文｜張雨濤

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，企業(yè)開(kāi)始構(gòu)建主動(dòng)安全防御體系，以應(yīng)對(duì)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是整個(gè)防御體系的核心部分。本文概述企業(yè)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)以及網(wǎng)絡(luò)安全態(tài)勢(shì)感知的工作原理，分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在企業(yè)的應(yīng)用，為實(shí)施網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的企業(yè)提供參考。

一、網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概述

近年來(lái)，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)攻擊呈現(xiàn)多樣化、復(fù)雜化和規(guī)?；厔?shì)，如網(wǎng)絡(luò)攻擊將一次攻擊目標(biāo)劃分為多個(gè)目標(biāo)，通過(guò)多個(gè)階段的可持續(xù)攻擊來(lái)實(shí)現(xiàn)，具有高隱蔽性、持續(xù)時(shí)間長(zhǎng)等特征。傳統(tǒng)的網(wǎng)絡(luò)安全防御體系缺乏威脅信息共享以及協(xié)同防御，安全設(shè)備之間相互隔離，安全事件處理效率低。因此，企業(yè)需要構(gòu)建主動(dòng)安全防御體系提升網(wǎng)絡(luò)安全整體防御能力，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)則是主動(dòng)安全防御體系的核心部分。

態(tài)勢(shì)感知指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示并據(jù)此預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)安全發(fā)展趨勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是態(tài)勢(shì)感知技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)從網(wǎng)絡(luò)設(shè)備獲取態(tài)勢(shì)安全要素?cái)?shù)據(jù)，通過(guò)數(shù)據(jù)融合、風(fēng)險(xiǎn)評(píng)估、態(tài)勢(shì)預(yù)測(cè)等技術(shù)，識(shí)別網(wǎng)絡(luò)攻擊活動(dòng)，分析安全事件的原因，及時(shí)處置網(wǎng)絡(luò)威脅，評(píng)估攻擊活動(dòng)對(duì)網(wǎng)絡(luò)的影響程度，預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展變化，為管理人員決策提供依據(jù)，進(jìn)而提升企業(yè)網(wǎng)絡(luò)安全防御能力。

二、網(wǎng)絡(luò)安全態(tài)勢(shì)感知的原理

網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型由網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察、網(wǎng)絡(luò)安全態(tài)勢(shì)理解、網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)構(gòu)成。網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)安全態(tài)勢(shì)理解對(duì)網(wǎng)絡(luò)異常行為進(jìn)行關(guān)聯(lián)分析，感知整體網(wǎng)絡(luò)安全態(tài)勢(shì)；網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)即評(píng)估攻擊行為對(duì)網(wǎng)絡(luò)安全的影響以及預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)的變化。

（一）網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察

網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察負(fù)責(zé)完成對(duì)原始數(shù)據(jù)的預(yù)處理，發(fā)現(xiàn)異常網(wǎng)絡(luò)行為及其特征。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)采集的原始數(shù)據(jù)包括網(wǎng)絡(luò)的拓?fù)湫畔?、網(wǎng)絡(luò)設(shè)備的運(yùn)行日志、安全設(shè)備的告警信息等。原始數(shù)據(jù)是多源異構(gòu)數(shù)據(jù)，來(lái)源于各類(lèi)網(wǎng)絡(luò)設(shè)備，結(jié)構(gòu)不一致，不能被網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察直接使用。系統(tǒng)將原始數(shù)據(jù)結(jié)構(gòu)化處理，減少重復(fù)數(shù)據(jù)，統(tǒng)一數(shù)據(jù)格式等，使原始數(shù)據(jù)標(biāo)準(zhǔn)化，能被網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察使用，提高系統(tǒng)分析數(shù)據(jù)的效率。面對(duì)大量的企業(yè)網(wǎng)絡(luò)數(shù)據(jù)，傳統(tǒng)入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果存在重復(fù)告警、誤報(bào)和漏報(bào)等情況，數(shù)據(jù)質(zhì)量低。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)能實(shí)時(shí)監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的所有數(shù)據(jù)，快速發(fā)現(xiàn)、識(shí)別網(wǎng)絡(luò)攻擊活動(dòng)引起的安全態(tài)勢(shì)要素的變化。系統(tǒng)采用數(shù)據(jù)融合技術(shù)，將標(biāo)準(zhǔn)化的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，以發(fā)現(xiàn)異常網(wǎng)絡(luò)行為，進(jìn)一步確認(rèn)網(wǎng)絡(luò)攻擊行為。系統(tǒng)將告警數(shù)據(jù)和知識(shí)庫(kù)相關(guān)的網(wǎng)絡(luò)攻擊行為匹配，從而辨識(shí)出網(wǎng)絡(luò)攻擊行為。目前網(wǎng)絡(luò)攻擊趨于復(fù)雜化，知識(shí)庫(kù)可能沒(méi)有未知的網(wǎng)絡(luò)攻擊行為的相關(guān)信息。出現(xiàn)此類(lèi)情況，系統(tǒng)可將多個(gè)告警數(shù)據(jù)與網(wǎng)絡(luò)設(shè)備檢測(cè)的數(shù)據(jù)關(guān)聯(lián)分析，識(shí)別未知的網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)安全態(tài)勢(shì)理解使用網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察的分析結(jié)果，因此網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察的分析結(jié)果影響整體網(wǎng)絡(luò)安全態(tài)勢(shì)感知的結(jié)果。

