網絡安全態勢感知實訓平臺設計與實踐

李馥娟，王 群

（江蘇警官學院 計算機信息與網絡安全系，江蘇 南京 210031）

網絡安全態勢感知（network security situation awareness，NSSA）[1-3]是在傳統網絡安全管理的基礎上，通過對分布式環境中信息的動態獲取，經數據融合、語義提取、模式識別等綜合分析處理后，對當前網絡的安全態勢進行實時評估，從中發現攻擊行為和攻擊意圖，為安全決策提供相應的依據，以提高網絡安全的動態響應能力，盡可能降低因攻擊而造成的損失。

作為專門人才培養主陣地的高等院校，需要將一些典型的應用、成熟的技術和創新的方法及時納入到人才培養過程中，真正做到理論與實踐、書本知識與實際應用之間的結合，培養出符合社會需求的專門人才[4]。NSSA作為信息安全領域一項熱門技術和應用，在具體的教學過程中由于缺乏真實可信的實驗實訓環境，使得教學效果遠遠達不到預期的要求。與其他類型的實驗室或實訓平臺不同的是，NSSA實驗必須建立在能夠提供有效信息的真實網絡環境中。作者所在的團隊根據教學需要，通過合理調用和整合學校網絡資源，設計了基于學校校園網絡（同時通過電信、移動和教育網接口接入互聯網）的NSSA實訓平臺，一方面用于校園網絡的安全管理，另一方面用于教學，取得了較好的效果。

1 網絡安全態勢感知

1.1 網絡安全態勢感知的概念

（1）態勢。態勢是系統中各個要素（如指向某個節點的分布式拒絕服務（DdoS）攻擊流量、發往某個特定主機指定端口的探測報文等）從當前狀態到下一個狀態的變化趨勢。網絡安全中的態勢不僅僅指某一特定要素的變化情況，還包括特定網絡環境中相關聯的不同要素之間的變化情況。

（2）態勢感知。態勢感知是指在一定時空范圍內，采取一系列技術手段，對從不同位置獲取的不同格式、代表不同意圖的信息進行分析處理，從而獲得更全面準確的狀態信息，再將這些狀態信息與系統中建立的知識庫（專家數據庫）進行比對，進而得出當前網絡的安全運行狀況。態勢感知以時間軸為主線，形成針對特定要素以及不同要素之間的變化趨勢，是一個基于經驗知識的動態學習和更新過程[5]，其中知識庫所提供的經驗知識的質量影響著態勢感知的實際效果。從實現過程看，態勢感知可分為觀察（observe）、導向（orient）、決策（decision）和行動（act）4個階段[6]，構成了一個動態環，如圖1所示。其中，觀察過程實現了對網絡信息的獲取，導向的功能是將獲取到的信息與經驗知識庫中的信息進行比對，決策的作用是根據比對和評估結果為即將采取的安全響應決策提供依據，行動是根據決策所采取的應急響應行為。

圖1 態勢感知的4個階段

（3）網絡安全態勢感知。在上世紀末，態勢感知技術就已經應用到網絡入侵檢測系統（network intrusion detection system，NIDS）中，用于融合來自不同入侵檢測系統（IDS）的異構數據，識別出攻擊者的身份，確定攻擊頻率和受威脅程度[7]。NSSA是態勢感知技術和方法在信息安全領域的具體應用，具體是指在能夠提供足夠可用信息的大規模網絡中，實時獲取引起網絡態勢發生變化的安全要素，使安全管理人員能夠以直觀的方式從宏觀上掌握網絡的安全態勢，以及該安全態勢對網絡正常運行的影響。NSSA的任務主要表現為：通過對測量到的被檢測設備與系統產生的原始異構數據的融合與語義提取，辨識出網絡活動的意圖，判斷活動意圖產生的安全威脅[8]。為便于觀察，NSSA還需要將網絡安全狀況以可視化方式展現出來。

