網絡安全態勢感知與有效防護

◆楊 銳 陳玉明

?

網絡安全態勢感知與有效防護

◆楊 銳 陳玉明

(漳州市公安局網安支隊 福建 363000)

信息技術的發展，在給世界各國帶來技術進步的同時，也帶來很多的負面影響，計算機病毒、黑客等隨時都會危及到網絡的發展，而隨著技術的發展，各種工具和攻擊手法層出不窮。面對如此嚴重的安全威脅，我們卻對黑客社團所知甚少。當網絡被攻陷破壞后，我們甚至對攻擊者、攻擊方式、攻擊目的及攻擊工具更是一無所知。為改變這種攻防的非對稱性，增加攻擊代價，減少對實際系統的安全威脅，研究攻擊者的攻擊工具和攻擊方法，追蹤攻擊源，態勢感知技術應運而生。網絡安全態勢感知技術能夠綜合多方面的安全因素，從大體上動態反映網絡安全態勢，并對其進行分析評價，及時通報預警，從而有效提升我國的網絡安全監測、預警與防護的能力。

網絡安全；態勢感知；預警；防護

0 引言

網絡信息化技術的飛速發展，極大促進了我國各行各業網絡信息化程度的不斷提高。然而，近年來發生的各類網絡攻擊事件顯示，我國的網絡安全正面臨著國內外兩方面前所未有的嚴峻威脅和挑戰。

國內不法分子利用網絡從事詐騙、攻擊勒索、盜取數據等破壞活動日益猖獗，嚴重影響社會秩序；境外勢力有組織的網絡攻擊、滲透等破壞活動頻繁發生，嚴重威脅我國政治、經濟、軍事、國防建設安全以及敏感信息的安全。頻發的網絡事件表明，當前我國網絡安全事件的監測、預警能力和防護手段嚴重不足。

正如習近平總書記2016年4月19日在網絡安全和信息化工作座談會上指出“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發作了?！蓖瑫r指出“全天候全方位感知網絡安全態勢，知己知彼，才能百戰不殆?！币虼?，加強和完善我國的網絡安全監測、預警與防護的能力刻不容緩。

1 網絡安全監測與防護存在的問題

隨著國家將網絡安全提升到國家安全和國家戰略的高度，我國網絡安全行業蓬勃發展，整個網絡安全產業形成了由眾多安全產品構建的安全體系。盡管我們的網絡安全行業形成了一個龐大的產業，但我們的安全監測預警與防護依然存在諸多問題，主要體現在以下兩個方面。

1.1 安全防護的滯后性

傳統安全防護的基本處理流程是在威脅事件已經發生的情況下，分析威脅，并形成識別該威脅的具體特征規則，然后對該威脅進行防御。無論是惡意代碼防護還是攻擊防護，無論是對已知攻擊行為的檢測還是對未知攻擊行為的感知，這種安全防護模式總是處于一種后知后覺、后防的體系中，產品面世的那一刻就已經處于過時階段，需要通過連續的、不斷的升級方式來彌補防御能力的不足。

1.2 防護分散，各自獨立，缺少動態立體綜合防護體系

傳統防護理念重邊界安全輕端點安全，且各自獨立，防護分散，信息不關聯，造成安全防護能力不足。

信息化網絡是由網絡、網絡設備、計算機組成等共同組成，安全防護必須建立在整個防御鏈條下的終端、邊界、服務、應用等各類安全基礎之上。因此，以傳統的防火墻、入侵檢測、審計、安全堡壘等設備為代表的信息安全防護裝置無法成體系地做出威脅信息的收集、融合、聯動來應對威脅和網絡攻擊，必須要建立以各類信息采集、數據融合、感知預測、主動防御的一體化網絡安全防護體系。

2 網絡安全態勢感知與防護

網絡安全態勢感知與防護，通過實時監測采集網絡流量、主機靜態與動態安全數據，整合計算機、網絡、應用系統、數據流量等各類數據源，使用對抗式的智能動態行為關聯分析算法和各類威脅行為的智能識別模型，將表象毫無聯系、雜亂無序的各類數據轉化為可以直觀可視化的安全信息，實現對各類威脅行為的自主發現、預警和態勢感知，提升威脅行為發現與防御的能力和時效性。

