李春強++丘國偉

【 摘 要 】 網(wǎng)絡(luò)安全已經(jīng)上升到關(guān)系國家主權(quán)戰(zhàn)略問題，受到廣泛的重視。傳統(tǒng)的安全技術(shù)已經(jīng)對新的攻擊工具與技術(shù)和頻繁爆發(fā)的網(wǎng)絡(luò)安全事件顯得力不從心。通過運用態(tài)勢感知平臺及多種措施，可以最大限度地保障網(wǎng)絡(luò)安全。

【 關(guān)鍵詞 】 態(tài)勢感知；網(wǎng)絡(luò)安全；計算機網(wǎng)絡(luò)

Research on Network Security Threat Management Base on Situation Awareness Platform

Li Chun-qiang Qiu Guo-wei

（1.Beijing Information Science and Technology University Beijing 100101；

2.Beijing Jingwei Information Security Technology Co.， Ltd Beijing 100101）

【 Abstract 】 Network security has risen to the relationship between national sovereignty strategic issues， and has been widely attention. Traditional security technology has been on the new attack tools and technology and frequent outbreak of network security events seem powerless. Through the use of situational awareness platform and a variety of measures to maximize security network security.

【 Keywords 】 situation awareness； network security； compute network

1 引言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和信息的高速傳播，網(wǎng)絡(luò)技術(shù)給人類的生產(chǎn)和生活方式帶來了前所未有的發(fā)展和飛躍。當(dāng)前網(wǎng)絡(luò)與信息技術(shù)已經(jīng)滲透到經(jīng)濟、社會、國防、科技、教育等各個領(lǐng)域，網(wǎng)絡(luò)的信息技術(shù)關(guān)系著國家和全民的利益，逐漸成為影響經(jīng)濟發(fā)展和國家戰(zhàn)略部署的重要因素?！笆濉币?guī)劃綱要對實施網(wǎng)絡(luò)強國戰(zhàn)略、“互聯(lián)網(wǎng)+”行動、大數(shù)據(jù)戰(zhàn)略作了重要的部署。

然而，網(wǎng)絡(luò)技術(shù)給人們帶來便利的同時，也帶來了諸多安全問題，網(wǎng)絡(luò)受攻擊的數(shù)量直線上升，攻擊的方法日趨復(fù)雜。根據(jù)Akamai發(fā)布的第二季度互聯(lián)網(wǎng)現(xiàn)狀顯示，DDos攻擊總數(shù)量2016年第二季度相比2015第二季度增加了129%，Web應(yīng)用程序攻擊總數(shù)相比第一季度增加了14%。各種網(wǎng)絡(luò)安全事件頻發(fā)的主要原因有兩方面：一方面由于當(dāng)初網(wǎng)絡(luò)系統(tǒng)的設(shè)計本身存在薄弱環(huán)節(jié)；另一方面由于攻擊手段的發(fā)展和各種自動化攻擊工具的大量涌現(xiàn)，尤其是帶有經(jīng)濟利益的黑客產(chǎn)業(yè)鏈的出現(xiàn)推動著網(wǎng)絡(luò)攻擊手段的提升。

另外，全球13個根域名（1主12輔）中部署情況：10個在美國（1主9輔），2個在歐洲，1個在日本，且13個服務(wù)器均由ICANN管理。由此可見美國對全球的互聯(lián)網(wǎng)的運行有著絕對的控制權(quán)，美國曾在戰(zhàn)爭的特殊時間清除了伊拉克國家的頂級域名“.iq”和利比亞的頂級域名“.ly”，彰顯了美國的霸權(quán)主義特色。斯諾登曝光的美國棱鏡門項目，讓各國為之震驚。而我國在 CPU 芯片和操作系統(tǒng)等核心芯片和基礎(chǔ)軟件方面主要依賴國外產(chǎn)品，這就使我國的網(wǎng)絡(luò)空間安全方面失去了自主可控的基礎(chǔ)。

2 網(wǎng)絡(luò)安全威脅感知平臺

網(wǎng)絡(luò)安全本質(zhì)就是網(wǎng)絡(luò)上的信息安全，涉及內(nèi)容的完整性、私密性、可用性、真實性和可控性。

網(wǎng)絡(luò)中諸多的安全問題的根源是網(wǎng)絡(luò)系統(tǒng)本身存在脆弱性，傳統(tǒng)的安全技術(shù)（脆弱性檢測、惡意代碼檢測、防火墻技術(shù)、入侵檢測）等針對攻擊技術(shù)的革新、新型攻擊技術(shù)和攻擊工具的大量涌現(xiàn)顯得力不從心。

