李大瑋 劉鵬 王璐

【摘要】? ? 伴隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)與人們的生活密切相關(guān)，針對網(wǎng)絡(luò)的攻擊也愈加復(fù)雜多樣，應(yīng)用網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，實現(xiàn)對內(nèi)部網(wǎng)絡(luò)攻擊源的快速定位和處置，滿足當下網(wǎng)絡(luò)安全管理的需求。在本文的分析中，主要以安全事件的定位和處置為基礎(chǔ)，通過應(yīng)用網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)安全總體態(tài)勢的監(jiān)測和預(yù)警，輔助運維人員快速處置網(wǎng)絡(luò)安全隱患和事件。

【關(guān)鍵詞】? ?大數(shù)據(jù)? ? 網(wǎng)絡(luò)安全管理? ? 態(tài)勢感知? ? 網(wǎng)絡(luò)資產(chǎn)

引言：

伴隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)與人們的生活越來越密切，針對互聯(lián)網(wǎng)的攻擊手段愈發(fā)多樣，尤其近年來勒索病毒、挖礦軟件的泛濫，在全球范圍內(nèi)造成了嚴重的影響，僅僅依靠著傳統(tǒng)單一性的安全防護方式，已經(jīng)無法滿足當下網(wǎng)絡(luò)安全性的要求，需要建立統(tǒng)一的網(wǎng)絡(luò)安全管理系統(tǒng)，對網(wǎng)絡(luò)安全日志進行綜合分析研判，提升網(wǎng)絡(luò)安全管理能力，在這種背景下，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，在當前的網(wǎng)絡(luò)安全管理中發(fā)揮著越來越重要的作用。

一、新時期網(wǎng)絡(luò)安全管理要求

（一）實時全面的監(jiān)測體系

建立實時全面的監(jiān)測體系，實現(xiàn)對內(nèi)網(wǎng)全面威脅實時監(jiān)測，全流量威脅分析，從脆弱性、外部攻擊、內(nèi)部異常三大維度，來達成全面的監(jiān)測體系。這三大維度均有其對應(yīng)的最終目標，脆弱性即以業(yè)務(wù)資產(chǎn)為核心，尋找暴露面;外部攻擊即尋找基于攻擊突破弱點及攻擊繞過情況，結(jié)合脆弱性感知來進行針對性的調(diào)整防御策略，決策加固方向;內(nèi)部異常則是尋找已經(jīng)被入侵成功的失陷主機及內(nèi)鬼已在內(nèi)部潛伏的威脅，避免繼續(xù)受損及影響擴散。

（二）攻擊溯源

攻擊溯源是在網(wǎng)絡(luò)安全事件的處理過程中所需要具備的重要能力。網(wǎng)絡(luò)安全事件發(fā)生之后，通過對日志的全面綜合分析，及時的發(fā)現(xiàn)一些安全事件當中的問題所在，并基于這樣的分析模式，進行針對性的安全事件的發(fā)生路徑等內(nèi)容的分析與處理，對攻擊者進行溯源和定位，并進行針對性的防護。

（三）安全管理

安全管理，就是一種始終保持對網(wǎng)絡(luò)環(huán)境的實時監(jiān)測與保護，重點是對一些基礎(chǔ)信息進行詳細的管控。針對網(wǎng)絡(luò)內(nèi)部的各類應(yīng)用、數(shù)據(jù)，進行針對性的保護和管理，通過網(wǎng)絡(luò)資產(chǎn)梳理，設(shè)定防護規(guī)則等方式，針對核心網(wǎng)絡(luò)資產(chǎn)進行針對性的實時監(jiān)測和預(yù)警。

二、網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)功能

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)要實現(xiàn)對全網(wǎng)安全態(tài)勢的全方位監(jiān)測，必須具備自動發(fā)現(xiàn)能力和機器學(xué)習(xí)能力，例如對網(wǎng)絡(luò)資產(chǎn)、攻擊行為、進行統(tǒng)計類態(tài)勢感知，以及對攻擊行為的挖掘類態(tài)勢的感知。通過不斷的人機交互，對識別結(jié)果加以校正，不斷學(xué)習(xí)改進分析結(jié)果，形成良好的感知數(shù)據(jù)分析。

