一種基于數據分析的網絡安全態勢感知系統設計與實現*

周榮娟，李 偉，李曉花

（63610 部隊，新疆 庫爾勒 841001）

0 引 言

隨著網絡安全防護系統的不斷建設，大量安防設備在使用過程中產生的海量安全日志告警，缺少有效地告警歸并措施，給運維人員造成了較大困擾，在安全事件風險分析和應急響應方面也無法形成協同效益。建立一個對各類安全態勢信息進行統計分析和多形式的可視化呈現，可基于各類態勢信息評估全系統、區域、設備等的安全威脅等級，對網絡攻擊、威脅重點區域、威脅發展趨勢等進行預警的安全態勢感知系統，以便網絡運維管理人員隨時掌握全網安全態勢，為運維人員決策提供支撐，具有十分重要的意義。

1 國內外研究現狀趨勢及必要性分析

1.1 國內外研究現狀及趨勢

現代意義上的態勢感知（Situation Awareness，SA）研究也來自于戰爭的需要，其在二戰后美國空軍對提升飛行員空戰能力的人因（Human Factor）工程學研究過程中被提出來，是為提升空戰能力、分析空戰環境信息、快速判斷當前及未來形勢，以做出正確反應而進行的研究探索，至今仍是軍事科學領域的重要研究課題[1]。

Mica R.Endsley 對態勢感知的經典定義：“在一定時間和空間內觀察環境中的元素，理解這些元素的意義并預測這些元素在不久將來的狀態”。20 世紀90 年代，態勢感知的概念開始逐漸被接受，并隨著網絡的興起升級為網絡態勢感 知（Cyberspace Situation Awareness，CSA），具體指在大規模網絡環境中對能夠引起網絡態勢變化的安全要素進行獲取、理解、顯示及發展趨勢的順延性預測，而最終的目的是要進行網絡空間防御決策與行動[2]。

隨著網絡安全重要性的凸顯，態勢感知開始在網絡安全領域嶄露頭角。2009 年，美國白宮在公布的網絡空間安全戰略文件中明確提出，要構建態勢感知能力和職責的國家級網絡安全中心或機構，包含國家網絡安全中心（NCSC）、情報部門、司法與反間諜部門、美國計算機應急響應小組（US-CERT）、網絡作戰部門的網絡安全中心（Cybersecurity Center）等，覆蓋國家安全、情報、司法、公私合作等各個領域[3]。

互聯網連接各行各業，網絡安全牽一發而動全身，日益成為我國非傳統領域的重中之重。維護網絡安全迫在眉睫、刻不容緩，網絡安全態勢感知便是國家提高整體網絡安全保障能力的重要措施。《中華人民共和國網絡安全法》第五十一條規定，國家建立網絡安全檢測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡信息安全收集、分析和通報工作，按照規定統一發布網絡安全檢測預警信息[4]。這是從國家層面要建立安全態勢感知與信息通報制度。

2016 年4 月19 日，習近平總書記在網絡安全和信息化工作座談會上講到：“要梳理正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。”同時指出，“知己知彼，才能百戰不殆。感知網絡安全態勢是最基本最基礎的工作。要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網絡安全風險發生的規律、動向、趨勢。”[5]“十三五”國家信息化規劃也提出要全天候、全方位感知網絡安全態勢，加強相關能力的建設。

2017 年5 月爆發“永恒之藍”勒索蠕蟲攻擊事件，360 勒索蠕蟲專項態勢感知系統抗擊勒索蠕蟲72 小時，實時掌握蠕蟲傳播態勢，并及時實施處置策略和相關措施，抑制“永恒之藍”的大面積爆發。

在黨的十九大網絡安全保衛項目中，公安機關利用態勢感知系統實時掌握安全風向，與重保單位進行實時網絡安全信息通報，實時處置和響應突發事件，保障會議期間的安全。

2020 年國家互聯網信息辦公室、國家發展和改革委員會等12 個部門聯合發布了《網絡安全審查辦法》[6]。

1.2 必要性分析

一是業務承載網信息鉸鏈關系復雜，需確保各子網之間實現數據跨網跨域安全交換；二是航天發射測控系統長期與不受控的國際測控系統、國外站互聯，易受到來自境外的網絡滲透、攻擊和破壞，需確保對外受控互聯；三是大量采用非自主可控產品和技術，信息系統存在安全隱患，需加大國產自主化要求和應對未知網絡入侵的能力；四是業務承載網面臨計算機系統信息泄露和病毒傳播內部安全威脅，需加強應對內部威脅的有效措施。

