢(shì)感知范疇內(nèi)的威脅情報(bào)，提出一組基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)，基于評(píng)估指標(biāo)研究了一種層次化網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估方法。

1 研究現(xiàn)狀

Tim Bass 于1999 年提出網(wǎng)絡(luò)態(tài)勢(shì)感知概念[4]，次年將該技術(shù)應(yīng)用于多個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)結(jié)果的數(shù)據(jù)融合分析。在態(tài)勢(shì)感知方面，目前國(guó)外的態(tài)勢(shì)感知模型主要有Endsley模型、Bass 模型、JDL 模型、OODA 模型等。Endsley 模型由M.R.Endsley 提出，包括態(tài)勢(shì)要素提取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)三個(gè)部分[5]，是當(dāng)前最主流的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型。Bass模型是由Tim Bass 提出，模型主要包含了數(shù)據(jù)感知層、態(tài)勢(shì)評(píng)估層、知識(shí)轉(zhuǎn)化層，并有獨(dú)立的查詢選擇和反饋循環(huán)模塊，可以協(xié)調(diào)各層之間的協(xié)作并評(píng)估系統(tǒng)的整體運(yùn)行情況[6-8]。JDL模型(Joint Directors of Laboratories)是以數(shù)據(jù)融合為核心的態(tài)勢(shì)感知模型[9]。OODA[10]模型來源于信息戰(zhàn)對(duì)抗時(shí)遵循的“觀察（Observe）、調(diào)整（Orient）、決策（Decide）以及行動(dòng)（Act）”循環(huán)過程（圖3）。

圖3 OODA 模型

丁華東等[11]提出了基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知混合模型，并給出態(tài)勢(shì)等級(jí)評(píng)定。王一琁[12]提出了一個(gè)基于知識(shí)圖譜的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，給出了一種基于資產(chǎn)的網(wǎng)絡(luò)安全知識(shí)圖譜的構(gòu)建方案，并在建成網(wǎng)絡(luò)安全知識(shí)圖譜的基礎(chǔ)上，針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的兩個(gè)經(jīng)典問題——網(wǎng)絡(luò)攻擊場(chǎng)景發(fā)現(xiàn)和態(tài)勢(shì)理解問題，給出了解決方案。

威脅情報(bào)記錄了既往網(wǎng)絡(luò)安全事件的典型特征，能夠?yàn)榫W(wǎng)絡(luò)安全策略決策提供有力的輔助，威脅情報(bào)共享系統(tǒng)已經(jīng)越來越受到廣泛的重視。威脅情報(bào)包含網(wǎng)絡(luò)環(huán)境中設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等產(chǎn)生的安全數(shù)據(jù)與事件，提供了過往攻擊行為的上下文數(shù)據(jù)[13]。目前提供威脅情報(bào)服務(wù)的實(shí)體主要有戴爾全球威脅情報(bào)(Dell Global Threat Intelligence)，其能夠提供漏洞、威脅和咨詢?nèi)N基于訂閱的數(shù)據(jù)服務(wù)；賽門鐵克構(gòu)建的全球情報(bào)網(wǎng)絡(luò)(GIN)；國(guó)內(nèi)的360 公司建設(shè)了全國(guó)首個(gè)企業(yè)威脅情報(bào)中心。將威脅情報(bào)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)的研究還處于起始階段，相關(guān)研究成果還很少。文獻(xiàn)[14]提出的CyTIME 框架探討了從威脅情報(bào)共享數(shù)據(jù)中心獲取和融合威脅情報(bào)的方法。文獻(xiàn)[15]給出了一種基于深度學(xué)習(xí)方法，由威脅情報(bào)自動(dòng)生成入侵檢測(cè)規(guī)則的方法，能夠較好地發(fā)現(xiàn)惡意代碼攻擊。

2 基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)