（一）網(wǎng)絡(luò)安全可視化

網(wǎng)絡(luò)安全可視化是網(wǎng)絡(luò)安全態(tài)勢感知平臺的核心功能，是網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)面向用戶輸出安全告警、安全事件及態(tài)勢分析結(jié)果等信息的主要窗口，其所需呈現(xiàn)的信息與用戶的網(wǎng)絡(luò)安全管理業(yè)務(wù)需求息息相關(guān)，網(wǎng)絡(luò)安全可視化實現(xiàn)了功能需求多樣化的背景下，統(tǒng)一網(wǎng)絡(luò)安全可視化呈現(xiàn)能力問題。將資產(chǎn)分布、趨勢分析、各類排名，乃至安全告警應(yīng)呈現(xiàn)的信息內(nèi)容要素等通過可視化界面直觀地呈現(xiàn)給用戶，并提供相關(guān)的溯源、分析，便于用戶準確、迅速定位網(wǎng)絡(luò)威脅，排查網(wǎng)絡(luò)隱患[1]。

（二）網(wǎng)絡(luò)資產(chǎn)梳理

通過部署探針，使用掃描技術(shù)以及爬蟲技術(shù)，進行主動的探測，輔以通過對上網(wǎng)行為管理、準入、無線接入控制系統(tǒng)的用戶同步功能，提供出一個具體的知識庫，可以獲得完整、準確的在線設(shè)備資產(chǎn)，并最后利用大數(shù)據(jù)的分析方式，較為快速地掌握到現(xiàn)階段在線設(shè)備的總數(shù)量和歷史設(shè)備接入情況。

（三）資產(chǎn)脆弱性感知

資產(chǎn)是網(wǎng)絡(luò)安全最重要的防護點，尤其是承載業(yè)務(wù)的服務(wù)器資產(chǎn)，服務(wù)器脆弱性也稱服務(wù)器弱點，弱點是服務(wù)器本身存在的，所有的攻擊和威脅都必須利用服務(wù)器的某個弱點才能造成傷害，因此，服務(wù)器脆弱性的感知和加固便顯得十分重要，可以有效預(yù)防威脅的發(fā)生。

脆弱性感知能力應(yīng)具備內(nèi)網(wǎng)資產(chǎn)的脆弱性分析，主要涵蓋漏洞、弱口令、Web明文傳輸、配置風險等方面，進行快速定位，并對其資產(chǎn)IP進行針對性的信息分析，直觀地查看服務(wù)器脆弱性風險分析、熱點漏洞及脆弱性風險詳情等信息，通過主動或被動的形式，結(jié)合脆弱性指紋信息，快速聚焦服務(wù)器存在的情況，方便運維人員快速定位，及時處置。

（四）文件威脅監(jiān)測

在典型攻擊鏈中，文件威脅是攻擊發(fā)起的重要手段，病毒文件通過網(wǎng)站掛馬、釣魚郵件等方式入侵內(nèi)網(wǎng)主機、惡意文件在用戶主機執(zhí)行并主動連接控制端、發(fā)送郵件等方式，導(dǎo)致主機被控制或敏感數(shù)據(jù)被盜，文件威脅時內(nèi)網(wǎng)橫向攻擊發(fā)起的源頭，態(tài)勢感知系統(tǒng)通過對網(wǎng)絡(luò)流量分析，整體展示文件威脅情況，精準定位威脅源頭。

（五）日志關(guān)聯(lián)分析

通過收集第三方產(chǎn)品SYSLOG日志及操作系統(tǒng)的日志信息，實現(xiàn)對第三方安全信息和事件日志進行分析日志關(guān)聯(lián)分析，直觀地將接入設(shè)備概況、數(shù)據(jù)分布、安全事件統(tǒng)計、關(guān)聯(lián)規(guī)則統(tǒng)計、日志統(tǒng)計以及日志傳輸趨勢等信息呈現(xiàn)給用戶，幫助用戶準確掌握當前各個設(shè)備的安全運行狀態(tài)。

