網絡安全態勢感知系統結構及關鍵技術

趙佩詠

(武警工程大學，陜西 西安 710086)

0 引言

20世紀末，Bass提出了網絡中態勢運行感知概念，這是網絡安全概念與安全態勢信息感知系統概念的復合概念，簡稱為網絡安全態勢感知，起初被應用于航空領域的交通安全監管，經過推廣被應用到了網絡安全管理方面。網絡安全態勢感知主要是以網絡、網絡中的安全監控設備與設備之間的日志、預告警作為基礎，對網絡系統進行實時動態化的綜合分析，旨在解決網絡安全問題。實踐經驗表明，網絡安全態勢感知系統通過模型方式搭建完成后，可以借助分布式網絡入侵數據檢測、數據相互融合分析的聯合方式，對網絡安全開展有效的態勢綜合評估。目前，人們在實際應用中增加了觀察黑客網絡攻擊事件足跡、SSARE檢測工具以及機器學習算法等，由此形成了多種適用廣泛、適配性較高的態勢感知技術。

1 網絡安全態勢感知技術概述

網絡安全態勢感知主要是指在網絡安全管理中應用的態勢感知技術，在形式上屬于一種網絡安全管理產品，在內容上則以態勢感知技術發揮作用[1]。自1999年提出該概念、形成理論、推廣應用至今，該技術已經經歷了3大發展階段：(1)網絡安全態勢展示階段；(2)網絡安全管理階段；(3)網絡安全態勢感知模型構建及應用階段。目前，應用大數據技術、云計算技術、人工智能等可以根據應用主體的實際需求，選擇不同的技術要素進行配置，并借助構建態勢感知模型的方式，提供智能預警、自動跟蹤、網絡安全態勢實時分析展示等。

2 網絡安全防護短板分析

以某企業為例，建立數據中心后，網絡部署以防火墻、入侵檢測等為主，當網絡受到攻擊時，可以生成大量安全日志，雖然能夠實現追蹤，但是在攻擊行為的溯源方面存在較大難度。同時，在日常的監測預警方面沒有設置有效手段，仍然采用人工方式檢查，主動防護能力相對較弱。尤其在漏洞處置方面，通過演練與實踐，基本可以達到漏洞處理目標，然而因弱口令暴力破解以及文件上傳漏洞的存在，并不能很好地防御來自網絡的攻擊行為，整體上的網絡安全防護自動化水平較低。為了有效解決攻擊行為溯源難、主動監測預警能力差、漏洞處置自動化水平低的多重問題，該企業選擇了網絡安全態勢感知技術，成功搭建了系統結構，并部署了相關技術。

3 網絡安全態勢感知系統結構分析

該企業在分析了網絡安全態勢感知系統后，主要通過概念模型與結構模型的方式搭建系統結構。

3.1 概念模型

在概述模型方面，按照“三層次，四步驟”進行搭建：(1)基礎概念層：為多源異構數據，包括IDS、防火墻、防病毒、安全審計等。(2)信息概念層：包括數據信息、特征信息、感知信息、態勢信息。(3)概念應用層：主要分為特征提取、安全評估、態勢感知、預警4大步驟。基礎概念層、信息概念層、概念應用層中的各個概念構成要素之間，密切關聯，構成了網絡安全態勢感知概念體系，并借助概念模型的方式進行呈現。

3.2 網絡安全態勢感知系統架構

以概念模型為基礎，該企業分析了搭建的網絡安全態勢感知系統結構的兩條線路：(1)數據源集成平臺—特征提取—安全評估—態勢感知—預警—態勢可視化顯示。(2)數據源集成平臺—拓撲發現—安全拓撲生成—態勢可視化顯示。其中，第一條線路中的安全評估，主要包括評估模型、漏洞掃描、威脅評估，態勢感知則以事件關聯和海量數據處理為主。第二條線路中的安全拓撲生成環節與第一條線路中的安全評估、態勢感知密切關聯。因此，在應用網絡安全態勢感知概述模型、結構模型時，通常要求應用主體根據實際情況，利用二次開發的方式搭建與其需求相一致的系統架構[2]。該企業結合實際存在的困難，搭建了由數據采集、存儲計算、BI展示層4大結構層組成的網絡安全態勢感知系統架構。具體如圖1所示。