基于以上四點，系統從頂層進行安全防護的統籌規劃、集中統管、有機結合，進行整體的安全防護體系聯動，著眼于當前業務承載網安全建設，立足于現有配備的安全設備，通過對各網絡安全情況匯集整編和態勢融合展現功能，實現對網絡空間態勢常態化監控，幫助網絡運維人員隨時掌握網絡空間情況，以提升整體安全防護能力。

2 系統設計

在系統架構設計上，系統按照安全數據接入匯聚、安全數據處理分析和安全態勢呈現三個層次的總體架構設計，通過鏡像流量、syslog以及安管GCB010-2015 標準接口進行安全數據采集，利用大數據技術進行數據預處理和存儲，結合互聯網威脅情報大數據進行智能分析以及時發現網絡威脅，對分析結果進行態勢呈現，同時自動化或結合安全運維人員進行安全事件處置，形成安全事件的監測、分析、預警、呈現、處置的完整流程。各層級以及模塊之間的功能設計具有相對的獨立性，采用行業通用接口和軍隊標準接口進行信息交互，從而使得系統整體具有較高的擴展性。同時，依托業務承載網自身的物理安全、主機安全、應用安全、數據安全、網絡安全等多維度安全措施實現業務承載網的安全保障。提早發現關鍵威脅、持續感知網絡安全態勢、預警網絡安全事件，同時支撐網絡安全應急響應工作。系統總體架構設計如圖1 所示。

圖1 系統架構設計

2.1 安全數據接入匯聚

安全數據接入匯聚是整個網絡安全態勢感知的系統輸入，是網絡安全數據分析和態勢感知呈現的前提和基礎，安全數據匯聚接入層通過流量采集器、日志采集器、資產探測器等設備進行數據采集。數據采集按照統一規劃和統一標準獲取業務承載網的關鍵網絡流量、各設備的日志和告警信息、資產數據，確保系統輸入的安全數據全面、充分、詳實、準確，為安全分析和掌握整體安全態勢打下基礎。數據采集框架如圖2 所示。

圖2 安全數據匯聚接入

流量采集器以網絡旁路的形式部署各節點核心交換機處，對關鍵網絡鏡像流量采集后進行流量還原和分析，生成流量日志和流量告警信息。其中流量日志主要記錄數據包的時間、IP 地址、端口、協議信息等；流量告警是流量數據還原后與病毒庫、特征庫等進行比對，分析威脅形成告警信息。通過對網絡元數據、網絡傳輸數據、載荷行為數據等信息的全要素、細粒度記錄，提升對定向攻擊、高級威脅的發現和溯源能力，從而達到對潛在威脅、未知威脅的持續檢測效果。

日志采集器進行日志、告警信息的采集。日志信息采集對終端主機（終端防護軟件）、網絡設備、安全防護設備、漏洞掃描設備等進行日志和告警信息采集，具體包括業務服務器、業務終端、路由器、交換機、防火墻、流量探針、網絡隔離設備、安全管理系統、漏洞掃描設備等。終端主機的數據采集通過終端安全管控軟件、殺毒軟件等終端現有客戶端軟件，從業務網中的計算機及各類終端資產中采集各類安全數據，采集終端產生的所有全量數據，包括違規日志數據、補丁信息數據、終端中毒情況、終端日志數據等；網絡設備的數據采集主要采集日志信息和狀態信息等；安全防護設備的數據采集主要采集接入策略日志、報警日志、操作日志和狀態信息等；漏洞掃描設備的數據采集主要采集漏洞信息。

資產探測器采用主動探測方式對網絡內的所有終端、網絡和安全防護設備進行周期性掃描探測和識別，獲取資產的類型、IP 地址、操作系統、軟件版本、協議、服務、開放的端口等信息，信息通過API 調用方式上報至安全數據總線。

2.2 安全數據處理分析

安全數據處理分析是安全態勢準確感知呈現的重要保證，系統在安全體系的保障及標準體系的指導下，通過建設數據接入、數據處理、數據組織、數據分析、數據治理和信息共享服務，全方位打造“采集”“融合”“服務”于一體的大數據處理分析。數據分析處理邏輯架構如圖3 所示。

