面向威脅信息的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究

谷曉鵬

（91001部隊(duì)，北京 100841）

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)的日益普及和組網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)在深入社會(huì)、政治、經(jīng)濟(jì)、軍事等各個(gè)領(lǐng)域，對(duì)社會(huì)治理、產(chǎn)業(yè)發(fā)展、個(gè)人生活、思想文化產(chǎn)生了巨大影響。網(wǎng)絡(luò)在人類社會(huì)中的作用越來(lái)越大，同時(shí)入侵攻擊帶來(lái)的損失也日益增大，網(wǎng)絡(luò)安全問(wèn)題逐漸嚴(yán)重。網(wǎng)絡(luò)攻防也日趨規(guī)模化、分布化、復(fù)雜化，攻擊手段向著態(tài)勢(shì)變化迅速、破壞性越來(lái)越大的方向發(fā)展。日益嚴(yán)峻的安全威脅迫使政府、社會(huì)、企業(yè)不得不加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)。目前網(wǎng)絡(luò)攻擊向著高級(jí)持續(xù)威脅等有組織的攻擊發(fā)展，傳統(tǒng)的單點(diǎn)防御、各種獨(dú)立的安全防御措施，在新的攻擊技術(shù)、新形勢(shì)下，已經(jīng)完全無(wú)法滿足需求。構(gòu)建協(xié)同化、立體防御系統(tǒng)，核心在于有效生成和發(fā)布網(wǎng)絡(luò)安全態(tài)勢(shì)信息，使得防御方難于響應(yīng)復(fù)雜網(wǎng)絡(luò)攻擊。在這種情況下，迫切需要一種新的網(wǎng)絡(luò)安全態(tài)勢(shì)系統(tǒng)，可協(xié)同各個(gè)網(wǎng)絡(luò)防御單元實(shí)時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì)信息，并及時(shí)消除網(wǎng)絡(luò)威脅，降低攻擊造成的損失。網(wǎng)絡(luò)安全態(tài)勢(shì)信息是不同的安全廠商、網(wǎng)絡(luò)運(yùn)營(yíng)單位之間進(jìn)行安全情報(bào)共享、敵情我情評(píng)估的共性數(shù)據(jù)，而且具備機(jī)器可讀信息。因此，開(kāi)展網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究至關(guān)重要。

本文首先參照國(guó)家相關(guān)標(biāo)準(zhǔn)，面向網(wǎng)絡(luò)威脅信息設(shè)計(jì)安全態(tài)勢(shì)感知模型，并在此基礎(chǔ)上構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，為全面的網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建提供前瞻且務(wù)實(shí)的指導(dǎo)思想。

1 國(guó)內(nèi)外研究現(xiàn)狀

態(tài)勢(shì)感知（Situation Awareness,SA）最早用于研究飛行員對(duì)當(dāng)前所處飛行狀態(tài)的認(rèn)識(shí)［1］。Endsley 等［2］認(rèn)為態(tài)勢(shì)是對(duì)抗雙方或多方，在一定時(shí)空環(huán)境內(nèi)的各方態(tài)勢(shì)要素進(jìn)行探測(cè)與信息收集，并對(duì)獲得的信息進(jìn)行理解，預(yù)測(cè)它們?cè)诓痪脤?lái)的狀態(tài)的方法。態(tài)勢(shì)感知通常分為三個(gè)層次，分別為察覺(jué)、理解和預(yù)測(cè)。

1999 年，Bass［3］提出了網(wǎng)絡(luò)空間態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA）和網(wǎng)絡(luò)態(tài)勢(shì)感知（Network Situation Awareness，NSA）的概念，是首次將態(tài)勢(shì)感知概念引入網(wǎng)絡(luò)安全領(lǐng)域。本文基于Bass 對(duì)CSA 的定義，認(rèn)為網(wǎng)絡(luò)安全態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)變化的安全要素進(jìn)行獲取、理解、可視化，并能夠?qū)ξ磥?lái)發(fā)展趨勢(shì)進(jìn)行一定的順延性預(yù)測(cè)的技術(shù)方法，其最終的目的是要獲得網(wǎng)絡(luò)安全防御的正確決策，采取正確行動(dòng)。所以，網(wǎng)絡(luò)空間安全態(tài)勢(shì)既是一種狀態(tài)，又是一種趨勢(shì)，必須考慮整體、全局多個(gè)層級(jí)以及它們的關(guān)聯(lián)性，用普遍聯(lián)系的思維研究網(wǎng)絡(luò)安全問(wèn)題，因此任何單一的安全事件、局部的安全狀態(tài)都不能稱之為網(wǎng)絡(luò)安全態(tài)勢(shì)。

