基于態勢感知技術的專用網信息安全研究

梁志達 孫瑩

摘要：隨著信息化建設的不斷推進，網絡安全事件也隨之增加，給使用專用網單位信息化網絡及服務系統安全穩定運行造成巨大的威脅。態勢感知防護技術可以實時分析并研判出已知的安全漏洞和預測未來有哪些可持續攻擊行為的發生，通過相應的安全策略細粒度嚴格過濾每一個數據包的內容，通過態勢感知系統聯動各個防火墻設備以及EDR和NDR的邊界設備做到實時精準打擊且不放過任何一個可疑的數據包，通過不斷的演練的攻防讓態勢感知系統學習到更多的特征和行為做到統領全局的效果。

關鍵詞：態勢感知技術;信息安全;安全策略

中圖分類號：TP393 ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）02-0048-03

1 背景

態勢感知是對整體的網絡環境和在網絡節點中分布探針系統，通過收集環境中的數據信息通過綜合判斷和判別融合大數據進行的一種分析過濾并通過直觀的界面展示出來的一種數據分析形式[1]。

通過態勢感知可以快速地溯源數據包的來源和威脅情況從而快速定位問題出現的方位和對網絡整體造成的影響，從而立體地對網絡的東西向和南北向的數據流量增加安全防護[2]。

2 建立智能一體化的專用網信息安全中心

2.1 現有的傳統網絡不滿足信息化的腳步

針對部分專用網單位中的網絡設備多數還以路由交換為主，但這些設備有強大的數據轉發能力的前提下卻不能滿足對數據包七層的分析過濾等特征分析的功能，各通信站或者下屬單位沒有直接明顯的邊界區域概念，即使有防火墻但并不是智能下一代防火墻，因此對于數據的分析和判別不精準對APT攻擊防護更是無能為力。APT名字來源 Advanced（高級）Persistent（持續）Threat（威脅），中文全稱高級持續性威脅。是一種可以說“蓄謀已久”的攻擊，基本可以大體上分為以下幾個過程進行攻擊：

第一階段：掃描探測目標

在這個階段攻擊者會對目標網絡環境進行長時間的掃描或者通過社工學等一系列方式來找到目標網絡環境有哪些可以值得利用的漏洞信息和爆破信息。

第二階段：工具的投放

一旦攻擊者找到可以值得利用的漏洞后，攻擊者會采取各式各樣的辦法方式將產生的惡意代碼、惡意木馬、惡意的URL、甚至是偽裝后惡意郵件發送給目標，目標打開連接后可能不會直接觸發后面程序，經過長時間潛伏期后將收集的網絡環境的信息發送給攻擊者，待時機成熟后大面積開展持續攻擊以獲取重要數據和破壞環境中其他主機。

第三階段：遠程服務建立

信息收集后將中毒或者正處于潛伏期的網絡設備悄悄地與黑客主機或者服務器建立遠程連接，并留出大量后門和提升自己的權限以獲取足夠的權限來控制“肉雞”。

第四階段：立體擴展攻擊網絡

以點成線，以線成面，以面成體。這個過程是一個立體化的攻擊結構，通過入侵一個點來橫向擴展到其他主機，再通過其他主機獲取交換、路由、防火墻等一系列網絡設備的權限，做到由內而外地全面入侵。

第五階段：全面攻擊和控制

把一些有價值的數據和敏感數據通過加密的方式傳輸到攻擊者或者某一個公開數據庫中，通過受害主機為跳板把數據打包或者隱匿起來等待時機傳輸，而大部分網絡中對內而外的數據包過濾和檢測都不十分關注，對于專用網單位來說更是要引起高度重視和關注。