圖3 數據分析處理邏輯架構

數據接入部分負責多元異構數據的高效、靈活接入與分發。

數據處理利用數據治理的成果以及知識庫中的模型、規則等知識，完成數據組織中原始庫、資源庫、主題庫、業務庫等的構造，產生數據關聯信息，實現數據融合，提升數據價值。

數據治理通過管理數據資源目錄、元數據、分級分類、血緣關系等信息，定義數據匯聚于融合后的期望效果，規范數據組織形式，對數據質量進行管控，通過運維手段確保數據全生命周期的運行。

表1 數據組織類別

數據組織規范了數據價值逐步提升過程中數據的組織、展示形態。數據組織類別如表1所示。原始庫是對所有不同來源的數據按原格式進行存儲，支持所有數據類型，因此原始庫的數據組織方式與接入時的數據組織方式直接一一對應，不對數據做任何處理，所有原始日志信息和原始告警信息分別存于原始日志庫和原始告警庫，用于后期攻擊威脅的追蹤溯源；資源庫對原始庫里的數據按照一定的規則進行過濾、清洗、標準化，并按業務使用規則或屬性規則等進行整合加工與匯總，為整個平臺提供基礎數據資源支撐的數據集合；主題庫是在資源庫的基礎之上進行抽象，依據本體邏輯建模（LDM）方法，構建了相關領域的實體及關系；知識庫是指網絡安全領域或與網絡安全專業領域相關的特征知識數據和規則方法集合，包括一些全領域共享的特定知識性數據集合，知識庫的數據來源比較廣，既有從現有各業務系統中提煉的相關知識類信息，也有在數據處理過程的不同階段累積的知識類數據，同時這些數據又對進入平臺的各類業務數據的匯聚融合、分析挖掘、價值提升等提供了指導性的規則。

數據分析通過使用資源庫、主題庫、業務庫的數據，結合已有知識庫信息，通過分析、挖掘手段構建分析模型，完成知識庫的更新積累，為數據處理及數據服務提供智能化支撐。

數據服務給上層應用提供透明、一致、靈活的數據服務。

2.3 安全態勢呈現

以往的安防系統建設往往呈現一種“煙囪林立”的狀態，大量的安防設備在功能上重疊，數據卻無交互，產生的海量告警信息、安全日志信息需要耗費大量時間和精力去判別維護。本系統以安全大數據、業務建模、機器學習等先進技術手段為支撐，通過改造、集成業務承載網內各類安全基礎設施，通過采集網絡流量，安全日志、安全告警、威脅情報等安全數據，利用數據分析和機器學習技術，分析網絡行為及用戶行為等因素，對網絡當天狀態和發展趨勢進行分析和預測，將采集和處理分析的數據結果，依托態勢感知系統軟件，運用可視化技術將其轉化為易于理解的曲線圖表形式呈現，實現安全事件、攻擊路徑、地域可視化，降低運維難度。

3 系統實現和測試

完成設備安裝部署后，進行系統調試測試，對設備參數配置、功能和性能進行檢查，錄入部分各類參試硬件設備參數測試，測試資產管理模塊功能。測試表明，資產管理支持按單位、站點管理，支持手動及自動發現軟硬件資產；支持對主機設備、網絡設備、安全設備、應用系統等設備的識別，具體包括交換機、路由器、防火墻、Windows 服務器、Linux 服務器、SQL Server、Oracle、DB2、MySQL 等；支持對網絡中設備數量和類型的分類統計；支持對內網操作系統的識別，能夠準確獲取操作系統具體版本；支持對操作系統和版本的手動修正；支持對內網設備類型、開放端口、開放服務等多種屬性識別，能感知網絡內設備的變更事件，記錄設備類型、操作系統、交換機IP、交換機端口變更等詳細信息；能夠感知網絡設備屬性，對網絡設備狀態、網絡性能、CPU 利用率、內存利用率等監控，設備面板管理，可以對重點端口進行流量監控并且配置告警閾值；通過掃描引擎能夠對已知及未知的資產信息進行有效補充，擴大監管范圍，破除監管盲點。資產管理模塊的硬件資產統計如圖4 所示。