圖1 網絡安全態勢感知系統架構

第一，數據采集層由若干探針硬件與安全管理軟件組成，數據來源于脆弱性檢測、安全威脅檢測、行為審計3個方面，此類數據采集定位在與態勢相關的元數據方面，包括信息安全產品的日志與告警和信息系統日志。例如，通過系統漏洞掃描與對Web平臺漏洞掃描，可以實時獲取外部情報、安全產品、日志代理、日志方面的脆弱性數據。再如，在網絡應用過程中，可以通過安全威脅檢測，對僵尸信息、木馬程序、傳播病毒等進行檢測，同時對網絡中應用的WNF，IDP，EDR，APR，DLP以及防火墻等開展安全威脅監測，尤其在網絡數據中心DDos檢測與網站監控方面，能夠實現全面實時的檢測，預防網絡運行中的各類威脅。除此之外，借助智能分析與人工信息錄入等方式，可以針對網絡行為、數據庫行為、日志開展動態審計，并將采集到的數據上傳到存儲計算層，通過該層的數據處理達到對數據的有效利用。

第二，存儲分析層含有數據存儲與數據分析兩個子模塊：(1)數據存儲模塊分設交換接口與數據清洗兩個子模塊，通過交換接口子模塊可以完成對數據采集層獲取數據的處理，功能包括SYSLOG、文件共享、數據庫表、消息總線、API等。當交換接口子模塊數據整理完成后，需要對數據進行清洗處理，因而在數據清洗子模塊中，需要通過數據歸一化、過濾、歸并、打標簽等進行分類[3]，在此基礎上構成數據集群與關系數據庫集群。(2)大數據分析模塊將分類好的數據存儲到存儲計算引擎模塊中的對應子模塊，常用的模塊有數據倉庫、分布式檢索、分布式計算、分布式文件存儲、關系型數據庫，旨在實現數據的標準化存儲。然后，利用大數據分析引擎得到數據結果，為核心業務層進一步應用提供數據支持。

第三，核心業務層將重點放在企業的資產管理、風險感知、預警管理3大業務。其中，資產管理業務通過探針識別、安全管理、風險分析進行操作。例如，在調查分析時，主要通過追蹤溯源、告警分析、事件分析、脆弱性分析、威脅分析、資產分析，保障對數據存儲計算獲得數據中異常數據的抓取。在風險感知業務中，主要根據溯源分析、關聯分析、威脅預警分析模塊進行業務分析，操作時借助對安全事件、攻擊威脅、網站、脆弱性的實時監測，實時為安全處置模塊提供風險數據，并通過該模塊中的處置工作臺與統計報表，完成風險數據處理，同時利用集中管控模塊為其提供本土地策略管理、在線策略管理以及配置備份。在預警管理業務中，按照風險預警、安全威脅預警、安全事件預警進行管理。考慮到資產管理處于核心地位，因而根據實際情況細化了資產管理模塊，并進行資產維護管理、資產屬性管理、資產識別，從而使威脅情報、安全知識通過報表的形式發送到態勢大屏中。需要注意的是，在核心業務層中能夠由用戶根據自身的業務，開展用戶管理、日志轉發、安全配置、系統維護。核心業務層與存儲分析層之間關聯密切，一旦存儲計算層中存在實時數據更新，就可以直接發送到核心業務層，由其中的相關模塊開展運算分析。