網(wǎng)絡(luò)系統(tǒng)從業(yè)務(wù)邏輯關(guān)系上可以分為設(shè)備、網(wǎng)絡(luò)、系統(tǒng)與應(yīng)用三個(gè)層次。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估需要針對(duì)三個(gè)不同層次主體安全狀況進(jìn)行評(píng)價(jià)和估測(cè)。評(píng)估內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)中發(fā)生的安全事件、系統(tǒng)漏洞情況、系統(tǒng)冗余情況、系統(tǒng)響應(yīng)情況等，歸納起來可以劃分為威脅態(tài)勢(shì)、自身的脆弱性態(tài)勢(shì)以及網(wǎng)絡(luò)系統(tǒng)的整體資產(chǎn)運(yùn)行態(tài)勢(shì)三個(gè)主要方面（圖4）。

圖4 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估層次分析

2.1 威脅態(tài)勢(shì)

威脅態(tài)勢(shì)評(píng)估是指通過系統(tǒng)、網(wǎng)絡(luò)、資產(chǎn)等發(fā)生的內(nèi)部和外部安全事件評(píng)價(jià)，評(píng)估可能對(duì)網(wǎng)絡(luò)系統(tǒng)產(chǎn)生的安全影響。內(nèi)部安全事件又可稱為內(nèi)部攻擊，包括人員對(duì)系統(tǒng)、應(yīng)用或數(shù)據(jù)的誤操作、越權(quán)使用、非法訪問等。外部安全事件又稱為外部攻擊，是指系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)、資產(chǎn)等遭受源自被評(píng)估系統(tǒng)以外的攻擊活動(dòng)。外部攻擊包括針對(duì)網(wǎng)絡(luò)或應(yīng)用服務(wù)等的DDoS攻擊；針對(duì)系統(tǒng)或應(yīng)用的惡意代碼攻擊；針對(duì)系統(tǒng)或應(yīng)用的入侵活動(dòng)以及網(wǎng)絡(luò)欺詐等其他攻擊活動(dòng)。因此在選擇威脅方面指標(biāo)時(shí)，主要考慮網(wǎng)絡(luò)系統(tǒng)內(nèi)外的網(wǎng)絡(luò)安全事件，可以根據(jù)攻擊特征和攻擊前后目標(biāo)資產(chǎn)和網(wǎng)絡(luò)的變化對(duì)攻擊進(jìn)行分類，并針對(duì)每種類型的攻擊提取威脅評(píng)估指標(biāo)?？衫玫耐{情報(bào)來自設(shè)備日志、網(wǎng)絡(luò)告警記錄、網(wǎng)絡(luò)流量變化以及其他相關(guān)情報(bào)。評(píng)估指標(biāo)應(yīng)包括告警的數(shù)量、安全事件頻率、網(wǎng)絡(luò)流量變化、網(wǎng)絡(luò)帶寬變化率等，從而可以通過歷史和實(shí)時(shí)的安全事件情況開展評(píng)估工作，使管理者掌握人為的內(nèi)部和外部因素對(duì)網(wǎng)絡(luò)安全施加的影響情況。

2.2 脆弱性態(tài)勢(shì)

脆弱性態(tài)勢(shì)包括資產(chǎn)脆弱性和網(wǎng)絡(luò)脆弱性。通過對(duì)網(wǎng)絡(luò)系統(tǒng)中資產(chǎn)、網(wǎng)絡(luò)等自身存在的漏洞或弱點(diǎn)的評(píng)價(jià)，可以評(píng)估網(wǎng)絡(luò)系統(tǒng)自身的脆弱性態(tài)勢(shì)。