圖4 資產統計

用戶和角色管理部分，支持對系統用戶所屬組織機構進行管理，角色管理支持對系統角色的添加、修改刪除、查看等操作，綁定登錄用戶信息和用戶組信息，構成整個平臺的數據權限體系，系統可以靈活自定義根據需求預置相應的角色。系統管理員給各站建立一個可以查看對應各單位設備、網絡安全態勢信息的用戶，各站可自行查詢本單位的網絡安全態勢，將各站通信崗位人員納入安全運維行列，節省中心網管人員時間精力，擴大了全單位安全運維隊伍，從人員的角度提升整體安全運維能力。

安全態勢感知實現對安全態勢進行評估和多維度呈現。網絡數據流量采集后，通過惡意代碼分析、異常流量分析、威脅分析等技術進行攻擊行為分析，以此來評估當前網絡的整體安全態勢，以使用單位為視角，對本單位監管范圍下的單位安全狀態進行監測，并且根據系統內置的風險評估算法給出當前被監管單位整體分級的安全評估。基于威脅發現和風險分析的結果，對攻擊者進行信息獲取和深度分析，同時對安全事件、風險評估、資產信息、漏洞信息進行綜合分析，形成攻擊鏈和攻擊者畫像等信息，從全網和各單位角度對多種信息進行整合呈現，實現安全態勢的監測和展示，包括全網的綜合安全態勢、區域安全態勢、資產態勢和攻擊態勢等。

綜合態勢呈現，可根據需要定制顯示攻擊事件類型、攻擊源、受影響單位、安全事件同比環比分析、安全事件等級分布、安全事件實時監測、安全事件趨勢分析等模塊可視化呈現當前綜合安全態勢，實時展示各個維度的安全威脅同比變化比例，便于迅速及時掌握整個網絡空間安全現狀。綜合態勢大屏顯示如圖5 所示。

圖5 綜合態勢大屏

攻擊態勢主要是針對全網遭受攻擊狀況的可視化呈現。通過攻擊態勢頁面，可以直觀了解到所有監控資源的脆弱性分布，遭受攻擊的情況以及最終受損的情況，實時感知當前發生的各種攻擊事件和資產威脅情況，展現攻擊者攻擊方式、攻擊來源及目的地址、攻擊頻次等信息，以3D 地球的方式進行實時攻擊展示，便于直觀了解攻擊源和攻擊目的關系和屬地關系，通過溯源挖掘分析這些事件產生的原因，掌握黑客攻擊路徑，提供處置建議和流程，提高運維質量和效率。攻擊態勢顯示如圖6 所示。

圖6 攻擊態勢

日志檢索模塊，記錄安全設備全部原始日志數據信息，可以更靈活調取各個時間段數據，并按需求自定義安全報表，定制記錄表單，滿足規范要求和安全檢查需求。

安全監測模塊，根據事件類型、發生時間、次數展示近期的安全事件，包含威脅源、受影響資源、受影響資源所屬單位、站點信息，方便攻擊溯源，追查問題。

通報預警模塊，能對預警信息進行匯總、分析、研判，并及時將情況上報、通報、下達，采用特定對象安全評估通報、定期綜合通報、突發事件通報、專項通報等方式進行通報。事件分析展示安全事件相關單位、責任部門、域名IP、事件類型等信息，可及時發布通告預警督促相關單位進行整改和治理，權責清晰，形成監管閉環。如圖7 所示為某單位某IP 對應的通報預警統計。

圖7 通報預警

驗證測試表明，業務承載網安全態勢感知系統對原有網絡及運行在此網絡上的應用系統無影響。通過安全態勢感知系統建設，實現了在保障網絡和應用系統正常運轉的前提下，運用大數據技術提升安全威脅發現能力，運用威脅情報提升攻擊檢測與追蹤溯源能力，運用可視化技術提升安全態勢呈現能力，運用安全數據聯動提升主動防御能力，運用智能化技術提升安全檢測評估能力，多維度全流程掌握業務承載網安全態勢，構建網絡安全監控常態化、重點單位監測持續化、網絡資源監管全面化、預警響應機制高效化的網絡安全監管體系，有效提升了整個系統的安全強度。

4 結 語

習近平總書記指出，維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生風險。正所謂“聰者聽于無聲，明者見于未形”。感知網絡態勢是最基本最基礎的工作。

結合業務承載的安全實際需求，建設集攻擊威脅發現、位置威脅預警、應急響應處置、安全態勢監測為一體的網絡安全態勢感知系統，提升業務承載網的網絡安全監測、感知和防御能力，確保業務承載網安全態勢可知、可控、可管，推動大數據驅動的網絡安全體系防御能力全面躍升。