網絡安全態勢感知技術研究與應用*

宋 進，唐光亮

（1.中國電子科技集團公司第三十三研究所，山西 太原 030006；2.中國電子科技網絡信息安全有限公司，四川 成都 610041）

0 引 言

網絡攻擊手段日益復雜化，導致用戶在遭受攻擊時很難發現攻擊者的攻擊行為，甚至在事后無法追溯攻擊路徑，還原攻擊過程。在全球網絡信息化程度高速發展的大背景下，具備隱蔽性、滲透性和針對性的高級持續性威脅，對各類高等級信息安全系統造成的威脅日益嚴重。針對特定目標的有組織的APT攻擊日益增多，國家、企業的網絡信息系統和數據安全面臨嚴峻挑戰[1]。傳統防火墻、防病毒和入侵防御等以邊界防護和靜態防護為主的安全防護方式，已不能適應新的網絡安全形勢，需要采用持續監控、大數據分析等新技術，全量采集網絡相關數據、感知網絡當前態勢，并預測網絡安全趨勢。近年來，網絡安全態勢感知可謂炙手可熱，在各種領導講話、會議發言、企業宣傳等場合頻頻出現。同時，有關網絡安全態勢感知的論文也不斷增加，涉及態勢感知的概念、起源、內涵、指標以及框架架構等。本文旨在闡述“態勢感知”感知內容的基礎上，分別從微觀、中觀和宏觀三個層面提出態勢感知的功能架構和部署方式，即“態勢感知”如何感知，以厘清針對具體信息網絡安全保障和網絡安全監管的態勢感知之間的關系和側重點。

1 態勢感知的內容

1.1 感知網絡資產

IT系統越來越復雜，從而產生大量的無主資產、僵尸資產，且這些資產長時間無人維護，存在大量的漏洞和配置違規，為用戶網絡安全帶來了極大隱患。因此，首先要摸清資產家底。任何網絡入侵和攻擊都是以資產為載體或目標，如果網絡資產是一筆糊涂賬，那么網絡安全狀況將無法保障。

感知資產的方法主要有主動探測和被動分析。主動探測主要用于對未知網絡下的資產發現探測，被動分析主要用于7×24小時持續性的監聽已知網絡下的未發現資產。通過強大的資產指紋庫建立各類型資產的特征，包括網絡設備、安全設備、各類操作系統、數據庫和應用中間件等，進行識別資產并完成資產屬性的補全，最終實現未知資產的發現、識別與管理。同時，需要通過有代理或無代理方式監控資產的運行狀態，包括主機CPU、內存、磁盤占用率變化情況、網絡帶寬的占用變化情況和交換機每個端口的流量情況。更進一步，可采集服務進程、線程數據、CPU和內存占用率等[2]，為安全檢測分析提供數據支撐。

1.2 感知資產脆弱性

網絡安全脆弱性主要包括資產漏洞和弱密碼等配置不當。脆弱性已經成為網絡攻擊者入侵網絡竊取信息或者破壞系統的重要入口。因此，“摸清家底”的一個重點就是要摸清資產的脆弱性。如果資產漏洞和不合理配置不明確，將無法進行資產安全加固并采取防護措施。

對于資產漏洞，感知方法是基于已知的漏洞信息，采用端口探測等手段，對網絡中指定的主機、網絡設備等資產進行漏洞檢測，發現網絡資產存在的漏洞；資產配置脆弱性感知方法是采用基線安全配置檢測工具，深度獲取主機、服務器和網絡設備等資產的配置信息，并與配置基線進行比較，發現資產配置的脆弱性。最終，在發現脆弱性基礎上，維護所有資產脆弱性的生命周期信息，并分析可能的攻擊面和攻擊路徑。

1.3 感知安全事件

隨著網絡技術的發展，網絡安全威脅的方式層出不窮。病毒、蠕蟲、后門和木馬等網絡攻擊方式越來越多，逐漸受到人們的廣泛關注。為了保證網絡系統的安全運行，網絡中廣泛使用了防火墻、入侵檢測系統、漏洞掃描系統和安全審計系統等安全設備。這些安全設備會產生大量違反安全策略和安全規則的告警事件。但是，這些安全告警事件信息中含有大量的重復報警和誤報警，且各類安全事件之間分散獨立，缺乏聯系，無法給安全管理員提供在攻擊時序上和地域上真正有意義的指導。

