吳軍英 辛銳

摘 要：論文從實用角度出發(fā)，通過安全態(tài)勢感知系統(tǒng)發(fā)現(xiàn)安全事件的脈絡(luò)，并對其溯源；提供網(wǎng)絡(luò)攻擊的發(fā)展趨勢信息；并且輔助決策優(yōu)先處理網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，加固硬件防護，保障客戶的業(yè)務(wù)連續(xù)性。

關(guān)鍵字：安全態(tài)勢感知；關(guān)聯(lián)分析；數(shù)據(jù)挖掘；

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-098X（2016）5（c）-0000-00

0 引言

隨著計算機與通信技術(shù)的飛速發(fā)展，用戶需求日益增加，促使無處不在的計算機網(wǎng)絡(luò)規(guī)模越來越龐大，安全事件屢見不鮮，這使得計算機網(wǎng)絡(luò)面臨著嚴峻的考驗。傳統(tǒng)單一的網(wǎng)絡(luò)安全設(shè)備已經(jīng)不能抵御如今復(fù)雜的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全態(tài)勢感知（NSSA）技術(shù)應(yīng)運而生，該技術(shù)綜合網(wǎng)絡(luò)中各方面因素，客觀、全面的反應(yīng)網(wǎng)絡(luò)現(xiàn)行狀態(tài)，并能夠根據(jù)該狀態(tài)進行預(yù)測、預(yù)警，為網(wǎng)絡(luò)安全性的提高，提供可靠的參考數(shù)據(jù)。目前針對網(wǎng)絡(luò)安全態(tài)勢的研究已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點。

1 安全態(tài)勢感知技術(shù)

態(tài)勢感知的定義：一定時間內(nèi)，在規(guī)模大的系統(tǒng)環(huán)境中，獲取能夠引起系統(tǒng)變化的環(huán)境因素，并通過理解、顯示這些因素，預(yù)測系統(tǒng)未來的發(fā)展趨勢。

對網(wǎng)絡(luò)安全態(tài)勢感知的研究，國外研究者相對比較積極，比較出名的有，學(xué)者Bass提出的基于多傳感器數(shù)據(jù)融合技術(shù)建立網(wǎng)絡(luò)安全空間態(tài)勢感知的框架，該框架通過對入侵者身份、速度、威脅性和入侵目標的推理、識別，能夠評估當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)。學(xué)者Shiffiet提出的基于模塊化的框架結(jié)構(gòu)，通過采用本體論，對網(wǎng)絡(luò)安全態(tài)勢感知及相關(guān)概念進行了分析與比較得出該框架。加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等[1] 也都參與了網(wǎng)絡(luò)安全態(tài)勢感知研究。

相對于國外的積極研究，國內(nèi)起步較晚。眾所周知的有，對我軍網(wǎng)絡(luò)與信息安全領(lǐng)域有較深研究的馮毅，他闡述了在軍事領(lǐng)域中網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的重要作用，同時指出了兩項關(guān)鍵技術(shù)的應(yīng)用——多元傳感器技術(shù)以及數(shù)據(jù)挖掘技術(shù)；北京理工大學(xué)機電工程與控制國家重點實驗室網(wǎng)絡(luò)安全分室提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評估模型，并給出了分析方法、計算實例以及研究展望，該模型是通過分析博弈論中的模糊矩陣和網(wǎng)絡(luò)空間威脅評估機理得出來的；國防科技大學(xué)提出的大規(guī)模網(wǎng)絡(luò)的入侵檢測技術(shù)；國內(nèi)相關(guān)的其他研究工作主要是圍繞入侵檢測、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評估等方面開展的，這為開展網(wǎng)絡(luò)安全態(tài)勢感知研究奠定了基礎(chǔ)[2]。

2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的總體設(shè)計

本文中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)主要通過掃描蜜網(wǎng)、手機病毒和DDoS流量檢測及僵木蠕檢測系統(tǒng)獲取，其中手機病毒檢測主要是感染手機號和疑似URL信息；DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源；僵木蠕系統(tǒng)則能夠提供僵尸IP、掛馬網(wǎng)站和控制主機信息；掃描器能夠提供主機和網(wǎng)站脆弱性等信息，并可以部分驗證；攻擊源、樣本以及攻擊目標和行為來源于蜜網(wǎng)。通過關(guān)聯(lián)分析技術(shù)對以上數(shù)據(jù)分析并生成各類關(guān)聯(lián)分析后事件，把事件通過安全策略管理和任務(wù)調(diào)度管理進行分配，最終通過管理門戶呈現(xiàn)。系統(tǒng)的結(jié)構(gòu)描述如下。

管理門戶主要包括：儀表盤、關(guān)聯(lián)事件、綜合查詢視圖、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能。

