摘要：為了解決當(dāng)前網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大而導(dǎo)致的網(wǎng)絡(luò)攻擊行為頻發(fā)問(wèn)題，本文利用威脅情報(bào)能力，通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)對(duì)威脅進(jìn)行評(píng)估，從威脅態(tài)勢(shì)、脆弱性態(tài)勢(shì)等方面入手，構(gòu)建網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系，構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估手段，提升網(wǎng)絡(luò)安全檢測(cè)能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)；網(wǎng)絡(luò)威脅情報(bào)；態(tài)勢(shì)評(píng)估；安全指標(biāo)

鑒于當(dāng)前網(wǎng)絡(luò)架構(gòu)日益復(fù)雜化，網(wǎng)絡(luò)攻擊手段亦呈現(xiàn)出多樣化的趨勢(shì)。傳統(tǒng)的安全威脅檢測(cè)方法已無(wú)法滿(mǎn)足日益嚴(yán)峻且不斷變化的網(wǎng)絡(luò)環(huán)境安全需求。網(wǎng)絡(luò)安全意識(shí)評(píng)估可以準(zhǔn)確預(yù)測(cè)和預(yù)防潛在的安全問(wèn)題，最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)威脅情報(bào)（Cyber Threat Intelligence，CTI）可以描述攻擊行為，提供網(wǎng)絡(luò)攻擊的相關(guān)信息，有助于管理網(wǎng)絡(luò)攻擊和防御，并且通過(guò)有效地收集和分享威脅信息，助力網(wǎng)絡(luò)安全管理人員更好地管理和防御網(wǎng)絡(luò)攻擊。這樣做還能確保信息交換的安全和質(zhì)量。同時(shí)，分析惡意行為也是加強(qiáng)網(wǎng)絡(luò)安全管理的關(guān)鍵，能幫助我們檢測(cè)和預(yù)防網(wǎng)絡(luò)攻擊，并進(jìn)一步降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[1]。連續(xù)威脅為開(kāi)發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型提供新思路。

一、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)安全主要是指整個(gè)網(wǎng)絡(luò)的安全狀況和未來(lái)的安全趨勢(shì)，涉及網(wǎng)絡(luò)設(shè)備的狀態(tài)、網(wǎng)絡(luò)活動(dòng)和用戶(hù)行為等。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是指通過(guò)對(duì)網(wǎng)絡(luò)環(huán)境中不同安全因素的選擇和組織，以預(yù)測(cè)未來(lái)趨勢(shì)和評(píng)估網(wǎng)絡(luò)安全狀態(tài)，其內(nèi)容包括三個(gè)方面。

1.預(yù)測(cè)態(tài)勢(shì)：安全評(píng)估的最后階段是態(tài)勢(shì)預(yù)測(cè)，可用于收集信息，以預(yù)測(cè)未來(lái)潛在的安全情況并支持系統(tǒng)操作員的決策。

2.態(tài)勢(shì)要素提?。菏占ňW(wǎng)絡(luò)流量日志、系統(tǒng)處理日志等網(wǎng)絡(luò)安全的影響因素。完成計(jì)算后，同樣可以提取基本數(shù)據(jù)，為了解網(wǎng)絡(luò)安全情況做準(zhǔn)備。

3.態(tài)勢(shì)理解：通過(guò)分析潛在因素之間的相關(guān)性，并使用定量和定性的研究方法，全面評(píng)估當(dāng)前網(wǎng)絡(luò)安全問(wèn)題的總體情況，以獲得完整準(zhǔn)確的分析結(jié)果。

二、基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)

根據(jù)業(yè)務(wù)邏輯，網(wǎng)絡(luò)系統(tǒng)由設(shè)備、網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序這幾個(gè)部分組成。為了了解網(wǎng)絡(luò)是否安全，需要進(jìn)行評(píng)估，評(píng)估維度包括安全故障、系統(tǒng)漏洞、系統(tǒng)冗余、系統(tǒng)響應(yīng)等。這些可能會(huì)出現(xiàn)的問(wèn)題，都可以被視作網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)，并被概括為威脅態(tài)勢(shì)、自身的脆弱性態(tài)勢(shì)。圖1所示為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估層次。

（一）威脅態(tài)勢(shì)