網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situation Awareness，簡稱NSSA）是一種解決網(wǎng)絡(luò)安全問題的一種新的方法，能夠融合各網(wǎng)絡(luò)部件對安全事件的檢測，并實時感知網(wǎng)絡(luò)安全狀況和面臨的風(fēng)險，已成為國內(nèi)外前沿且具有多學(xué)科交叉性質(zhì)的熱點研究領(lǐng)域。本文將主要從態(tài)勢感知平臺的技術(shù)討論網(wǎng)絡(luò)安全威脅管理。

2.1 態(tài)勢感知的基本模型

態(tài)勢感知是指在大規(guī)模系統(tǒng)環(huán)境中，對環(huán)境因素的獲取、理解以及對其未來發(fā)展趨勢的預(yù)測。圖 1是態(tài)勢感知的基本模型。

網(wǎng)絡(luò)安全態(tài)勢感知是研究整個網(wǎng)絡(luò)的安全狀態(tài)及變化趨勢，是對網(wǎng)絡(luò)環(huán)境中安全要素的獲取、理解以及對安全狀況趨勢的預(yù)測。根據(jù)基本模型，可以將網(wǎng)絡(luò)安全態(tài)勢分析的過程分為三步。

（1） 數(shù)據(jù)采集（環(huán)境因素獲?。和ㄟ^各種檢測工具、傳感器等對有可能影響網(wǎng)絡(luò)安全的所有要素進行采集和獲取，這是態(tài)勢感知的前提。

（2） 態(tài)勢分析評估（環(huán)境的理解）：對網(wǎng)絡(luò)安全要素的數(shù)據(jù)進行分析處理，分析出當(dāng)前網(wǎng)絡(luò)環(huán)境的安全狀況和薄弱環(huán)節(jié)，這是態(tài)勢感知的核心。

（3） 態(tài)勢預(yù)測：預(yù)測網(wǎng)絡(luò)安全狀況的發(fā)展趨勢，這是態(tài)勢感知的目標(biāo)。

2.2 威脅感知平臺技術(shù)架構(gòu)

圖 2為威脅感知平臺的技術(shù)框架，與基本模型相同，技術(shù)框架分成三層，分別是數(shù)據(jù)采集與存儲、安全情報大數(shù)據(jù)分析、態(tài)勢感知與威脅預(yù)警。

2.2.1 數(shù)據(jù)采集與存儲

這一層是主要確定采集的感知數(shù)據(jù)源，并將所采集的數(shù)據(jù)存儲于大數(shù)據(jù)平臺之下，形成原始的數(shù)據(jù)倉庫。

數(shù)據(jù)采集主要需要流量數(shù)據(jù)、監(jiān)測數(shù)據(jù)、病毒數(shù)據(jù)、安全情報、資產(chǎn)設(shè)備數(shù)據(jù)等等，其中流量數(shù)據(jù)來源于Firewall、監(jiān)測數(shù)據(jù)來源于部署的傳感器、病毒數(shù)據(jù)和安全情報來源于已經(jīng)公開或者挖掘出的0-day漏洞的安全信息、資產(chǎn)數(shù)據(jù)來源于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。從安全的角度而言，要追蹤一次完整的攻擊事件，涉及到身份認(rèn)證、訪問授權(quán)、終端操作行為、流量特征、惡意代碼發(fā)現(xiàn)、風(fēng)險預(yù)警、應(yīng)用的安全審計等各個環(huán)節(jié)，所有的環(huán)節(jié)都會記錄攻擊的蛛絲馬跡，都潛藏著區(qū)別于正常操作的非法行為。因此要盡可能的覆蓋整個網(wǎng)絡(luò)中的每個環(huán)節(jié)，將流量、監(jiān)測、日志、病毒、情報、資產(chǎn)等數(shù)據(jù)采集下來。

海量數(shù)據(jù)的采集之后需要進行集中存儲和管理。需要整合采集的文件數(shù)據(jù)、關(guān)系數(shù)據(jù)，構(gòu)建一個混合的數(shù)據(jù)倉庫，滿足采集的結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)需求。

