加大信息共享感知網(wǎng)絡(luò)安全態(tài)勢

文/陳文智

隨著網(wǎng)絡(luò)空間安全重要性的不斷提高，網(wǎng)絡(luò)安全態(tài)勢感知（NSSA，network security situation awareness）的研究與應(yīng)用正在得到更多的關(guān)注。國家通過《“十三五”國家信息化規(guī)劃》明確提出建立國家網(wǎng)絡(luò)安全態(tài)勢感知平臺的要求，各大網(wǎng)絡(luò)安全廠商也紛紛發(fā)布網(wǎng)絡(luò)安全態(tài)勢感知解決方案，安全態(tài)勢感知也成為網(wǎng)絡(luò)安全的熱點(diǎn)。

傳統(tǒng)的安全檢測技術(shù)針對各類具體問題類別進(jìn)行處理，如入侵防御、威脅監(jiān)測、惡意文件識別、日志分析等技術(shù)，每一類威脅處理技術(shù)都能通過特征碼、規(guī)則庫發(fā)現(xiàn)一部分具體的安全技術(shù)問題，提出解決辦法。但傳統(tǒng)安全防御技術(shù)各項(xiàng)孤立，缺乏評判整體安全狀態(tài)和發(fā)展趨勢的統(tǒng)一視角，面對靈活多變的新型網(wǎng)絡(luò)攻擊產(chǎn)生了大量疏漏點(diǎn)。以各類傳統(tǒng)安全技術(shù)判別的攻擊事件及攻擊線索的數(shù)據(jù)為基礎(chǔ)，對安全大數(shù)據(jù)進(jìn)一步的分析和預(yù)測的研究工作，發(fā)展成了現(xiàn)在的網(wǎng)絡(luò)安全態(tài)勢感知研究。

態(tài)勢感知（SA，Situation Awareness）緣于軍事術(shù)語，意為在特定時(shí)空下，對動(dòng)態(tài)環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測。網(wǎng)絡(luò)安全態(tài)勢感知將態(tài)勢感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中，使網(wǎng)絡(luò)安全人員在動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境中宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài),是對網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認(rèn)知過程, 包括對從系統(tǒng)中測量到的原始數(shù)據(jù)逐步進(jìn)行融合處理和實(shí)現(xiàn)對系統(tǒng)的背景狀態(tài)及活動(dòng)語義的提取, 識別出存在的各類網(wǎng)絡(luò)活動(dòng)以及其中異常活動(dòng)的意圖，從而獲得據(jù)此表征的網(wǎng)絡(luò)安全態(tài)勢和該態(tài)勢對網(wǎng)絡(luò)系統(tǒng)正常行為影響的了解，幫助安全人員采取針對性的響應(yīng)處置措施。

態(tài)勢感知的研究內(nèi)容主要分為三個(gè)方面：網(wǎng)絡(luò)安全態(tài)勢要素的提取、評估和預(yù)測。

網(wǎng)絡(luò)安全態(tài)勢要素的提取

網(wǎng)絡(luò)安全態(tài)勢要素提取是指從大規(guī)模網(wǎng)絡(luò)安全狀態(tài)數(shù)據(jù)源中抽取影響網(wǎng)絡(luò)安全態(tài)勢的基本元素的過程，它是網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測的基礎(chǔ)。態(tài)勢要素的提取處于網(wǎng)絡(luò)安全態(tài)勢感知底層，系統(tǒng)從主機(jī)、安全設(shè)備和網(wǎng)絡(luò)設(shè)備中獲取信息，并獲取與之相關(guān)的上下文信息（用戶、資產(chǎn)、業(yè)務(wù)等），通過采用一定的數(shù)據(jù)格式進(jìn)行統(tǒng)一，并對數(shù)據(jù)進(jìn)行約減、合并，去噪，形成從全局角度看到的現(xiàn)狀“態(tài)”。

