面向威脅信息的網絡安全態勢感知研究

谷曉鵬

（91001部隊，北京 100841）

0 引言

計算機網絡的日益普及和組網技術的快速發展，網絡在深入社會、政治、經濟、軍事等各個領域，對社會治理、產業發展、個人生活、思想文化產生了巨大影響。網絡在人類社會中的作用越來越大，同時入侵攻擊帶來的損失也日益增大，網絡安全問題逐漸嚴重。網絡攻防也日趨規模化、分布化、復雜化，攻擊手段向著態勢變化迅速、破壞性越來越大的方向發展。日益嚴峻的安全威脅迫使政府、社會、企業不得不加強網絡系統安全防護。目前網絡攻擊向著高級持續威脅等有組織的攻擊發展，傳統的單點防御、各種獨立的安全防御措施，在新的攻擊技術、新形勢下，已經完全無法滿足需求。構建協同化、立體防御系統，核心在于有效生成和發布網絡安全態勢信息，使得防御方難于響應復雜網絡攻擊。在這種情況下，迫切需要一種新的網絡安全態勢系統，可協同各個網絡防御單元實時掌握網絡安全態勢信息，并及時消除網絡威脅，降低攻擊造成的損失。網絡安全態勢信息是不同的安全廠商、網絡運營單位之間進行安全情報共享、敵情我情評估的共性數據，而且具備機器可讀信息。因此，開展網絡安全態勢感知研究至關重要。

本文首先參照國家相關標準，面向網絡威脅信息設計安全態勢感知模型，并在此基礎上構建網絡安全態勢感知系統，為全面的網絡安全防護體系構建提供前瞻且務實的指導思想。

1 國內外研究現狀

態勢感知（Situation Awareness,SA）最早用于研究飛行員對當前所處飛行狀態的認識［1］。Endsley 等［2］認為態勢是對抗雙方或多方，在一定時空環境內的各方態勢要素進行探測與信息收集，并對獲得的信息進行理解，預測它們在不久將來的狀態的方法。態勢感知通常分為三個層次，分別為察覺、理解和預測。

1999 年，Bass［3］提出了網絡空間態勢感知（Cyberspace Situation Awareness，CSA）和網絡態勢感知（Network Situation Awareness，NSA）的概念，是首次將態勢感知概念引入網絡安全領域。本文基于Bass 對CSA 的定義，認為網絡安全態勢感知是在大規模網絡環境中，對能夠引起網絡態勢變化的安全要素進行獲取、理解、可視化，并能夠對未來發展趨勢進行一定的順延性預測的技術方法，其最終的目的是要獲得網絡安全防御的正確決策，采取正確行動。所以，網絡空間安全態勢既是一種狀態，又是一種趨勢，必須考慮整體、全局多個層級以及它們的關聯性，用普遍聯系的思維研究網絡安全問題，因此任何單一的安全事件、局部的安全狀態都不能稱之為網絡安全態勢。

2007 年，美國在愛因斯坦計劃［4］的基礎上提出可信互聯網連接（TIC）計劃，提出網絡出口管理。2010 年又通過《聯邦信息安全管理法》要求各機構的網絡信息安全方案中，必須包含對各類信息系統進行持續監測［5］。美國國家標準與技術研究院在2016 年發布了網絡威脅信息共享指南，該指南中所涉及的信息源的選擇、威脅情報類型、數據源的選擇、威脅指標等內容可以作為態勢感知系統的有效參考［6］。

國內對態勢感知發展建設同樣重視。2017年，中國移動通信集團公司業務支撐系統部制定了《中國移動業務支撐網升級安全威脅分析與預警平臺技術規范》［7］，規定了中國移動業務支撐網省級安全威脅分析與預警平臺對業務支撐系統、管理信息系統各類安全數據的采集、存儲、安全威脅分析、安全告警和安全預警的功能要求。2019年5月，發布的國家標準《信息安全技術網絡安全威脅信息格式規范》（GB/T36643-2018）［8］中，對網絡安全威脅信息描述做出了標準規范，有助于整體的網絡安全威脅態勢感知能力的提升。目前態勢感知已經逐步成為網絡安全系統建設中越來越重要的組成部分。

