基于安全運營中心主動防御體系的態勢感知技術研究

摘要：針對網絡安全運營主動性防御缺乏針對性問題，提出一種基于網絡安全態勢感知的主動防御技術。首先，對網絡安全態勢感知以及相關技術概念進行分析；其次，設計態勢感知平臺部署架構及主動防御模型；最后，通過實驗驗證本文提出的技術方案的可行性。

關鍵詞：網絡安全運營；主動防御；態勢感知

引言

信息化飛速發展，給個人、企業甚至國家帶來了相應的信息安全風險，以震網（Stuxnet）與Havex病毒為主的網絡安全事故頻頻發生。傳統網絡的被動安全防御主要是建立在現有的網絡體系架構之上，通過更多層次的防御體系來提升網絡的安全性。但是，隨著網絡安全事故的頻頻發生，傳統網絡安全運營主動性防御缺乏針對性的問題日益凸顯[1]。針對此種情況，本文對基于安全運營中心主動防御體系的態勢感知技術進行研究，以期為提升網絡運營安全性提供參考。

1. 相關概念

態勢感知主要是建立在大數據基礎上的一種安全技術，具備動態、整體感知網絡安全風險的能力。該技術主要是在大數據的基礎上，在一定的時間與空間內，采集網絡信息系統的數據流量，通過匹配攻擊關聯規則，預測未來可能出現的網絡攻擊事件。主動防御技術（ADSS）主要是通過不斷地改變網絡基礎屬性，如端口、網絡協議等，實現主動防御。

在傳統的網絡架構中，國外有關研究人員提出了一種基于虛假端口地址轉換的主動防御方式，此種方式主要是通過在數據傳輸過程中加入虛假的地址以及端口信息，以此來迷惑攻擊者[2]。此外，有關研究人員還提出了一種基于隱藏信息地址轉換的主動防御技術，該技術主要是通過網絡地址的隨機轉換，將數據分散至不同的端口進行傳輸[3]。

基于網絡安全態勢感知的主動防御技術（ADSS）具有以下優勢：（1）主要是在網絡安全態勢感知技術的基礎上，針對惡意攻擊選擇相應的主動防御策略，有效提升了防御的針對性；（2）可根據轉換端接節點的地址信息，動態變換網絡拓撲結構，進而增加網絡的攻擊難度。

2. 態勢感知系統部署架構設計

系統架構主要由前端服務器（TSA、IDS服務器）、防火墻等部分組成，如圖1所示。不同類型服務器可為網絡安全態勢感知平臺提供相應的數據來源，以便于態勢感知預警系統進行相應的數據分析與檢索。采集服務器的作用在于收集TSA、IDS等前端服務器中的數據，并對其進行過濾、緩存處理。在數據經過相應的處理后，通過預處理服務器進行數據匯總，對其進行統一的規范化處理，并根據數據的類型將其存儲至相對應的存儲系統中。在數據經過預處理服務器處理后，將其轉存至hadoop服務器中，通過hadoop進行存儲與分析，并對數據的關聯性進行統計與挖掘，然后再將數據結果導入數據導入檢索引擎中，以便于在web服務器中查詢。ES節點（elasticsearch）服務器的作用在于對hadoop中的數據結果進行二次統計，并向web服務器提供相應的檢索數據。客戶端服務器主要是在態勢感知平臺的基礎上，提供相應的自動化運維以及監控服務，此時運維人員便可通過服務器提供的接口進行管理平臺的調度與運維[4]。

web服務器主要分為兩種類型，一種為web數據庫服務器，另一種為web展示服務器。其中，前者主要存放態勢感知預警平臺中的業務功能數據，后者通過業務服務器中的基礎數據與態勢感知預警平臺系統的數據，根據業務功能與威脅數據分析功能，實現數據的可視化展現。