1.2 網絡安全態勢感知相關教學的重要性

高校信息安全、網絡空間安全、網絡安全與執法等專業人才培養的方案制訂和具體實施，都必須體現專業的學科背景、課程（群）的理論基礎和技術應用現狀與發展趨勢[9]。NSSA作為近年來信息安全領域出現的一個較新的概念和應用[10]，相關教學在信息安全相關專業人才培養中的重要性可歸納為以下幾個方面：

（1）安全知識間的關聯性。解決了原來各類單一信息安全技術和產品之間相互孤立的現狀，實現了對傳統安全技術之間的關聯，更容易培養學生綜合運用不同技術解決具體安全問題的能力。

（2）安全意識培養的系統性。NSSA的思想是從宏觀視角分析和解決網絡安全問題，這有益于培養學生從系統的角度分析解決問題的意識和能力。

（3）安全內容的完整性。NSSA從分布式環境中動態發現和收集相關節點的實時信息，經信息融合、語義分析、大數據分析與可視化等處理后，對可能發生的安全問題和威脅進行預測，這一功能的實現主要涉及到模式識別、機器學習、大數據技術等多方面的知識，有利于拓展學生的知識面，引導學生的學習。

因此，NSSA實訓平臺的建設，不僅僅是滿足信息安全領域相關專業人才培養的需要，更是立足信息網絡安全人才培養、提升學生創新創業能力的要求。

2 網絡安全態勢感知實訓平臺

2.1 實訓平臺設計

本文設計了基于校園網絡的NSSA實訓平臺，網絡拓撲如圖2所示。該實訓平臺搭建在校園網環境中，實時獲取校園網中真實的流量以及設備與應用系統的日志信息，結合云端的威脅情報大數據以及平臺自身的安全大數據分析能力，實現校園網的安全態勢感知。該平臺為校園網絡提供必要的安全態勢感知能力，同時可通過在管理控制平臺創建多個賬號，提供給相關專業老師及學生利用真實的校園網數據進行安全大數據的態勢感知實驗。

2.2 實訓平臺功能

圖2 基于校園網的NSSA實訓平臺拓撲

NSSA實訓平臺包含網絡安全監測、態勢感知、通報處置等系統，通過大數據技術，建設針對網絡空間安全的分析平臺，相關操作過程和結果都以可視化方式呈現。該實訓平臺包含了網絡空間中攻擊與防御、安全大數據分析應用、可視化等技術，能夠將安全知識、操作技能、處置流程系統生動地傳授給學生，從而使學生掌握全面協同的安全知識和真實網絡空間對抗中的安全技能，獲得真正的安全實戰能力。

NSSA實訓平臺可實現對網絡安全的態勢覺察、跟蹤、預測和預警，全面、實時掌握網絡安全態勢，及時發現網絡安全事件線索，預警通報重大網絡安全威脅和處置安全事件。NSSA實訓平臺集“看、防、管、控”于一體，以實時態勢感知、準確安全監測、及時應急處置、實際教學實驗為目的。主要包括以下的功能：

（1）實現安全區域內重要網站、應用系統和網絡安全事件的集中管理、批量處理、自動化安全監測，全面匯總它們的安全風險，實現對信息基礎設施的安全管理。

（2）整合現有網絡安全監測預警資源，建設全面覆蓋網絡內部相關信息系統、網站和數據的綜合性態勢感知實訓平臺。

（3）基于監測、檢查和報送的基礎數據，進行大數據挖掘和分析，對安全事件進行趨勢分析、可視化展現，對可能發生的安全事件及時進行預警、通報和處置。

2.3 實訓平臺的設計特點

本實訓平臺涉及的態勢感知對象主要包括校園網環境中對外和對內提供服務的網站、應用系統、網絡設備等信息基礎設施。通過采集整個網絡的流量和日志信息，以及安全設備、網絡設備、操作系統、中間件、數據庫等各種系統的事件信息，動態實現威脅感知功能。同時，可對整個過程進行安全大數據分析和建模，實時掌握涵蓋整個網絡的安全態勢。