策略管理主要包括安全策略管理和指標管理。

關(guān)聯(lián)分析根據(jù)采集到的DDOS、僵木蠕、手機病毒、蜜網(wǎng)和IPS事件通過規(guī)則關(guān)聯(lián)分析、統(tǒng)計關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類關(guān)聯(lián)分析后事件。

任務(wù)管理包括任務(wù)生成、配置、下發(fā)和核查等功能。

數(shù)據(jù)庫部分存儲原始事件、關(guān)聯(lián)分析后事件、各種策略規(guī)則及安全知識。

3 系統(tǒng)組成結(jié)構(gòu)

安全態(tài)勢感知系統(tǒng)的結(jié)構(gòu)如下圖所示：

3.1 管理門戶

管理門戶集成了系統(tǒng)的一些摘要信息，主要包括：態(tài)勢儀表盤（Dashboard）、個人工作臺、綜合查詢視圖、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能。

態(tài)勢儀表盤以地圖形式展現(xiàn)監(jiān)控范圍內(nèi)的整體安全態(tài)勢，顯示信息包含：安全威脅、弱點和風(fēng)險情況；掃描任務(wù)完成情況和發(fā)現(xiàn)漏洞情況，系統(tǒng)層面的掃描和web掃描分開，展示新設(shè)備上線及其漏洞情況。

個人工作臺關(guān)聯(lián)事件以全國地圖的形式向用戶展現(xiàn)當(dāng)前系統(tǒng)內(nèi)關(guān)聯(lián)事件的分布情況——顯示各地域不同級別（按最高）的關(guān)聯(lián)事件情況，并以列表形式展現(xiàn)關(guān)聯(lián)事件。

綜合查詢視圖包含關(guān)聯(lián)事件查詢和漏洞查詢。通過指定的字段對相關(guān)信息進行查詢。漏洞查詢條件包括時間段、IP段（可支持多個段同時查詢）、漏洞名稱、級別等；結(jié)果以IP為列表，點擊詳情可按時間倒序查詢歷史掃描。

執(zhí)行任務(wù)狀態(tài)，給出最近（一日、一天或一周）執(zhí)行的掃描任務(wù)（系統(tǒng)）以及關(guān)聯(lián)事件驗證任務(wù)（掃描和爬蟲等）的執(zhí)行情況。

系統(tǒng)管理包括用戶管理、授權(quán)管理、口令管理三部分。用戶分為三種：系統(tǒng)管理員、操作員、審計員。系統(tǒng)可以通過對角色操作功能的授權(quán)管理，最終實現(xiàn)用戶授權(quán)管理?？诹罟芾碇饕獙τ脩艨诹畈呗缘墓芾?，包括口令長度、組成情況（數(shù)字、字母、特殊字符的組成）、過期的時間長度、是否能和最近3次的口令設(shè)置相同等。

3.2 知識庫

知識庫包括事件特征庫、關(guān)聯(lián)分析庫、僵木蠕庫、漏洞庫、手機病毒庫等，可對其中的信息進行更新維護。知識庫可以與事件、漏洞、告警等信息關(guān)聯(lián)，獲得對以上信息的說明及處理建議。

事件特征庫中，可以對威脅、事件進行定義，詳述了其特征、影響、嚴重程度、處理建議等。

關(guān)聯(lián)分析庫提供大量可以直接使用的內(nèi)置關(guān)聯(lián)規(guī)則（經(jīng)過驗證可以解決某類安全問題的成熟規(guī)則）；也可以對這些內(nèi)置關(guān)聯(lián)規(guī)則進行各種組合生成新的、復(fù)雜的關(guān)聯(lián)規(guī)則。

僵木蠕庫是專門針對僵尸網(wǎng)絡(luò)、木馬、蠕蟲的知識庫，對其特征進行定義，并提出處理建議。

手機病毒庫，實現(xiàn)病毒庫的管理。

IP信譽庫數(shù)據(jù)包含惡意IP地址、惡意URL等

安全漏洞信息庫提供漏洞定義，并詳述了其特征、影響、嚴重程度及處理建議等。

3.3 任務(wù)調(diào)度管理

任務(wù)調(diào)度管理，首先對本地安全策略制定任務(wù)計劃，并通過配置，實現(xiàn)任務(wù)的下發(fā)、執(zhí)行等管理功能，最終實現(xiàn)自動調(diào)度任務(wù)。

主要流程：任務(wù)生成—>任務(wù)配置—>任務(wù)下發(fā)—>任務(wù)執(zhí)行—>任務(wù)核查。

任務(wù)調(diào)度的功能：各種信息展示機功能入口，直觀地顯示任務(wù)調(diào)度執(zhí)行情況。

任務(wù)生產(chǎn)：通過根據(jù)安全策略自動生成和手動創(chuàng)建兩種方式生成任務(wù)。

任務(wù)配置：配置項要有執(zhí)行時間、執(zhí)行周期、類型等內(nèi)容。

任務(wù)下發(fā)和執(zhí)行：將調(diào)度任務(wù)通過任務(wù)下發(fā)和返回接口將不同類型的安全任務(wù)下發(fā)給不同的處理器，例如入侵檢測系統(tǒng)、漏洞掃描器等。

