安全態勢感知在移動業務支撐系統中的應用

石磊　劉耀華

【摘 要】移動業務支撐系統迅猛發展的同時，給網絡及系統安全提出嚴峻考驗和巨大挑戰。本文通過對安全態勢感知和預警防御體系的研究，基于攻擊態勢分析、威脅預警分析和趨勢分析與檢測，有效解決了業務支撐系統中的信息孤島問題。從而實現安全信息的整合收集與數據的匯總分析，為安全運行維護人員提供直觀、強大、清晰的安全威脅預警能力，形成重大問題、事件的整體性報告。

【關鍵詞】業務支撐系統；態勢感知；威脅預警分析；態勢分析

1 安全態勢感知技術

1988年，Mica R. Endsley首次明確提出態勢感知的定義，態勢感知（situation awareness， SA）是指“在一定的范圍內，熟悉并了解環境因素，并能夠預測未來的發展趨勢”，態勢感知當時只是應用于航空領域，并未在網絡領域進行應用[3]。

1999年，Tim Bass首次提出了網絡空間的態勢感知（Cyberspace Situation Awareness，CSA）的概念，網絡態勢感知源于空中交通監管（Auto-desk Training Center，A T C）態勢感知，是一個比較新的概念；Tim Bass對A T C態勢感知和網絡態勢感知進行了對比分析，希望能把A T C態勢感知的理論知識和成熟的技術利用到網絡態勢感知中來[4]。目前，網絡態勢感知還沒有一個準確及全面的定義。一般所指的網絡態勢主要是指由各種網絡及安全設備的運行情況、受攻擊行為以及用戶行為等幾個方面的因素所構成的網絡使用情況和所產生的變化。但是，態勢是一種發展趨勢，是網絡設備運營的狀態，是整個系統網絡的的概念，其他單一的變化或運行狀態都不能稱之為態勢。在目前復雜的網絡環境中，進行獲取、理解、展示影響網絡態勢發生變化的安全數據，并能利用這些數據預測未來網絡安全發展趨勢。

2 業務支撐網的發展現狀概述

移動業務支撐系統分為兩級架構，分別為一級（總部）業務支撐系統；一級業務支撐系統為全網業務管理和業務運營提供支撐和保障，實現全網信息的交換和管理。二級（省級）業務支撐系統為省公司進行省內業務管理和業務運營提供支撐和保障。二級（省級）業務支撐系統與一級業務支撐系統通過接口互聯，實現數據的交換，二者相互協作與配合，共同支撐移動業務的運營與管理[5-6]。

業務支撐系統在不同的安全域之間部署了大量的安全防護設備及安全審計及安全管理系統，但是安全設備、各安全系統之間信息孤立，存在安全隱患、無法實現信息共享，達到當系統遭受攻擊時實現攻擊溯源和預警分析。

3 安全態勢感知的功能設計

3.1 攻擊態勢分析

攻擊威脅分析場景是對攻擊檢測的結果數據進行多維度統計分析，其結果用于支撐攻擊態勢視圖展示；數據來源涉及密碼猜測攻擊、WEB攻擊、惡意掃描、惡意程序等4種攻擊檢測結果，及異常流量的檢測結果；從攻擊類維度，以分、時、天、周、月、年等時間周期分析統計攻擊類型和次數；從地理位置維度，對攻擊源IP、攻擊資產、攻擊類型、攻擊次數進行分析統計；實現從資產維度，對攻擊類型，攻擊者數量及攻擊次數進行分析統計；并能夠根據攻擊的類型源IP數量以及受影響的資產數量進行周期統計與分析得出危害等級進行視圖展示。

3.2 威脅預警分析

對獲取的威脅情報進行篩選和提煉，識別出可能存在外部攻擊行為，定位出與此外部攻擊的相關資產信息和漏洞。

外部攻擊識別：提取安全設備告警日志和Web中間件訪問日志中的源IP地址、URL地址，與IP信譽庫、URL信譽庫進行對比，篩選識別出所有惡意訪問請求，并對訪問源/目標進行資產關聯。

資產篩選：將情報內容中資產（受到威脅的對象，如Linux版本號等）與省份資產信息對比分析，識別出與此情報相關資產信息。

漏洞對比：對上述分析結果資產進行漏洞掃描，掃描結果結合威脅情報的漏洞信息對比，進一步分析識別出具備與情報相同漏洞的資產信息。

3.3 趨勢分析與檢測

網絡態勢是由現網各種網絡及安全設備的運行狀態以及用戶的訪問行為等因素所構成的整個系統網絡的當前的狀態和變化趨勢。網絡態勢感知主要指在現網復雜網絡環境中，獲取、理解并展示引起網絡態勢發生變化的一系列因素，通過這一系列因素能夠未來的發展趨勢。系統從安全本身的發展變化入手，采用多種分析模型，通過對事件和威脅的分析來評估當前網絡的整體安全態勢，為用戶提升安全防護能力提供決策支持。分析呈現歷史安全概況，結合本地的活動日歷，使用回歸分析對未來一段時間內出現的攻擊類型和數量進行預測。

通過分析獲取的一系列安全信息數據，建立一套動態的多維度威脅指標體系，幫助安全管理人員對目前的安全威脅因素進行辨別，最終找出導致威脅態勢異常的關鍵安全事件。

態勢感知是對當前的系統狀態進行評估和判斷，而趨勢預測則是基于歷史信息結合當前的狀態去預測系統未來狀態的發展趨勢，通過預測可以為決策系統提供制定決策所需要的必要知識和參考信息。在面對復雜的網絡信息化環境的時候，預測模型的建立是對被預測問題的一種高度抽象，系統越復雜，建模的準確性度就越難以保證，而結果的不確定性也就越高，因此僅僅利用單一的一種方法進行預測往往準確描述出需要預測的結果。

采用組合預測的方法，結合定量預測法和定性預測法構建出一個基于大數據的預測分析系統。系統使用灰色系統預測GM（1，1）模型來預測趨勢平緩的大規模網絡安全態勢；使用指數加權移動平均（EWMA）模型對非周期性網絡安全態勢進行預測，EWMA模型保持了對歷史數據的逐期溯源性和對最新數據的指數加權性，能夠實現較好的預測效果；使用Holt-Winters模型預測周期性和季節規律較強的網絡安全態勢預測。針對不同網絡規模下的網絡安全態勢總體趨勢，可以選擇不同的預測模型，最終實現對安全態勢的準確預測。

使用各類歷史安全數據和資料，最新的攻擊和漏洞情報，將兩期或多期連續的相同攻擊態勢數據進行同比和環比，得出安全攻擊趨勢，明確未來一段時間的防范重點。本期輸出是未來時段遭受某類型攻擊的概率。

重大活動及節假日對一段時間內的攻擊態勢造成顯著影響，分析這些活動的特點，總結安保過程中經驗，記錄到活動日歷。通過活動日歷，集團共享，相互借鑒，對將來的重大活動及節假日安保與應對有借鑒和指導意義。

4 結束語

在介紹網絡安全態勢相關概念和技術的基礎上，對當前移動業務支撐系統網絡攻擊防御與預警面臨的問題進行了探討，著重對網絡安全態勢感知設計以及預警分析建設要素進行闡述。將態勢感知技術應用于業務支撐系統的網絡攻擊防御中，不僅能夠全面掌握當前移動業務支撐網網絡安全狀態，還可以預測系統網絡安全的趨勢。

【參考文獻】

[1]林菁.業務支撐網網管系統的發展歷程及方向[J].信息通信，2017（6）.

[責任編輯：張濤]endprint