（二）網(wǎng)絡(luò)安全態(tài)勢(shì)理解

網(wǎng)絡(luò)安全態(tài)勢(shì)理解指系統(tǒng)對(duì)大量的異常行為數(shù)據(jù)進(jìn)行融合、關(guān)聯(lián)分析，感知整體網(wǎng)絡(luò)的安全狀態(tài)，輔助管理人員決策。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)通過(guò)數(shù)據(jù)融合算法，將網(wǎng)絡(luò)異常行為數(shù)據(jù)融合，進(jìn)而分析整體網(wǎng)絡(luò)安全態(tài)勢(shì)。以告警數(shù)據(jù)為例，數(shù)據(jù)融合算法將告警數(shù)據(jù)關(guān)聯(lián)，形成整體網(wǎng)絡(luò)的威脅態(tài)勢(shì)，同時(shí)減少無(wú)效或重復(fù)的數(shù)據(jù)。系統(tǒng)通過(guò)多個(gè)攻擊行為關(guān)聯(lián)分析，分析攻擊行為的語(yǔ)義，挖掘攻擊行為之間的邏輯關(guān)系，推斷攻擊者的意圖、攻擊源和被攻擊的目標(biāo)等。對(duì)于多階段的攻擊行為，系統(tǒng)根據(jù)攻擊步驟之間的邏輯關(guān)系和攻擊行為的關(guān)聯(lián)數(shù)據(jù)，掌握整個(gè)攻擊過(guò)程。網(wǎng)絡(luò)攻擊產(chǎn)生大量的數(shù)據(jù)，網(wǎng)絡(luò)安全態(tài)勢(shì)理解能對(duì)這些數(shù)據(jù)進(jìn)行聚類(lèi)分析，高效辨識(shí)并深度理解攻擊行為，還能運(yùn)用數(shù)學(xué)模型推斷攻擊行為的變化，如采用馬爾可夫模型，分析攻擊活動(dòng)之間的關(guān)系，預(yù)測(cè)可能發(fā)生的攻擊活動(dòng)。該模型將網(wǎng)絡(luò)攻擊鏈的每個(gè)階段看作一個(gè)狀態(tài)，可以保持當(dāng)前狀態(tài)或者轉(zhuǎn)換為另外一個(gè)狀態(tài)，根據(jù)轉(zhuǎn)移概率而改變狀態(tài)，進(jìn)而推斷可能發(fā)生的攻擊行為。網(wǎng)絡(luò)安全態(tài)勢(shì)理解的分析結(jié)果可供網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)使用。

（三）網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)指在網(wǎng)絡(luò)環(huán)境中，系統(tǒng)評(píng)估企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)以及預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估運(yùn)用數(shù)學(xué)模型和歷史數(shù)據(jù)，評(píng)估攻擊行為和潛在威脅對(duì)企業(yè)網(wǎng)絡(luò)的影響程度；網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估選取的評(píng)估指標(biāo)及其權(quán)重等因素影響評(píng)估結(jié)果的準(zhǔn)確性。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的重要目標(biāo)。管理人員會(huì)根據(jù)合理的預(yù)測(cè)結(jié)果，采取相應(yīng)的防御措施，從被動(dòng)安全防御轉(zhuǎn)為主動(dòng)安全防御。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的方法有時(shí)間序列預(yù)測(cè)方法、基于灰色系統(tǒng)理論模型的預(yù)測(cè)方法等。時(shí)間序列預(yù)測(cè)方法預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)展趨勢(shì)，將過(guò)去的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)，按照時(shí)間順序排列，分析這組數(shù)據(jù)的規(guī)律，繪成網(wǎng)絡(luò)安全態(tài)勢(shì)變化圖，并預(yù)測(cè)未來(lái)一段時(shí)間的網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展變化?；诨疑到y(tǒng)理論模型的預(yù)測(cè)方法指在不確定性系統(tǒng)中，算法把少量的無(wú)規(guī)律數(shù)據(jù)累加生成有規(guī)律的數(shù)據(jù)，再據(jù)此預(yù)測(cè)未來(lái)企業(yè)網(wǎng)絡(luò)的安全狀態(tài)。該模型具有可以彌補(bǔ)歷史數(shù)據(jù)樣本少、隨機(jī)性高的優(yōu)點(diǎn)。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的結(jié)果通過(guò)可視化的方式，呈現(xiàn)攻擊信息，有助于管理人員分析處理網(wǎng)絡(luò)安全問(wèn)題。

