基于態(tài)勢感知平臺的網絡安全威脅管理研究

李春強++丘國偉

【 摘 要 】 網絡安全已經上升到關系國家主權戰(zhàn)略問題，受到廣泛的重視。傳統(tǒng)的安全技術已經對新的攻擊工具與技術和頻繁爆發(fā)的網絡安全事件顯得力不從心。通過運用態(tài)勢感知平臺及多種措施，可以最大限度地保障網絡安全。

【 關鍵詞 】 態(tài)勢感知；網絡安全；計算機網絡

Research on Network Security Threat Management Base on Situation Awareness Platform

Li Chun-qiang Qiu Guo-wei

（1.Beijing Information Science and Technology University Beijing 100101；

2.Beijing Jingwei Information Security Technology Co.， Ltd Beijing 100101）

【 Abstract 】 Network security has risen to the relationship between national sovereignty strategic issues， and has been widely attention. Traditional security technology has been on the new attack tools and technology and frequent outbreak of network security events seem powerless. Through the use of situational awareness platform and a variety of measures to maximize security network security.

【 Keywords 】 situation awareness； network security； compute network

1 引言

隨著網絡技術的快速發(fā)展和信息的高速傳播，網絡技術給人類的生產和生活方式帶來了前所未有的發(fā)展和飛躍。當前網絡與信息技術已經滲透到經濟、社會、國防、科技、教育等各個領域，網絡的信息技術關系著國家和全民的利益，逐漸成為影響經濟發(fā)展和國家戰(zhàn)略部署的重要因素?！笆濉币?guī)劃綱要對實施網絡強國戰(zhàn)略、“互聯網+”行動、大數據戰(zhàn)略作了重要的部署。

然而，網絡技術給人們帶來便利的同時，也帶來了諸多安全問題，網絡受攻擊的數量直線上升，攻擊的方法日趨復雜。根據Akamai發(fā)布的第二季度互聯網現狀顯示，DDos攻擊總數量2016年第二季度相比2015第二季度增加了129%，Web應用程序攻擊總數相比第一季度增加了14%。各種網絡安全事件頻發(fā)的主要原因有兩方面：一方面由于當初網絡系統(tǒng)的設計本身存在薄弱環(huán)節(jié)；另一方面由于攻擊手段的發(fā)展和各種自動化攻擊工具的大量涌現，尤其是帶有經濟利益的黑客產業(yè)鏈的出現推動著網絡攻擊手段的提升。

另外，全球13個根域名（1主12輔）中部署情況：10個在美國（1主9輔），2個在歐洲，1個在日本，且13個服務器均由ICANN管理。由此可見美國對全球的互聯網的運行有著絕對的控制權，美國曾在戰(zhàn)爭的特殊時間清除了伊拉克國家的頂級域名“.iq”和利比亞的頂級域名“.ly”，彰顯了美國的霸權主義特色。斯諾登曝光的美國棱鏡門項目，讓各國為之震驚。而我國在 CPU 芯片和操作系統(tǒng)等核心芯片和基礎軟件方面主要依賴國外產品，這就使我國的網絡空間安全方面失去了自主可控的基礎。

2 網絡安全威脅感知平臺

網絡安全本質就是網絡上的信息安全，涉及內容的完整性、私密性、可用性、真實性和可控性。

網絡中諸多的安全問題的根源是網絡系統(tǒng)本身存在脆弱性，傳統(tǒng)的安全技術（脆弱性檢測、惡意代碼檢測、防火墻技術、入侵檢測）等針對攻擊技術的革新、新型攻擊技術和攻擊工具的大量涌現顯得力不從心。

網絡安全態(tài)勢感知（Network Security Situation Awareness，簡稱NSSA）是一種解決網絡安全問題的一種新的方法，能夠融合各網絡部件對安全事件的檢測，并實時感知網絡安全狀況和面臨的風險，已成為國內外前沿且具有多學科交叉性質的熱點研究領域。本文將主要從態(tài)勢感知平臺的技術討論網絡安全威脅管理。