2007 年，美國(guó)在愛(ài)因斯坦計(jì)劃［4］的基礎(chǔ)上提出可信互聯(lián)網(wǎng)連接（TIC）計(jì)劃，提出網(wǎng)絡(luò)出口管理。2010 年又通過(guò)《聯(lián)邦信息安全管理法》要求各機(jī)構(gòu)的網(wǎng)絡(luò)信息安全方案中，必須包含對(duì)各類信息系統(tǒng)進(jìn)行持續(xù)監(jiān)測(cè)［5］。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院在2016 年發(fā)布了網(wǎng)絡(luò)威脅信息共享指南，該指南中所涉及的信息源的選擇、威脅情報(bào)類型、數(shù)據(jù)源的選擇、威脅指標(biāo)等內(nèi)容可以作為態(tài)勢(shì)感知系統(tǒng)的有效參考［6］。

國(guó)內(nèi)對(duì)態(tài)勢(shì)感知發(fā)展建設(shè)同樣重視。2017年，中國(guó)移動(dòng)通信集團(tuán)公司業(yè)務(wù)支撐系統(tǒng)部制定了《中國(guó)移動(dòng)業(yè)務(wù)支撐網(wǎng)升級(jí)安全威脅分析與預(yù)警平臺(tái)技術(shù)規(guī)范》［7］，規(guī)定了中國(guó)移動(dòng)業(yè)務(wù)支撐網(wǎng)省級(jí)安全威脅分析與預(yù)警平臺(tái)對(duì)業(yè)務(wù)支撐系統(tǒng)、管理信息系統(tǒng)各類安全數(shù)據(jù)的采集、存儲(chǔ)、安全威脅分析、安全告警和安全預(yù)警的功能要求。2019年5月，發(fā)布的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》（GB/T36643-2018）［8］中，對(duì)網(wǎng)絡(luò)安全威脅信息描述做出了標(biāo)準(zhǔn)規(guī)范，有助于整體的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)感知能力的提升。目前態(tài)勢(shì)感知已經(jīng)逐步成為網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中越來(lái)越重要的組成部分。

2 安全態(tài)勢(shì)感知模型

為確保構(gòu)建的安全態(tài)勢(shì)感知模型具備通用性、一致性和可移植性，本文在遵循GB/T36643-2018標(biāo)準(zhǔn)要求的基礎(chǔ)上開(kāi)展設(shè)計(jì)，首先介紹上述標(biāo)準(zhǔn)中的威脅信息模型。

2.1 威脅信息模型

為了能夠?qū)崿F(xiàn)不同組織間網(wǎng)絡(luò)安全威脅信息的共享和利用，GB/T36643-2018 標(biāo)準(zhǔn)定義了威脅信息模型，從對(duì)象、方法和事件三個(gè)維度對(duì)各類威脅信息進(jìn)行了劃分。經(jīng)典的威脅信息模型包括可觀測(cè)數(shù)據(jù)（Observation）、攻擊指標(biāo)（Indicator）、安全事件（Incident）、攻擊活動(dòng)（Campaign）、威脅主體（Threat Actor）、攻擊目標(biāo)（Exploit Target）、攻擊方法（TTP）、應(yīng)對(duì)措施（Course Of Action）在內(nèi)的八個(gè)威脅信息組件描述網(wǎng)絡(luò)安全威脅信息。又可劃分為對(duì)象域、方法域和事件域：

（1）對(duì)象域：描述了網(wǎng)絡(luò)安全行為的參與角色，核心就是攻防雙方，包括“威脅主體”類角色（一般是攻擊者）和“攻擊目標(biāo)”類角色（一般是被攻擊方）。

（2）方法域：描述網(wǎng)絡(luò)安全威脅中的方法類元素，包括兩個(gè)方面：一是“攻擊方法”，二是“應(yīng)對(duì)措施”，分別對(duì)應(yīng)了攻擊者的主要方法，也就是攻擊和入侵所采用的方法、技術(shù)和過(guò)程，和防御方的主要技術(shù)方法，也就是針對(duì)攻擊行為的防御措施，如預(yù)警、檢測(cè)、防護(hù)、響應(yīng)等動(dòng)作。