實際中，大部分的安全告警事件并不是孤立產生的，它們之間存在一定的時序或因果聯系。結合安全告警事件的運行環境，對原來相對孤立的低層網絡安全事件數據集進行關聯整合，并通過過濾、聚合等手段去偽存真，發掘隱藏在這些數據之后的事件之間的真實聯系[3]，確定事件的時間、地點、人物、起因、經過和結果。

1.4 感知網絡威脅

隨著技術的不斷進步，網絡攻擊行為逐漸呈現分布化、遠程化與虛擬化等趨勢。傳統基于對攻擊行為進行特征識別與比對的威脅感知和甄別機制，受到了來自新型攻擊手法的巨大挑戰。層出不窮的各類高危漏洞、0Day漏洞，使攻擊特征庫的及時更新與長期維護面臨巨大困難[4]。此外，傳統的威脅檢測手段在應對APT攻擊時顯得力不從心，因為傳統的檢測手段主要針對已知的威脅，對未知的漏洞利用、木馬程序、攻擊手法無法進行檢測和定位。

面對層出不窮的網絡攻擊和新的網絡安全形勢，感知網絡威脅的方法可以概括為“知己”和“知彼”兩個方面。“知己”方面是采集內部網絡流量數據、日志數據和安全數據等，進行基于大數據分析、人工智能技術的異常行為檢測，發現隱藏在海量數據中的網絡異常行為；“知彼”方面是通過監測、交換和購買等各種方式，搜集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網絡或者主機特征、攻擊工具、攻擊戰技術、攻擊組織等網絡威脅情報數據，用于支撐安全運行維護、安全檢測分析和安全運營管理。

1.5 感知網絡攻擊

在網絡攻擊的一次迭代過程中，一般分為情報收集、目標掃描、實施攻擊、維持訪問和擦除痕跡5個階段[5]。感知網絡攻擊是持續不斷地收集當前網絡中的攻防對抗數據。一方面實時展現當前網絡中的攻防對抗實況，深入挖掘各種攻擊行為，如端口掃描、口令猜測、緩沖區溢出攻擊、拒絕服務攻擊、IP地址欺騙以及會話劫持等；另一方面，借助網絡異常行為檢測和歷史攻擊信息，分析潛藏的高危攻擊行為和未知威脅，并協助安全分析師抽取高價值的威脅情報。

1.6 感知安全風險

網絡安全風險感知是在感知網絡資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上，進一步進行數據融合分析，建立全網的安全風險指標體系和風險評估模型，從抽象的高度來評估當前網絡的整體安全風險。風險評估可采用定量與定性相結合的綜合評估方法。層次分析法（AHP）是一種典型的評估方法，是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經驗判斷予以量化，從而為決策者提供定量形式的決策依據。

2 態勢感知的方法

圖1 微觀層面網絡安全態勢感知平臺架構

2.1 微觀層面態勢感知

這里所指的微觀層面，是針對具體企業或政府的信息網絡而言的。作為網絡安全的具體保障對象，企業信息網絡態勢感知的目的是詳細掌握企業網絡資產、脆弱性、告警事件、威脅、攻擊和風險，并進行應急響應、調查分析等閉環處置。具體方法是盡可能全面采集信息網絡相關數據，包括網絡設備數據、安全設備數據、主機設備數據、數據庫數據以及應用系統和中間件數據，融合威脅情報進行基于大數據平臺的安全管理與安全分析，實現資產管理、漏洞管理、事件管理、威脅告警、調查分析和應急響應等業務功能，為安全運營（管理、分析、響應）團隊提供技術支撐，如圖1所示。

微觀層面的網絡安全態勢感知平臺的部署方式可根據信息網絡的規模采用集中式部署（適用于中小企業信息網絡），或者分布采集、集中運營管理的部署方式。常見的部署方式如圖2所示。

對于中小型企業，可以采用集中部署的方式，在中心集中部署采集器集群；對于中大型企業，則采用分布式采集部署方式。

2.2 中觀層面態勢感知

這里所指的中觀層面，是針對具有多個微觀管理域職能的企業集團或行業主管部門而言的。作為企業集團或行業主管部門，既有自身信息網絡安全保障的職責，也有下級網絡安全監管職責，其網絡安全態勢感知平臺應該是一個分級分域的架構，其功能架構與微觀層面態勢感知平臺類似。但是，上級平臺除具有微觀態勢感知的全部功能外，需要對匯聚的下級平臺態勢信息進行統計分析和關聯分析，并向下級平臺預警等，部署方式如圖3所示。

