淺談網絡安全態勢感知技術架構及建設思路

◆李普玉

淺談網絡安全態勢感知技術架構及建設思路

◆李普玉

（中國國際廣播電臺 北京100040）

隨著網絡空間的高速發展，對網絡安全防護技術提出了更高的要求。在大數據技術支持下，網絡安全態勢感知成為了實現網絡安全監控的一種新技術，它能夠動態反映當前網絡安全狀況，并對網絡安全的發展趨勢進行預測和預警。本文在研究態勢感知技術架構的基礎上，對網絡安全態勢感知系統的建設思路進行了探討。

網絡安全；態勢感知；態勢預測

0 引言

隨著網絡和信息化技術的快速發展，網絡應用、網絡規模和網絡數據的日益龐大，加上網絡攻擊技術和手段逐漸呈現平臺化、集成化，網絡攻擊具有更加隱蔽性和更長時間的特點，現有傳統、被動、分散、靜態的安全防御技術，已不能滿足全方位安全防護要求，無法有效抵御未知的高級網絡攻擊，從而造成安全事件頻繁發生。無論大型組織還是中小組織都面臨著越來越嚴峻的網絡安全形勢，并越來越重視網絡安全建設，對網絡安全建設提出了更高的需求和目標。因此，我們迫切需要一種網絡安全新技術，實時監測網絡安全狀況，及時發現并處置安全事件，以降低網絡安全風險，提高網絡安全防護能力。

網絡安全態勢感知是一種主動防御技術，它復合與增強了多項安全技術[1]，能夠實時、主動地監控網絡狀態，對當前和未來一段時間內網絡的安全狀況進行全面分析評估，從而預測網絡安全風險并及時采取措施，實現靜態和動態相結合的安全防御。

1 網絡安全態勢感知技術架構

由于態勢感知系統涉及的網絡安全信息大、種類多、結構復雜，又對數據處理的實時性、準確性和高效性等要求很高，而大數據技術支持海量存儲、多數據類型，并具有并行計算、數據處理速度快等特點，大數據技術的發展為態勢感知系統建設提供了機遇。把大數據技術應用到態勢感知系統建設中，借助大數據采集、處理、存儲、分析等相關技術，對海量網絡安全信息進行自動分析處理和深度挖掘，對網絡的安全狀態進行分析評價，感知安全威脅和網絡趨勢。基于大數據技術，網絡安全態勢感知由安全數據采集、數據預處理、態勢分析、態勢預測和態勢展示5部分組成，其技術架構如圖１所示。

圖1 網絡安全態勢感知技術架構

1.1 安全數據采集

安全威脅往往隱藏在海量網絡數據之中，持續收集海量、多維的數據是進行網絡安全態勢感知的基礎，只有對安全數據進行全面、準確地采集才能保證網絡安全態勢評估與預測的準確性。因而網絡安全數據采集要盡可能的廣泛、全面和完整，包括終端行為、原始流量、審計數據、監測數據、威脅告警數據、日志數據、資產和元數據等各種信息[2]。數據采集方式常見的有傳感器、syslog、SNMP、NetFlow等技術，對于大量多源異構數據，可采用前置探針的方式，對數據進行集中采集。

1.2 數據預處理

由于采集的原始數據來源多樣化，其數據格式、內容、質量千差萬別，存儲形式、表達的語義也不同[3]，同時，這些數據中還存在著大量的不完整、不一致，甚至重復、錯誤或異常的數據，如果不對數據進行預處理，就會嚴重影響到后續數據的分析和挖掘，以及分析的準確性。因此，在態勢分析之前，需要對采集的數據進行規格化、統一化的預處理，以改進數據質量，提高數據分析的效率、質量和準確性。數據預處理就是通過數據清洗、數據融合、數據關聯等方法，將原始數據進行重新審核、篩選和排序，形成準確、基礎的數據關系圖譜的過程，常用處理方法主要包括數據清洗、集成、歸約、變換、融合等[4]。

