網絡安全態勢感知系統的應用研究

張雨濤

隨著計算機網絡的快速發展，企業開始構建主動安全防御體系，以應對網絡安全面臨的挑戰。網絡安全態勢感知是整個防御體系的核心部分。本文概述企業網絡安全面臨的挑戰以及網絡安全態勢感知的工作原理，分析網絡安全態勢感知系統在企業的應用，為實施網絡安全態勢感知系統的企業提供參考。

一、網絡安全態勢感知的概述

近年來，網絡安全形勢嚴峻，網絡攻擊呈現多樣化、復雜化和規模化趨勢，如網絡攻擊將一次攻擊目標劃分為多個目標，通過多個階段的可持續攻擊來實現，具有高隱蔽性、持續時間長等特征。傳統的網絡安全防御體系缺乏威脅信息共享以及協同防御，安全設備之間相互隔離，安全事件處理效率低。因此，企業需要構建主動安全防御體系提升網絡安全整體防御能力，網絡安全態勢感知系統則是主動安全防御體系的核心部分。

態勢感知指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示并據此預測未來的網絡安全發展趨勢。網絡安全態勢感知是態勢感知技術在網絡安全領域的應用。網絡安全態勢感知系統從網絡設備獲取態勢安全要素數據，通過數據融合、風險評估、態勢預測等技術，識別網絡攻擊活動，分析安全事件的原因，及時處置網絡威脅，評估攻擊活動對網絡的影響程度，預測網絡安全態勢的發展變化，為管理人員決策提供依據，進而提升企業網絡安全防御能力。

二、網絡安全態勢感知的原理

網絡安全態勢感知模型由網絡安全態勢覺察、網絡安全態勢理解、網絡安全態勢預測構成。網絡安全態勢覺察對原始數據進行預處理，發現網絡異常行為；網絡安全態勢理解對網絡異常行為進行關聯分析，感知整體網絡安全態勢；網絡安全態勢預測即評估攻擊行為對網絡安全的影響以及預測網絡安全態勢的變化。

（一）網絡安全態勢覺察

網絡安全態勢覺察負責完成對原始數據的預處理，發現異常網絡行為及其特征。網絡安全態勢感知系統采集的原始數據包括網絡的拓撲信息、網絡設備的運行日志、安全設備的告警信息等。原始數據是多源異構數據，來源于各類網絡設備，結構不一致，不能被網絡安全態勢覺察直接使用。系統將原始數據結構化處理，減少重復數據，統一數據格式等，使原始數據標準化，能被網絡安全態勢覺察使用，提高系統分析數據的效率。面對大量的企業網絡數據，傳統入侵檢測系統的檢測結果存在重復告警、誤報和漏報等情況，數據質量低。網絡安全態勢感知系統能實時監測企業網絡的所有數據，快速發現、識別網絡攻擊活動引起的安全態勢要素的變化。系統采用數據融合技術，將標準化的數據進行關聯分析，以發現異常網絡行為，進一步確認網絡攻擊行為。系統將告警數據和知識庫相關的網絡攻擊行為匹配，從而辨識出網絡攻擊行為。目前網絡攻擊趨于復雜化，知識庫可能沒有未知的網絡攻擊行為的相關信息。出現此類情況，系統可將多個告警數據與網絡設備檢測的數據關聯分析，識別未知的網絡攻擊行為。網絡安全態勢理解使用網絡安全態勢覺察的分析結果，因此網絡安全態勢覺察的分析結果影響整體網絡安全態勢感知的結果。

（二）網絡安全態勢理解

網絡安全態勢理解指系統對大量的異常行為數據進行融合、關聯分析，感知整體網絡的安全狀態，輔助管理人員決策。網絡安全態勢感知系統通過數據融合算法，將網絡異常行為數據融合，進而分析整體網絡安全態勢。以告警數據為例，數據融合算法將告警數據關聯，形成整體網絡的威脅態勢，同時減少無效或重復的數據。系統通過多個攻擊行為關聯分析，分析攻擊行為的語義，挖掘攻擊行為之間的邏輯關系，推斷攻擊者的意圖、攻擊源和被攻擊的目標等。對于多階段的攻擊行為，系統根據攻擊步驟之間的邏輯關系和攻擊行為的關聯數據，掌握整個攻擊過程。網絡攻擊產生大量的數據，網絡安全態勢理解能對這些數據進行聚類分析，高效辨識并深度理解攻擊行為，還能運用數學模型推斷攻擊行為的變化，如采用馬爾可夫模型，分析攻擊活動之間的關系，預測可能發生的攻擊活動。該模型將網絡攻擊鏈的每個階段看作一個狀態，可以保持當前狀態或者轉換為另外一個狀態，根據轉移概率而改變狀態，進而推斷可能發生的攻擊行為。網絡安全態勢理解的分析結果可供網絡安全態勢預測使用。

