馮名威

摘要：互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，極大地豐富了和改變了人們的日常生活。但是人們也在遭受著網(wǎng)絡(luò)攻擊的威脅。從國家和社會的角度出發(fā)，很多的網(wǎng)絡(luò)攻擊都是致命的，因此，網(wǎng)絡(luò)的安全防御有著至關(guān)重要的作用。目前，基于網(wǎng)絡(luò)安全態(tài)勢感知的網(wǎng)絡(luò)安全防御技術(shù)快速發(fā)展，基于此，該文介紹了網(wǎng)絡(luò)安全態(tài)勢感知的理論知識，分析了網(wǎng)絡(luò)安全防御的難題，給出了基于態(tài)勢感知的網(wǎng)絡(luò)防御措施，以期為實際的網(wǎng)絡(luò)防護提供指導(dǎo)。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知網(wǎng)絡(luò)防御;技術(shù)研究

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）35-0014-02

1 態(tài)勢感知簡述

1.1態(tài)勢概念介紹

網(wǎng)絡(luò)安全的態(tài)勢，顧名思義即網(wǎng)絡(luò)的運行狀態(tài)。與外界進行信息交換的復(fù)雜網(wǎng)絡(luò)，隨時都有可能收到外界的非法攻擊，對于安全態(tài)勢，主要結(jié)合不同網(wǎng)絡(luò)設(shè)備工作情況以及網(wǎng)絡(luò)用戶行為等，對當前網(wǎng)絡(luò)運行安全性進行分析。態(tài)勢感知又被稱為態(tài)勢評估，獲取、分析、處理導(dǎo)致安全態(tài)勢波動的因素，是其呀牛目標。

具體而言，在開展態(tài)勢感知工作是，需要收集、分析以及處理不同安全設(shè)備日志以及其他安全信息，然后通過安全事件的關(guān)聯(lián)分析，判斷當前網(wǎng)絡(luò)所處的安全狀態(tài)，同時對網(wǎng)絡(luò)有可能遭受的攻擊盡心評估，結(jié)合以往的數(shù)據(jù)信息，預(yù)測未來一段是時間內(nèi)攻擊者將會采取的行為。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的發(fā)展，使得網(wǎng)絡(luò)安全管理員可以較為準確、客觀地獲取到某一時段網(wǎng)絡(luò)安全狀態(tài)，同時根據(jù)評判結(jié)果以及預(yù)測對網(wǎng)絡(luò)安全采取適當?shù)谋Ｗo措施，減小和預(yù)防網(wǎng)絡(luò)攻擊造成的影響。

1.2安全態(tài)勢的感知模型

當下Endsley模型、JDL模型和TimBass模型等，在安全態(tài)勢的感知模型構(gòu)建中較為常用。

1.2.1 Endsley模型

1988年，Endsley首次提出了網(wǎng)絡(luò)安全態(tài)勢感知的概念，他指出網(wǎng)絡(luò)安全態(tài)勢感知就是：基于特定時空環(huán)境，有效獲取于理解環(huán)境因素，對未來狀態(tài)進行充分預(yù)測，正如下圖所示，他提出的網(wǎng)絡(luò)安全態(tài)勢感知模型分為三個級別，即態(tài)勢要素獲取、態(tài)勢理解和態(tài)勢預(yù)測。

模型中所講的態(tài)勢要素獲取即利用網(wǎng)絡(luò)中的安全設(shè)備運行日志等信息，對數(shù)據(jù)進行整理和規(guī)范化;要想實現(xiàn)態(tài)勢理解，需要分析收集到的信息，特別在相關(guān)性分析方面，進而獲取網(wǎng)絡(luò)當前運行狀態(tài);態(tài)勢預(yù)測則是根據(jù)當下已掌握的安全態(tài)勢對未來可能產(chǎn)生的風(fēng)險進行預(yù)估判斷。

1.2.2 TimBass模型

在1999年，Tim Bass對網(wǎng)絡(luò)安全的態(tài)勢感知與空中交通監(jiān)管領(lǐng)域的態(tài)勢感知進行了對比，并且基于JDL模型指出：在網(wǎng)絡(luò)入侵檢測系統(tǒng)不斷創(chuàng)新于發(fā)展過程中，應(yīng)該對由異構(gòu)網(wǎng)絡(luò)傳感器得到的信息進行有效融合，提高網(wǎng)絡(luò)空間態(tài)勢感知的效果，并由此提出了該模型，模型示意圖如下所示：