在一些關(guān)鍵重要節(jié)點需要部署感應(yīng)器，采集監(jiān)測數(shù)據(jù)。例如部署蜜罐，蜜罐本身是存在漏洞的，同時也是虛假的機器。當(dāng)攻擊者攻擊蜜罐時，系統(tǒng)管理員能夠鎖定攻擊者并同時保護真正的機器；另外內(nèi)網(wǎng)中的蜜罐可以幫助發(fā)現(xiàn)其他機器可能存在的漏洞，幫助管理員學(xué)習(xí)攻擊者針對該服務(wù)的攻擊持巧和利用代碼。

2.2.2 安全情報大數(shù)據(jù)分析

這一層是安全態(tài)勢感知的核心，是將采集的海量數(shù)據(jù)轉(zhuǎn)化威脅情報的重要方式。針對這些海量數(shù)據(jù)分析，主要分幾個步驟。

（1）數(shù)據(jù)預(yù)處理，由于數(shù)據(jù)采集的數(shù)據(jù)來源、格式、途徑等不統(tǒng)一，需要通過數(shù)據(jù)清洗去除臟數(shù)據(jù)特征提取，將具有相同特征或?qū)傩缘臄?shù)據(jù)進行合并，結(jié)合IP關(guān)系、時序關(guān)系、交互特征等進行數(shù)據(jù)關(guān)聯(lián)，形成基礎(chǔ)的數(shù)據(jù)關(guān)系網(wǎng)絡(luò)圖譜。

（2）模型設(shè)計，本質(zhì)是構(gòu)建一套大數(shù)據(jù)分析的規(guī)則，形成一個具體的數(shù)據(jù)分析模型，根據(jù)這些模型達(dá)到精準(zhǔn)預(yù)警和態(tài)勢感知的目的。平臺主要兩種模型。

（3）數(shù)值統(tǒng)計分析模型，海量的基礎(chǔ)數(shù)據(jù)包含了大量的用戶行為數(shù)據(jù)和日志數(shù)據(jù)，這些數(shù)據(jù)通過傳統(tǒng)的方式也許很難發(fā)現(xiàn)是被攻擊行為?？梢苑治銎渲械脑胍魯?shù)據(jù)可能確定某種的網(wǎng)絡(luò)行為。例如在某個時間內(nèi)針對同一個IP的不同端口進行了多次訪問，那么這有可能是一次網(wǎng)絡(luò)掃描嗅探行為，再比如某個短時間內(nèi)相同的URI出現(xiàn)相同參數(shù)不同的值行為，可能是攻擊者進行爆破密碼行為等等，這些行為通過傳統(tǒng)的的規(guī)則匹配、黑白名單等方式是很難發(fā)現(xiàn)的。

（4）算法挖掘模型，基于已有的分析算法對數(shù)據(jù)進行挖掘，從而發(fā)現(xiàn)潛在的安全風(fēng)險。比如通過頂點分析算法，在整個海量數(shù)據(jù)中被越多的用戶訪問的資源、服務(wù)等就是越需要重點關(guān)注的對象，分析出核心服務(wù)器、重要資源等，再比如通過聚類相似度分析，通過已知的一個攻擊行為中薄弱環(huán)節(jié)找出其它相似的薄弱環(huán)節(jié)。

（5）實時數(shù)據(jù)分析，結(jié)合上述模型設(shè)計，對網(wǎng)絡(luò)數(shù)據(jù)進行實時的分析計算。由于網(wǎng)絡(luò)攻擊事件是隨機性質(zhì)的，因此實時數(shù)據(jù)分析處理強調(diào)的是快速高效的現(xiàn)場處理能力，第一時間發(fā)現(xiàn)網(wǎng)絡(luò)中相對明確的攻擊行為，即時做出預(yù)警?？梢愿鶕?jù)計算任務(wù)和計算規(guī)模進行彈性的資源擴展，增強態(tài)勢感知的響應(yīng)能力。

2.2.3 態(tài)勢感知和威脅預(yù)警

態(tài)勢感知和威脅預(yù)警是研究的目標(biāo)。主要分三種功能：一是網(wǎng)絡(luò)安全威脅報警，當(dāng)發(fā)生網(wǎng)絡(luò)攻擊活動時即時報警；二是對網(wǎng)絡(luò)的實時安全檢測并進行風(fēng)險預(yù)警及感知； 三是態(tài)勢的可視化，讓用戶直觀方便的展示當(dāng)前的態(tài)勢情況。