2.1 態(tài)勢感知的基本模型

態(tài)勢感知是指在大規(guī)模系統(tǒng)環(huán)境中，對環(huán)境因素的獲取、理解以及對其未來發(fā)展趨勢的預測。圖 1是態(tài)勢感知的基本模型。

網絡安全態(tài)勢感知是研究整個網絡的安全狀態(tài)及變化趨勢，是對網絡環(huán)境中安全要素的獲取、理解以及對安全狀況趨勢的預測。根據基本模型，可以將網絡安全態(tài)勢分析的過程分為三步。

（1） 數據采集（環(huán)境因素獲取）：通過各種檢測工具、傳感器等對有可能影響網絡安全的所有要素進行采集和獲取，這是態(tài)勢感知的前提。

（2） 態(tài)勢分析評估（環(huán)境的理解）：對網絡安全要素的數據進行分析處理，分析出當前網絡環(huán)境的安全狀況和薄弱環(huán)節(jié)，這是態(tài)勢感知的核心。

（3） 態(tài)勢預測：預測網絡安全狀況的發(fā)展趨勢，這是態(tài)勢感知的目標。

2.2 威脅感知平臺技術架構

圖 2為威脅感知平臺的技術框架，與基本模型相同，技術框架分成三層，分別是數據采集與存儲、安全情報大數據分析、態(tài)勢感知與威脅預警。

2.2.1 數據采集與存儲

這一層是主要確定采集的感知數據源，并將所采集的數據存儲于大數據平臺之下，形成原始的數據倉庫。

數據采集主要需要流量數據、監(jiān)測數據、病毒數據、安全情報、資產設備數據等等，其中流量數據來源于Firewall、監(jiān)測數據來源于部署的傳感器、病毒數據和安全情報來源于已經公開或者挖掘出的0-day漏洞的安全信息、資產數據來源于網絡拓撲結構。從安全的角度而言，要追蹤一次完整的攻擊事件，涉及到身份認證、訪問授權、終端操作行為、流量特征、惡意代碼發(fā)現、風險預警、應用的安全審計等各個環(huán)節(jié)，所有的環(huán)節(jié)都會記錄攻擊的蛛絲馬跡，都潛藏著區(qū)別于正常操作的非法行為。因此要盡可能的覆蓋整個網絡中的每個環(huán)節(jié)，將流量、監(jiān)測、日志、病毒、情報、資產等數據采集下來。

海量數據的采集之后需要進行集中存儲和管理。需要整合采集的文件數據、關系數據，構建一個混合的數據倉庫，滿足采集的結構化數據、非結構化數據、半結構化數據需求。

在一些關鍵重要節(jié)點需要部署感應器，采集監(jiān)測數據。例如部署蜜罐，蜜罐本身是存在漏洞的，同時也是虛假的機器。當攻擊者攻擊蜜罐時，系統(tǒng)管理員能夠鎖定攻擊者并同時保護真正的機器；另外內網中的蜜罐可以幫助發(fā)現其他機器可能存在的漏洞，幫助管理員學習攻擊者針對該服務的攻擊持巧和利用代碼。

2.2.2 安全情報大數據分析

這一層是安全態(tài)勢感知的核心，是將采集的海量數據轉化威脅情報的重要方式。針對這些海量數據分析，主要分幾個步驟。

（1）數據預處理，由于數據采集的數據來源、格式、途徑等不統(tǒng)一，需要通過數據清洗去除臟數據特征提取，將具有相同特征或屬性的數據進行合并，結合IP關系、時序關系、交互特征等進行數據關聯，形成基礎的數據關系網絡圖譜。

（2）模型設計，本質是構建一套大數據分析的規(guī)則，形成一個具體的數據分析模型，根據這些模型達到精準預警和態(tài)勢感知的目的。平臺主要兩種模型。

（3）數值統(tǒng)計分析模型，海量的基礎數據包含了大量的用戶行為數據和日志數據，這些數據通過傳統(tǒng)的方式也許很難發(fā)現是被攻擊行為?？梢苑治銎渲械脑胍魯祿赡艽_定某種的網絡行為。例如在某個時間內針對同一個IP的不同端口進行了多次訪問，那么這有可能是一次網絡掃描嗅探行為，再比如某個短時間內相同的URI出現相同參數不同的值行為，可能是攻擊者進行爆破密碼行為等等，這些行為通過傳統(tǒng)的的規(guī)則匹配、黑白名單等方式是很難發(fā)現的。