（3）事件域：描述網(wǎng)絡(luò)安全威脅相關(guān)的事件，包括四個(gè)組件：攻擊活動(dòng)、安全事件、攻擊指標(biāo)和可觀測(cè)數(shù)據(jù)，其中攻擊活動(dòng)通常以經(jīng)濟(jì)或政治為攻擊目標(biāo)，攻擊事件是指對(duì)目標(biāo)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)滲透的行為、安全時(shí)間主要指對(duì)終端、網(wǎng)絡(luò)節(jié)點(diǎn)、設(shè)備實(shí)施的具體攻擊，可觀測(cè)數(shù)據(jù)主要是從網(wǎng)絡(luò)或主機(jī)層面捕獲流量和日志信息。

在對(duì)上述模型信息組件研究的基礎(chǔ)上，經(jīng)過(guò)各類安全時(shí)間和攻防模型的研究，本文在微觀、中觀和宏觀三個(gè)層面構(gòu)建了安全態(tài)勢(shì)感知模型，并可劃分為運(yùn)行狀態(tài)態(tài)勢(shì)、攻擊活動(dòng)態(tài)勢(shì)和攻擊方法態(tài)勢(shì)。

2.2 運(yùn)行狀態(tài)態(tài)勢(shì)

運(yùn)行狀態(tài)態(tài)勢(shì)是針對(duì)所要描述的網(wǎng)絡(luò)環(huán)境，給出其運(yùn)行狀況的定性及定量評(píng)估，如圖1 所示。運(yùn)行狀態(tài)所基于的網(wǎng)絡(luò)環(huán)境，應(yīng)當(dāng)是單個(gè)資產(chǎn)，或基于一定關(guān)系組織起來(lái)的局部網(wǎng)絡(luò)或資產(chǎn)組合，從微觀到中觀到宏觀，可基于應(yīng)用、設(shè)備、信息系統(tǒng)、業(yè)務(wù)活動(dòng)、域、子、整體網(wǎng)絡(luò)等給出運(yùn)行狀態(tài)態(tài)勢(shì)。基于時(shí)間序列給出的運(yùn)行狀態(tài)評(píng)估值序列稱為運(yùn)行狀態(tài)變化趨勢(shì)。

2.3 攻擊活動(dòng)態(tài)勢(shì)

安全事件基于威脅主體及具體意圖的融合理解，形成攻擊活動(dòng)。對(duì)于安全事件最直接的融合是基于過(guò)濾條件（如時(shí)間、威脅主體、攻擊方法、攻擊目標(biāo)等）輸出事件列表及事件次數(shù)統(tǒng)計(jì)信息。從微觀、中觀到宏觀視角對(duì)安全事件-攻擊活動(dòng)的態(tài)勢(shì)如圖2所示。

圖2 安全事件-攻擊活動(dòng)態(tài)勢(shì)

同樣，也可針對(duì)事件數(shù)量及威脅評(píng)估值在時(shí)間序列上的變化形成事件數(shù)量時(shí)間趨勢(shì)及威脅評(píng)估值時(shí)間趨勢(shì)，如圖3所示。

圖3 攻擊鏈模型

從態(tài)勢(shì)感知角度，基于威脅事件的特征把事件分配到攻擊鏈各個(gè)環(huán)節(jié)，從IP 關(guān)聯(lián)、時(shí)間關(guān)聯(lián)、大類關(guān)聯(lián)、階段關(guān)聯(lián)等多種關(guān)聯(lián)手段分析攻擊者意圖，建立起事件與事件之間的關(guān)聯(lián)關(guān)系，還原攻擊過(guò)程。

從攻擊鏈模型的七大階段看，前三階段事實(shí)上是攻擊的試探及準(zhǔn)備階段，第四個(gè)階段“滲透”是個(gè)分界線，后面三個(gè)階段都是滲透成功，獲得部分權(quán)限后所執(zhí)行的威脅活動(dòng)。攻擊鏈的具體實(shí)例，基于不同的威脅過(guò)程，可能不一定包含七個(gè)步驟的內(nèi)容。