從上圖中可以看到，TimBass模型是從JDL模型的基礎(chǔ)上發(fā)展而來的，該模型中Leve10同樣是對數(shù)據(jù)進行提取，Leve1完成采集工作后，Leve11會校對相關(guān)數(shù)據(jù)的信息，監(jiān)測相關(guān)數(shù)據(jù)的類型，并對相關(guān)數(shù)據(jù)展開關(guān)聯(lián)處理，進而北奧正攻擊事件的類型能夠得到有效識別，而Leve12則會根據(jù)不同類型的攻擊事件對當前網(wǎng)絡(luò)的安全性進行綜合評估;Leve13在Leve12的基礎(chǔ)上，對網(wǎng)路攻擊的危害性進行評估，Leve13和Leve12的功能以及側(cè)重點是有區(qū)別的，Leve12側(cè)重于發(fā)現(xiàn)威脅，而Leve13則側(cè)重于對危險的程度給出等級，以后后續(xù)對不同等級的威脅采取相適應(yīng)的安全措施;Leve14能夠?qū)υu估框架中的各種資源進行合理分配，涵蓋感知體系工作狀態(tài)、協(xié)調(diào)網(wǎng)絡(luò)設(shè)備以及對上級任務(wù)進行接受與執(zhí)行等[1]。

1.2.3 JDL模型

JDL模型的示意圖如下所示：

JDL模型是一種數(shù)據(jù)融合模型，該模型會對不同來源的數(shù)據(jù)信息進行綜合分析處理，根據(jù)數(shù)據(jù)之間存在的眾多聯(lián)系，模型會將數(shù)據(jù)的處理細化為幾個層次分別處理。其中。1）Leve10主要開展安全設(shè)備數(shù)據(jù)特征與數(shù)據(jù)屬性的關(guān)聯(lián)性分析工作。2）Leve11主要開展多元異構(gòu)數(shù)據(jù)的融合工作。3）Leve12態(tài)勢評估層會分析融合處理之后，不同數(shù)據(jù)信息的關(guān)系，并預(yù)估網(wǎng)絡(luò)安全的態(tài)勢。4）Leve13則是根據(jù)當前態(tài)勢判斷攻擊者的意圖，對攻擊者將會采取的攻擊舉措進行預(yù)測。5）Level4一般借助傳感器以及監(jiān)控系統(tǒng)等，對融合過程進行動態(tài)檢測，并展開實施、準確的預(yù)估。6）Leve能夠優(yōu)化處理感知數(shù)據(jù)，使其能夠更加容易被理解，之后展開人機交互處理。

2 網(wǎng)絡(luò)防御面臨的難題

隨著信息技術(shù)的不斷進步，網(wǎng)絡(luò)攻擊防御面臨的難題也越來越多，其主要表現(xiàn)在以下幾個方面。

1）安全信息的碎片化。當網(wǎng)絡(luò)遭受攻擊時，網(wǎng)絡(luò)攻擊事件一般具有很強的攻擊特性和隱蔽性能，很多情況下網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)難以監(jiān)控，當對這些網(wǎng)絡(luò)節(jié)點的日志信息進行分析時，一般得到的攻擊信息不夠完整，無法對相應(yīng)的攻擊目標以及源頭等信息進行有效還原，相關(guān)人員需要對此方面加以重視，進行有效預(yù)防。

2）被動攔截問題，借助被動攔截進行網(wǎng)絡(luò)攻擊，需要與被攔截設(shè)備特征進行結(jié)合深入分析其所攔截信息特征，并對預(yù)防態(tài)勢與攻擊態(tài)勢進行充分區(qū)別，進而保證管理人員科學(xué)制定安全措施，保證網(wǎng)絡(luò)攻擊造成的影響能夠得到有效控制[2]。

3）單點式預(yù)防。網(wǎng)絡(luò)預(yù)防工作與單點工作均屬于單店模式，在不同廠區(qū)運營商中，安全設(shè)備較為齊全，安全監(jiān)控系統(tǒng)較為完全，其屬于場上設(shè)置的安全組建，與網(wǎng)絡(luò)無法進行聯(lián)動處理，進而難以實現(xiàn)信息共享目標，網(wǎng)絡(luò)難以形成合力。

4）攻擊結(jié)果不確定。在無法對攻擊結(jié)果進行充分確定的情況下，難以有效分析與判定攻擊結(jié)果，若是了解攻擊結(jié)果，則相關(guān)人員需要對網(wǎng)絡(luò)狀況進行充分識別，同時加以警告，并積極攔截[3]。