3. 基于多源日志的網絡安全態勢感知主動防御技術（ADSS）

在網絡規模不斷擴大的背景下，網絡攻擊也變得多種多樣，雖然人們加大了網絡安全的建設力度，并增設相應的安全設備與系統，如防火墻、殺毒軟件等，但由于傳統安全設備僅能檢測已知的網絡攻擊，導致漏報與誤報的情況頻頻發生。同時APT產品只是對惡意代碼樣本進行分析，業務結合性相對較差，缺乏針對性，使得在追溯惡意代碼時還需通過人工分析的方式在海量的數據中尋找，在一定程度上增加了網絡攻擊檢測的難度。此外，雖然網絡安全運營中心（SOC）、安全信息、事件管理（SIEM）將安全系統中的日志進行了整合，但是由于數據源相對單一，加之缺乏針對性的分析手段，在一定程度上加大了安全分析人員分析數據的難度[5]。

在網絡運營過程中，傳統安全設備、系統、SOC均可確保網絡的運營安全，但是由于這些部分相互獨立，難以實現信息共享，在發生相應的網絡安全事件后，僅僅通過人工的方式進行解決，難以充分發揮各部分之間的作用。

針對此種情況，提出了一種基于多源日志的網絡安全態勢感知主動防御技術（ADSS）。該技術主要是將多維度、多層次的安全數據源進行整合，通過構建大數據分析技術的態勢感知預警監測平臺，在挖掘關聯性的基礎上對其進行深度分析，全面發展態勢感知與高效的數據分析技術，進一步提升網絡態勢感知與防御能力[6]。

對于本次設計的網絡安全態勢感知預警平臺而言，其內部在機器學習與智能分析算法基礎上建立了多種網絡安全模型，計算框架為TEZ，SPARK并行，通過數據挖掘、文本分析等方式對數據進行深度分析，并結合入侵檢測模型、網絡異常行為模型等實現安全威脅的甄別。同時通過信息系統的實時監控，構建了主動防御信息安全管理體系，將傳統的被動防御轉變為主動防御，并逐漸完善了已發生事件的應急處理機制，有效提升了網絡運營安全主動防御針對性的能力。網絡安全態勢感知平臺中主要包括以下幾種分析模型：

3.1 關聯分析模型

對于平臺中的網絡安全設備而言，其產生的日志詳細記錄了安全事件發生的整個過程，可針對性地對網絡中疑似攻擊事件產生報警，并且將其與對應的日志進行關聯分析，實現數據包的回溯分析，此時便可實現對應TCP過程的可視化，將整個網絡攻擊事件完整地還原[7]。通過此種在相似度基礎上進行的報警關聯分析，不僅有效降低了關聯分析的難度，而且還在一定程度上提升了關聯分析的準確性。基于相似度的報警關聯分析流程如圖2所示。

（1）提取報警日志中的主要屬性，目的在于將攻擊報警屬性還原攻擊時間，進而形成相應的原始報警；

（2）在得到相應的原始報警后，將其中重復的部分進行合并，對其進行分類匹配，并將相似度相對較高的報警進行聚合，形成相信的聚合報警；

（3）在得到聚合報警后，通過報警屬性相似度的計算方法，分配屬性權重；

（4）權重分配完成后，計算不同聚合報警的相似度，通過比較計算結果來判斷是否需要進行再次報警；

（5）在報警關聯性比較時，可通過基于時間窗口的報警方式來實現，并構建相應的關聯知識庫，深度挖掘原始數據之間的關聯關系，根據相應的報警繪制事件關聯圖；

（6）通過將同一類型的報警事件輸出，形成相應的安全事件，并按時間節點將報警事件發生的次數、攻擊目標IP等進行記錄。

3.2 融合分析模型

在安全設備運行過程中，通常會存在一定的冗余性，為了生成更為精確的安全態勢，需對設備采集的日志進行融合，并對單源日志報警信息的相似度進行關聯分析，這樣可將日志中攻擊時間的原始過程還原。在進行多源安全事件的判別時，主要通過D－S證據理論實現，此種方式不僅可對安全事件的可信度進行評估，而且還可有效提升準確率，對于降低安全設備的誤報率有著十分重要的作用，其融合分析的過程如下：