任務(wù)核查：對任務(wù)運行結(jié)果進行分析、判斷以及匯總。核查結(jié)果包括：任務(wù)名、結(jié)果（成功或者失?。?、執(zhí)行時間、運行狀態(tài)、進度、出錯原因等內(nèi)容。

3.4 策略管理

策略管理包括安全策略管理和指標管理兩部分，策略管理針對重要關(guān)聯(lián)分析后安全事件和重要安全態(tài)勢分析后擴散事件以及發(fā)現(xiàn)新上線設(shè)備等維護安全策略，目標是當(dāng)系統(tǒng)關(guān)注的重點關(guān)聯(lián)分析后事件和大規(guī)模擴散病毒發(fā)生后或者新上線設(shè)備匹配安全策略自動生成任務(wù)；指標管理維護平臺中不同類型重點關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標[3]。

模塊框架如下圖所示：

策略管理對系統(tǒng)的安全策略進行維護，包括針對重要關(guān)聯(lián)分析后事件、重要安全態(tài)勢分析后擴散事件、發(fā)現(xiàn)新上線設(shè)備的安全策略，當(dāng)系統(tǒng)中有匹配安全策略的重要關(guān)聯(lián)分析后事件生成時調(diào)用安全任務(wù)管理模塊自動觸發(fā)安全調(diào)度任務(wù)。

指標管理對系統(tǒng)接收的各類安全事件、漏洞、手機病毒等進行關(guān)聯(lián)分析處理，生成關(guān)聯(lián)分析后事件，并對其排名和權(quán)重等指標進行維護管理。

3.5 關(guān)聯(lián)分析

安全分析功能利用統(tǒng)計分析、關(guān)聯(lián)分析、數(shù)據(jù)挖掘等技術(shù)，從宏觀和微觀兩個層面，對網(wǎng)絡(luò)與信息安全事件監(jiān)測數(shù)據(jù)進行綜合分析，實現(xiàn)對當(dāng)前的安全事件、歷史事件信息進行全面、有效的分析處理，通過多種分析模型為信息安全管理提供決策依據(jù)。對于宏觀安全態(tài)勢監(jiān)測，需要建立好各種分析模型，有針對性的模型才能把宏觀安全態(tài)勢監(jiān)測做到實處，給用戶提供真正的價值。同時也不能只關(guān)注“面”而放棄了“點”的關(guān)注，在實際應(yīng)用中，我們更需要對系統(tǒng)采集到的各類安全信息進行關(guān)聯(lián)分析，并對具體IP的事件和漏洞做分析和處理[4]。

關(guān)聯(lián)分析：對網(wǎng)絡(luò)安全各種關(guān)聯(lián)進行分析，將系統(tǒng)中的原始安全事件進行歸納為不同的典型的網(wǎng)絡(luò)安全事件，進而能夠快速、全面、準確地識別當(dāng)前安全事件。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)提供三種關(guān)聯(lián)分析類型：基于規(guī)則的事件關(guān)聯(lián)分析，統(tǒng)計關(guān)聯(lián)分析以及漏洞關(guān)聯(lián)分析。根據(jù)此關(guān)聯(lián)分析模塊的功能，結(jié)合事件的特征和安全監(jiān)測策略，制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則。

4 結(jié)束語

本文主要對信息安全建設(shè)中的安全態(tài)勢感知系統(tǒng)進行了具體設(shè)計，詳細定義并設(shè)計了系統(tǒng)的基本功能和各個模塊的實現(xiàn)方式。通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測模型等模型的研究，來實現(xiàn)平臺對安全態(tài)勢與趨勢分析、安全防護預(yù)警與決策[5]。

根據(jù)系統(tǒng)組成與網(wǎng)絡(luò)結(jié)構(gòu)初步分析，安全態(tài)勢感知平臺將系統(tǒng)安全事件表象歸類為業(yè)務(wù)數(shù)據(jù)篡改、業(yè)務(wù)數(shù)據(jù)刪除、業(yè)務(wù)中斷等，并對可能造成此現(xiàn)象的安全事件進行分析，請見下表內(nèi)容：

參考文獻

[1] 李碩；戴欣；周渝霞； 網(wǎng)絡(luò)安全態(tài)勢感知研究進展 計算機應(yīng)用研究

[2] 解讀網(wǎng)絡(luò)安全態(tài)勢感知研究進展 計算機應(yīng)用研究

[3] 馬洪梅 基于流量特征的網(wǎng)絡(luò)可用性量化評估與控制 計算機應(yīng)用研究

[4] 網(wǎng)絡(luò)安全事件異常問題檢測方案 計算機與網(wǎng)絡(luò)

[5] 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型 計算機研究與發(fā)展