3 基于態(tài)勢感知的網(wǎng)絡(luò)安全防御

前文中介紹了Endsley模型，這是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的基礎(chǔ)模型，應(yīng)用中的很多模型都是從此基礎(chǔ)之上改進生成的，故所有的網(wǎng)絡(luò)安全態(tài)勢感知都會有要素獲取、數(shù)據(jù)分析、網(wǎng)絡(luò)防御措施三個重要過程。

1）要素獲取。要素獲取過程是網(wǎng)絡(luò)安全態(tài)勢感知的第一步，所謂的要素，其本質(zhì)就是數(shù)據(jù)。通常網(wǎng)絡(luò)安全事件的數(shù)據(jù)采集一般涵蓋防火墻、IDS、DdoS以及IPS等，借助數(shù)據(jù)采集，能夠?qū)Σ煌暾倪M行轉(zhuǎn)化，使其成為可用的數(shù)據(jù)結(jié)構(gòu)，同時可以利用可視化的技術(shù)手段將數(shù)據(jù)信息及時地展現(xiàn)出來，一方面可以便于網(wǎng)絡(luò)的管理，另一方面則可以實時地對網(wǎng)絡(luò)進行觀察。數(shù)據(jù)采集到以后往往是不能直接利用的，工作人員需要將數(shù)據(jù)劃分一下類別，信息數(shù)據(jù)通常分為三種類型，即結(jié)構(gòu)數(shù)據(jù)、非結(jié)構(gòu)數(shù)據(jù)以及其他類型數(shù)據(jù)、對于結(jié)構(gòu)數(shù)據(jù)，是指采用一定數(shù)據(jù)結(jié)構(gòu)存儲下來的數(shù)據(jù)，結(jié)構(gòu)化的數(shù)據(jù)可以經(jīng)過很小的變動就直接使用。對于非結(jié)構(gòu)數(shù)據(jù).其數(shù)據(jù)結(jié)構(gòu)并不夠點，在開展非結(jié)構(gòu)數(shù)據(jù)處理分析時，需先對其進行統(tǒng)一化的結(jié)構(gòu)處理，使其成為可以利用的數(shù)據(jù)。其他數(shù)據(jù)一般是站外數(shù)據(jù)或者歷史數(shù)據(jù)。以上三大類數(shù)據(jù)是進行數(shù)據(jù)分析時的主要數(shù)據(jù)，在數(shù)據(jù)采集時，要保證網(wǎng)絡(luò)數(shù)據(jù)采集的安全性和有效性，這樣才能為數(shù)據(jù)分析和態(tài)勢感知提供基礎(chǔ)支撐。

2）數(shù)據(jù)分析。對于安全時間日志，主要為借助流量式對安全事件進行刻畫，相關(guān)人員需要深入分析安全事件，進而確定安全事件影響因素。比如，開展網(wǎng)絡(luò)運營工作時，對于一些網(wǎng)絡(luò)攻擊事件，管理員應(yīng)該對相關(guān)重要日志進行充分關(guān)注，并且需要及時翻閱相關(guān)報警記錄，同時對報警記錄和網(wǎng)絡(luò)日志進行有機結(jié)合，對攻擊事件展開深入分析。對此，管理人員應(yīng)該對比分析當前日志和原始日志的異同點，并對原始日志展開管理分析工作，對原始日志進行安全事件轉(zhuǎn)化，此種形式的轉(zhuǎn)化，直觀性非常突出，也是產(chǎn)生安全威脅的主要原因之一。

3）安全防御。網(wǎng)絡(luò)安全防御過程是一個策略執(zhí)行過程，策略的執(zhí)行需要建立在網(wǎng)絡(luò)安全態(tài)勢感知和有效的未來預(yù)測之上。在網(wǎng)絡(luò)運行的過程中，安全評估系統(tǒng)會對網(wǎng)絡(luò)態(tài)勢的安全等級進行劃分，不同的安全等級所要采取的措施是不一樣的。針對普通的攻擊類型，系統(tǒng)會將攻擊記錄以安全事件的形式存儲，防御成功后會將其過程存于安全日志中。對于威脅程度比較高的攻擊，系統(tǒng)會優(yōu)先采取相應(yīng)的防御側(cè)露，此種主動響應(yīng)體系，能夠結(jié)合關(guān)鍵功能中的敏感數(shù)據(jù)，提高安全防護層級，進而有效防止出現(xiàn)操作失誤問題。該響應(yīng)體系與感知系統(tǒng)存在緊密關(guān)聯(lián)，能夠需要防止數(shù)據(jù)對網(wǎng)絡(luò)邊界進行穿透，進而保證不會接入惡意網(wǎng)絡(luò)。

