网络安全态势感知技术研究与应用

0 引 言

网络攻击手段日益复杂化，导致用户在遭受攻击时很难发现攻击者的攻击行为，甚至在事后无法追溯攻击路径，还原攻击过程。在全球网络信息化程度高速发展的大背景下，具备隐蔽性、渗透性和针对性的高级持续性威胁，对各类高等级信息安全系统造成的威胁日益严重。针对特定目标的有组织的APT攻击日益增多，国家、企业的网络信息系统和数据安全面临严峻挑战[1]。

传统防火墙、防病毒和入侵防御等以边界防护和静态防护为主的安全防护方式，已不能适应新的网络安全形势，需要采用持续监控、大数据分析等新技术，全量采集网络相关数据、感知网络当前态势，并预测网络安全趋势。近年来，网络安全态势感知可谓炙手可热，在各种领导讲话、会议发言、企业宣传等场合频频出现。同时，有关网络安全态势感知的论文也不断增加，涉及态势感知的概念、起源、内涵、指标以及框架架构等。本文旨在阐述“态势感知”感知内容的基础上，分别从微观、中观和宏观三个层面提出态势感知的功能架构和部署方式，即“态势感知”如何感知，以厘清针对具体信息网络安全保障和网络安全监管的态势感知之间的关系和侧重点。

1 态势感知的内容

1.1 感知网络资产

IT系统越来越复杂，从而产生大量的无主资产、僵尸资产，且这些资产长时间无人维护，存在大量的漏洞和配置违规，为用户网络安全带来了极大隐患。因此，首先要摸清资产家底。任何网络入侵和攻击都是以资产为载体或目标，如果网络资产是一笔糊涂账，那么网络安全状况将无法保障。

感知资产的方法主要有主动探测和被动分析。主动探测主要用于对未知网络下的资产发现探测，被动分析主要用于7×24小时持续性的监听已知网络下的未发现资产。通过强大的资产指纹库建立各类型资产的特征，包括网络设备、安全设备、各类操作系统、数据库和应用中间件等，进行识别资产并完成资产属性的补全，最终实现未知资产的发现、识别与管理。同时，需要通过有代理或无代理方式监控资产的运行状态，包括主机CPU、内存、磁盘占用率变化情况、网络带宽的占用变化情况和交换机每个端口的流量情况。更进一步，可采集服务进程、线程数据、CPU和内存占用率等[2]，为安全检测分析提供数据支撑。

1.2 感知资产脆弱性

网络安全脆弱性主要包括资产漏洞和弱密码等配置不当。脆弱性已经成为网络攻击者入侵网络窃取信息或者破坏系统的重要入口。因此，“摸清家底”的一个重点就是要摸清资产的脆弱性。如果资产漏洞和不合理配置不明确，将无法进行资产安全加固并采取防护措施。

对于资产漏洞，感知方法是基于已知的漏洞信息，采用端口探测等手段，对网络中指定的主机、网络设备等资产进行漏洞检测，发现网络资产存在的漏洞；资产配置脆弱性感知方法是采用基线安全配置检测工具，深度获取主机、服务器和网络设备等资产的配置信息，并与配置基线进行比较，发现资产配置的脆弱性。最终，在发现脆弱性基础上，维护所有资产脆弱性的生命周期信息，并分析可能的攻击面和攻击路径。

1.3 感知安全事件

随着网络技术的发展，网络安全威胁的方式层出不穷。病毒、蠕虫、后门和木马等网络攻击方式越来越多，逐渐受到人们的广泛关注。为了保证网络系统的安全运行，网络中广泛使用了防火墙、入侵检测系统、漏洞扫描系统和安全审计系统等安全设备。这些安全设备会产生大量违反安全策略和安全规则的告警事件。但是，这些安全告警事件信息中含有大量的重复报警和误报警，且各类安全事件之间分散独立，缺乏联系，无法给安全管理员提供在攻击时序上和地域上真正有意义的指导。

实际中，大部分的安全告警事件并不是孤立产生的，它们之间存在一定的时序或因果联系。结合安全告警事件的运行环境，对原来相对孤立的低层网络安全事件数据集进行关联整合，并通过过滤、聚合等手段去伪存真，发掘隐藏在这些数据之后的事件之间的真实联系[3]，确定事件的时间、地点、人物、起因、经过和结果。

1.4 感知网络威胁

随着技术的不断进步，网络攻击行为逐渐呈现分布化、远程化与虚拟化等趋势。传统基于对攻击行为进行特征识别与比对的威胁感知和甄别机制，受到了来自新型攻击手法的巨大挑战。层出不穷的各类高危漏洞、0Day漏洞，使攻击特征库的及时更新与长期维护面临巨大困难[4]。此外，传统的威胁检测手段在应对APT攻击时显得力不从心，因为传统的检测手段主要针对已知的威胁，对未知的漏洞利用、木马程序、攻击手法无法进行检测和定位。

面对层出不穷的网络攻击和新的网络安全形势，感知网络威胁的方法可以概括为“知己”和“知彼”两个方面。“知己”方面是采集内部网络流量数据、日志数据和安全数据等，进行基于大数据分析、人工智能技术的异常行为检测，发现隐藏在海量数据中的网络异常行为；“知彼”方面是通过监测、交换和购买等各种方式，搜集恶意样板Hash值、恶意IP地址、恶意域名、攻击网络或者主机特征、攻击工具、攻击战技术、攻击组织等网络威胁情报数据，用于支撑安全运行维护、安全检测分析和安全运营管理。