2.4 攻擊方法態(tài)勢(shì)

攻擊方法的分類分為兩種維度。其一是對(duì)攻擊技術(shù)手段的維度，其二是針對(duì)攻擊目標(biāo)所利用的脆弱性進(jìn)行分類。

對(duì)攻擊技術(shù)手段的分類分為基于攻擊機(jī)制及攻擊領(lǐng)域兩種分類方式。針對(duì)攻擊目標(biāo)的脆弱性的分類方式可按研究概念視圖、開(kāi)發(fā)概念視圖、架構(gòu)概念視圖等不同視圖進(jìn)行分類。

不管采用哪種分類方法，攻擊方法的分類都是多層次的結(jié)構(gòu)，如圖4所示。攻擊方法在微觀上的態(tài)勢(shì)分析是針對(duì)單個(gè)事件具體使用的攻擊方法的分析。對(duì)攻擊方法的態(tài)勢(shì)融合在分類層面的從微觀層次到中觀再到宏觀的融合遵循從單個(gè)具體的方法到小類型到上級(jí)類型的規(guī)律。

圖4 攻擊方法態(tài)勢(shì)

3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架

結(jié)合大數(shù)據(jù)、人工智能等技術(shù)，實(shí)現(xiàn)安全態(tài)勢(shì)感知模型的應(yīng)用，形成網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架如圖5 所示。該系統(tǒng)分為資源層、采集管控層、大數(shù)據(jù)層、服務(wù)層和業(yè)務(wù)層，采集層對(duì)資源層進(jìn)行安全數(shù)據(jù)采集，通過(guò)大數(shù)據(jù)層實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)與分析，這三層為平臺(tái)的服務(wù)層和業(yè)務(wù)層提供數(shù)據(jù)支撐。而平臺(tái)的服務(wù)層和業(yè)務(wù)層，為用戶提管理服務(wù)和技術(shù)服務(wù)。

圖5 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架

3.1 數(shù)據(jù)支撐服務(wù)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在數(shù)據(jù)支撐上，支持對(duì)網(wǎng)絡(luò)下所有節(jié)點(diǎn)日志的統(tǒng)一管理，以及多種日志采集方式收集云平臺(tái)設(shè)備和系統(tǒng)日志，并通過(guò)對(duì)日志的分類、過(guò)濾、強(qiáng)化、分析和存儲(chǔ)，為技術(shù)服務(wù)與管理服務(wù)提供數(shù)據(jù)支撐。

通過(guò)內(nèi)置過(guò)濾器，系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全資源池等進(jìn)行日志過(guò)濾、歸并和規(guī)范化，過(guò)濾掉嚴(yán)重程度較低的原始日志信息。通過(guò)指定日志影響的設(shè)備、日志采用協(xié)議、日志類別、日志標(biāo)題等日志屬性進(jìn)行過(guò)濾，對(duì)日志數(shù)據(jù)過(guò)濾的開(kāi)啟狀態(tài)進(jìn)行手工設(shè)定，多級(jí)過(guò)濾。日志采集引擎支持預(yù)處理安全日志，在采集引擎段即可生成標(biāo)準(zhǔn)化的日志格式。通過(guò)交互式界面，動(dòng)態(tài)識(shí)別和提取日志關(guān)鍵信息，并自動(dòng)生成正則表達(dá)式，通過(guò)所見(jiàn)即所得的交互式模式進(jìn)行正則的驗(yàn)證。

3.2 管理服務(wù)功能

系統(tǒng)以安全管理體系為輸入，進(jìn)行管理流程設(shè)計(jì)。如結(jié)合安全管理體系中的規(guī)章制度、規(guī)范流程設(shè)計(jì)平臺(tái)的工作流；參照管理機(jī)構(gòu)與人員，對(duì)應(yīng)用戶設(shè)置不同權(quán)限，制定審批鏈，并以此為參照，進(jìn)行用戶權(quán)限管理；結(jié)合運(yùn)維過(guò)程中的記錄、表單，設(shè)計(jì)工單管理中的流轉(zhuǎn)頁(yè)面。在平臺(tái)運(yùn)營(yíng)過(guò)程中，結(jié)合平臺(tái)資產(chǎn)庫(kù)、漏洞庫(kù)、配置基線庫(kù)等，通過(guò)平臺(tái)開(kāi)展運(yùn)維管理。