（六）攻擊行為態(tài)勢感知

資產(chǎn)每天都可能遭受到大量的攻擊，這些攻擊有些可能是實實在在的網(wǎng)絡(luò)攻擊，也可能源自系統(tǒng)自身的漏洞，大量的威脅警報往往會掩蓋潛在的威脅，使IT運維復(fù)雜化，因此，進行安全監(jiān)測的功能性分析時，需要對于全網(wǎng)的攻擊行為，進行實時的監(jiān)測、歸納、學(xué)習(xí)，并可以利用大數(shù)據(jù)分析技術(shù)的方式，實現(xiàn)對木馬攻擊行為的良好分析，并可以精準識別出真正的攻擊行為，通過這種大數(shù)據(jù)的分析，形成直觀、精準的分析模式和直觀的展現(xiàn)方式[2]。

三、態(tài)勢感知系統(tǒng)的原理

態(tài)勢感知系統(tǒng)，就是一種數(shù)據(jù)管理系統(tǒng)，包含數(shù)據(jù)采集、存儲、分析以及展示。并對每一個環(huán)節(jié)都需要進行較為詳細的管理。之后，還需要利用各種數(shù)據(jù)處理方式，將不同的異構(gòu)源的數(shù)據(jù)進行集中關(guān)聯(lián)分析，并基于可視化的展示方式，并對其進行交互方面的良好運用[3]。

（一）數(shù)據(jù)采集

數(shù)據(jù)采集是大數(shù)據(jù)分析的基礎(chǔ)與前提，準確高質(zhì)量的數(shù)據(jù)能保證安全分析效果。針對不同的網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)應(yīng)用以及用戶對態(tài)勢感知的場景需求，依托數(shù)據(jù)采集對象和采集內(nèi)容，定義分析場景和建模。針對網(wǎng)絡(luò)設(shè)備、主機、應(yīng)用、安全設(shè)備等記錄的日志數(shù)據(jù)和告警信息;異常流量數(shù)據(jù)和按規(guī)則匹配的網(wǎng)絡(luò)流量數(shù)據(jù);以及整個網(wǎng)絡(luò)中資產(chǎn)、人員、賬號、漏洞信息、脆弱性信息和威脅情報信息等數(shù)據(jù)，為進一步場景化的態(tài)勢感知分析需求提供數(shù)據(jù)支撐，通過構(gòu)建出特征庫、漏洞信息庫的方式，全面提升對各種網(wǎng)絡(luò)節(jié)點的比對分析能力。用戶的實際操作過程中，便可以根據(jù)上述功能，掌握到網(wǎng)站的時間信息變化[4]。

數(shù)據(jù)采集的核心是依靠設(shè)備自帶探針（數(shù)據(jù)采集口）獲取信息，數(shù)據(jù)采集口依靠各個區(qū)域交換機鏡像口獲取鏡像流量進行分析，數(shù)據(jù)采集口的部署要做到合理、全面。按照網(wǎng)絡(luò)安全管理要求，一個相對安全的網(wǎng)絡(luò)拓撲是經(jīng)過了細致的分區(qū)的，至少包括服務(wù)器區(qū)、用戶區(qū)、互聯(lián)網(wǎng)區(qū)、運維管理區(qū)、其他機構(gòu)互聯(lián)區(qū)等，具備條件的還可以進行更加細致的劃分，數(shù)據(jù)采集口部署時應(yīng)盡可能地覆蓋所有的區(qū)域，盡可能全面的獲取各個區(qū)域的流量信息，并整合各個安全設(shè)備的日志，支撐態(tài)勢感知系統(tǒng)的大數(shù)據(jù)分析能力。

（二）存儲分析

存儲分析主要是對數(shù)據(jù)進行全面的存儲以及分析，對不同類型數(shù)據(jù)進行分級分類存儲，以滿足數(shù)據(jù)分析的要求，通過匯聚資源數(shù)據(jù)、網(wǎng)絡(luò)運行數(shù)據(jù)、網(wǎng)絡(luò)安全事件、威脅情報等重要數(shù)據(jù)，實現(xiàn)各類網(wǎng)絡(luò)安全數(shù)據(jù)的統(tǒng)一融合。在數(shù)據(jù)分析的過程中，通過分布式計算框架、關(guān)系數(shù)據(jù)以及結(jié)構(gòu)數(shù)據(jù)方面的分析處理效果[5]，對數(shù)據(jù)整理分類、對比統(tǒng)計、重點識別、趨勢歸納、關(guān)聯(lián)分析、挖掘預(yù)測，從海量數(shù)據(jù)中自動挖掘出有價值的信息，最大的發(fā)揮數(shù)據(jù)的價值。數(shù)據(jù)分析是態(tài)勢感知能力建設(shè)的核心，而分析模型、分析技術(shù)的正確使用是網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)的關(guān)鍵。