2.3 網(wǎng)絡(luò)威脅感知平臺

一次典型的網(wǎng)絡(luò)攻擊主要流程是主機發(fā)現(xiàn)、漏洞發(fā)現(xiàn)、目標(biāo)滲透、權(quán)限提升、潛伏隱藏、攫取信息、跳板攻擊。圖 3顯示威脅感知平臺總體部署圖及攻擊的流量流向。

網(wǎng)絡(luò)攻擊事件的發(fā)生是隨機的不可確定事件，其發(fā)生之后的后果有時也是災(zāi)難性的。所以需要針對網(wǎng)絡(luò)攻擊行為要進行實時的積極防御措施。因此網(wǎng)絡(luò)威脅感知平臺的研發(fā)有其必然性和必要性。

圖 4是利用網(wǎng)絡(luò)安全威脅態(tài)勢感知模型研發(fā)的網(wǎng)絡(luò)威脅感知平臺界面。該平臺中將威脅的來源分為內(nèi)網(wǎng)攻擊和外網(wǎng)攻擊：公司或者部門暴露在內(nèi)網(wǎng)之外的提供給外界的網(wǎng)絡(luò)服務(wù)或者應(yīng)用，受到了來自于外部環(huán)境的攻擊，認(rèn)為是外網(wǎng)攻擊；而由網(wǎng)絡(luò)環(huán)境內(nèi)部發(fā)起的攻擊行為認(rèn)為是內(nèi)網(wǎng)攻擊。外網(wǎng)攻擊利用世界地圖可以形象統(tǒng)計攻擊來源國家的分布情況。內(nèi)網(wǎng)攻擊通常認(rèn)為是“內(nèi)鬼”行為，或者該計算機受到了其他攻擊者的脅迫而發(fā)起的攻擊，需要快速的定義到攻擊者的IP、攻擊對象，并阻斷其攻擊行為，有統(tǒng)計顯示，內(nèi)網(wǎng)的內(nèi)鬼更容易成為網(wǎng)絡(luò)安全中的不確定性因素。

感知平臺主要有幾個特點：（1）針對重點的資產(chǎn)設(shè)備需要部署感應(yīng)器，例如在重要的資產(chǎn)設(shè)備中部署組合的蜜罐，攻擊者將花費更多的時間進行攻擊，從中獲取更多的信息，爭取更多的響應(yīng)時間；（2）攻擊特征管理，定義某種網(wǎng)絡(luò)行為作為攻擊行為，方便大數(shù)據(jù)挖掘過程中實時監(jiān)測攻擊行為；（3）攻擊統(tǒng)計，對攻擊者、攻擊來源、攻擊對象的統(tǒng)計分析出網(wǎng)絡(luò)設(shè)備中脆弱性進行重點防護；（4）由于平臺采用了對網(wǎng)絡(luò)設(shè)備橫向攻擊檢測和蜜罐攻擊誘捕技術(shù)，可以在不影響再有網(wǎng)絡(luò)拓?fù)涞那闆r下簡單部署，方便使用。

3 其他應(yīng)對措施

網(wǎng)絡(luò)安全中的攻與防一直都是一個矛盾體，網(wǎng)絡(luò)攻擊是“矛”，威脅態(tài)勢感知與傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)作為用戶的“盾”，由于技術(shù)的更新與發(fā)展，“盾”有時會被“矛”所刺穿。因此在努力的做好我們自己的“盾”的同時，我們的用戶也要從幾個方面進行努力來打造更加強大的“盾”。

3.1 增強網(wǎng)絡(luò)安全教育，樹立正確的網(wǎng)絡(luò)安全觀

網(wǎng)絡(luò)安全就在身邊，和每個人息息相關(guān)，個人網(wǎng)絡(luò)安全出現(xiàn)問題與人們對安全意識的缺失有很大的關(guān)系。不恰當(dāng)?shù)氖褂?，弱口令，保密意識不強等都有可能形成安全隱患。2015年我國因網(wǎng)絡(luò)安全事件造成的經(jīng)濟損失達(dá)到915億元。人們主要面臨的安全威脅有病毒與木馬、信息泄漏、社會工程學(xué)與欺詐、人為的特定攻擊、無線和移動終端的安全威脅等等。要大力普及網(wǎng)絡(luò)安全知識，讓維護網(wǎng)絡(luò)安全成為每一名網(wǎng)民的自覺行為，只有加強人們的安全意識，科學(xué)、文明的上網(wǎng)才能盡可能保障網(wǎng)絡(luò)平臺的穩(wěn)定和安全。同時針對企業(yè)和部門，需要加強內(nèi)部管理，對使用的設(shè)備定期的檢查檢測，并加強內(nèi)部資產(chǎn)管理，審計管理，并且需要有威患意識，防范于未然。