網絡安全態勢感知能夠實時獲取并評估當前網絡的安全狀況，提供精準分析信息幫助網絡管理員進行決策處理，降低安全威脅可能造成的風險和損失。網絡安全態勢感知對提升安全監管、提供網絡安全預警、完善安全分析、實時防御、促進網絡健康發展具有重要作用。

網絡安全態勢感知及防護體系架構按照信息處理流程，可分為數據采集、數據存儲、網絡安全威脅行為分析、網絡安全態勢預警與處置四個部分，以構建完整的網絡安全預測和防護體系。如圖1所示為網絡安全態勢感知與防護體系架構。

圖1 網絡安全態勢感知與防護體系架構

2.1 數據采集

從安全發現角度而言，識別一次完整的網絡攻擊滲透，涉及的內容包括身份認證、應用訪問授權、終端操作行為檢測、網絡流量特征檢測、惡意代碼發現、風險報警、應用安全審計等多個環節，所有環節都會記錄網絡攻擊的蛛絲馬跡，都潛藏著區別于正常操作的非法行為特征。因此態勢感知的源數據要盡可能覆蓋整個網絡攻擊操作鏈條下的每個節點、每個環節和每個要素，將監測的諸如通訊流量、行為審計、日志、惡意代碼、環境資產等各類數據都采集下來，包括但不限于被監測或被分析對象的環境數據、靜態數據、動態行為數據等，確保威脅行為定性分析所需數據的完整性、全面性、真實性、有效性。

采集數據主要包括三個大方面：檢測對象數據、全流量數據和威脅事件數據。其中：

（1）監測對象數據是指被監測分析對象的運行環境數據、對象靜態數據、動態行為數據；

（2）全流量數據是指網絡全流量數據的直接鏡像采集存儲，為電子證據提取、疫情分布統計查詢、提升疫情監測分析效率、實現多時間跨度的威脅行為監測、威脅潛伏周期分析提供詳盡的數據基礎；

（3）威脅事件數據是指監測安全威脅事件，為疫情分布提供數據基礎。

數據采集源主要包括全流量數據鏡像設備、流量探針設備、蜜罐式探針設備、終端探針軟件，建立多環境、多層次的數據采集架構，以保障數據的有效性、可靠性、完整性、全面性。如圖2所示數據采集架構。

圖2 數據采集架構

（1）全流量鏡像設備部署在骨干網、重要網絡節點，網絡監測節點的網絡全流量數據的鏡像采集，并上傳數據存儲中心；

（2）流量探針設備部署在重要網絡節點或每個需要監測的網絡節點，對網絡流量數據實時截取/接入/過濾/還原/全存，然后通過沙盒技術、虛擬環境技術、信息分析技術，快速分析截獲對象的靜態與動態行為數據，并將數據上傳分析中心的威脅大數據存儲中心；

（3）蜜罐式探針設備部署在骨干網、機房等，通過成熟的蜜罐技術，以及沙盒技術、虛擬環境技術、信息分析技術，長期監測分析蜜罐系統截獲的對象的靜態與動態行為數據，并將數據上傳分析中心的威脅大數據存儲中心?？筛鶕槐O測網絡的應用環境，建立與應用環境相同的蜜罐系統，實時監測分析針對該應用環境實施的具有針對性的特定攻擊，可以幫助解決具有逃逸性質的攻擊行為，并可有效監控網絡內部發生的攻擊威脅行為；

（4）終端探針軟件部署于計算機，采用輕量級設計原則，長期監測分析被監測計算機的網絡環境數據、計算機系統環境數據，以及全部進程的靜態與動態行為數據，并將數據上傳分析中心的威脅大數據存儲中心。終端探針軟件所采集的數據為被監測網絡的真實運行環境和被攻擊入侵的長期、實時、真實數據?？梢杂行Ы鉀Q具有逃逸性質的攻擊行為，并能夠有效監測通過U盤等方式的攻擊方法；

（5）虛擬云模擬探針系統部署于預警監測與應急處置中心。通過虛擬云計算機技術，構建模擬運行環境，對上傳的分析對象實施動態監測，捕獲其動態行為數據，并將數據上傳分析中心的威脅大數據存儲中心；

（6）威脅事件探測設備部署于骨干網節點、重要網絡節點、重要網絡出入口內側核心交換以及重要網絡節點。主要作用是捕獲已定性威脅的事件。疫情分析中心對威脅行為定性后，由系統自動提取威脅行為特征標識，添加威脅行為特征標識庫，并通知所轄威脅事件探測設備進行特征標識的更新，實時發現經過監測節點的威脅事件，并上報數據中心，為疫情分析、預警提供有效的數據支撐。