態(tài)勢要素信息來源主要有網(wǎng)絡(luò)信息、安全信息和主機(jī)信息。網(wǎng)絡(luò)信息獲取是通過網(wǎng)絡(luò)監(jiān)聽捕獲所有網(wǎng)絡(luò)中的數(shù)據(jù)包，分析提取出IP報(bào)文五元組，并進(jìn)一步協(xié)議分析提取出應(yīng)用層數(shù)據(jù)包及內(nèi)容，如HTTP請求包中的url、get、post參數(shù)等。DNS數(shù)據(jù)包作為一類高效的數(shù)據(jù)源，集中了全網(wǎng)的應(yīng)用層域名請求，數(shù)據(jù)量相對實(shí)際網(wǎng)絡(luò)流較少，也能感知全網(wǎng)威脅態(tài)勢，是很好的補(bǔ)充。安全信息方面，傳統(tǒng)安全設(shè)備在網(wǎng)絡(luò)流數(shù)據(jù)抓取和分析方面比較成熟，可提供大量經(jīng)過預(yù)先處理過的先驗(yàn)信息，便于迅速開展后續(xù)研究。此外，基于主動(dòng)掃描評估結(jié)果、病毒蠕蟲類的預(yù)警數(shù)據(jù)、安全公司及研究機(jī)構(gòu)的威脅情報(bào)等也是重要的安全信息來源。主機(jī)信息方面，除用戶、資產(chǎn)、業(yè)務(wù)等信息外，基于主機(jī)的入侵檢測、日志采集技術(shù)能很好地反映實(shí)際業(yè)務(wù)系統(tǒng)的運(yùn)行狀態(tài)，對跳板攻擊、潛伏木馬等方式的APT類攻擊有很好的補(bǔ)充。如何統(tǒng)一不同技術(shù)架構(gòu)、不同廠商、系統(tǒng)的差異化數(shù)據(jù)格式，融合處理分析是當(dāng)前的難點(diǎn)。

網(wǎng)絡(luò)安全態(tài)勢感知將態(tài)勢感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中，使網(wǎng)絡(luò)安全人員在動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境中宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài)。

網(wǎng)絡(luò)安全態(tài)勢要素的評估

評估技術(shù)基于識別出的攻擊活動(dòng)及其特征, 通過進(jìn)一步分析這些攻擊活動(dòng)的語義以及它們之間可能的關(guān)聯(lián)關(guān)系來推斷攻擊者的意圖, 其主要任務(wù)包括識別這些攻擊活動(dòng)的源頭、類型, 并判斷攻擊者的能力、機(jī)會和攻擊成功的可能性等。攻擊行為的識別主要利用已有的檢測技術(shù)，包含以下五個(gè)方面的檢測能力：基于流量特征的實(shí)時(shí)檢測;基于流量日志的異常分析機(jī)制；針對內(nèi)容的靜態(tài)、動(dòng)態(tài)分析機(jī)制；基于終端行為特征的實(shí)時(shí)檢測；基于終端行為日志的異常分析機(jī)制。目前常見的全局評估思路為將同一個(gè)目標(biāo)識別出的各類不同安全警報(bào)事件匯總，根據(jù)類型或時(shí)間分為攻擊準(zhǔn)備、攻擊中、入侵成功等不同階段，給予不同的風(fēng)險(xiǎn)等級評價(jià)，分析相關(guān)攻擊活動(dòng)對被保護(hù)目標(biāo)造成的危害，并將前后所有攻擊過程進(jìn)行可視化展現(xiàn)。

傳統(tǒng)評估方式通過預(yù)設(shè)的安全規(guī)則庫進(jìn)行特征碼比對，新評估技術(shù)如語義分析、動(dòng)態(tài)識別、AI處理等也在不斷發(fā)展，各安全組織也在積極發(fā)展云服務(wù)，云端不斷更新惡意IP列表、最新攻擊特征碼、威脅文件樣本等，提高終端產(chǎn)品的威脅識別能力。如何通過大數(shù)據(jù)技術(shù)集中分析海量異構(gòu)數(shù)據(jù)，研究網(wǎng)絡(luò)活動(dòng)特征提取和意圖識別的機(jī)器處理方法，提升分析技術(shù)的效能，提高攻擊行為識別的準(zhǔn)確性，以提高網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的自治能力，實(shí)現(xiàn)全方位網(wǎng)絡(luò)安全態(tài)勢感知及自動(dòng)響應(yīng)，是態(tài)勢感知評估的研究重點(diǎn)。