1.5 感知网络攻击

在网络攻击的一次迭代过程中，一般分为情报收集、目标扫描、实施攻击、维持访问和擦除痕迹5个阶段[5]。感知网络攻击是持续不断地收集当前网络中的攻防对抗数据。一方面实时展现当前网络中的攻防对抗实况，深入挖掘各种攻击行为，如端口扫描、口令猜测、缓冲区溢出攻击、拒绝服务攻击、IP地址欺骗以及会话劫持等；另一方面，借助网络异常行为检测和历史攻击信息，分析潜藏的高危攻击行为和未知威胁，并协助安全分析师抽取高价值的威胁情报。

1.6 感知安全风险

网络安全风险感知是在感知网络资产、脆弱性、安全事件、安全威胁和安全攻击的基础上，进一步进行数据融合分析，建立全网的安全风险指标体系和风险评估模型，从抽象的高度来评估当前网络的整体安全风险。风险评估可采用定量与定性相结合的综合评估方法。层次分析法（AHP）是一种典型的评估方法，是一种定性与定量相结合的多目标决策分析方法。这一方法的核心是将决策者的经验判断予以量化，从而为决策者提供定量形式的决策依据。

2 态势感知的方法

2.1 微观层面态势感知

这里所指的微观层面，是针对具体企业或政府的信息网络而言的。作为网络安全的具体保障对象，企业信息网络态势感知的目的是详细掌握企业网络资产、脆弱性、告警事件、威胁、攻击和风险，并进行应急响应、调查分析等闭环处置。具体方法是尽可能全面采集信息网络相关数据，包括网络设备数据、安全设备数据、主机设备数据、数据库数据以及应用系统和中间件数据，融合威胁情报进行基于大数据平台的安全管理与安全分析，实现资产管理、漏洞管理、事件管理、威胁告警、调查分析和应急响应等业务功能，为安全运营（管理、分析、响应）团队提供技术支撑，如图1所示。 

微观层面的网络安全态势感知平台的部署方式可根据信息网络的规模采用集中式部署（适用于中小企业信息网络），或者分布采集、集中运营管理的部署方式。常见的部署方式如图2所示。 

对于中小型企业，可以采用集中部署的方式，在中心集中部署采集器集群；对于中大型企业，则采用分布式采集部署方式。

2.2 中观层面态势感知

这里所指的中观层面，是针对具有多个微观管理域职能的企业集团或行业主管部门而言的。作为企业集团或行业主管部门，既有自身信息网络安全保障的职责，也有下级网络安全监管职责，其网络安全态势感知平台应该是一个分级分域的架构，其功能架构与微观层面态势感知平台类似。但是，上级平台除具有微观态势感知的全部功能外，需要对汇聚的下级平台态势信息进行统计分析和关联分析，并向下级平台预警等，部署方式如图3所示。 

图3中，下级平台向上级平台上报网络安全态势、重要安全事件、运行状态和知识库更新等信息，上级平台向下级平台下发预警、级联状态和知识库更新等信息[6]。在中观层面，上级平台汇聚了多个下级平台的态势信息和事件信息，可以实现多域联动和协同响应。

2.3 宏观层面态势感知

这里所指的宏观层面，是针对政府监管机构而言的，关注的重点是管辖范围内的宏观网络安全态势。宏观网络安全态势感知需要汇聚辖区内中观态势感知平台个独立的微观态势感知平台的态势信息、重要事件信息，同时结合互联网大范围监测的DDoS攻击态势、WEB攻击态势、僵木蠕态势以及第三方网络威胁情报中心的情报信息，分析、研判辖区内宏观网络安全态势，针对重大、特别重大网络安全事件进行预警通报和应急指挥。功能架构如图4所示。

图4中，中观网络安全态势感知平台、微观网络安全态势感知平台通过网络，将本平台的态势信息、重大或特别重大网络安全事件上报宏观态势感知平台。宏观态势感知平台进行统计分析、关联分析和攻击链分析，结合威胁情报进行威胁判断，下发安全预警通报，并针对重大或特别重大安全事件进行应急处置，实现全域联动和协同响应。

3 结语

本文在详细阐述网络安全态势感知内容的基础上，针对不同用户的不同目的，提出了微观、中观和宏观网络安全态势感知的功能架构和部署方式。其中，微观网络安全态势感知平台适用于政府、企业针对具体信息网络的安全保障，可以作为政府、企业的网络安全运营管理中心的重要支撑平台；宏观网络安全态势感知则适用于政府监管机构对一定区域内或国家的宏观网络的安全监管，可以作为监管机构的技术支撑平台；中观网络安全态势感知则介于微观和宏观之间，适用于企业集团或者行业主管部门自身信息网络安全保障和对下级企业网络的安全监管。

参考文献：

[1] 许敬伟,何庆,邓晓东.基于网络安全态势感知的高级持续性威胁检测和研究[J].电脑编程技巧与维护,2017,14(29):83-86.

[2] 邓晓东,何庆,许敬伟.大数据网络安全态势感知中数据融合技术研究[J].网络安全技术与应用,2017(08):79-80.

[3] 琚安康,郭渊博,朱泰铭.网络安全事件关联分析技术与工具研究[J].计算机科学,2017(02):38-43.

[4] 单琳.网络威胁情报发展现状综述[J].保密科学技术,2016(08):28-33.

[5] 刘龙龙,张建辉,杨梦.网络攻击及其分类技术研究[J].电子科技,2017,30(02):169-172.

[6] 潘峰,张电.一个实用、高效网络安全态势感知系统的设计[J].保密科学技术,2012(02):65-69.

作者简介：

宋 进，中国电子科技集团公司第三十三研究所工程师，硕士，主要研究方向为网络信息安全；

唐光亮，中国电子科技网络信息安全有限公司高级工程师，硕士，主要研究方向为网络信息安全。

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。