威脅態(tài)勢(shì)評(píng)估網(wǎng)絡(luò)、資源及其他因素對(duì)網(wǎng)絡(luò)安全的潛在影響。內(nèi)部安全事件，也稱(chēng)內(nèi)部攻擊，包括未經(jīng)授權(quán)訪(fǎng)問(wèn)系統(tǒng)、應(yīng)用程序或數(shù)據(jù)。外部安全事件，也稱(chēng)外部攻擊，即對(duì)系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)、資源等的外部攻擊。外部攻擊的形式十分多樣化，常見(jiàn)的攻擊包括選擇風(fēng)險(xiǎn)指標(biāo)時(shí)，需重視網(wǎng)絡(luò)內(nèi)外部安全事件，如惡意代碼攻擊、計(jì)算機(jī)盜版和DDoS攻擊。依據(jù)攻擊特性和網(wǎng)絡(luò)變化進(jìn)行科學(xué)分類(lèi)，借助威脅評(píng)估指標(biāo)區(qū)分。威脅信息源自設(shè)備記錄、網(wǎng)絡(luò)流量、警報(bào)數(shù)據(jù)等。構(gòu)建評(píng)估體系時(shí)，納入警報(bào)數(shù)量、事件頻率、流量波動(dòng)和帶寬變化等要素，審視安全事件歷史與現(xiàn)狀。確保管理人員快速捕捉威脅，采取有效應(yīng)對(duì)措施。

（二）脆弱性態(tài)勢(shì)

脆弱性態(tài)勢(shì)含網(wǎng)絡(luò)脆弱性與資源脆弱性。網(wǎng)絡(luò)脆弱性指網(wǎng)絡(luò)架構(gòu)的弱點(diǎn)和潛在風(fēng)險(xiǎn)，若被利用，將威脅網(wǎng)絡(luò)安全。資源脆弱性涉及軟硬件資源問(wèn)題，如軟件缺陷和硬件故障，影響系統(tǒng)穩(wěn)定。兩者均需高度重視，并采取管理措施，保障信息資產(chǎn)安全穩(wěn)定。在軟件層面，部分系統(tǒng)和應(yīng)用程序存在薄弱環(huán)節(jié)。若這些弱點(diǎn)被惡意利用，可能對(duì)系統(tǒng)造成威脅。為確保全面評(píng)估軟件漏洞，需考慮整體安全狀態(tài)、不同損壞級(jí)別的漏洞數(shù)量、補(bǔ)丁安裝和端口開(kāi)放狀況。從硬件脆弱性方面來(lái)看，重點(diǎn)在于設(shè)備的物理可靠性，如能源安全、平均故障率等。此外，網(wǎng)絡(luò)脆弱性中的漏洞亦不容忽視，其主要與網(wǎng)絡(luò)拓?fù)溆嘘P(guān)。通過(guò)專(zhuān)業(yè)分析，人們可以了解網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)連接等結(jié)構(gòu)特征，以評(píng)估網(wǎng)絡(luò)拓?fù)渎┒磳?duì)網(wǎng)絡(luò)服務(wù)性能的影響[3]。在安全威脅分析方面，需關(guān)注系統(tǒng)漏洞、系統(tǒng)配置和網(wǎng)絡(luò)安全等多個(gè)方面。評(píng)估過(guò)程中，應(yīng)注意一些關(guān)鍵指標(biāo)，如安全級(jí)別、網(wǎng)絡(luò)故障率、開(kāi)放端口數(shù)量和網(wǎng)絡(luò)結(jié)構(gòu)脆弱性等。

（三）網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)

針對(duì)威脅態(tài)勢(shì)、脆弱性狀況等多個(gè)維度，基于網(wǎng)絡(luò)系統(tǒng)的設(shè)備、系統(tǒng)與應(yīng)用以及網(wǎng)絡(luò)本身進(jìn)行綜合考量，筆者總結(jié)出如表1所示的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)。

就如評(píng)價(jià)一個(gè)人的健康狀況需要從多個(gè)指標(biāo)展開(kāi)一樣，網(wǎng)絡(luò)系統(tǒng)的安全狀況也應(yīng)從多個(gè)方面來(lái)評(píng)估。在威脅態(tài)勢(shì)方面，需要分析不同類(lèi)型的網(wǎng)絡(luò)攻擊，然后找出那些普遍存在的、可以操作的評(píng)估指標(biāo)。在脆弱性態(tài)勢(shì)方面，需重點(diǎn)關(guān)注資產(chǎn)和網(wǎng)絡(luò)本身的脆弱性，這樣可以更全面地了解網(wǎng)絡(luò)安全的脆弱性。在資產(chǎn)維度方面，需查看網(wǎng)絡(luò)系統(tǒng)是否正常運(yùn)行，以及機(jī)器持續(xù)服務(wù)能力等?？偟膩?lái)說(shuō)，制定一套簡(jiǎn)單易懂、操作方便的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)，有助于更好地了解網(wǎng)絡(luò)系統(tǒng)的安全狀況。