2 安全態勢感知模型

為確保構建的安全態勢感知模型具備通用性、一致性和可移植性，本文在遵循GB/T36643-2018標準要求的基礎上開展設計，首先介紹上述標準中的威脅信息模型。

2.1 威脅信息模型

為了能夠實現不同組織間網絡安全威脅信息的共享和利用，GB/T36643-2018 標準定義了威脅信息模型，從對象、方法和事件三個維度對各類威脅信息進行了劃分。經典的威脅信息模型包括可觀測數據（Observation）、攻擊指標（Indicator）、安全事件（Incident）、攻擊活動（Campaign）、威脅主體（Threat Actor）、攻擊目標（Exploit Target）、攻擊方法（TTP）、應對措施（Course Of Action）在內的八個威脅信息組件描述網絡安全威脅信息。又可劃分為對象域、方法域和事件域：

（1）對象域：描述了網絡安全行為的參與角色，核心就是攻防雙方，包括“威脅主體”類角色（一般是攻擊者）和“攻擊目標”類角色（一般是被攻擊方）。

（2）方法域：描述網絡安全威脅中的方法類元素，包括兩個方面：一是“攻擊方法”，二是“應對措施”，分別對應了攻擊者的主要方法，也就是攻擊和入侵所采用的方法、技術和過程，和防御方的主要技術方法，也就是針對攻擊行為的防御措施，如預警、檢測、防護、響應等動作。

（3）事件域：描述網絡安全威脅相關的事件，包括四個組件：攻擊活動、安全事件、攻擊指標和可觀測數據，其中攻擊活動通常以經濟或政治為攻擊目標，攻擊事件是指對目標信息系統進行網絡滲透的行為、安全時間主要指對終端、網絡節點、設備實施的具體攻擊，可觀測數據主要是從網絡或主機層面捕獲流量和日志信息。

在對上述模型信息組件研究的基礎上，經過各類安全時間和攻防模型的研究，本文在微觀、中觀和宏觀三個層面構建了安全態勢感知模型，并可劃分為運行狀態態勢、攻擊活動態勢和攻擊方法態勢。

2.2 運行狀態態勢

運行狀態態勢是針對所要描述的網絡環境，給出其運行狀況的定性及定量評估，如圖1 所示。運行狀態所基于的網絡環境，應當是單個資產，或基于一定關系組織起來的局部網絡或資產組合，從微觀到中觀到宏觀，可基于應用、設備、信息系統、業務活動、域、子、整體網絡等給出運行狀態態勢?；跁r間序列給出的運行狀態評估值序列稱為運行狀態變化趨勢。

2.3 攻擊活動態勢

安全事件基于威脅主體及具體意圖的融合理解，形成攻擊活動。對于安全事件最直接的融合是基于過濾條件（如時間、威脅主體、攻擊方法、攻擊目標等）輸出事件列表及事件次數統計信息。從微觀、中觀到宏觀視角對安全事件-攻擊活動的態勢如圖2所示。

圖2 安全事件-攻擊活動態勢

同樣，也可針對事件數量及威脅評估值在時間序列上的變化形成事件數量時間趨勢及威脅評估值時間趨勢，如圖3所示。

圖3 攻擊鏈模型

從態勢感知角度，基于威脅事件的特征把事件分配到攻擊鏈各個環節，從IP 關聯、時間關聯、大類關聯、階段關聯等多種關聯手段分析攻擊者意圖，建立起事件與事件之間的關聯關系，還原攻擊過程。

從攻擊鏈模型的七大階段看，前三階段事實上是攻擊的試探及準備階段，第四個階段“滲透”是個分界線，后面三個階段都是滲透成功，獲得部分權限后所執行的威脅活動。攻擊鏈的具體實例，基于不同的威脅過程，可能不一定包含七個步驟的內容。

2.4 攻擊方法態勢

攻擊方法的分類分為兩種維度。其一是對攻擊技術手段的維度，其二是針對攻擊目標所利用的脆弱性進行分類。

對攻擊技術手段的分類分為基于攻擊機制及攻擊領域兩種分類方式。針對攻擊目標的脆弱性的分類方式可按研究概念視圖、開發概念視圖、架構概念視圖等不同視圖進行分類。

不管采用哪種分類方法，攻擊方法的分類都是多層次的結構，如圖4所示。攻擊方法在微觀上的態勢分析是針對單個事件具體使用的攻擊方法的分析。對攻擊方法的態勢融合在分類層面的從微觀層次到中觀再到宏觀的融合遵循從單個具體的方法到小類型到上級類型的規律。