網(wǎng)絡(luò)安全態(tài)勢要素的預(yù)測

安全態(tài)勢預(yù)測需要根據(jù)當(dāng)前的網(wǎng)絡(luò)狀況，找出網(wǎng)絡(luò)安全隱患進(jìn)行分析，對未來一定時(shí)間內(nèi)的安全趨勢進(jìn)行判斷，并提供相應(yīng)的解決方法。安全態(tài)勢預(yù)測的目標(biāo)不是產(chǎn)生準(zhǔn)確的預(yù)警信息，而是要將預(yù)測結(jié)果用于決策分析與支持，特別是對網(wǎng)絡(luò)攻防對抗的支持。

現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法主要分為以下三種：第一，基于時(shí)空序列的方法。該方法的假設(shè)條件為安全態(tài)勢值的變化具有規(guī)則和周期性，通過分析安全態(tài)勢的前后依賴關(guān)系，實(shí)現(xiàn)對網(wǎng)絡(luò)安全趨勢的預(yù)測；第二，基于圖論的方法。該方法利用網(wǎng)絡(luò)環(huán)境中的脆弱性信息生成狀態(tài)轉(zhuǎn)移圖，并從攻擊者角度出發(fā)，依據(jù)當(dāng)前狀態(tài)對網(wǎng)絡(luò)未來可能出現(xiàn)的安全狀況進(jìn)行預(yù)測；第三，基于博弈論的方法。該方法在攻防對抗環(huán)境中，利用博弈理論預(yù)測攻防雙方的下一步動(dòng)作進(jìn)而分析網(wǎng)絡(luò)的安全態(tài)勢，在態(tài)勢要素選擇上較為全面。

目前，網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究還存在許多問題。預(yù)測過程對所有攻擊者無差別處理，然而不同攻擊者的實(shí)際漏洞利用能力不同，缺乏對攻擊者的區(qū)分；攻擊預(yù)測集中于分析攻擊意圖、目標(biāo)、路徑和概率，缺乏對入侵時(shí)間的量化；如何合理地衡量攻擊威脅對網(wǎng)絡(luò)系統(tǒng)的影響，給出一種通用有效的安全態(tài)勢量化標(biāo)準(zhǔn)還有待進(jìn)一步研究。目前網(wǎng)絡(luò)安全態(tài)勢感知在指導(dǎo)安全防御方面作用有限，安全決策還是依靠安全專家、安全運(yùn)營團(tuán)隊(duì)的人工分析和判斷。

高校網(wǎng)絡(luò)安全工作中的態(tài)勢感知

高校在信息化過程中發(fā)展較快，如浙江大學(xué)智慧校園、網(wǎng)上浙大等信息化建設(shè)項(xiàng)目誕生了大量的校級信息化應(yīng)用系統(tǒng)，各院系部處、科研團(tuán)隊(duì)也有自己的網(wǎng)站和信息系統(tǒng)建設(shè)需求，校園網(wǎng)內(nèi)運(yùn)行站點(diǎn)數(shù)極多。高校信息化業(yè)務(wù)部門中網(wǎng)絡(luò)安全專門人才少，而校園網(wǎng)規(guī)模和用戶量龐大，網(wǎng)絡(luò)安全保障壓力大。建設(shè)安全防護(hù)體系過程中部署的各類軟硬件產(chǎn)品、系統(tǒng)需要安全技術(shù)團(tuán)隊(duì)的運(yùn)維，隨著系統(tǒng)增多、規(guī)模擴(kuò)大、防護(hù)縱深加大，管理難度不斷增加。安全運(yùn)維工作局限于漏洞、攻擊事件的發(fā)現(xiàn)和響應(yīng)，缺乏全局性視角和評估。

態(tài)勢感知技術(shù)能夠有效幫助解決部分上述問題。態(tài)勢感知技術(shù)會收集各類原始網(wǎng)絡(luò)信息，收集過程中能統(tǒng)計(jì)各類產(chǎn)生網(wǎng)絡(luò)流的未知IT信息資產(chǎn)，一定程度上消除了部分管理盲點(diǎn)；安全部門將同類安全運(yùn)營數(shù)據(jù)收集至統(tǒng)一態(tài)勢感知平臺平臺，進(jìn)行集中式分析及安全態(tài)勢感知展示，減輕安全運(yùn)維工作量；未來，隨著態(tài)勢感知技術(shù)發(fā)展，各類異構(gòu)安全數(shù)據(jù)、運(yùn)行數(shù)據(jù)也將逐步集中化，對校園全網(wǎng)的安全狀態(tài)感知會更加清晰。