三、威脅情報(bào)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知中的應(yīng)用

基于威脅情報(bào)的態(tài)勢(shì)感知模型，可以分為態(tài)勢(shì)察覺(jué)、態(tài)勢(shì)理解、態(tài)勢(shì)投射三個(gè)部分，圖2所示為態(tài)勢(shì)感知模型圖。

（一）態(tài)勢(shì)察覺(jué)

1.異常行為的識(shí)別和攻擊檢測(cè)方法

在態(tài)勢(shì)感知中，傳統(tǒng)的檢測(cè)識(shí)別方法包括攻擊模式檢測(cè)方法、DDoS攻擊檢測(cè)方法、基F分布攻擊檢測(cè)方法。然而，所有這些方法都有其缺點(diǎn)，使得很難檢測(cè)到隱藏的和長(zhǎng)期的攻擊。通過(guò)威脅分析，即對(duì)IP信譽(yù)、文件信譽(yù)、其他指紋屬性等進(jìn)行比較，密切監(jiān)測(cè)系統(tǒng)異常行為，同時(shí)辨別攻擊行為，確定優(yōu)先級(jí)，以及采取適當(dāng)措施緩解這些行為[4]。

一些在線(xiàn)威脅分析來(lái)自移動(dòng)或移動(dòng)網(wǎng)絡(luò)，這些網(wǎng)絡(luò)使用一些專(zhuān)門(mén)的威脅行為分析工具來(lái)生成威脅數(shù)據(jù)。威脅信息包括攻擊威脅評(píng)估方法、檢測(cè)方法、攻擊特征、安全補(bǔ)救方法、防御計(jì)劃等。此外，威脅情報(bào)包括使用豐富的威脅情報(bào)數(shù)據(jù)庫(kù)來(lái)分析互聯(lián)網(wǎng)，該數(shù)據(jù)庫(kù)可以將暗網(wǎng)絡(luò)數(shù)據(jù)與現(xiàn)有數(shù)據(jù)相結(jié)合，創(chuàng)建智能資源。

2.確定攻擊特征

為了使用開(kāi)源威脅情報(bào)檢測(cè)攻擊，有必要盡可能準(zhǔn)確、完整、簡(jiǎn)潔地描述攻擊特征，以確定攻擊的目的、影響和防御方法。威脅情報(bào)涵蓋指標(biāo)、背景、機(jī)制、相關(guān)性分析及風(fēng)險(xiǎn)建議。評(píng)估現(xiàn)有及新風(fēng)險(xiǎn)，考量資產(chǎn)風(fēng)險(xiǎn)。利用情報(bào)，深度處理攻擊數(shù)據(jù)，創(chuàng)建結(jié)構(gòu)化標(biāo)準(zhǔn)化格式，提升識(shí)別全面性和準(zhǔn)確性。文本威脅分析可識(shí)別流量欺詐特征，避免依賴(lài)自然語(yǔ)言處理獲取基本信息，并基于該特征建立了攻擊的檢測(cè)規(guī)則[5]。

基于態(tài)勢(shì)感知來(lái)說(shuō)，開(kāi)源數(shù)據(jù)庫(kù)對(duì)于特定攻擊做出反應(yīng)的概率相對(duì)較小。所以，在此種情況下，可以使用外部威脅數(shù)據(jù)，對(duì)于收集的網(wǎng)絡(luò)安全要素進(jìn)行預(yù)處理分析，如存儲(chǔ)目標(biāo)網(wǎng)絡(luò)資源數(shù)據(jù)、風(fēng)險(xiǎn)統(tǒng)計(jì)和警告數(shù)據(jù)等，對(duì)系統(tǒng)中的異常行為進(jìn)行有效識(shí)別，解析攻擊的目的、采用的方法以及這些行為所可能產(chǎn)生的具體影響。同時(shí)，利用外部獲取的威脅情報(bào)，轉(zhuǎn)化為內(nèi)部可用的威脅信息，并將這些威脅的有關(guān)信息進(jìn)行共享，能夠有效增強(qiáng)網(wǎng)絡(luò)對(duì)攻擊的抵御能力，有助于提高大型網(wǎng)絡(luò)的安全性。