圖4 攻擊方法態勢

3 網絡安全態勢感知系統框架

結合大數據、人工智能等技術，實現安全態勢感知模型的應用，形成網絡安全態勢感知系統框架如圖5 所示。該系統分為資源層、采集管控層、大數據層、服務層和業務層，采集層對資源層進行安全數據采集，通過大數據層實現數據存儲與分析，這三層為平臺的服務層和業務層提供數據支撐。而平臺的服務層和業務層，為用戶提管理服務和技術服務。

圖5 網絡安全態勢感知系統框架

3.1 數據支撐服務

網絡安全態勢感知系統在數據支撐上，支持對網絡下所有節點日志的統一管理，以及多種日志采集方式收集云平臺設備和系統日志，并通過對日志的分類、過濾、強化、分析和存儲，為技術服務與管理服務提供數據支撐。

通過內置過濾器，系統對網絡設備、安全設備、安全資源池等進行日志過濾、歸并和規范化，過濾掉嚴重程度較低的原始日志信息。通過指定日志影響的設備、日志采用協議、日志類別、日志標題等日志屬性進行過濾，對日志數據過濾的開啟狀態進行手工設定，多級過濾。日志采集引擎支持預處理安全日志，在采集引擎段即可生成標準化的日志格式。通過交互式界面，動態識別和提取日志關鍵信息，并自動生成正則表達式，通過所見即所得的交互式模式進行正則的驗證。

3.2 管理服務功能

系統以安全管理體系為輸入，進行管理流程設計。如結合安全管理體系中的規章制度、規范流程設計平臺的工作流；參照管理機構與人員，對應用戶設置不同權限，制定審批鏈，并以此為參照，進行用戶權限管理；結合運維過程中的記錄、表單，設計工單管理中的流轉頁面。在平臺運營過程中，結合平臺資產庫、漏洞庫、配置基線庫等，通過平臺開展運維管理。

結合網絡內的掃描類產品，系統支持網絡資產自動發現功能，能夠自動發現和識別資產。能夠實現全局模式下通過搜索IP 地址、資產名稱、MAC、操作系統、資產編號、物理位置、資產類型等方式查詢資產表信息，實現事件快速定位。

脆弱性管理包括漏洞脆弱性和配置脆弱性兩個部分，是網絡環境重要的風險評估項，在等保與分保標準中，也要求定期開展配置檢查和漏洞掃描。脆弱性管理功能從脆弱性、漏洞情報和資產管理三維度出發，分析資產受影響情況，提供防護措施。通過脆弱性管理功能模塊加強漏洞風險管理。

3.3 技術服務功能

系統以安全態勢感知模型為基礎，綜合應用威脅情報系統，建立攻防場景模型，對態勢進行大數據分析，對各類相關數據設計了可視化展示方法，能夠建立對安全態勢的全面監控，在綜合其他數據源的基礎上，可以進行安全威脅的實時預警和安全事件的智能決策，具備安全事故聯動響應的能力。系統能夠高效地結合情境上下文分析，協助安全運維人員和安全分析工程師快速發現和分析安全問題。指導實際運維手段，提升網絡安全防御水平。

平臺在技術服務上包含三大核心：情報預警中心、態勢感知中心、聯動響應中心。

威脅情報管理根據來自內部預警信息和外部預警信息，分析獲得對可能發生的威脅的提前通告。

安全中心安全態勢分析的定位是可以針對整體范圍或某一特定時間與環境，基于條件開展微觀、中觀和宏觀的態勢感知評估，最終形成歷史的整體態勢以及對未來短期的預測。

聯動響應的安全架構自頂向下可分為安全應用、安全控制平臺和安全設備三層。態勢感知應用對整體攻防態勢進行感知，決策引擎進行分析判斷，最終生成安全決策，向安全控制平臺下達處置策略。

4 結語

網絡安全態勢感知系統是安全體系中融合技術與管理，提供整體運維和安全管控的支撐平臺。它一方面從網絡中采集安全數據，進行安全狀態實時監控，并通過大數據分析，結合威脅信息，形成多層面的態勢感知呈現。通過對全網安全數據的采集，應用大數據、機器學習等技術，形成安全管控的智能決策。