企業網絡安全態勢感知平臺建設研究

秦艷飛

摘 要：本文對網絡安全態勢感知技術在國內某企業應用可行性進行研究與分析，明確網絡安全態勢感知技術對企業的應用意義和可行性，并結合該企業現狀探索建設網絡安全態勢感知平臺的實施路徑。

關鍵詞：網絡安全;態勢感知;SOAPA;數據源;安全分析

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2019）18-0026-03

1 研究

1.1 研究背景分析

隨著以大數據、人工智能、云計算、物聯網、區塊鏈為代表的新一代信息技術的不斷應用，帶來了日趨復雜的網絡安全形勢和嚴峻的網絡安全威脅挑戰。經分析，目前國內某企業面臨的安全形勢可總結歸納為以下三點：

一是網絡安全威脅更加嚴重并呈現新特征，傳統安全產品將無法有效防御。隨著互聯網的蓬勃發展和技術的日新月異，攻擊和威脅手段也越來越多樣化和復雜化，因網絡入侵盜取客戶信息帶來的信息泄漏、網絡DDOS攻擊帶來的業務中斷、自動化腳本攻擊帶來的異常交易等網絡安全事件時有發生，新一代威脅不僅傳播速度更快，其利用的攻擊面也越來越廣，可以覆蓋到移動、桌面、網絡、主機、應用和各種社交網絡，同時具有隱蔽性強、潛伏期長、持續性強的特點，傳統安全產品將無法有效感知、防御，系統化、智能化、態勢化逐步成為關鍵要素。

二是網絡安全已上升至國家層面，監管機構檢查力度逐步加大。為助力網絡空間治理，提供網絡安全的法律依據，并不斷提高企業對網絡安全外部形勢的重視，我國從國家層面、行業層面相繼出臺多部法規制度、管理要求和標準，持續推動和規范企業網絡安全建設。因此，掌握整體安全態勢將成為企業更為迫切的需求。

三是新技術的不斷應用驅動安全建設的創新與變革。面對日益嚴峻的安全威脅和持續加強的合規要求，傳統的安全分析方法明顯存在不足，對威脅或風險的感知和判定相對片面，完整性和上下文場景關聯性相對較弱。同時，目前各企業網絡安全數據正逐漸呈現數據量越來越大、速度越來越快、種類越來越多等大數據特征，將為企業帶來海量異構數據的融合、存儲、處理和分析等問題。借助基于大數據分析技術的機器學習和數據挖據算法，結合多源數據，能夠更加智能地洞悉網絡安全態勢，更加主動、彈性地去應對新型復雜的威脅和未知多變的風險。

因此，對于國內某企業而言，目前雖已部署了大量安全產品，如漏洞掃描設備、防火墻、WAF、負載均衡設備、防篡改系統、郵件網關、防惡意代碼軟件、堡壘機以及SIME平臺等，但仍缺少一個系統或平臺統一分析展示企業整體安全形勢，更無法通過對這些基礎安全數據或信息進行進一步分析預測企業整體安全態勢發展，無法智能地洞悉網絡安全態勢，無法更主動、彈性地去應對新型復雜的威脅和未知多變的風險。

1.2 研究意義分析

安全態勢感知技術是對組織整體安全運行狀態的宏觀反映，它通過建立一套可行的網絡安全特征體系來反映一個網絡系統過去、當前以及未來的網絡安全變化情況。通過多數據源收集網絡的運行情況和受到的攻擊情況，然后通過特征提取與量化，并將量化后的數據進行處理，得到過去和現在的網絡安全狀態，最后通過多種預測手段，利用已經得到的數據預測，提供一個直觀準確的網絡安全態勢走向。如圖1所示。