（三）網絡安全態勢預測

網絡安全態勢預測指在網絡環境中，系統評估企業的網絡安全態勢以及預測未來網絡安全態勢的發展。網絡安全態勢評估運用數學模型和歷史數據，評估攻擊行為和潛在威脅對企業網絡的影響程度；網絡安全態勢評估選取的評估指標及其權重等因素影響評估結果的準確性。網絡安全態勢預測是網絡安全態勢感知的重要目標。管理人員會根據合理的預測結果，采取相應的防御措施，從被動安全防御轉為主動安全防御。網絡安全態勢預測的方法有時間序列預測方法、基于灰色系統理論模型的預測方法等。時間序列預測方法預測網絡安全態勢發展趨勢，將過去的網絡安全態勢數據，按照時間順序排列，分析這組數據的規律，繪成網絡安全態勢變化圖，并預測未來一段時間的網絡安全態勢的發展變化。基于灰色系統理論模型的預測方法指在不確定性系統中，算法把少量的無規律數據累加生成有規律的數據，再據此預測未來企業網絡的安全狀態。該模型具有可以彌補歷史數據樣本少、隨機性高的優點。網絡安全態勢預測的結果通過可視化的方式，呈現攻擊信息，有助于管理人員分析處理網絡安全問題。

三、網絡安全態勢感知的應用

企業部署網絡安全態勢感知系統，可以實現網絡安全態勢感知模型的態勢覺察、態勢理解、態勢預測的功能。系統監測整體網絡的安全狀態，呈現綜合安全態勢、資產態勢、脆弱性態勢、攻擊態勢、安全事件態勢等。在綜合安全態勢模塊，系統展示脆弱性態勢、攻擊態勢、安全事件態勢等情況，以及網絡安全態勢的綜合評分。在資產態勢模塊，系統監測網絡中服務器、終端等資產狀況。在脆弱性態勢模塊，系統實時監測脆弱性資產，包括風險主機、脆弱性等級、脆弱性的類型等，并且定位漏洞資產，展示全部漏洞類型以及風險態勢。在攻擊態勢模塊，檢索列表描述每次攻擊行為的類型、來源和目的信息、嚴重等級和發生時間等。在安全事件態勢模塊，系統展示整體網絡發生的安全事件的總數及處置狀態、事件類型、嚴重等級、安全事件態勢圖等。

網絡安全態勢感知系統的工作過程如下：流量探針和日志采集器獲取原始數據，流量探針接收網絡設備的原始流量，采集器采集日志數據；系統分別處理原始流量和日志數據，提取有效數據，進行安全檢測。安全檢測的類型主要有隱蔽通道異常檢測、加密流量異常檢測、郵件異常檢測等，如隱蔽通道異常檢測用于發現攻擊者利用正常的協議，將數據嵌入協議字段，規避防火墻、入侵主機等行為。網絡安全態勢感知系統若判斷被檢測數據存在安全威脅，則輸出一個異常事件，運用可視化技術呈現給管理人員，同時聯動安全設備阻斷網絡攻擊。在攻擊前期，系統能發現異常網絡行為，提醒管理人員采取相應的防御措施。在攻擊過程中，系統快速發現異常網絡設備，識別攻擊行為，隔離網絡設備，減少損失。在攻擊結束后，系統對攻擊行為進行關聯分析，溯源攻擊過程，輔助管理人員調整防御策略。因此，網絡安全態勢感知系統能辨識網絡攻擊行為，及時處置網絡安全威脅，提升網絡安全防御效率，保證網絡及應用系統安全穩定運行。

四、結束語

本文選取網絡安全態勢感知系統進行研究，概述網絡安全態勢感知的工作原理，分析網絡安全態勢感知系統在企業的應用。此類系統能防御大規模網絡中的攻擊行為和潛在的網絡威脅，評估攻擊行為對網絡安全態勢的影響，運用可視化技術呈現攻擊信息，為管理人員提供決策依據，提升網絡安全防御的效率，幫助企業構建主動安全防御體系。

作者單位：上海明華電力科技有限公司