對于網(wǎng)絡(luò)安全防御，IP分類查詢算法一種常用的網(wǎng)絡(luò)優(yōu)化算法。當各種網(wǎng)絡(luò)安全設(shè)備把所需的數(shù)據(jù)信息提取到以后，經(jīng)過數(shù)據(jù)分析等過程，會對具有一定價值的信息進行深入采集，并輸送到過濾器中進行處理。雖然數(shù)據(jù)經(jīng)過了進一步的處理，但在實際的操作過程中，數(shù)據(jù)量是非常大的，因此不能直接調(diào)用這些數(shù)據(jù)來進行處理。有一個辦法能夠有效解決該問題，就是對過濾器相關(guān)規(guī)則進行定制化設(shè)置，相關(guān)人員可以結(jié)合網(wǎng)絡(luò)中實時工作情況以及硬件條件愛你等，對規(guī)則庫中具體規(guī)則數(shù)量進行合理設(shè)定。進行規(guī)則庫更新工作是，需要數(shù)量充足的樣本訓(xùn)練提供支撐，進行訓(xùn)練更新時，IP分類算法單元會介入，因此，態(tài)勢感知的報分析效能主要就是看IP分類查詢算法的優(yōu)劣[4]。

上述所講的各種措施都是從算法或者軟件的層面采取的防御，當然也可以從硬件層面進行防御，常用的硬件防御技術(shù)就是安全隔離。所謂的安全隔離就是在計算機硬件中，對信息流傳輸直接進行阻斷。所有網(wǎng)絡(luò)攻擊活動，均需要借助網(wǎng)絡(luò)線路實現(xiàn)信息傳遞，所有的操作最終都需要硬件來執(zhí)行，安全隔離則是從根本條件上進行防護。一旦防御系統(tǒng)檢測到當前網(wǎng)絡(luò)被攻擊時，或者受到威脅程度較高的攻擊時，硬件防護裝置就可以將內(nèi)網(wǎng)與外網(wǎng)隔離，此時內(nèi)網(wǎng)之間的各個客戶端可以進行正常交流，但是不能與外界進行信息的交換。安全隔離技術(shù)具有響應(yīng)快、安全性好、穩(wěn)定性好的優(yōu)點，但是會阻斷內(nèi)部與外界的交流，因此這種網(wǎng)絡(luò)安全防御方式一般適用于軍事單位、保密單位、重大科研單位等。

4 結(jié)束語

互聯(lián)網(wǎng)的快速發(fā)展在不斷地改變著人們的生活，但是網(wǎng)絡(luò)攻擊的威脅也在逐漸威脅著人們的生活。當今時代人們的各種信息都充斥在網(wǎng)絡(luò)世界中，一旦某些網(wǎng)絡(luò)遭受攻擊，可能很多人的生命財產(chǎn)都會受到威脅。因此，網(wǎng)絡(luò)安全防御是信息技術(shù)發(fā)展中的重要組成部分。從目前的發(fā)展來看，態(tài)勢感知對于網(wǎng)絡(luò)安全狀態(tài)的判斷已成為基礎(chǔ)，由于大數(shù)據(jù)、人工智能、云計算等新興技術(shù)，在快速發(fā)展過程中會將智能處理與態(tài)勢感知進行有機幾何，另外，網(wǎng)絡(luò)防御也將會從軟硬件的基礎(chǔ)上引入智能化的措施。

參考文獻：

[1]黃寧.云計算環(huán)境下網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[D].西安：西安工程大學(xué)，2018.

[2]董超，劉雷.基于安全態(tài)勢感知在網(wǎng)絡(luò)攻擊防御中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（8）.

[3]王楠，孫璐.基于安全態(tài)勢感知在網(wǎng)絡(luò)攻擊防御中的應(yīng)用[J].電信技術(shù)，2017，8（3）：86-88.

[4]張媛.網(wǎng)絡(luò)安全態(tài)勢感知防御技術(shù)[J].信息技術(shù)與信息化，2019（8）.

【通聯(lián)編輯：謝媛媛】