三、網(wǎng)絡(luò)安全態(tài)勢(shì)感知的應(yīng)用

企業(yè)部署網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，可以實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的態(tài)勢(shì)覺(jué)察、態(tài)勢(shì)理解、態(tài)勢(shì)預(yù)測(cè)的功能。系統(tǒng)監(jiān)測(cè)整體網(wǎng)絡(luò)的安全狀態(tài)，呈現(xiàn)綜合安全態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)、脆弱性態(tài)勢(shì)、攻擊態(tài)勢(shì)、安全事件態(tài)勢(shì)等。在綜合安全態(tài)勢(shì)模塊，系統(tǒng)展示脆弱性態(tài)勢(shì)、攻擊態(tài)勢(shì)、安全事件態(tài)勢(shì)等情況，以及網(wǎng)絡(luò)安全態(tài)勢(shì)的綜合評(píng)分。在資產(chǎn)態(tài)勢(shì)模塊，系統(tǒng)監(jiān)測(cè)網(wǎng)絡(luò)中服務(wù)器、終端等資產(chǎn)狀況。在脆弱性態(tài)勢(shì)模塊，系統(tǒng)實(shí)時(shí)監(jiān)測(cè)脆弱性資產(chǎn)，包括風(fēng)險(xiǎn)主機(jī)、脆弱性等級(jí)、脆弱性的類(lèi)型等，并且定位漏洞資產(chǎn)，展示全部漏洞類(lèi)型以及風(fēng)險(xiǎn)態(tài)勢(shì)。在攻擊態(tài)勢(shì)模塊，檢索列表描述每次攻擊行為的類(lèi)型、來(lái)源和目的信息、嚴(yán)重等級(jí)和發(fā)生時(shí)間等。在安全事件態(tài)勢(shì)模塊，系統(tǒng)展示整體網(wǎng)絡(luò)發(fā)生的安全事件的總數(shù)及處置狀態(tài)、事件類(lèi)型、嚴(yán)重等級(jí)、安全事件態(tài)勢(shì)圖等。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的工作過(guò)程如下：流量探針和日志采集器獲取原始數(shù)據(jù)，流量探針接收網(wǎng)絡(luò)設(shè)備的原始流量，采集器采集日志數(shù)據(jù)；系統(tǒng)分別處理原始流量和日志數(shù)據(jù)，提取有效數(shù)據(jù)，進(jìn)行安全檢測(cè)。安全檢測(cè)的類(lèi)型主要有隱蔽通道異常檢測(cè)、加密流量異常檢測(cè)、郵件異常檢測(cè)等，如隱蔽通道異常檢測(cè)用于發(fā)現(xiàn)攻擊者利用正常的協(xié)議，將數(shù)據(jù)嵌入?yún)f(xié)議字段，規(guī)避防火墻、入侵主機(jī)等行為。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)若判斷被檢測(cè)數(shù)據(jù)存在安全威脅，則輸出一個(gè)異常事件，運(yùn)用可視化技術(shù)呈現(xiàn)給管理人員，同時(shí)聯(lián)動(dòng)安全設(shè)備阻斷網(wǎng)絡(luò)攻擊。在攻擊前期，系統(tǒng)能發(fā)現(xiàn)異常網(wǎng)絡(luò)行為，提醒管理人員采取相應(yīng)的防御措施。在攻擊過(guò)程中，系統(tǒng)快速發(fā)現(xiàn)異常網(wǎng)絡(luò)設(shè)備，識(shí)別攻擊行為，隔離網(wǎng)絡(luò)設(shè)備，減少損失。在攻擊結(jié)束后，系統(tǒng)對(duì)攻擊行為進(jìn)行關(guān)聯(lián)分析，溯源攻擊過(guò)程，輔助管理人員調(diào)整防御策略。因此，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)能辨識(shí)網(wǎng)絡(luò)攻擊行為，及時(shí)處置網(wǎng)絡(luò)安全威脅，提升網(wǎng)絡(luò)安全防御效率，保證網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行。

四、結(jié)束語(yǔ)

本文選取網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行研究，概述網(wǎng)絡(luò)安全態(tài)勢(shì)感知的工作原理，分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在企業(yè)的應(yīng)用。此類(lèi)系統(tǒng)能防御大規(guī)模網(wǎng)絡(luò)中的攻擊行為和潛在的網(wǎng)絡(luò)威脅，評(píng)估攻擊行為對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的影響，運(yùn)用可視化技術(shù)呈現(xiàn)攻擊信息，為管理人員提供決策依據(jù)，提升網(wǎng)絡(luò)安全防御的效率，幫助企業(yè)構(gòu)建主動(dòng)安全防御體系。