第四，在B1展示層，操作網絡安全態勢感知的主要界面設置了“安全態勢可視化→告警可視化→自定義展示→資產可視化→報表評估曲線展示”。從應用經驗來看，可以在大屏中通過全網態勢、威脅態勢、安全底圖、安全處置、專題態勢、自定義態勢模塊，開展網絡安全管理[4]。尤其是在大屏功能中，配套建立了知識庫，能夠利用以“知識積累—知識創造—知識應用—形成知識平臺—持續更新與循環”為基本環節的“循環+升級”模式，持續深化網絡安全態勢感知系統。

4 網絡安全態勢感知系統的關鍵技術

4.1 攻擊行為分析技術

該企業網絡受到攻擊時，主要包括預攻擊、攻擊、后攻擊3個階段。第一階段，旨在收集信息；第二階段，重點放在對初步權限的提取方面；最后一個階段，則會對系統相關數據進行清除處理，并進行滲透控制。例如，在外部攻擊中，該企業通過實時聚類的辦法，克服開源聚類算法方面的批次聚類不足，對動態產生的安全日志進行聚類后實施多維加權相似性計算。然后，根據預分類進行聚類處理，結合攻擊算法的多維攻擊方式，采用流式聚類方案，從而在較低資源占用條件下，針對不同攻擊場景，實施最大效用的智能分析。通過防御體系的建立及安全監測，該系統每日可以監測的境內外疑似攻擊行為數量大于10 000起，其中IP300條以上惡意攻擊可以快速監測并識別，結合應急處置演練方法進行有效處理。

4.2 主機惡意行為監測技術

該企業在網絡安全態勢感知系統中應用了大數據技術，而且借助類技術實施了虛擬化數據中心升級。考慮到虛擬主機惡意下載、惡意軟件檢測以及惡意識別等現象，該企業將網絡安全態勢感知技術與虛擬數據中心進行了關聯，能夠針對不同主機惡意行為開展智能監測。例如，在木馬程序、蠕蟲病毒、僵尸惡意代碼等方面，隨著對家族變種與代碼演化技術，其惡意攻擊行為越來越隱蔽。在這種情況下，借助網絡安全感知系統數據采集層設置的安全威脅監測模塊，實時跟蹤相關惡意代碼并對其開展全過程分析，在其不同的階段發起識別與安全處理。尤其在入侵組織識別、文件信譽評定、家族變種識別等方面，該企業借助“網內風險排查→感知→分析→處置”為主的閉環管理達到了較好的主機監測效果。

4.3 安全信息和事件管理技術

該企業通過網絡安全態勢感知系統開展安全信息和事件管理(SIEM)時，主要采用與第三方安全設備等聯合方式進行操作。該企業具體應用了SIEM分析系統，通過安全設備、AI機器學習，在“數據來源→數據采集&存儲→關聯分析→數據展示”的基本框架下，開展深入而細致的數據標準化分析[5]。在事件管理方面，該企業通過演習期實踐，發現三級應用系統、工程控制系統、門戶網站、OA系統、外網電子郵件系統等均沒有被攻陷。另外，該企業在用戶體驗方面增加了賬號登錄、外發數據、訪問、數據庫、外聯等方面的異常情況分析功能，借助網絡模型訓練完成對相關行為的畫像后，再結合基線畫線檢測超閾值畫線，得到行為異常數據。配套應用的決策樹、聚類等計算處理模型保障了系統的良好運行。

5 結語

總之，網絡系統的運用為各行業企業管理提供了技術支持，有利于提升管理效率，擴增可營利空間。在新時期高質量發展階段，有必要結合網絡安全管理需求，進一步增強對網絡安全態勢感知技術的運用。通過以上初步分析可以看出，網絡安全態勢感知技術先后經歷了3大發展階段，現階段的應用主要結合數字化技術，通過搭建態勢感知模型的方式，開展網絡安全態勢分析。其中，應用的關鍵技術包括智能分析外部攻擊、智能監測主機惡意行為、安全信息和事件管理、分析用戶實體行為等。因此，建議在當前階段，盡可能加強對態勢感知技術與智能算法的融合研究，為其網絡安全智能化管理提供技術支撐。