資產(chǎn)脆弱性包括設(shè)備和系統(tǒng)及應(yīng)用軟件的軟件方面脆弱性和物理方面脆弱性。軟件方面的脆弱性是指系統(tǒng)和應(yīng)用軟件等存在的漏洞情況，這些系統(tǒng)漏洞是可被惡意利用的弱點(diǎn)，是系統(tǒng)安全的潛在風(fēng)險(xiǎn)。資產(chǎn)脆弱性評(píng)估需要針對(duì)資產(chǎn)漏洞的整體情況、各危害級(jí)別漏洞的分布情況，補(bǔ)丁的安裝情況、端口開放情況等，對(duì)資產(chǎn)軟件方面的脆弱性進(jìn)行評(píng)估。物理方面脆弱性是指資產(chǎn)物理設(shè)施自身可靠性，例如能源保障情況、電氣性能情況、平均故障率等。網(wǎng)絡(luò)脆弱性是指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上存在的缺陷，網(wǎng)絡(luò)脆弱性評(píng)估從復(fù)雜網(wǎng)絡(luò)理論出發(fā)，討論網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)鏈路等形成的結(jié)構(gòu)特性，例如節(jié)點(diǎn)度分布、中心性、核數(shù)、介數(shù)等，從而評(píng)估網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)存在的弱點(diǎn)對(duì)網(wǎng)絡(luò)服務(wù)性能影響等問題。

脆弱性態(tài)勢(shì)的威脅情報(bào)包括系統(tǒng)漏洞情況、系統(tǒng)配置、系統(tǒng)災(zāi)備、網(wǎng)絡(luò)結(jié)構(gòu)等。評(píng)估指標(biāo)包括端口開放數(shù)量、漏洞數(shù)量、漏洞級(jí)別比率、設(shè)備災(zāi)備比率、網(wǎng)絡(luò)災(zāi)備比率、網(wǎng)絡(luò)結(jié)構(gòu)脆弱性。

2.3 資產(chǎn)運(yùn)行態(tài)勢(shì)

資產(chǎn)運(yùn)行態(tài)勢(shì)包括設(shè)備運(yùn)行態(tài)勢(shì)、系統(tǒng)軟件運(yùn)行態(tài)勢(shì)、應(yīng)用軟件運(yùn)行態(tài)勢(shì)和網(wǎng)絡(luò)運(yùn)行態(tài)勢(shì)，描述了網(wǎng)絡(luò)系統(tǒng)整體的運(yùn)轉(zhuǎn)情況和持續(xù)服務(wù)的能力。設(shè)備運(yùn)行態(tài)勢(shì)是對(duì)所有物理設(shè)備的運(yùn)行狀態(tài)和服務(wù)能力的持續(xù)跟蹤和監(jiān)測(cè)，包括CPU 占用率、內(nèi)存使用率、網(wǎng)絡(luò)流量、開放端口、平均故障率、平均連接數(shù)等，描述了網(wǎng)絡(luò)整體運(yùn)行的情況。系統(tǒng)軟件運(yùn)行態(tài)勢(shì)是針對(duì)軟件的版本情況、系統(tǒng)的平均響應(yīng)時(shí)間、平均故障率等進(jìn)行監(jiān)測(cè)；應(yīng)用軟件運(yùn)行態(tài)勢(shì)是針對(duì)軟件服務(wù)能力的評(píng)估，包括平均連接數(shù)、平均服務(wù)時(shí)間、平均響應(yīng)時(shí)間、平均故障率等。這兩者代表了系統(tǒng)和應(yīng)用軟件持續(xù)服務(wù)的能力和運(yùn)行態(tài)勢(shì)。網(wǎng)絡(luò)運(yùn)行態(tài)勢(shì)描述了網(wǎng)絡(luò)服務(wù)的運(yùn)行態(tài)勢(shì)，包括拓?fù)浣Y(jié)構(gòu)的變化監(jiān)測(cè)、網(wǎng)絡(luò)流量變化監(jiān)測(cè)、網(wǎng)絡(luò)帶寬變化監(jiān)測(cè)、網(wǎng)絡(luò)延遲情況監(jiān)測(cè)等。威脅情報(bào)的獲取需要使用網(wǎng)絡(luò)系統(tǒng)中的各種傳感器，評(píng)估指標(biāo)應(yīng)該包括資源利用率、系統(tǒng)連接數(shù)、系統(tǒng)響應(yīng)時(shí)間、系統(tǒng)故障率、網(wǎng)絡(luò)帶寬變化等。