1.3 態勢分析

態勢分析主要是將預處理后的安全數據進行分析挖掘，把具有一定相關性、反映某些網絡安全事件的特征信息提取出來，采用相應模型或算法從整體上對當前網絡的安全狀況進行分析，從而全面掌握網絡整體的安全狀況。在態勢分析前，首先要按照一定的原則和標準從預處理后的數據中提取相關指標信息，建立一套合理的安全態勢指標體系，然后以此指標體系為基礎建立合適的數學模型，從而對當前的網絡狀況進行態勢分析。由于態勢分析涉及數據量很大、評估方法復雜且沒有系統的理論體系，因此，在現有的理論和技術中一般有數據挖掘和數據融合兩類技術可以運用。

1.4 態勢預測

態勢預測是通過分析評估當前網絡狀態和歷史信息，對網絡態勢的未來發展趨勢進行推測和估計，是實現網絡安全主動防御的關鍵環節。目前網絡安全態勢預測一般采用定性分析、時間序列分析和因果分析等傳統方法。由于網絡攻擊具有隨機性、不確定性和復雜性等特點，當面對復雜復合式的網絡攻擊，傳統預測方法已逐漸不能滿足需求，隨著人工智能和機器學習技術的發展，態勢預測越來越傾向于使用智能預測方法和技術。目前，神經網絡預測是常用的網絡安全態勢智能預測方法[4]，它能夠通過網絡自學能力調整和構建態勢預測模型，具有自學習性、自適用性，以及良好的容錯性和穩健性等特點。

1.5 態勢展示

態勢感知涉及大量抽象的數據，相互之間關系復雜，利用傳統文本方法無法直觀地將態勢分析和預測結果呈現。由于大數據可視化技術的發展，態勢展示可利用可視化技術，根據業務特點和需求關注點，將大量、復雜、抽象的網絡安全態勢數據體系以圖形圖像的方式進行綜合展現，幫助安全人員分析網絡態勢，識別安全威脅，為管理決策提供有力的依據。態勢展示涉及計算機圖形學、圖像處理、計算機視覺、計算機輔助設計等多個領域[3]，目前已有很多可視化技術和工具應用到了態勢感知領域，并取得了一定的效果。

2 網絡安全態勢感知建設思路

網絡安全態勢感知建設對提升網絡安全防護能力至關重要，要建好用好網絡安全態勢感知，離不開有效的技術平臺、安全運營管理和安全人員建設。通過網絡安全態勢感知技術平臺建設實現網絡空間的安全持續監控能力，及時預警各種威脅與異常，并進行可視化展示；通過網絡安全運營管理建設，建立健全各項安全管理制度、安全預警機制等，實現有效的安全決策和應急響應；通過技術人員建設，提高網絡安全工作能力和安全事件處置能力，達到網絡安全威脅事中阻斷、事后溯源的效果。

2.1 本地數據中心和第三方態勢感知服務平臺相結合

由于自主建設態勢感知平臺周期長、預算多、風險高，這種方法，一般不適用于中小組織。因此，若想快速有效的搭建態勢感知平臺，可充分利用第三方服務平臺，采取本地部分建設和第三方服務相結合的方式。一方面，在本地建設數據中心，數據中心進行數據采集、存儲和預處理，并利用大數據技術進行分析，實時監測網絡安全狀況；另一方面，采購第三方網絡安全企業的態勢感知平臺的服務，將本地數據中心預處理后的數據和態勢分析狀況同步至第三方網絡安全態勢感知服務平臺，由第三方服務平臺進行安全數據和威脅情報數據的對比分析和態勢預測，從而實現網絡安全趨勢預測和深度挖掘潛在的安全威脅，并進行可視化展示。