（1）由于安全事件具有多維度的特征，為實現安全事件的容和分析，可通過多維信息的分域、層次融合等方式來實現，并采用初始信息確定融合所需的概率分布近似算法實現對安全事件的融合處理，進而生成原始報警日志[8]；

（2）在得到原始報警日志后，通過初始信任的方式，分配信息度相似函數；

（3）通過D－S證據理論，對融合報警日志的可信度進行計算。

3.3 攻擊要素分析模型

通過部署在網絡出口的設備，可采集網絡輸出中的全部數據流量。由于采集的數據量相對較大，在分析過程中需采用逐層分析的方式，分析過程如下：

（1）分析大量的網絡攻擊事件，并建立相應的攻擊特征庫；

（2）將建立的攻擊特征庫加入網絡態勢感知平臺中，通過平臺自匹配攻擊事件；

（3）通過攻擊事件的類型，分析服務端口中可能存在的漏洞；

（4）在現有網絡環境中建立相應的漏洞知識庫；

（5）若網絡中存在異常流量，則自動生成攻擊事件；

（6）將生成的攻擊事件與漏洞知識庫中的時間進行對比，進而確認攻擊事件。

4. 實驗分析

為了驗證上述態勢感知平臺的可行性，將其接入信息外網出口流量、服務器流量、內網出口流量、防火墻、信息外網APT系統中。在其運行過程中，獲取的威脅事件數據達8TB記錄威脅數據條數總計為6170兆條。以2021年某網絡運營中心的數據為例，外網威脅事件總計674310條，重點威脅事件為1868條，觸發web攻擊類2640次，DDOS攻擊2200次，瀏覽器掃描275500次。從整體上來講，該技術可將不同策略的掃描成功率降低至90%以上，可針對不同類型的攻擊類型制定相應的防御策略。除此之外，該技術實施的成本相對合理，確保了技術方案的可行性。

結語

為了有效解決網絡安全運營主動性防御缺乏針對性問題，本文采用態勢感知技術實時感知預測網絡安全威脅，深入分析了網絡安全態勢感知及主動防御技術，重點研究部分為多源日志的關聯分析、融合分析等技術。通過在網絡運營中心外網網絡出口部署流量采集服務器的方式，對網絡中的流量數據進行實時采集，并通過大數據分析技術實現網絡安全威脅事件的實時分析，回溯分析攻擊事件的整個過程，有針對性地制定防御措施。實驗驗證表明，本文設計的系統可將不同策略的掃描成功率提高至90%以上，可針對不同類型的攻擊類型制定相應的防御策略。

參考文獻：

[1]孫佳煒，戴然，闞沁怡，等.基于態勢感知設備安全事件的主動防御技術應用[J].網絡安全技術與應用，2021，（2）：105-107.

[2] Zhang JW， Feng HM，Liu B.Survey of Technology in Network Security Situation Awareness[J].Sensors，2023，23（5）：2608.

[3]Wu Y，Guo NW，Wang BB，et al.Research on Situational Awareness Technology of Industrial Control Network Based on Big Data[J].Journal of Physics：Conference Series，2022，（1）：2216.

[4]王勇，孫嘉啟，淮華瑞.基于“業務+數據”視角的民航網絡安全態勢感知技術研究[J].信息安全研究，2020，6（6）：549-554.

[5]景文強，余波，李昂陽，等.天地一體化信息網絡主動防御安全體系研究[J].信息技術與網絡安全，2019，38（8）：17-21.

[6]王路遙.機器學習構建智能網安主動防御體系[J].上海信息化，2019，（5）：57-61.

[7]程智力.智能車聯網主動防御體系探析[J].摩托車技術，2018，（6）：27-32.

[8]畢曉東.態勢感知技術構建企業主動防御體系的研究[J].信息技術時代，2022，（3）：37-39.

作者簡介：郭培成，本科，高級工程師，研究方向：信息化管理；許鑫，本科，工程師，研究方向：信息化管理。