（三）可視化展示

可視化展示的核心就是預(yù)警、溯源、處置，可視化展示是態(tài)勢感知系統(tǒng)呈現(xiàn)給用戶的最直接內(nèi)容，預(yù)警是數(shù)據(jù)分析的應(yīng)用，是依據(jù)數(shù)據(jù)分析結(jié)果，實現(xiàn)網(wǎng)絡(luò)安全事件告警、態(tài)勢評估、安全預(yù)警、追蹤溯源等應(yīng)用。通過對采集數(shù)據(jù)的統(tǒng)計分析、能力評估、關(guān)聯(lián)分析、數(shù)據(jù)挖掘等操作，生成可視化展示所需的安全運行態(tài)勢、安全風險態(tài)勢、網(wǎng)絡(luò)威脅態(tài)勢等基礎(chǔ)態(tài)勢信息。

在基礎(chǔ)態(tài)勢分析基礎(chǔ)上，充分結(jié)合態(tài)勢關(guān)聯(lián)、威脅情報等，并對其進行科學(xué)、合理的組合，得出網(wǎng)絡(luò)安全指數(shù)，提煉攻擊手段，還原攻擊過程，溯源攻擊者，并展示給用戶，以全面支撐安全事件快速響應(yīng)和應(yīng)急處置工作。友好的可視化界面有利于更好、更快地發(fā)現(xiàn)網(wǎng)絡(luò)中的風險、溯源，從而支撐安全決策并進行快速處置，大多數(shù)態(tài)勢感知系統(tǒng)都提供了針對防火墻的聯(lián)動處置策略，支持用戶直接通過態(tài)勢感知系統(tǒng)設(shè)置防火墻規(guī)則，進行聯(lián)動處置，這項功能目前僅對同品牌產(chǎn)品有較好的兼容性。

四、結(jié)束語

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展對新時期網(wǎng)絡(luò)安全管理工作提出了更高的要求，尤其是2017年以來勒索病毒的泛濫，對網(wǎng)絡(luò)安全管理者提出了更加嚴峻的挑戰(zhàn)，一旦網(wǎng)絡(luò)安全時間發(fā)生，如何精準定位攻擊源，快速響應(yīng)處置，防止病毒快速傳播，最大可能減少損失是當前網(wǎng)絡(luò)安全管理工作的最基本要求，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的應(yīng)用成為安全運維人員應(yīng)急、快速處置網(wǎng)絡(luò)安全時間的最有效抓手。

青島市中心血站網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)2020年底上線，11個月時間里，共捕獲惡意文件1583個，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)275次，有害程序494次，捕獲各類網(wǎng)絡(luò)攻擊數(shù)十萬次，在協(xié)助運維人員快速定位處置網(wǎng)絡(luò)安全隱患方面發(fā)揮了積極作用。但是也不可否認，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)也存在一些不足，比如說在針對網(wǎng)絡(luò)攻擊存在大量的誤報，針對未知風險的發(fā)現(xiàn)能力不足等，這都需要今后在實踐中不斷完善和改進。

作者單位：李大瑋? ? 劉鵬? ? 王璐? ? 青島市中心血站

參? 考? 文? 獻

[1]網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)標準化白皮書[EB/OL]. 全國信息安全標準化技術(shù)委員會，2020.

[2]左民瑋.商業(yè)銀行數(shù)字化轉(zhuǎn)型浪潮下的金融科技風險管理探究[J].中國金融電腦，2021（10）：71-74.

[3]張建嬌.基于網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的高校網(wǎng)絡(luò)威脅發(fā)現(xiàn)[J].電子技術(shù)與軟件工程，2021（18）：248-249.

[4]胡冰蔚，洪晟，王澤政，等.基于NTA的工業(yè)數(shù)據(jù)安全監(jiān)測方法設(shè)計與應(yīng)用研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2021，40（09）：2-8.

[5]張小飛，張道銀，鄭珞琳，等.基于機器學(xué)習(xí)算法的電力信息網(wǎng)絡(luò)安全態(tài)勢感知研究[J].電器與能效管理技術(shù)，2021（08）：16-23.