網絡級態勢感知解決方案

翟立超

摘 要：網絡空間安全態勢感知是目前計算機應用領域的熱點研究內容。開展對網絡安全空間態勢感知的研究，對于提升當前網絡空間的整體安全水平有著重要的意義。網絡空間安全態勢感知可以對網絡空間中各種活動進行辨識、理解、評估，并可以為網絡安全維護人員提出科學建議、制定相應的安全響應決策。

關鍵詞：態勢感知;網絡安全

態勢感知的概念最早在軍事領域被提出，覆蓋感知、評估和預測三個層次。并隨網絡的興起而升級為網絡態勢感知。Bass于1999年首次提出網絡態勢感知的概念，并且指出，“基于融合的網絡態勢感知”必將成為網絡管理的發展方向。所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡的當前狀態和變化趨勢。

隨著互聯網規模的擴大，承載業務逐漸增多，人們在享受網絡便捷的同時也被一些不懷好意的人時刻注視著，看似風平浪靜，實則波濤洶涌，隨時都有可能在某個時間內掉入陷阱。也許我們當下使用的系統正在被別人控制、操作。2013年斯諾登棱鏡門事件震驚了全世界。根據斯諾登爆料，美國對全世界包括中國在內的國家進行24小時監控，包括對網絡、衛星、通信的監控。2010年11月爆發的針對伊朗核設施的“震網”病毒，通過離線入侵核電站工控軟件，挾持控制發動機轉速，使得伊朗在短時間內損失了約五分之一的離心機，迫使伊朗核計劃延遲。

從斯諾登事件與震網病毒中讓我們清醒的認識到，傳統的網絡攻擊方式已經由在線攻擊轉變為離線攻擊與在線攻擊的混合攻擊方式，攻擊方式與手段更加復雜，受不同利益驅使，網絡安全態勢不容樂觀，無論個人、團體都應該清楚的認識到自己所處的網絡空間環境。

一、shodan解決方案

態勢感知是以安全大數據為基礎，安全企業對于態勢感知的研究必定是基于海量數據，如何獲取這些大規模數據成為態勢感知發展的突破點，以國外著名的Shodan搜索引擎為例，簡要介紹以Shodan為代表的網絡空間安全搜索引擎的工作原理以及在態勢感知中可以發揮的作用。

Shodan所記錄的數據都是連接入網的硬件設備，所以就會忽略掉一些網絡中間件，然而網絡中間件往往會是威脅爆發的源頭。黑客會利用網絡中間件漏洞進行利用攻擊，例如我們當下使用廣泛的開源web服務器Apache Tomcat，攻擊者可以利用漏洞上傳一些惡意的JSP文件到tomcat上運行，然后執行命令。這就是利用“后門”來進行破壞。而這些漏洞只有在破壞產生或是被利用之后才會被發現。并未采取主動的態勢預測手段感知威脅的存在，及早的發現漏洞，并通知網絡安全人員進行修補。

二、Zoom Eye解決方案

為解決上述提出的問題，國內一家公司提出解決辦法，知道創宇在shodan研究的基礎之上，開發出自己的一套產品——Zoom Eye，zoom eye不僅繼承了shodan的優點，全網獲取有IP的設備，而且也提供操作系統層之上的所有中間件的信息。其中包括數據存儲的Mysql、SQL Server、redis;web容器、各種服務端開發語言、前端開發框架，是真正層面上的網絡空間。當網絡中存在0day漏洞或是一些APT時，可以在第一時間協助國家有關部門進行威脅響應，并且還可以提前預估威脅可能帶來的損失。只有這樣，才能夠將大數據與網絡安全真正的結合起來，這也能讓基于大數據的網絡安全研究落到實處。

三、騰訊玄武實驗室解決方案

騰訊也在網絡安全態勢感知研究中走在行業前列，其旗下騰訊玄武實驗室開發完成了一套“阿圖因”軟件空間安全測繪系統（下圖1），該系統能夠對全網軟件進行自動發現、自動識別、自動安裝、自動分析來得到整個互聯網上的軟件漏洞、脆弱性、下載污染源等安全信息，相關數據可提供搜索引擎式的功能提供人工檢索，還可提供API供外部系統調用，并能夠進行可視化輸出。

阿圖因系統與傳統漏洞挖掘方式不同，研究人員在某個軟件中發現漏洞，只需要將漏洞特征添加到系統中，就可以自動的在全網范圍內發現含有該漏洞軟件。例如，著名的“心臟出血”漏洞，除影響服務器外也影響了普通軟件，但之前很難知道世界上到底有哪些軟件存在該漏洞。而在阿圖因中，相關數據一目了然，另外，在阿圖因中以世界上所有主流殺毒軟件為目標，對權限提升類漏洞進行檢查，結果在55%的主流殺毒軟件中都發現相關漏洞。

阿圖因系統實現了對軟件的全自動獲取、安裝、分析、存儲。其中，獲取、存儲使用的是較為成熟的爬蟲和數據庫技術。而安裝和分析兩大功能中則實現了大量的突破和創新。阿圖因大數據軟件漏洞分析發現引擎分為三個部分，分別是爬蟲發現引擎、動態自適應虛擬環境構建和專家策略集與深度學習系統，整個系統在大數據軟件采集持續分析能力和專家系統能力規則庫構建的支持下，面向金融、能源、通信、教育、政務、交通，六個行業覆蓋應用和應急響應，實現了軟件目標漏洞發現態勢感知。

四、量子通信解決方案

由中國科學技術大學的潘建偉院士提出的量子通信技術，利用量子糾纏態理論，即量子加密的密鑰是隨機的，即使被黑客截獲，也無法得到正確的密鑰，所以也就無法得到正確的信息;再者，當通信雙方互相擁有糾纏態的粒子，其中一個粒子的量子態發生變化，另一方的量子態會隨之發生改變，所以當黑客的截取導致量子態發生改變，最終引起坍塌，致使傳輸的信息發生破壞。量子通信可以保證態勢感知中的信息傳輸的絕對可靠性，但是在面對軟件中或是設備中存在的漏洞時，量子通信解決不了其中的風險，特別是在漏洞挖掘領域，所以網絡安全態勢感知又回歸到網絡安全本身上來。