對于企業而言，建設安全態勢感知平臺可對保障企業網絡安全產生以下重要作用：

第一，網絡安全態勢感知技術能夠通過采集和分析多種安全信息并將這些安全信息進行綜合分析，從而讓管理人員從整體上了解到當前網絡的安全狀況，通過對包括網絡攻擊、服務信息以及系統自身脆弱性等相關安全元素進行多源綜合分析，對整體安全態勢從多維度進行展示，例如可以對漏洞信息、安全威脅信息、業務重要度、管理流程符合性等內容進行綜合分析，并從合規、風險、安全威脅、漏洞等不同維度去更豐富、更有層次地呈現企業整體的網絡安全形勢。

第二，網絡安全態勢感知技術可以動態反映安全狀況，可以看出一段時間內安全的動態變化情況，通過對同一攻擊源一段時間內的攻擊行為進行橫向、縱向分析，同一時間段內不同攻擊源的攻擊行為的關聯分析，以及對同一受攻擊目標的業務重要度、所在安全環境的綜合分析，動態反映整體安全狀況。

第三，網絡安全態勢感知技術可以預測未來一段時間內網絡安全的發展趨勢，依據綜合評估分析的結果，利用時間序列等分析方法分析網絡未來的安全情況，對可能出現的安全威脅提前做好防護準備，例如可以通過對某外部攻擊者的綜合分析判斷當前已發生網絡安全事件或安全威脅告警所處的殺傷鏈階段，預測下一步可能出現的安全威脅，并提前做好防護準備、制定好安全策略，提高網絡的安全性。

綜上，通過利用網絡安全態勢感知技術的“可感、可知”，結合企業網絡安全事件集中監控與管理能力和網絡安全事件應急管理能力，能夠有效應對上文提到的風險與挑戰，輔助企業網絡安全決策。

2 安全態勢感知技術研究

下文將詳細介紹安全態勢感知技術的結構框架與流程，并對態勢感知的核心技術進行詳細闡述。基于對態勢感知的理解，安全態勢感知的處理流程也同樣可分為三個層次，分別為安全態勢認知、安全態勢理解和安全態勢預測。

2.1 安全態勢認知

安全態勢認知即對安全態勢特征的提取與量化，主要是了解組織當前的安全狀態，在網絡環境中監視網絡數據流，通過對連接數據、管理數據等底層數據輪廓的學習，及時發現偏離正常輪廓的網絡行為信息，從而確定引起異常的行為、攻擊者的身份、入侵的頻度和入侵目的等。與傳統的態勢感知方法相同的是，網絡安全態勢感知需要在第一步對底層的對象進行身份識別、目標定位和態勢知識的推理，這一步的目的都是通過在底層數據中提取數據，并將數據處理成態勢感知所需要的形式，為下一步的態勢理解/評估做好準備。此過程除了狀態識別與確認（攻擊發現）外，還應對態勢認知所需信息來源和素材的質量進行評價。

2.2 安全態勢理解

安全態勢理解則是對安全態勢特征的評估，包括了解攻擊的影響、攻擊者的行為和當前態勢發生的原因及方式，可簡單概括為損害評估、行為分析（即對攻擊行為的趨勢與意圖分析）以及因果分析（包括溯源分析和取證分析）。態勢的評估是建立在態勢特征的提取與量化基礎之上的。態勢評估是融合、關聯和歸并安全事件信息，對已經發生的安全事件或性能指標進行實時分析，對組織安全狀態生成一個動態的理解，通過這個理解可以得到組織受到的威脅信息，并將這些信息通過安全態勢折線圖表達出來，用以反映組織的安全狀態。

2.3 安全態勢預測

安全態勢預測是對態勢發展情況的預測評估，主要包括態勢演化和影響評估。通過生成的狀態折線圖可以對已經發生的過去的安全狀態有個清晰的了解，但是安全事件已經發生后再進行應急處理顯得為時已晚。因此需要將得到的評估結果結合相關技術對網絡威脅的變化做預測，以便管理人員能夠提前做好防護準備，制定合理準確的應對方案。