（二）態(tài)勢(shì)理解

在NSSA的第一階段，基于威脅情報(bào)對(duì)系統(tǒng)中不正常的行為、攻擊特征等進(jìn)行檢測(cè)識(shí)別，然后確定攻擊者的目標(biāo)、產(chǎn)生的影響、攻擊方法等。了解這些攻擊行為后，制定有效的應(yīng)對(duì)策略，并以標(biāo)準(zhǔn)威脅數(shù)據(jù)格式生成內(nèi)部攻擊數(shù)據(jù)。通過(guò)將內(nèi)部威脅情報(bào)與共享威脅情報(bào)進(jìn)行比較和分析，可以確定適當(dāng)?shù)姆烙呗?。?yīng)優(yōu)先考慮具體的風(fēng)險(xiǎn)緩解措施，包括糾正或預(yù)防措施，以及影響事件的補(bǔ)償或緩解措施。

（三）態(tài)勢(shì)投射

1.態(tài)勢(shì)量化評(píng)估

隨機(jī)博弈、馬爾可夫、支持向量機(jī)（SVM）等評(píng)估模型是當(dāng)前網(wǎng)絡(luò)安全評(píng)估的關(guān)鍵評(píng)估模型。使用這些模型來(lái)評(píng)估網(wǎng)絡(luò)安全情況可能會(huì)導(dǎo)致準(zhǔn)確性不同，無(wú)法適應(yīng)在線(xiàn)環(huán)境的變化。威脅信息共享技術(shù)保持情報(bào)數(shù)據(jù)庫(kù)實(shí)時(shí)更新，精準(zhǔn)反映網(wǎng)絡(luò)安全動(dòng)態(tài)。具體而言，威脅情報(bào)深入剖析系統(tǒng)潛在威脅，實(shí)現(xiàn)精準(zhǔn)識(shí)別和有效應(yīng)對(duì)。潛在的威脅將直接影響系統(tǒng)的穩(wěn)定性和安全性，所以，對(duì)于系統(tǒng)而言，威脅情報(bào)具有重要意義。例如，基于攻擊圖模型的安全評(píng)估方法，用于分析成功攻擊周期的可能性和系統(tǒng)丟失的風(fēng)險(xiǎn)。因此，將適當(dāng)?shù)娘L(fēng)險(xiǎn)分析系統(tǒng)納入態(tài)勢(shì)評(píng)估，能夠有效提高網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的準(zhǔn)確性[6]。

2.攻擊預(yù)測(cè)

網(wǎng)絡(luò)預(yù)測(cè)主要是基于歷史數(shù)據(jù)和趨勢(shì)的預(yù)測(cè)，并未考慮到網(wǎng)絡(luò)環(huán)境正在日益復(fù)雜化，且會(huì)隨時(shí)發(fā)生變化。要實(shí)現(xiàn)預(yù)測(cè)的準(zhǔn)確性，就需要考慮網(wǎng)絡(luò)可能發(fā)生的變化。為提升攻擊預(yù)測(cè)準(zhǔn)確性，我們引入威脅情報(bào)。情報(bào)分析包括廣泛安全事件數(shù)據(jù)，并告知網(wǎng)絡(luò)管理者關(guān)鍵信息，以便及時(shí)應(yīng)對(duì)潛在威脅。在威脅情報(bào)分析中引入人工智能技術(shù)，可以使分析變得智能化、準(zhǔn)確化。

3.攻擊溯源

由于網(wǎng)絡(luò)空間結(jié)構(gòu)的復(fù)雜性，攻擊方法和入侵者防御技術(shù)的不斷發(fā)展是監(jiān)控網(wǎng)絡(luò)安全攻擊是保障網(wǎng)絡(luò)環(huán)境穩(wěn)定與數(shù)據(jù)安全的關(guān)鍵。

目前，廣泛采用高效且具針對(duì)性的攻擊跟蹤方法，主要分為兩類(lèi)：基于哈希技術(shù)的溯源方法和基于IP地址的溯源方法。前者通過(guò)哈希運(yùn)算追蹤攻擊源頭，后者通過(guò)解析與追蹤IP地址揭示攻擊者位置與身份。兩者相輔相成，是網(wǎng)絡(luò)安全防護(hù)體系的重要組成。基于代數(shù)的攻擊溯源方法以及基于IP隧道的攻擊溯源方法等。這些方法過(guò)于簡(jiǎn)單，功能有限，監(jiān)測(cè)結(jié)果不盡如人意[7]。