具體來說，在高校安全工作中應(yīng)用態(tài)勢感知技術(shù)，有以下幾個(gè)層面：

首先是包含態(tài)勢感知技術(shù)的校園網(wǎng)安全保障體系建設(shè)。近年來，各高校為應(yīng)對互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，已部署安全廠商的各類防火墻、入侵檢測等安全設(shè)備，具有發(fā)展態(tài)勢感知的硬件基礎(chǔ)。廠商安全態(tài)勢感知產(chǎn)品部署后，將各類不同安全產(chǎn)品的告警、攔截信息統(tǒng)籌，集中式監(jiān)控分析，一方面能統(tǒng)一處理各類安全設(shè)備信息，減輕安全運(yùn)維工作量；另一方面也能集中展示校園網(wǎng)絡(luò)入侵情況，構(gòu)建“風(fēng)暴中心”式的安全監(jiān)測中心，提升校園全網(wǎng)安全感知與威脅響應(yīng)能力。在廠商安全態(tài)勢感知產(chǎn)品的使用過程中，安全技術(shù)團(tuán)隊(duì)?wèi)?yīng)多研究態(tài)勢感知系統(tǒng)所需的安全設(shè)備數(shù)據(jù)提取和原始數(shù)據(jù)提取工作，建立態(tài)勢感知的數(shù)據(jù)采集平臺，逐步準(zhǔn)備自己的態(tài)勢感知技術(shù)研究工作。

其次是通過大數(shù)據(jù)平臺來發(fā)展自己的安全態(tài)勢感知技術(shù)研究工作。大數(shù)據(jù)工作是高校信息化建設(shè)的新熱點(diǎn)，網(wǎng)絡(luò)安全研究工作可以態(tài)勢感知為技術(shù)切入點(diǎn)，大數(shù)據(jù)平臺為基礎(chǔ)，將全校信息化業(yè)務(wù)實(shí)際運(yùn)營中產(chǎn)生的業(yè)務(wù)數(shù)據(jù)、安全數(shù)據(jù)集中至大數(shù)據(jù)平臺，進(jìn)行異構(gòu)數(shù)據(jù)的關(guān)聯(lián)合并、網(wǎng)絡(luò)攻擊威脅辨識、安全態(tài)勢評估及展現(xiàn)等方面的研究工作。同時(shí)也可與校內(nèi)信息安全學(xué)科研究團(tuán)隊(duì)合作，整合校內(nèi)優(yōu)勢資源，建立專業(yè)網(wǎng)絡(luò)信息安全研究及應(yīng)用團(tuán)隊(duì)，分析脫敏后的原始業(yè)務(wù)數(shù)據(jù)、實(shí)際網(wǎng)絡(luò)流、安全日志數(shù)據(jù)，進(jìn)行更深層次的APT潛伏攻擊、0day未知攻擊等技術(shù)研判，全校網(wǎng)絡(luò)安全態(tài)勢評估及預(yù)測，安全預(yù)警及應(yīng)急處置工作等。研究中發(fā)現(xiàn)的安全事件、得出的安全結(jié)論既能產(chǎn)生科研成果，又能指導(dǎo)實(shí)際安全工作，實(shí)現(xiàn)多贏局面，共同提升校園網(wǎng)安全。

最后是參與教育行業(yè)以及全社會的安全態(tài)勢信息共享工作?！笆濉眹倚畔⒒?guī)劃已明確指出：“建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制，加強(qiáng)網(wǎng)絡(luò)安全大數(shù)據(jù)挖掘分析，更好感知網(wǎng)絡(luò)安全態(tài)勢，做好風(fēng)險(xiǎn)防范工作?！苯逃袠I(yè)內(nèi)各高校信息化建設(shè)趨勢相同，面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相同，利害一致。各行業(yè)安全信息共享中需要實(shí)現(xiàn)的信息交換、通信協(xié)議協(xié)商、標(biāo)準(zhǔn)數(shù)據(jù)結(jié)構(gòu)統(tǒng)一、信息安全保護(hù)等，目前都是發(fā)展中的課題。高校之間網(wǎng)絡(luò)安全信息共享工作研究，能提升教育行業(yè)整體的安全態(tài)勢感知水平，推動(dòng)全社會層面安全信息共享行為，維護(hù)國家網(wǎng)絡(luò)空間安全。