2.2 自主建設態勢感知平臺

自主建設方式適用于大型組織或者某個行業，在建設中可按照統一規劃、分級部署的方式，分多個階段逐步建設。在初始階段應重點考慮基礎平臺和安全管理系統建設，基礎平臺包括數據采集、數據處理、數據分析、可視化展示以及資產管理等，安全管理系統可根據實際需求，面向不同的安全問題和管理需求，開發不同的安全管理子系統，如預警響應、安全監測、態勢感知、快速處置、等保監測、報表中心、溯源分析等子系統。隨著基礎平臺和管理系統的建設，逐步引入自動化配置手段和人工智能分析預測技術，實現自動化、體系化主動動態的網絡安全防護能力，建立起覆蓋全網的態勢感知、安全監測、通報預警的體系。

在網絡安全態勢感知平臺建設中需重點關注安全數據中心和威脅情報中心的建設[5]。本地安全數據中心建設，應覆蓋全部網絡和業務系統中的各種軟件、硬件和各個環節，建立相應數據采集點，盡可能多的采集網絡中的各類安全狀態數據、流量數據、安全威脅和告警數據以及安全管理類數據信息，經過數據預處理后存儲在安全數據中心。在安全數據中心的基礎上，建設威脅情報分析中心，將威脅情報和本地的安全規則和安全數據中心的數據進行關聯分析，從而發現網絡中的威脅和異常，實現網絡安全態勢的評估和預測。為提升整體網絡安全運營水平，提高態勢預測的準確性和全面性，高質量的威脅情報數據必不可少，因此威脅情報中心在采集平臺內部威脅情報數據的同時，還應收集融合平臺外部的威脅情報數據，為此可考慮建立平臺內部和外部的威脅情報數據共享機制。

2.3 加強網絡安全運營管理

態勢感知平臺建設完成后，若要充分發揮其效能，就需要加強網絡安全運營管理，建立起相適應的網絡安全管理機構和配套的規章制度體系。安全管理機構需要承擔信息安全管理工作，要制定信息安全管理制度，完善技術防護措施，因此需進一步明確定義管理機構的管理層次、角色、職責、權限、技能要求等，并配備合適的人員；在規章制度建設中，可結合實際從數據管理、漏洞管理、運維管理、備份管理、資產管理、人員管理、安全事件處置、應急響應等方面制定相應的安全管理制度和操作規程，并要求相關人員嚴格遵守。此外，還應加強風險管理，定期對網絡和業務系統開展安全評測，對發現的問題和薄弱環節，進行修復整改。

2.4 加強安全人員建設

為有效提升網絡安全防護能力，必須將態勢感知和響應處置相結合，面對網絡安全威脅，其防護策略調整、響應處置等需要人來落實，高效及時的響應和處置，對安全人員提出了很高的要求。因此，在網絡態勢感知建設中，安全人員建設同平臺建設、安全運營管理建設同等重要。一方面，加強安全人員安全意識教育、技能培訓和團隊建設，提高網絡安全工作能力；另一方面，進一步拓展和深化安全人員專業技能，在掌握傳統網絡、安全等專業領域知識和工具的基礎上，不斷加強網絡安全態勢感知、大數據技術等知識的學習，不斷了解網絡攻擊的新手段和新方法，研究網絡防御新方法，提高網絡安全檢測、分析和響應水平。

3 總結

本文在研究網絡安全態勢感知技術架構的基礎上，對網絡安全態勢感知系統建設進行了探討。網絡安全態勢感知是一項復雜的系統工程，它是多項技術的復合與增強，還涉及資金、平臺建設、資產管理、團隊建設、制度建設等各方面，不可能一次建設到位，因此需要各組織根據實際需求分階段建設問題。

[1]張應奇.計算機網絡安全防范措施[J].電子技術與軟件工程，2017(10).

[2]管磊，胡光俊，王專.基于大數據技術的網絡安全態勢感知平臺研究[J].保密科學技術，2016(05).

[3]毛軍禮，汲錫林.基于大數據的網絡態勢感知體系架構[J].無線電通信技術，2018(03).

[4]杜嘉薇，周穎，郭榮華，索國偉.網絡安全態勢感知提取、理解和預測[M]，機械工業出版社，2015.

[5]陳杰.大數據安全分析及態勢感知——企業網絡的安全倍增器[J].保密科學與技術，2016(05).