3 安全態勢感知技術的應用探索

3.1 安全態勢感知技術應用模型設計

從安全態勢感知的處理流程看，態勢認知層的技術應用主要體現在可見性層，態勢理解和態勢預測的技術應用主要體現在安全態勢感知技術應用模型的安全分析層。

安全態勢感知技術應用模型可分為三層，自底向上分別是可見性層、安全分析層和展示與應用層。其中可見性層主要能力包括全面感知組織安全環境中的安全數據、支撐全面感知組織安全環境內外部數據源的采集、存儲能力以及多數據源接入標準化能力。安全分析層主要能力是通過對當前形勢進行充分理解，多維度分析、評估當前安全形勢下產生的影響的能力，包括大數據處理能力、實時分析能力以及多數據源復雜場景關聯分析能力。

因此，安全態勢感知平臺的建設主要集中在可見性能力和安全分析能力的建設上。

對于該企業而言目前可見性方面已初步具備傳統安全產品數據源，但僅有此部分數據源不足以呈現完整的安全狀況，對于管理數據的接入缺失以及新一代檢測數據（如流量分析平臺、端點監測工具等）的缺失將直接影響整體安全狀態的獲知;對于安全分析能力方面，目前已部署的SIEM平臺可具備一部分安全分析能力，但對于復雜場景下用戶行為實體的分析或預測仍是重要缺失。下文將對該企業態勢感知平臺可見性能力和安全分析能力的建設進行重點闡述。

3.2 安全態勢感知可見層技術應用探索

安全態勢感知技術的第一步是對多數據源信息進行預處理，因為不同設備處理網絡攻擊的方法不同、表現方式也不同，數據標準也不一致，同時還包含一些無用的數據信息，如果不將這些數據進行預處理而直接使用，會導致評估過程無限延長，甚至會產生錯誤的評估結果，影響最后的態勢預測。因此先將有用的數據從海量數據中剝離出來，保留有用的數據，剔除對評估分析無用的、甚至產生誤導作用的數據，為安全分析工作做好準備。

可見層的核心技術功能點主要包括：

（1）數據標準化，既可以對結構化數據進行標準化，同時可對非結構化數據進行標準化;（2）數據存儲與處理，即大數據存儲與處理能力;（3）數據采集，包含syslog、文件和目錄監視器、威脅情報、DB Connect和WINDOWS監視器等;（4）數據接口，如軟件安全開發工具包SDK（Python＼jave＼ JavaScript＼C#＼Ruby）、數據轉發至第三方系統（TCP套接字＼Syslog）和REST API等;（5）數據源，涵蓋原始數據及單點檢測分析，覆蓋面應涵蓋內部（人、終端、應用、主機、網絡、物理）和外部情報數據，關鍵技術包括數據和應用監控、漏洞掃描工具、威脅情報平臺、惡意軟件分析和沙箱、NFT或NTA以及端點檢測和響應。

下文將著重對數據源規劃、數據標準化、接入數據源應用功能及部署關鍵點分析進行重點闡述。

3.3 數據源規劃與數據標準化

3.3.1 數據源規劃

從數據源覆蓋全面感知安全形勢出發，結合企業現有數據源情況以及場景案例數據源需求，規劃數據源共分為三大類，包括傳統數據源、上下文數據、新一代檢測分析數據。

傳統數據源主要包括系統軟件日志、硬件設備日志、工具軟件日志、應用交易日志、管理數據和情報數據;上下文數據主要包括用戶上下文、資產上下文、漏洞上下文、威脅環境、安全配置上下文、數據上下文、外部數據、業務環境、位置和物理環境;新一代檢測分析數據主要包括沙箱數據、流量分析平臺數據、EDR數據。

3.3.2 數據標準化

安全態勢感知平臺應建立數據標準化模型，將各廠商、外部數據進行標準化，支撐各模塊應用。數據的標準化一般包括三個步驟：名稱統一、分類、狀態統一，通過標準化數據管理模型實現。

3.3.3 接入數據源應用功能及部署關鍵點分析

基于該企業已部署了如防火墻、網頁防篡改系統和上網行為管理等安全產品的現狀，SIEM平臺已實現一部分數據源接入和數據標準化，但缺少整體數據源接入依據，缺少數據源規劃。該企業需要再補充新一代檢測分析數據領域，主要側重探索全流量分析平臺、沙箱和威脅情報平臺的應用探索。