2.2 數據存儲

數據存儲就是實現數據采集源所采集數據的存儲與集中管理，并對數據進行去重、聚合、標準化處理，確保威脅行為定性分析與疫情分析預警的精準性、高效性。

為滿足所有結構化數據、非結構化數據和半結構化數據的存儲需要，數據存儲需要整合關系數據庫系統、數據庫集群系統、分布式文件系統等，構建一個混合式的數據倉庫。我們采用基于Hadoop 的分布式文件存儲系統（HDFS），該系統是實現大量安全數據存儲與管理的有效途徑。該系統具有高容錯性和高吞吐量的特點。HDFS 將文件數據劃分為多個數據塊，為每一個數據塊創建、維護多個副本，并將這些副本存儲到不同的服務器上，實現數據的容錯/災備。此外，在分布式環境下，HDFS還可通過就近原則和并行I /O進一步提高數據的讀寫性能。

（1）數據去重就是重復數據刪除，是指在一個數據集合中，找出重復的數據并將其刪除，只保存唯一的數據單元。在刪除的同時，要考慮數據重建，即雖然部分數據被刪除，但當需要時，仍然將完整的文件內容重建出來，這就需要保留文件與唯一數據單元之間的索引信息。通過重復數據刪除，不僅可以大大降低需要的存儲介質數量，進而降低成本，而且在寫入數據的時候就進行數據去重，可以避免一部分的數據寫入磁盤，從而提升寫入性能。

（2）數據聚合是指根據數據的內在性質將數據分成一些聚合類，每一聚合類中的元素盡可能具有相同的特性，不同聚合類之間的特性差別盡可能大。數據聚合分析的目的是分析數據是否屬于各個獨立的分組，使一組中的成員彼此相似，而與其他組中的成員不同。

（3）數據標準化處理就是統計數據的指數化，是在數據分析之前，先將數據標準化，利用標準化后的數據進行數據分析。數據標準化處理主要包括數據同趨化處理和無量綱化處理兩個方面。數據同趨化處理主要解決不同性質數據問題，對不同性質指標直接加總不能正確反映不同作用力的綜合結果，須先考慮改變逆指標數據性質，使所有指標對測評方案的作用力同趨化，再加總，才能得出正確結果。數據無量綱化處理主要解決數據的可比性。數據經過標準化處理，原始數據均轉換為無量綱化指標測評值，即各指標值都處于同一個數量級別上，可以進行綜合測評分析。

2.3 網絡安全威脅行為分析

網絡安全威脅行為分析，首先根據輸入的結果需求對數據進行篩選過濾及索引處理，通過構建的各類威脅行為的智能動態行為關聯分析識別模型，對監測對象的各項數據實施關聯性分析，確定被分析對象的行為性質，即正常行為，或惡意威脅行為。

動態行為關聯分析識別模型是威脅行為分析、定性的關鍵，我們以衍生關聯關系樹、執行關聯關系樹、事件關聯關系樹等構建各類威脅行為的動態行為關聯分析模型，實現對監測對象行為的定性分析，確定被監測對象的行為性質，識別出威脅行為。

以攻擊代碼A為例。攻擊代碼A源于網絡，衍生于IE進程，并被IE進程主動執行。攻擊代碼A執行后，衍生攻擊代碼B和攻擊代碼C。攻擊代碼A主動啟動攻擊代碼B和C。攻擊代碼B被執行后，負責將攻擊代碼C的啟動方式寫入注冊表項Run啟動項，保證攻擊代碼C隨著系統啟動而自動運行。攻擊代碼C被執行后，負責搜索系統包含特定字符的文件，并將該文件的位置和將要訪問的遠程服務器地址兩個參數發送給系統的FTP程序，并主動啟動FTP程序。FTP程序被執行后，將攻擊代碼C通報的文件發送到制定的遠程服務器。如果以割裂的方式分別獨立分析攻擊代碼A、B、C，均可以認為是正常行為。如果將攻擊代碼A、B、C的衍生關系、執行關系、事件關系作為一個整體進行關聯分析，其行為已經構成以竊取信息為目的的威脅行為。

