基于安全態勢感知在網絡攻擊防御中的應用

◆董 超 劉 雷

（浙江乾冠信息安全研究院有限公司 浙江 310015）

隨著我國社會經濟的不斷進步，信息網絡科技得到了長足發展，目前，絕大多數信息傳輸業務通過互聯網進行，互聯網在給人們的生產、生活帶來便捷的同時，也時刻面臨著網絡攻擊的威脅。當前我國的網絡安全預防手段仍然存在較大缺陷，一般采用的是被動攔截、單點式預防的手段，即使采用了比較復雜的防火墻和病毒防治技術等，仍然不足以確保網絡環境的安全與穩定。近年來新出現的安全態勢感知技術，可以構建更加完善的防御體系，有效提升網絡安全水平。本文首先介紹安全態勢感知技術的基本特點和優勢，然后分析其應用方法。

1 安全態勢感知技術的基本特點

安全態勢感知是通過動態、全面地監測網絡環境，利用大數據方法，從全局角度來發現并識別網絡中存在的安全風險，然后對其進行分析、處置。安全態勢感知的最終目標是通過持續監控發現各類安全威脅，以采取相應的決策和行動，提高網絡安全反應能力。特別是遭到針對性攻擊時，可以及時進行響應分析，實現網絡威脅的可視化處理，快速獲悉網絡威脅的波及范圍、入侵路徑、入侵手段和入侵目的等。此外，安全態勢感知技術還可以用于構建風險通報和預警機制，有效了解入侵者的技術手段、入侵工具和目的等，建立更加完善的網絡攻擊防御體系。

2 傳統網絡攻擊防御方法中存在的問題

與新型的安全態勢感知技術相比，傳統的網絡攻擊防御方法存在較大的缺陷，亟須進行替換升級。

（1）攻擊防御體系不完整

當前網絡環境日趨復雜，網絡攻擊速度快、隱蔽性強、監控難度大，使用傳統的網絡安全監控系統時，網絡不同節點中的日志不完整，難以根據日志還原攻擊者的實際情況，因此無法進行系統性的攻擊防御，網絡信息安全得不到有效保證。

（2）多使用被動式攔截方法

傳統的網絡攻擊防御方法多使用被動式攔截，必須結合被攔截設備的具體特征，才能分析得到其真實情況。因此被動式攔截難以有效保證網絡環境安全。

（3）多使用單點式預防方法

在傳統的網絡攻擊防御中，普遍采用單點式防御方法，網絡各區域內部分別建立單獨的攻擊防御設備和監控平臺，使用單獨的安全組件，因此很難實現聯動式防御，無法及時分享安全信息，從而制約了網絡攻擊防御的效果。

（4）網絡攻擊結果不確定

傳統的網絡攻擊防御方法不能確定網絡攻擊結果，因此難以識別網絡攻擊的具體情況，不能進行充分有效的安全警告和攔截，無法判斷攻擊防御措施是否成功。

3 安全態勢感知的模型建立

網絡安全管理人員應當根據網絡安全態勢的具體特點，建立針對性的感知模型，以提供網絡攻擊防御服務。網絡攻擊防御主要包括對安全態勢感對象的保護以及攻擊應對兩方面內容。在安全保護方面，主要使用IDs技術和IPs技術對用戶計算機中的防火墻進行保護，并監測網絡攻擊者的情況。在攻擊應對方面，首先需要詳細了解攻擊者的具體目的，從而進行針對性解決。網絡安全管理人員應當充分檢查網絡中對象和元素的情況，分析網絡安全態勢的縱向變化，對攻擊者的手段和目標進行詳細分析，全面掌握計算機網絡系統的管理方法和性質，這樣才能夠建立完善的網絡安全態勢感知模型。

4 安全態勢感知在網絡攻擊防御中的使用

管理人員應當對網絡安全信息進行檢測、收集，檢測出其中包含的攻擊活動和僵尸網絡等，然后以此為基礎，推斷出攻擊者的具體攻擊手段、發起攻擊的位置、攻擊者的技術水平和攻擊強度等，從而實現對網絡安全態勢的全面感知。在安全態勢感知平臺上，要制定完善的安全態勢數據采集、分析以及防御應對等一系列流程，才能起到良好的網絡攻擊防御效果。