2.2 網絡安全態勢感知系統模型

網絡態勢感知系統充分利用大數據技術，融合多種探知檢測系統，提供了大數據存儲計算、數據挖掘分析、場景引擎分析、大數據建模分析、態勢分析、調查分析、安全監測、安全處置、集中策略管控、資產管理、威脅情報等核心功能，幫助用戶實現全面的態勢感知。探知檢測系統主動發現網絡資產，探知終端行為，發現網站漏洞、掛馬、篡改，檢測流量中的木馬控制、入侵及網絡訪問，收集網絡、安全、應用等設備及系統日志，實現摸清網絡家底。挖掘分析建立情報關聯、攻擊檢測、IP畫像、態勢分析等模型對探知檢測到的數據分析全面找出網絡風險。信息檢索及探索分析支撐專家進行風險確認和漏洞追溯。通報處置支撐風險事件流程化處置。威脅情報管理匯集多種情報源，提升風險認清效率。從而實現全網資產采集探測、動態聯動漏洞掃描設備、一鍵管理防火墻和IDS策略、全天候網站異常監測、多事件關聯分析、反向追蹤溯源、資產失陷研判、威脅IP畫像、可視化建模分析、自定義場景引擎組合、多維度可視化態勢展示等[3]。

2.3 數據預處理和特征選擇

態勢感知首先是通過部署節點探針通過流量鏡像的方式來獲取網絡當中的數據包，同時采集日志審計設備、防火墻、IPS、IDS、NDR、EDR等日志信息的流量特征[4]。

收集底層數據后進行篩檢和過濾將不重要的數據包和特征過濾掉重點判斷和分析存在異常行為的數據來匹配特征庫進行比對做出處理動作。

特征收集是一個細粒度的分析過程，通過最小化最優原則，將判斷后的結果分發到各個節點設備讓各節點采取處理動作。特征的選擇一般有Filter 和Wrapper 這兩類， 當然還有ABB 算法、Relief算法和LVW算法。這幾年的其他算法也起著重要的作用比如：遺傳算法、模擬退火算法。

3 基于態勢感知技術的專用網信息安全的具體做法

3.1 建立數據中心的安全中心，形成安全智慧大腦

基于態勢感知的智能安全中心是建立在大量探針的基礎上，通過這些探針收集、監測目標的安全狀態，并及時分析、處理信息網絡中各種威脅、攻擊等，從而提高整個信息網絡的安全性。專用網單位綜合各類主流技術，部署技術先進，運行穩定的探針，具有以下功能：

1）感知探針能夠分析現存的大量數據協議，通過細粒度劃分可以精準判斷數據的行為，感知探針設備一般性能非常強，可以將大量數據分析特征包的比對，同時面對現在數據爆發的時代，可以采用多級別、多節點、冗余等網絡架構削弱數據帶來的壓力，做到層級式的網絡攔截分析。

2）感知探針同時可以加載多種引擎模塊比如IPS、AV等入侵和防病毒模塊，可以直接在探針層就可以把流量特征分析出來，以減輕態勢感知服務器的壓力，避免遭受木馬、蠕蟲、宏病毒和流量攻擊，以及腳本病毒的危害。

3）感知探針本身就是一臺具有特征庫和一定性能的設備，通過設備自身的收集信息的作用和效果大大提高精準度和緩解大量的網絡數據處理的壓力，更加細粒度挖掘數據存在的風險和網絡結構中東西向的防護，更精確可靠，同時能夠基于IP地址、病毒庫匹配特征、攻擊事件、應用協議等產生的流量信息和攻擊信息以及已經失陷等事件信息，可以通過編輯自定義統計指定協議流量的TOP排名，能夠協助信息運維人員了解當前網絡帶寬和攻擊響應的狀況，并及時做出響應。

圖2 展示了態勢感知的攻擊界面和存在攻擊的top排行榜和形象地展示了哪種類型的攻擊以及應急預案的匹配，而且還體現出哪些高危漏洞和已經被入侵的業務。

3.2 建立專用網信息安全培訓演練平臺

專用網單位必須非常重視日常的安全培訓和演練，要想增強信息化建設的腳步首先要改變人員對網絡安全的意識，通過觀念的改變來帶動行動的改變，原有的培訓形式已不能滿足現代化信息快速發展的腳步，應該以多學、多練、多交流為主導。

通過部署各類網絡安全設備發揮對網絡的層級保護，并長期開展訓練對抗平臺操作來發現現有的技術存在哪些缺點和不足，對抗演練平臺能充分地說明工作當中有哪些已知和未知的攻擊參數和行為，也是對各個廠商設備的一種考驗的判斷，彌補現存網絡中的病毒和威脅的一種認知。圖3展示一次實際演練過程。