3.2 網(wǎng)絡(luò)安全要自主創(chuàng)新與開發(fā)合作辯證處理

我國的網(wǎng)絡(luò)信息技術(shù)起步較晚，與美國等發(fā)達(dá)國家存在著很大的差距，計算機的大部分標(biāo)準(zhǔn)由美國等制定，這是我國的網(wǎng)絡(luò)主權(quán)的一個很大安全隱患，網(wǎng)絡(luò)信息的關(guān)鍵核心技術(shù)發(fā)達(dá)國家并不會輕易的與別國共享。因此“核高基”工程的開展以及一些專家提出的根域名戰(zhàn)略都證明了國家層面上已經(jīng)重視關(guān)鍵核心技術(shù)的研究與開發(fā)。另一方面，我們也需要看到與發(fā)達(dá)國家的差距，我們需要包容的心態(tài)與其他國家在這些領(lǐng)域的合作，學(xué)習(xí)發(fā)達(dá)國家中優(yōu)勢部分，縮小與他們的差距。

3.3 法律法規(guī)的完善和推廣，杜絕不安全因素

《網(wǎng)絡(luò)安全法》的頒布填補了我國在此項法律的空白。該法為“防御、控制與懲治”三位一體的立法架構(gòu)，界定國家、企業(yè)、行業(yè)組織和個人等主體在網(wǎng)絡(luò)安全方面的責(zé)任和義務(wù)。該法的頒布為建設(shè)良好的網(wǎng)絡(luò)世界，保障人們的利益不受侵害提供了法律的依據(jù)。另一方面，對于違反者給予了嚴(yán)重的告誡和懲處，必要時也讓其付出必要的經(jīng)濟代價，杜絕他們利用網(wǎng)絡(luò)安全漏洞作非法事情的想法。另外國家因?qū)W(wǎng)絡(luò)安全加強審查制度，減少國家公共事務(wù)管理中的不確定性和隨意性。

4 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)發(fā)展相輔相成，安全是發(fā)展的前提，發(fā)展是安全的保障。網(wǎng)絡(luò)安全防護不僅僅是幾個安全廠商的責(zé)任，更是一個全民參與的過程，維護網(wǎng)絡(luò)安全，不讓威脅網(wǎng)絡(luò)安全的個人或者組織有可乘之機，并讓其得到法律應(yīng)有的懲罰。保護網(wǎng)絡(luò)世界的平靜，共享美好網(wǎng)絡(luò)安全世界，維護國家網(wǎng)絡(luò)主權(quán)，實現(xiàn)“中國夢”是每個公民應(yīng)有責(zé)任及義務(wù)。

參考文獻

[1] 方濱興.關(guān)于互聯(lián)網(wǎng)的根域名戰(zhàn)略[R].2016.

[2] 張勇.網(wǎng)絡(luò)安全態(tài)勢感知模型研究與系統(tǒng)實現(xiàn)[D].2010.

[3] 李林.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計與關(guān)鍵模塊實現(xiàn)[D].2015.

[4] 管磊，胡光俊，王專.基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺研究[J].保密科學(xué)技術(shù)，2016（05）.

[5] 劉效武，王慧強，呂宏武，禹繼國，張淑雯.網(wǎng)絡(luò)安全態(tài)勢認(rèn)知融合感控模型[J]. 2016（08）.

基金項目：

1.核高基重大專項資助項目（2012ZX01039-004-48）；

2.校教改資助項目（5111623607），?？蒲谢鹳Y助項目。

作者簡介：

李春強（1973-），男，吉林敦化人，畢業(yè)于北京理工大學(xué)，計算機應(yīng)用技術(shù)專業(yè)博士；主要研究方向和關(guān)注領(lǐng)域：智能信息處理技術(shù)、信息安全技術(shù)、數(shù)據(jù)挖掘。

丘國偉（1987-），男，福建上杭人，畢業(yè)于北京信息科技大學(xué)，本科，學(xué)士，高級工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全技術(shù)、智能信息處理技術(shù)。