（1）網絡安全態勢數據的采集

要建立安全態勢感知平臺，首先就應當對網絡安全態勢進行監測，采集網絡當中發生的各類安全事件的原始數據信息，建立全流量的網絡安全日志。網絡安全數據采集的對象包括IPS、IDS、DDoS、防火墻等，將傳統安全監控系統中碎片化的各項監測項目綜合起來，將網絡威脅警告轉變為結構化的數據形式，呈現可視化的攻擊防御計劃，從而為網絡安全態勢的管理提供基礎，并為用戶實時觀察網絡安全狀況提供有效途徑。

管理人員應當對采集到的安全態勢數據進行分類管理，可分為結構化數據、非結構化數據和第三方數據。三類數據進行分別采集管理，可以提升網絡安全數據采集的有效性和實用性，為安全態勢感知平臺的建立提供充分的依據和技術支持。

（2）網絡安全態勢數據的分析

在對網絡安全態勢數據進行充分采集，建立流量日志之后，管理人員應當對采集到的數據進行進一步分析，找出安全事件的發生原因和影響機制。例如，管理人員在分析某些小規模的網絡攻擊事件時，可以首先查看流量日志，并尋找安全事件過程中的報警記錄，將流量日志和報警記錄結合起來，分析網絡安全事件的發生機制。管理人員還要將原始日志與現代日志放在一起，進行對比分析，找到原始日志中的安全事件，將其轉化為直觀、可視化的形式，使其便于理解，能夠快速掌握網絡安全事件的發生原因和影響因素。

（3）建立網絡安全態勢感知平臺

網絡安全態勢感知平臺可以兼容大數據技術進行構建，在其架構內應當包含基礎設備層、數據采集層、數據存儲層、實時檢測層、數據分析層和業務功能層等結構。

基礎設備層主要包括網絡安全漏洞掃描設備、網站安全監控設備、可用性監控設備、數據庫審計、終端安全、互聯網威脅情報等組成部分，以提供基礎的信息設備安全情況。

數據采集層主要包括各類安全數據信息的采集部分。蓋層覆蓋了網絡當中的所有核心骨干節點、重要的聯網系統，以及重要的站點、業務系統、網絡情報數據等內容，使用流量采集檢測、布點監測、掃描監測、定制數據推動、規則數據提取等方法獲取全面的網絡安全數據。在網絡中的核心骨干節點上，布置數據采集設備，以采集網絡流量數據。

數據存儲層主要是對數據采集層所采集到數據進行預處理操作，將采集到的不完整、價值密度低的初始數據，處理成為高質量、價值密度高的存儲數據，為后續的數據挖掘操作提供基礎，提高數據挖掘的效率。對于原始數據，可以采用多種預處理方法，例如數據清洗、數據比對、數據歸并、數據標識等。

實時檢測層主要檢測網絡中的攻擊行為，通過一定的特征與規則識別攻擊行為和惡意文件的類型。此外，還可以添加自定義規則，對數據進行檢測。

數據分析層是對平臺中儲存的安全數據進行深度挖掘分析，可以使用Mahout的經典算法，對數據進行分類和聚類，從而挖掘出數據中的隱含的各類信息。

業務功能層可以根據具體的業務需求，對實時監測層和數據分析層中的數據與分析結果進行可視化處理，提供基礎設備管理、安全漏洞管理、安全事件數據、安全預警等多種業務功能，滿足管理人員的不同需求。

圖1 網絡安全態勢感知平臺的架構

5 結語

在網絡攻擊防御中使用安全態勢感知技術，可以充分提高防御水平，與傳統的網絡傳統網絡安全監控方法相比，具有較大的優勢。傳統的網絡攻擊防御方法具有信息碎片化、被動式攔截、單點式預防、攻擊結果不確定等缺陷。而使用安全態勢感知技術后，通過對網絡安全態勢感知數據的采集、存儲和分析，可以建立完善的網絡安全態勢感知平臺，為管理人員提供高效、可靠、使用的安全防御工具，全面提升網絡系統的安全防御能力。