圖2 微觀層面網絡安全態勢感知平臺部署

圖3 中觀層面網絡安全態勢感知平臺部署

圖3中，下級平臺向上級平臺上報網絡安全態勢、重要安全事件、運行狀態和知識庫更新等信息，上級平臺向下級平臺下發預警、級聯狀態和知識庫更新等信息[6]。在中觀層面，上級平臺匯聚了多個下級平臺的態勢信息和事件信息，可以實現多域聯動和協同響應。

2.3 宏觀層面態勢感知

這里所指的宏觀層面，是針對政府監管機構而言的，關注的重點是管轄范圍內的宏觀網絡安全態勢。宏觀網絡安全態勢感知需要匯聚轄區內中觀態勢感知平臺個獨立的微觀態勢感知平臺的態勢信息、重要事件信息，同時結合互聯網大范圍監測的DDoS攻擊態勢、WEB攻擊態勢、僵木蠕態勢以及第三方網絡威脅情報中心的情報信息，分析、研判轄區內宏觀網絡安全態勢，針對重大、特別重大網絡安全事件進行預警通報和應急指揮。功能架構如圖4所示。

圖4 宏觀層面網絡安全態勢感知平臺功能架構

圖4中，中觀網絡安全態勢感知平臺、微觀網絡安全態勢感知平臺通過網絡，將本平臺的態勢信息、重大或特別重大網絡安全事件上報宏觀態勢感知平臺。宏觀態勢感知平臺進行統計分析、關聯分析和攻擊鏈分析，結合威脅情報進行威脅判斷，下發安全預警通報，并針對重大或特別重大安全事件進行應急處置，實現全域聯動和協同響應。

3 結 語

本文在詳細闡述網絡安全態勢感知內容的基礎上，針對不同用戶的不同目的，提出了微觀、中觀和宏觀網絡安全態勢感知的功能架構和部署方式。其中，微觀網絡安全態勢感知平臺適用于政府、企業針對具體信息網絡的安全保障，可以作為政府、企業的網絡安全運營管理中心的重要支撐平臺；宏觀網絡安全態勢感知則適用于政府監管機構對一定區域內或國家的宏觀網絡的安全監管，可以作為監管機構的技術支撐平臺；中觀網絡安全態勢感知則介于微觀和宏觀之間，適用于企業集團或者行業主管部門自身信息網絡安全保障和對下級企業網絡的安全監管。

[1] 許敬偉,何慶,鄧曉東.基于網絡安全態勢感知的高級持續性威脅檢測和研究[J].電腦編程技巧與維護,2017,14(29):83-86.XU Jing-wei,HE Qing,DENG Xiao-dong.Advanced Persistent Threat Detection and Research Based on Network Security Situation Awareness[J].Computer Programming Skills and Maintenance,2017,14(29):83-86.

[2] 鄧曉東,何慶,許敬偉.大數據網絡安全態勢感知中數據融合技術研究[J].網絡安全技術與應用,2017(08):79-80.DENG Xiao-dong,HE Qing,XU Jing-wei.Research on Data Fusion Technology in Big Data Network Security Situation Awareness[C].Network Security Technology and Application,2017(08):79-80.

[3] 琚安康,郭淵博,朱泰銘.網絡安全事件關聯分析技術與工具研究[J].計算機科學,2017(02):38-43.JU An-kang,GUO Yuan-bo,ZHU Tai-ming.Research on Network Security Event Association Analysis Technology and Tools[J].Computer Science,2017(02):38-43.

[4] 單琳.網絡威脅情報發展現狀綜述[J].保密科學技術,2016(08):28-33.DAN Lin.Review Overview of the Development of Network Threat Intelligence[J].Secrecy Science and Technology,2016(08):28-33.

[5] 劉龍龍,張建輝,楊夢.網絡攻擊及其分類技術研究[J].電子科技,2017,30(02):169-172.LIU LONG-long,ZHANG Jian-hui,YANG Meng.Research on Network Attack and Its Classification Technology[J].Electronic Science and Technology,2017,30(02):169-172.

[6] 潘峰,張電.一個實用、高效網絡安全態勢感知系統的設計[J].保密科學技術,2012(02):65-69.PAN Feng,ZHANG Dian.Design of a Practical and Efficient Network Security Situational Awareness System[J].Secrecy Science and Technology,2012(02):65-69.