2.4 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)

基于以上論述，從威脅態(tài)勢(shì)、自身的脆弱性態(tài)勢(shì)以及網(wǎng)絡(luò)系統(tǒng)的整體資產(chǎn)運(yùn)行態(tài)勢(shì)多個(gè)維度，針對(duì)網(wǎng)絡(luò)系統(tǒng)的設(shè)備、網(wǎng)絡(luò)、系統(tǒng)與應(yīng)用三個(gè)層次，提取了以下網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)，如表1 所示。

表1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)

在威脅態(tài)勢(shì)的評(píng)估指標(biāo)方面，需要分別研究不同類別的網(wǎng)絡(luò)攻擊，然后從中提取具有共性和可操作的指標(biāo)。在脆弱性態(tài)勢(shì)的評(píng)估指標(biāo)方面，主要研究資產(chǎn)脆弱性和網(wǎng)絡(luò)脆弱性兩個(gè)方面對(duì)網(wǎng)絡(luò)安全脆弱性的評(píng)估要素，提取脆弱性評(píng)估指標(biāo)。在資產(chǎn)維度的評(píng)估指標(biāo)方面，主要從評(píng)估網(wǎng)絡(luò)系統(tǒng)整體的正常運(yùn)轉(zhuǎn)和持續(xù)服務(wù)的能力角度開展，研究網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)運(yùn)行情況、服務(wù)能力狀態(tài)等方面的評(píng)估要素（圖5）。

圖5 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)示意

3 層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

通過對(duì)上述的評(píng)估指標(biāo)進(jìn)行統(tǒng)計(jì)計(jì)算，可以從設(shè)備、網(wǎng)絡(luò)、系統(tǒng)與應(yīng)用三個(gè)層面估算網(wǎng)絡(luò)系統(tǒng)面臨的威脅態(tài)勢(shì)、自身脆弱性態(tài)勢(shì)以及網(wǎng)絡(luò)資產(chǎn)運(yùn)行態(tài)勢(shì)，從而得到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)。評(píng)估模式如圖1 所示。

時(shí)刻t系統(tǒng)或應(yīng)用Sj的威脅態(tài)勢(shì)指數(shù)為：

其中，RSj(t)為t時(shí)刻系統(tǒng)或應(yīng)用Sj的威脅態(tài)勢(shì)指數(shù)；Dj(t)為t時(shí)刻某類安全事件的威脅態(tài)勢(shì)評(píng)估值；n為適用于系統(tǒng)或應(yīng)用Sj的威脅態(tài)勢(shì)指標(biāo)數(shù)。

在時(shí)刻t設(shè)備Hk的脆弱性態(tài)勢(shì)指數(shù)為：

其中，RHk(t) 為t時(shí)刻設(shè)備Hk的脆弱性安全態(tài)勢(shì)指數(shù)；Ci(t) 為脆弱性態(tài)勢(shì)指數(shù)；Vi為服務(wù)i在設(shè)備Hk漏洞與網(wǎng)絡(luò)脆弱性所占的權(quán)重；m為針對(duì)設(shè)備Hk漏洞與網(wǎng)絡(luò)脆弱性數(shù)量。

在時(shí)刻t資產(chǎn)運(yùn)行態(tài)勢(shì)指數(shù)為:

其中，RLk(t)為t時(shí)刻網(wǎng)絡(luò)資產(chǎn)Lk的運(yùn)行態(tài)勢(shì)指數(shù)；Uk(t)為運(yùn)行態(tài)勢(shì)指數(shù)；Wk為指標(biāo)的重要性權(quán)重；n為被評(píng)估指標(biāo)的數(shù)量。