（4）算法挖掘模型，基于已有的分析算法對數據進行挖掘，從而發(fā)現潛在的安全風險。比如通過頂點分析算法，在整個海量數據中被越多的用戶訪問的資源、服務等就是越需要重點關注的對象，分析出核心服務器、重要資源等，再比如通過聚類相似度分析，通過已知的一個攻擊行為中薄弱環(huán)節(jié)找出其它相似的薄弱環(huán)節(jié)。

（5）實時數據分析，結合上述模型設計，對網絡數據進行實時的分析計算。由于網絡攻擊事件是隨機性質的，因此實時數據分析處理強調的是快速高效的現場處理能力，第一時間發(fā)現網絡中相對明確的攻擊行為，即時做出預警。可以根據計算任務和計算規(guī)模進行彈性的資源擴展，增強態(tài)勢感知的響應能力。

2.2.3 態(tài)勢感知和威脅預警

態(tài)勢感知和威脅預警是研究的目標。主要分三種功能：一是網絡安全威脅報警，當發(fā)生網絡攻擊活動時即時報警；二是對網絡的實時安全檢測并進行風險預警及感知； 三是態(tài)勢的可視化，讓用戶直觀方便的展示當前的態(tài)勢情況。

2.3 網絡威脅感知平臺

一次典型的網絡攻擊主要流程是主機發(fā)現、漏洞發(fā)現、目標滲透、權限提升、潛伏隱藏、攫取信息、跳板攻擊。圖 3顯示威脅感知平臺總體部署圖及攻擊的流量流向。

網絡攻擊事件的發(fā)生是隨機的不可確定事件，其發(fā)生之后的后果有時也是災難性的。所以需要針對網絡攻擊行為要進行實時的積極防御措施。因此網絡威脅感知平臺的研發(fā)有其必然性和必要性。

圖 4是利用網絡安全威脅態(tài)勢感知模型研發(fā)的網絡威脅感知平臺界面。該平臺中將威脅的來源分為內網攻擊和外網攻擊：公司或者部門暴露在內網之外的提供給外界的網絡服務或者應用，受到了來自于外部環(huán)境的攻擊，認為是外網攻擊；而由網絡環(huán)境內部發(fā)起的攻擊行為認為是內網攻擊。外網攻擊利用世界地圖可以形象統(tǒng)計攻擊來源國家的分布情況。內網攻擊通常認為是“內鬼”行為，或者該計算機受到了其他攻擊者的脅迫而發(fā)起的攻擊，需要快速的定義到攻擊者的IP、攻擊對象，并阻斷其攻擊行為，有統(tǒng)計顯示，內網的內鬼更容易成為網絡安全中的不確定性因素。

感知平臺主要有幾個特點：（1）針對重點的資產設備需要部署感應器，例如在重要的資產設備中部署組合的蜜罐，攻擊者將花費更多的時間進行攻擊，從中獲取更多的信息，爭取更多的響應時間；（2）攻擊特征管理，定義某種網絡行為作為攻擊行為，方便大數據挖掘過程中實時監(jiān)測攻擊行為；（3）攻擊統(tǒng)計，對攻擊者、攻擊來源、攻擊對象的統(tǒng)計分析出網絡設備中脆弱性進行重點防護；（4）由于平臺采用了對網絡設備橫向攻擊檢測和蜜罐攻擊誘捕技術，可以在不影響再有網絡拓撲的情況下簡單部署，方便使用。

3 其他應對措施

網絡安全中的攻與防一直都是一個矛盾體，網絡攻擊是“矛”，威脅態(tài)勢感知與傳統(tǒng)網絡安全技術作為用戶的“盾”，由于技術的更新與發(fā)展，“盾”有時會被“矛”所刺穿。因此在努力的做好我們自己的“盾”的同時，我們的用戶也要從幾個方面進行努力來打造更加強大的“盾”。