全流量分析平臺應用功能及部署關鍵分析如下：實現對所有互聯網流量的收集、存儲和分析;區別于傳統安全的IPS、防護墻，從七層網絡層面分析數據報文;通過會話級的視圖展示，呈現攻擊鏈的全過程視圖，為攻擊行為的回溯分析提供支持。

沙箱應用功能及部署關鍵點分析如下：針對郵件系統，部署郵件附件檢測沙箱，解決釣魚郵件、魚叉攻擊、木馬攻擊等威脅;可實現針對業務系統部署文件檢測沙箱，解決跨外網向內網傳輸文件問題，規避“僵木蠕”風險;與SIEM系統、威脅情報實現數據同步，為安全感知提供可靠的元數據。

威脅情報平臺應用功能及部署關鍵點如下：本地化部署威脅情報系統，實現“本地查詢+云端查詢”的混合模式;集成商業威脅情報和第三方開源威脅情報，保障威脅情報的多元性，提高研判置信度。

3.4 安全態勢感知安全分析層技術應用探索

在當前大數據、多信息源時代下，安全態勢感知也變得更為復雜，傳統的因果關聯分析、事件統計、本體模型等技術方法雖然依舊是有效的感知技術，然而傳統的感知技術適用的感知級別具有降低的趨勢。

安全分析層的核心技術功能點按照分析方法可分為安全智能分析、機器學習和深度學習三種分析技術，一是安全智能分析，主要用于應對已知威脅，通過與資產、漏洞、威脅情報和多事件源等上下文的關聯分析，提升告警準確率，減少誤報，如通過簽名或基線檢測、閾值、威脅情報關聯、資產或身份關聯、漏洞關聯、多事件或實體關聯以及地域關聯等;另外兩大類為機器學習與深度學習，主要用于應對未知威脅，通過機器學習，對風險進行深度挖掘，并對用戶、攻擊者、內部員工的行為進行分析，如通過動態基線檢測、邏輯回歸、聚類、決策樹算法等。

4 結語

本文對安全態勢感知技術在國內某企業應用可行性進行研究與分析，具體目標包括：明確安全態勢感知技術對企業的應用意義和可行性;結合企業現狀探索建設安全態勢感知平臺的實施路徑。

本文首先介紹了安全態勢感知的研究背景與研究意義，基于現狀分析目前面臨的安全挑戰和威脅，本文還對安全態勢感知技術在企業的應用進行了重點闡述，明確了引入安全態勢感知技術的主要目的是輔助企業進行安全決策。在此基礎上充分研究了安全態勢感知的定義，共分為三層：安全態勢認知、安全態勢理解和安全態勢預測，對應技術應用層分別為可見層和安全分析層。隨后本文基于企業現狀，結合可見層和安全分析層的核心技術點對建設態勢感知平臺可行性進行評估，并對未來如何進行平臺建設提出了建議，以此為后續安全態勢感知技術落地提供研究基礎。

總之，從落地可行性分析，目前該企業已部署了SIEM平臺和部分用于安全威脅檢測的安全產品，已具備一定落地實施的基礎。下一步可安排力量進行專項研究和建設，在安全態勢感知技術的應用上遵循“結合現有SIEM平臺，分層能力建設;利用好當前產品，做好未來銜接”的原則分層建設、分步實施。建議逐步完成以下工作內容，以完善安全態勢感知平臺能力建設，如表1所示。

參考文獻

[1] 韓曉露，劉云，張振江，等.網絡安全態勢感知理論與技術綜述及難點問題研究[J].信息安全與通信保密，2019（07）：61-71.

[2] 武珂.網絡安全態勢感知應用[J].中國有線電視，2017（b03）：391-393.

[3] 張松，王行健，魯偉.網絡安全態勢感知研究綜述[J].電子測試，2017（14）：52-53.