本平臺除為信息安全相關專業的人才培養提供教學實訓外，還可以為師生科研和學生創新創業項目的開展提供平臺支撐，同時為學校的網絡安全管理提供完整的解決方案，并且使學校的信息化建設和應用成果服務于教學和科研。

3 網絡安全態勢感知實訓平臺提供的實驗內容

基于本實訓平臺，結合本單位教學實際，目前主要開發了以下幾個方面的實驗。

3.1 基礎實驗

（1）資產管理。網絡中的主機（包括接入的計算機和服務器）、網絡設備、安全設備、應用系統等對象是實現態勢感知的基礎，詳細的資產清單為安全威脅的定位和排查提供最基本的保障。為便于實驗的開展，需要建立完整的資產檔案信息。

（2）可視化。可視化技術在分析和研究海量多維異構數據集中是非常重要的[11]。在實驗過程中，為了應對不斷變化的威脅事件，需要及時調整監控維度和監控重點，NSSA必須能夠為實驗人員提供實時的多維度持續監控能力。另外，根據教學需要，還能夠通過可視化建模工具制作符合用戶使用習慣的統計分析圖表。

（3）威脅告警。威脅告警可通過規則類型快速過濾相關類型的告警信息，也可通過搜索條件來過濾告警列表范圍。同時，通過告警柱狀圖能夠直觀感受到威脅告警的趨勢和狀態。

（4）報表管理。報表是態勢感知系統中非常重要的數據分析方式，高質量的報表內容能夠有效幫助用戶進行決策分析。實驗中，利用報表管理功能，可按照時間和空間維度持續地反饋當前網絡所存在的安全威脅。

（5）日志搜索。日志檢索為調查取證提供有力支撐，日志信息的全量存儲能夠有效地幫助實驗人員進行追根溯源，繪制完整的事件畫像。NSSA實訓平臺采用分布式數據存儲和全文檢索方式，對不同格式的源數據提供自動識別和格式化處理功能。

3.2 風險管理實驗

（1）風險評估。風險管理能夠有效地反映當前網絡的安全風險狀態，通過風險數值的量化給出具體的評分指標，宏觀地了解整個網絡的安全態勢，給管理員提供可靠的輔助決策依據。風險評估主要包括量化風險數值和宏觀態勢展現兩部分內容。

（2）漏洞管理。漏洞掃描是發現漏洞的主要手段[12]。網絡中重要的主機系統、網絡設備都會出現因漏洞引起的安全問題，漏洞成為潛在的最大安全風險。系統提供漏洞管理模塊，可對重要主機系統和網絡設備進行漏洞信息收集和管理，并將漏洞掃描結果自動同步到風險模塊中，參與風險評估計算。漏洞管理主要支持漏洞掃描器聯動、第三方報告導入、漏洞處置閉環、知識庫關聯等功能。

3.3 威脅分析與處置實驗

（1）攻擊鏈分析[13]。攻擊鏈分析基于已經發生的事件和告警信息，并以此作為分析線索，從網絡攻擊的實施過程入手，追蹤溯源網絡攻擊的目標、源頭、方法、手段等重要信息。同時，還可從攻擊者角度把攻擊分為偵查跟蹤、工具準備、載荷投遞、漏洞利用、安裝植入、命令控制、命令達成等階段，形成完整的溯源攻擊鏈，進行攻擊畫像，并以可視化的方式對攻擊鏈中的整個過程進行描述，描述IP地址間的攻擊關系以及攻擊鏈中各階段IP地址對象間的關系。描述的對象同時包括攻擊者和受害者。攻擊鏈分析主要包括：直觀地呈現威脅關系、攻擊過程、不同對象之間的關系；將分散的告警以攻擊鏈的形式圍繞資產對象進行組織，提供面向攻擊過程的展示和分析方法。