3.3 強化專用網智能檢測的動態特性

隨著網絡安全設備的不斷增加，下一代智能防火墻、入侵檢測系統（IPS）、入侵掃描系統（IDS）、行為管理等安全設備的大量部署使用，安全網絡設備在實際機房環境中也起著重要的作用，甚至可以說依賴作用，傳統的網絡設備對抗現在多種多樣的新型攻擊卻顯得力不從心，傳統的防火墻只能對四層的網絡協議和簡單的七層協議做出判斷，而現代化的防御系統卻要大家一起努力共同進步，做到知識與病毒庫的共享方能應對更多的攻擊行為。

智能態勢感知系統的部署對整體的信息化的建設不僅起到承上啟下的重要作用，它的關鍵在于對于數據的分析和動作的處理更加精準和快速，傳統的運維機制完全是靠人力，人員的技術水平和技術要求更是要精益求精，但現實中人員存在多種不穩定因素和技術缺陷等問題，對于數據是分析更是因人而異，通過態勢感知技術的快速部署和判讀大大節省人為的多種復雜因素和條件上的束縛。

信息化不僅僅是某個人的任務也不是一個團隊的任務，它是一個數據共享、數據互通的形式，通過自動化運維讓判斷更精準、處理動作更快速、人員更方便的作用。

4 態勢感知應用的成效

4.1 信息安全管理水平提高

通過部署態勢感知系統直觀地展示攻擊數據流向爆發的原點，從而大大提高技術上的能力的快速應急處理能力，從而將風險控制在可控范圍內，避免不必要的大面積失控場面的發生。通過監控和管理面對極其復雜的網絡攻擊尤其是以日益增多的0day攻擊和APT攻擊，態勢感知可以快速應對做出處理[5]。通過態勢感知探針收集到日志和流量信息傳送給態勢感知平臺，快速做出判斷和處理結果和是否放行和阻斷等動作，幫助信息管理人員快速處理問題。

4.2 安全信息管理人員技術和觀念的提升

建設基于態勢感知的智能一體化平臺的作用不僅僅是體現在設備的部署和動態的感知，更重要的是提升每一個作為安全運維人員的認知和技術能力，面對傳統運維和智能運維的對抗技術是一方面而另一方面還是觀念的改變和應急處理的更替，通過安全事件緊急處理流程的升級來帶動處理突發事件的緊急應對能力。

5 結束語

隨著網絡安全意識不斷增強，及時發現網絡中各種風險顯得尤為重要，及早發現安全隱患，控制風險在萌芽有利于專用網絡安全管理，態勢感知系統應用較好地解決了這個問題，它通過發現網絡中存在的各種威脅信息并直觀地通報網絡管理者存在風險與需要處置的信息，同時聯動各個防火墻以及IPS、WAF、IDS讓網絡的管理更加立體，加快了專用網單位信息化建設的步伐，達到發現問題及時聯動的效果，大大減少處理錯誤和工作量，為專用網單位實現智能化網絡安全管理提供了有力的技術支撐。

參考文獻：

[1] 王娟，張鳳荔，傅翀，等.網絡態勢感知中的指標體系研究[J].計算機應用，2007，27（8）：1907-1909，1912.

[2] 王慧強，賴積保，朱亮，等.網絡態勢感知系統研究綜述[J].計算機科學，2006，33（10）：5-10.

[3] 陳彥德，趙陸文，王瓊，等.網絡安全態勢感知系統結構研究[J].計算機工程與應用，2008，44（1）：100-102，147.

[4] 龔儉，臧小東，蘇琪，等.網絡安全態勢感知綜述[J].軟件學報，2017，28（4）：1010-1026.

[5] 劉冬蘭，劉新，張昊，等.基于大數據的網絡安全態勢感知及主動防御技術研究與應用[J].計算機測量與控制，2019，27（10）：229-233.

【通聯編輯：謝媛媛】

1800500511373