然后，可以計(jì)算網(wǎng)絡(luò)系統(tǒng)的t時(shí)刻威脅態(tài)勢(shì)指數(shù)RS(t)：

uj為系統(tǒng)或應(yīng)用Sj的重要性權(quán)重。類似的可以定義t時(shí)刻網(wǎng)絡(luò)系統(tǒng)的脆弱性態(tài)勢(shì)指數(shù)和資產(chǎn)運(yùn)行態(tài)勢(shì)指數(shù)RH(t)、RL(t)。然后可以得到t時(shí)刻整體性安全態(tài)勢(shì)指數(shù)為：

S為整體網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指數(shù)；wS、wH、wL分別為威脅態(tài)勢(shì)、脆弱性態(tài)勢(shì)以及資產(chǎn)運(yùn)行態(tài)勢(shì)指標(biāo)的重要性權(quán)重。通過整體性態(tài)勢(shì)指數(shù)刻畫網(wǎng)絡(luò)系統(tǒng)整體的安全態(tài)勢(shì)情況，從而得到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的結(jié)果。

4 實(shí)驗(yàn)驗(yàn)證

本文通過在實(shí)驗(yàn)室構(gòu)建環(huán)境，開展網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)研究驗(yàn)證，其中檢測(cè)條件分別為加入威脅情報(bào)檢測(cè)引擎進(jìn)行檢測(cè)及不加入威脅情報(bào)檢測(cè)引擎。

4.1 實(shí)驗(yàn)環(huán)境

本次驗(yàn)證環(huán)境采用實(shí)驗(yàn)室虛擬靶機(jī)環(huán)境，通過在模擬靶機(jī)系統(tǒng)隨機(jī)仿真真實(shí)政務(wù)業(yè)務(wù)系統(tǒng)，并通過打流設(shè)備模擬真實(shí)業(yè)務(wù)系統(tǒng)間的網(wǎng)絡(luò)流量交互，建立模擬真實(shí)業(yè)務(wù)系統(tǒng)的試驗(yàn)環(huán)境。

在模擬的業(yè)務(wù)系統(tǒng)的虛擬核心交換處進(jìn)行流量鏡像，分別將流量鏡像至啟用威脅情報(bào)檢測(cè)引擎的檢測(cè)設(shè)備及不啟用威脅情報(bào)檢測(cè)引擎的檢測(cè)設(shè)備。同時(shí)對(duì)相同的流量?jī)?nèi)容進(jìn)行檢測(cè)分析。檢測(cè)拓?fù)淙鐖D6 所示。

圖6 實(shí)驗(yàn)驗(yàn)證環(huán)境

4.2 實(shí)驗(yàn)現(xiàn)象

實(shí)驗(yàn)用的檢測(cè)設(shè)備內(nèi)置威脅檢測(cè)情報(bào)引擎。并內(nèi)置威脅態(tài)勢(shì)評(píng)估算法，可對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的威脅態(tài)勢(shì)、脆弱性態(tài)勢(shì)、資產(chǎn)運(yùn)行態(tài)勢(shì)分別進(jìn)行評(píng)估，并記錄所得到的指標(biāo)結(jié)果。

實(shí)驗(yàn)過程中，基于實(shí)際實(shí)驗(yàn)環(huán)境分析，指數(shù)n，m 設(shè)定為5，不啟用威脅情報(bào)，在固定時(shí)間抓取各類數(shù)據(jù)為：

啟用威脅情報(bào)，在同樣固定時(shí)間抓取各類數(shù)據(jù)為：

表2、表3 最終得到的整體網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指數(shù)評(píng)分越低代表發(fā)現(xiàn)的安全事件越多、漏洞脆弱性越強(qiáng)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)越高。整體網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指數(shù)大概呈現(xiàn)3 倍的數(shù)值范圍浮動(dòng)，意味著啟用威脅情報(bào)進(jìn)行安全檢查，檢測(cè)結(jié)果將與威脅情報(bào)命中數(shù)量能力成正比，也證明了威脅情報(bào)的參與，提升了整網(wǎng)安全態(tài)勢(shì)評(píng)估的能力。