網絡安全威脅行為分析，不僅幫助我們定性行為的性質，還能夠幫助我們確定被分析對象類型、家族性、攻擊傳播方式、攻擊路線、來源追溯、威脅行為意圖。

2.4 網絡安全態勢感知預警與處置

網絡安全態勢感知預警與處置業務應用主要包括5個方面的功能：

（1）網絡安全威脅報警與發布。利用網絡安全威脅行為分析的分析結果，實現對高級持續攻擊、惡意代碼傳播、溢出攻擊、網頁篡改、信息盜取等網絡攻擊活動的即時報警，并對重大安全威脅事件實時發布。

（2）國家重點及關鍵信息基礎設施的實時監測與通報。對國家黨政機關、重點企事業單位以及國有企業的網站和重要信息系統進行實時監測，發現高級持續攻擊、信息盜取、網頁篡改、拒絕服務攻擊等網絡安全威脅和惡意破壞事件，并實現向被攻擊機構實時通報。

（3）網絡風險預警及感知。提供網絡安全攻擊與威脅活動分布、攻擊事件、關鍵信息基礎設施安全隱患與漏洞等網絡安全態勢的可視化展示和輸出，并及時了解和掌控不同安全要素決定的網絡安全發展趨勢以及可能的影響范圍。

（4）網絡安全態勢展示。通過統一的前端界面，基于多種可視化腳本庫進行安全態勢的全景展示。

（5）網絡安全威脅事件主動處置。網絡安全攻擊行為被發現時，基于預設的安全威脅程度等級標準，安全態勢感知系統根據攻擊行為的威脅程度采取不同的應對機制，對普通的攻擊行為僅僅進行記錄和上報處理，對威脅程度較高的安全攻擊行為采用主動實時響應機制進行處理。

主動響應機制可以顯著提升安全態勢感知體系的安全防御功能，主動響應機制針對關鍵網絡功能的敏感數據提出高層次的安全防護，可以避免產生誤操作。

（6）結合移動APP，實現公安機關與各等級保護單位信息同步。監測預警APP為公安、支撐單位、等保單位、運營商等提供手機、IPAD等移動應用，方便等級保護、實時監測、分析研判、追蹤溯源、通報預警、網絡安全管理等工作的及時溝通聯絡，實現聯動應急處置功能，從而提升通報預警與應急響應的效率。

3 總結

從網絡攻擊現狀及當前網絡安全防御的需求出發，分析了當前網絡安全監測預警防御體系存在的問題，以及網絡安全的動態性、被動性、對抗性、不確定性和不對稱性等特點，在此基礎上提出了整合計算機、網絡、應用系統、數據流量等各類環境、靜態與動態安全數據源，構建集安全數據采集、數據存儲與處理、網絡安全威脅行為分析、網絡安全態勢預警與處置于一體的網絡安全態勢感知架構，建立安全威脅可識別、威脅來源可追溯、威脅意圖可掌握、潛伏周期可查詢、威脅損失可評估的網絡安全監測與防護系統， 最終達到網絡應用環境一體化安全防護的目標。

[1]2016年11月7日.中華人民共和國網絡安全法.

[2]信安字[2018]003號.全國信息安全標準化技術委員會2018年度工作要點.

[3]中華人民共和國公安部令第82號.(2006年3月1日起施行).互聯網安全保護技術措施規定.

[4]國發〔2012〕23號.國務院關于大力推進信息化發展和切實保障信息安全的若干意見.

[5]公通字[2007]43號.信息安全等級保護管理辦法.

[6]公通字[2004]66號.關于信息安全等級保護工作的實施意見.

[7]中辦發[2003]27號（2003年8月26日發布）.國家信息化領導小組關于加強信息安全保障工作的意見.

[8]中華人民共和國國務院令第147號(1994年2月18日發布).中華人民共和國計算機信息系統安全保護條例.

[9]GB 17859-1999.計算機信息系統安全保護等級劃分準則.

[10]GB/T 22239-2008.信息系統等級保護基本要求.

[11]GB/T 22240-2008.信息系統安全保護定級指南.

[12]GB/T 25058-2010.信息系統安全等級保護實施指南.

[13]毛捍東，陳鋒.信息安全風險評估方法研究[J].中國信息協會信息安全委員會年會集，2004.

[14]姚淑萍.網絡安全預警防御技術[M].國防工業出版社，2015.