結(jié)合網(wǎng)絡(luò)內(nèi)的掃描類產(chǎn)品，系統(tǒng)支持網(wǎng)絡(luò)資產(chǎn)自動(dòng)發(fā)現(xiàn)功能，能夠自動(dòng)發(fā)現(xiàn)和識(shí)別資產(chǎn)。能夠?qū)崿F(xiàn)全局模式下通過(guò)搜索IP 地址、資產(chǎn)名稱、MAC、操作系統(tǒng)、資產(chǎn)編號(hào)、物理位置、資產(chǎn)類型等方式查詢資產(chǎn)表信息，實(shí)現(xiàn)事件快速定位。

脆弱性管理包括漏洞脆弱性和配置脆弱性兩個(gè)部分，是網(wǎng)絡(luò)環(huán)境重要的風(fēng)險(xiǎn)評(píng)估項(xiàng)，在等保與分保標(biāo)準(zhǔn)中，也要求定期開(kāi)展配置檢查和漏洞掃描。脆弱性管理功能從脆弱性、漏洞情報(bào)和資產(chǎn)管理三維度出發(fā)，分析資產(chǎn)受影響情況，提供防護(hù)措施。通過(guò)脆弱性管理功能模塊加強(qiáng)漏洞風(fēng)險(xiǎn)管理。

3.3 技術(shù)服務(wù)功能

系統(tǒng)以安全態(tài)勢(shì)感知模型為基礎(chǔ)，綜合應(yīng)用威脅情報(bào)系統(tǒng)，建立攻防場(chǎng)景模型，對(duì)態(tài)勢(shì)進(jìn)行大數(shù)據(jù)分析，對(duì)各類相關(guān)數(shù)據(jù)設(shè)計(jì)了可視化展示方法，能夠建立對(duì)安全態(tài)勢(shì)的全面監(jiān)控，在綜合其他數(shù)據(jù)源的基礎(chǔ)上，可以進(jìn)行安全威脅的實(shí)時(shí)預(yù)警和安全事件的智能決策，具備安全事故聯(lián)動(dòng)響應(yīng)的能力。系統(tǒng)能夠高效地結(jié)合情境上下文分析，協(xié)助安全運(yùn)維人員和安全分析工程師快速發(fā)現(xiàn)和分析安全問(wèn)題。指導(dǎo)實(shí)際運(yùn)維手段，提升網(wǎng)絡(luò)安全防御水平。

平臺(tái)在技術(shù)服務(wù)上包含三大核心：情報(bào)預(yù)警中心、態(tài)勢(shì)感知中心、聯(lián)動(dòng)響應(yīng)中心。

威脅情報(bào)管理根據(jù)來(lái)自內(nèi)部預(yù)警信息和外部預(yù)警信息，分析獲得對(duì)可能發(fā)生的威脅的提前通告。

安全中心安全態(tài)勢(shì)分析的定位是可以針對(duì)整體范圍或某一特定時(shí)間與環(huán)境，基于條件開(kāi)展微觀、中觀和宏觀的態(tài)勢(shì)感知評(píng)估，最終形成歷史的整體態(tài)勢(shì)以及對(duì)未來(lái)短期的預(yù)測(cè)。

聯(lián)動(dòng)響應(yīng)的安全架構(gòu)自頂向下可分為安全應(yīng)用、安全控制平臺(tái)和安全設(shè)備三層。態(tài)勢(shì)感知應(yīng)用對(duì)整體攻防態(tài)勢(shì)進(jìn)行感知，決策引擎進(jìn)行分析判斷，最終生成安全決策，向安全控制平臺(tái)下達(dá)處置策略。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)是安全體系中融合技術(shù)與管理，提供整體運(yùn)維和安全管控的支撐平臺(tái)。它一方面從網(wǎng)絡(luò)中采集安全數(shù)據(jù)，進(jìn)行安全狀態(tài)實(shí)時(shí)監(jiān)控，并通過(guò)大數(shù)據(jù)分析，結(jié)合威脅信息，形成多層面的態(tài)勢(shì)感知呈現(xiàn)。通過(guò)對(duì)全網(wǎng)安全數(shù)據(jù)的采集，應(yīng)用大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)，形成安全管控的智能決策。