表2 不啟用威脅情報(bào)各項(xiàng)數(shù)據(jù)

表3 啟用威脅情報(bào)各項(xiàng)數(shù)據(jù)

各類細(xì)節(jié)指標(biāo)如表4、表5 所示。

表4 不啟用威脅檢測(cè)情報(bào)引擎網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估各項(xiàng)指標(biāo)結(jié)果

表5 啟用威脅檢測(cè)情報(bào)引擎網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估各項(xiàng)指標(biāo)結(jié)果

未加入威脅情報(bào)檢測(cè)引擎，檢測(cè)1G 流量產(chǎn)生的安全告警有1125 條，檢測(cè)到漏洞數(shù)量為2120 個(gè)，其中漏洞均為中低危漏洞，檢測(cè)到端口開放數(shù)1205。

加入威脅情報(bào)檢測(cè)引擎，檢測(cè)1G 流量產(chǎn)生的安全告警有3367 條，檢測(cè)到漏洞數(shù)量為3342 個(gè)，其中漏洞均為中高危漏洞，檢測(cè)到端口開放數(shù)1541。

通過調(diào)整威脅情報(bào)中的威脅、脆弱性、資產(chǎn)三類情報(bào)數(shù)量，查看整體網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指數(shù)情況。

4.3 實(shí)驗(yàn)結(jié)論

本次實(shí)驗(yàn)結(jié)果表明，威脅情報(bào)的加入給安全威脅檢測(cè)、安全漏洞檢測(cè)的能力提升約三倍?；痉夏Ｐ陀?jì)算預(yù)期，應(yīng)用基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)所開展的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法極大地提升了網(wǎng)絡(luò)安全檢測(cè)的能力和水平，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估能力提升的作用效果顯著。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是一項(xiàng)復(fù)雜而艱巨的工作，涉及場(chǎng)景繁復(fù)多樣，使用的數(shù)據(jù)類型多樣、規(guī)模巨大，尤其是大數(shù)據(jù)環(huán)境下更是增加了評(píng)估的復(fù)雜性。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知中的重要環(huán)節(jié)，具有非常重要的意義和作用。本文研究了基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，根據(jù)威脅情報(bào)，從威脅態(tài)勢(shì)、脆弱性態(tài)勢(shì)和資產(chǎn)運(yùn)行態(tài)勢(shì)三個(gè)方面著手建立評(píng)估指標(biāo)，并依據(jù)這些指標(biāo)計(jì)算當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)，從感知效率、感知實(shí)用性、感知客觀性分析了網(wǎng)絡(luò)安全態(tài)勢(shì)情報(bào)指標(biāo)的作用，選取自上而下的模型方法綜合評(píng)估了威脅態(tài)勢(shì)、自身的脆弱性態(tài)勢(shì)及網(wǎng)絡(luò)系統(tǒng)的整體資產(chǎn)運(yùn)行態(tài)勢(shì)，結(jié)合科學(xué)評(píng)估方法進(jìn)行了多維量化研究。研究結(jié)果表明，通過基于威脅情報(bào)的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估情報(bào)指標(biāo)，常態(tài)化開展網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估情報(bào)指標(biāo)評(píng)估，科學(xué)評(píng)估隱患和威脅的影響范圍與嚴(yán)重程度，掌握當(dāng)前網(wǎng)絡(luò)安全情報(bào)和安全狀況，面對(duì)網(wǎng)絡(luò)安全威脅統(tǒng)一監(jiān)控、準(zhǔn)確應(yīng)對(duì)、快速反應(yīng)，強(qiáng)化技術(shù)管網(wǎng)治網(wǎng)能力，為加快推進(jìn)我國(guó)網(wǎng)絡(luò)綜合治理工作提供有力技術(shù)支撐。