近年來(lái)，威脅情報(bào)的增加為攻擊跟蹤的發(fā)展提供了新的動(dòng)力，威脅情報(bào)共享已成為實(shí)現(xiàn)有效攻擊跟蹤的關(guān)鍵手段。為了提高攻擊跟蹤的有效性和準(zhǔn)確性，專(zhuān)家們提出了一個(gè)共享和使用基于STIX的威脅信息的簡(jiǎn)化框架。例如，本文通過(guò)監(jiān)測(cè)威脅信息的交換和使用來(lái)討論C2數(shù)據(jù)，并通過(guò)實(shí)驗(yàn)驗(yàn)證了使用威脅信息追蹤攻擊的可能性[8]。這一研究成果對(duì)于加強(qiáng)網(wǎng)絡(luò)安全防護(hù)、提升攻擊溯源能力具有重要意義。

經(jīng)過(guò)深入研究，將威脅情報(bào)應(yīng)用在態(tài)勢(shì)投射中具有非常好的效果。威脅情報(bào)能夠顯著提高態(tài)勢(shì)感知的效果。然而，值得注意的是，威脅信息列表存儲(chǔ)了大量數(shù)據(jù)，其中，部分情報(bào)自收集以來(lái)并未得到實(shí)際應(yīng)用。因此，為了進(jìn)一步提高態(tài)勢(shì)投射的準(zhǔn)確性，相關(guān)人員應(yīng)當(dāng)重點(diǎn)研究和發(fā)掘高質(zhì)量的威脅情報(bào)，并將其應(yīng)用于態(tài)勢(shì)評(píng)估和預(yù)測(cè)中。這將是未來(lái)網(wǎng)絡(luò)安全研究的重要方向。

四、結(jié)束語(yǔ)

綜上所述，相較于傳統(tǒng)的網(wǎng)絡(luò)安全手段，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)更能有效地監(jiān)測(cè)網(wǎng)絡(luò)安全環(huán)境中的各類(lèi)風(fēng)險(xiǎn)，并實(shí)現(xiàn)快速檢測(cè)與及時(shí)緩解。此項(xiàng)工作極具復(fù)雜性與挑戰(zhàn)性，涵蓋了多種類(lèi)型與來(lái)源的數(shù)據(jù)與場(chǎng)景，特別是在數(shù)據(jù)資源豐富的環(huán)境下，無(wú)疑進(jìn)一步提升了評(píng)估的難度。為應(yīng)對(duì)這一挑戰(zhàn)，可充分利用威脅情報(bào)進(jìn)行態(tài)勢(shì)感知，一方面有助于強(qiáng)化網(wǎng)絡(luò)態(tài)勢(shì)的實(shí)時(shí)監(jiān)控，另一方面可精準(zhǔn)識(shí)別內(nèi)部威脅，從而實(shí)現(xiàn)持續(xù)的安全監(jiān)控，并快速準(zhǔn)確地應(yīng)對(duì)各類(lèi)網(wǎng)絡(luò)安全威脅。此外，還需要不斷提升網(wǎng)絡(luò)技術(shù)的管理能力，為國(guó)家網(wǎng)絡(luò)管理的加速發(fā)展提供堅(jiān)實(shí)的技術(shù)支撐。

作者單位：雷穎 岑嵐 周崎 中國(guó)移動(dòng)通信集團(tuán)安徽有限公司

參考文獻(xiàn)

[1]李學(xué)民，顧麗旺，宮克.基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法研究[J].情報(bào)工程，2023，9（04）：3-13.

[2]王廣利.基于深度學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法設(shè)計(jì)[J].長(zhǎng)江信息通信，2023，36（01）：97-99.

[3]張然，潘芷涵，尹毅峰，等.基于SAA-SSA-BPNN的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J]. 計(jì)算機(jī)工程與應(yīng)用，2022，58（11）：117-124.

[4]龔嘉瑤，王鐘莊.基于卷積神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].長(zhǎng)江信息通信，2023，36（04）：93-95.

[5]肖鵬，王柯強(qiáng)，黃振林. 基于IABC和聚類(lèi)優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)的電力信息網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].智慧電力，2022，50（06）：100-106.

[6]王帥.多源異構(gòu)數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估體系研究[J].軟件，2023，44（06）：141-143.

[7]俞洋.高等院校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型應(yīng)用設(shè)計(jì)研究[J].電子測(cè)試，2022（13）：86-88，85.

[8]喬溢.基于多通道機(jī)制的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估研究[J].信息技術(shù)，2022，46（10）：159-165.