（2）調查分析。調查分析實驗模塊根據產生的告警、日志、事件等信息創建調查任務，在調查任務中將多種告警、日志、孤立的線下事件等信息以時間維度串聯成完整事件，并對任務進行級別標注、備注說明、歷史操作記錄，以便于分析。

（3）關聯分析。關聯分析功能基于大數據技術，通過對數據之間的關聯性進行分析，從而實時發現復雜的、更具價值的威脅事件[14]。關聯分析的實現需要提供多種類型和維度的數據，并能夠對輸出結果進行回注分析。關聯分析通過規則模型來實現，規則建模提供了日志過濾、日志連接、聚類統計、閾值比較和序列分析等類型的計算單元，實驗中可通過組合計算單元來配置自定義規則，讓學生學習威脅事件的發現方法。

（4）威脅情報查詢。威脅情報查詢通過從云端獲取威脅情報，并通過在本地系統創建分析規則，對本地網絡中采集的數據進行實時比對分析，發現可疑的網絡活動行為。在實驗過程中，可對發現的可疑IP地址、域名、郵箱地址、文件MD5值、證書指紋（SHA1、SHA2值）等信息進行深入的情報判定，以此獲得覆蓋整個網絡的安全數據。本實訓平臺中提供的威脅情報實驗支持域名信譽查詢、IP地址信譽查詢、基于樣本MD5情報查詢等。

（5）威脅處置。威脅處置是一個需要多方協同的復雜過程，以工單的形式將多方對單個/多個告警和漏洞的判斷進行跟蹤和記錄，以增強安全團隊的聯動協作能力，并為威脅跟蹤提供詳細的過程信息。

3.4 知識庫管理實驗

知識庫管理主要是針對漏洞庫、運行知識庫和情報庫的管理[15]，包括知識庫的更新、錄入、修改、刪除等。

（1）漏洞庫。漏洞庫可根據漏洞名稱、漏洞類型、CVE編號、CNNVD編號進行快速查詢搜索，同時可對漏洞掃描結果進行關聯查詢。為了提高系統的應用性能，系統使用過程中需要對漏洞庫進行不斷豐富和完善。

（2）運行知識庫。運行知識庫主要包括檢測和事件處置知識。其中，檢測知識用于在威脅分析過程中根據場景指定檢測規則，事件處置知識用于事件處置過程中對相同類型事件的處置。

（3）情報庫。系統可收集不同來源的威脅情報數據，并完成格式標準化操作，然后通過單向傳輸設備或者數據交換平臺推送到內部的威脅情報庫中。實訓平臺中涉及的情報數據主要包括失陷檢測情報、文件信譽情報、攻擊成員檔案庫、安全預警通告等。

4 結語

本文介紹的NSSA實訓平臺是作者所在團隊教學研究的創新性成果。與其他仿真教學環境不同的是，該平臺基于校園網的真實環境建立，采集的數據均來自實際業務系統。實訓平臺通過流量日志采集、安全大數據建模、關聯規則分析等技術手段提供基于網絡空間安全的實戰演練，并結合學校人才培養特色和要求，進行涉及網絡安全的教科研活動?；谠搶嵱柶脚_，目前主要針對學生的創新創業訓練，開發了內網安全分析、郵件安全分析、資產安全分析、漏洞風險管理、惡意軟件分析等實驗項目；針對信息網絡安全相關課程的教學需要，開發了日志與流量采集、資產數據管理、威脅情報查詢、關聯分析與威脅檢測、特定場景分析、事件管理、態勢感知等實驗。通過這些工作，能夠將安全知識、操作技能、處置流程等內容系統生動地傳授給學生，從而讓學生學習全面協同的安全知識，掌握真實網絡空間對抗中的安全知識和技能，提升網絡安全實戰能力。

致謝：在本實訓平臺建設過程中得到了奇安信科技集團股份有限公司董旭、梁江湖、陳逸等技術人員的支持，在此表示感謝！