3.1 增強網絡安全教育，樹立正確的網絡安全觀

網絡安全就在身邊，和每個人息息相關，個人網絡安全出現問題與人們對安全意識的缺失有很大的關系。不恰當的使用，弱口令，保密意識不強等都有可能形成安全隱患。2015年我國因網絡安全事件造成的經濟損失達到915億元。人們主要面臨的安全威脅有病毒與木馬、信息泄漏、社會工程學與欺詐、人為的特定攻擊、無線和移動終端的安全威脅等等。要大力普及網絡安全知識，讓維護網絡安全成為每一名網民的自覺行為，只有加強人們的安全意識，科學、文明的上網才能盡可能保障網絡平臺的穩(wěn)定和安全。同時針對企業(yè)和部門，需要加強內部管理，對使用的設備定期的檢查檢測，并加強內部資產管理，審計管理，并且需要有威患意識，防范于未然。

3.2 網絡安全要自主創(chuàng)新與開發(fā)合作辯證處理

我國的網絡信息技術起步較晚，與美國等發(fā)達國家存在著很大的差距，計算機的大部分標準由美國等制定，這是我國的網絡主權的一個很大安全隱患，網絡信息的關鍵核心技術發(fā)達國家并不會輕易的與別國共享。因此“核高基”工程的開展以及一些專家提出的根域名戰(zhàn)略都證明了國家層面上已經重視關鍵核心技術的研究與開發(fā)。另一方面，我們也需要看到與發(fā)達國家的差距，我們需要包容的心態(tài)與其他國家在這些領域的合作，學習發(fā)達國家中優(yōu)勢部分，縮小與他們的差距。

3.3 法律法規(guī)的完善和推廣，杜絕不安全因素

《網絡安全法》的頒布填補了我國在此項法律的空白。該法為“防御、控制與懲治”三位一體的立法架構，界定國家、企業(yè)、行業(yè)組織和個人等主體在網絡安全方面的責任和義務。該法的頒布為建設良好的網絡世界，保障人們的利益不受侵害提供了法律的依據。另一方面，對于違反者給予了嚴重的告誡和懲處，必要時也讓其付出必要的經濟代價，杜絕他們利用網絡安全漏洞作非法事情的想法。另外國家因對網絡安全加強審查制度，減少國家公共事務管理中的不確定性和隨意性。

4 結束語

綜上所述，網絡安全和網絡發(fā)展相輔相成，安全是發(fā)展的前提，發(fā)展是安全的保障。網絡安全防護不僅僅是幾個安全廠商的責任，更是一個全民參與的過程，維護網絡安全，不讓威脅網絡安全的個人或者組織有可乘之機，并讓其得到法律應有的懲罰。保護網絡世界的平靜，共享美好網絡安全世界，維護國家網絡主權，實現“中國夢”是每個公民應有責任及義務。

參考文獻

[1] 方濱興.關于互聯網的根域名戰(zhàn)略[R].2016.

[2] 張勇.網絡安全態(tài)勢感知模型研究與系統(tǒng)實現[D].2010.

[3] 李林.網絡安全態(tài)勢感知系統(tǒng)設計與關鍵模塊實現[D].2015.

[4] 管磊，胡光俊，王專.基于大數據技術的網絡安全態(tài)勢感知平臺研究[J].保密科學技術，2016（05）.

[5] 劉效武，王慧強，呂宏武，禹繼國，張淑雯.網絡安全態(tài)勢認知融合感控模型[J]. 2016（08）.

基金項目：

1.核高基重大專項資助項目（2012ZX01039-004-48）；

2.校教改資助項目（5111623607），?？蒲谢鹳Y助項目。

作者簡介：

李春強（1973-），男，吉林敦化人，畢業(yè)于北京理工大學，計算機應用技術專業(yè)博士；主要研究方向和關注領域：智能信息處理技術、信息安全技術、數據挖掘。

丘國偉（1987-），男，福建上杭人，畢業(yè)于北京信息科技大學，本科，學士，高級工程師；主要研究方向和關注領域：信息安全技術、智能信息處理技術。