石磊 劉耀華
【摘 要】移動(dòng)業(yè)務(wù)支撐系統(tǒng)迅猛發(fā)展的同時(shí),給網(wǎng)絡(luò)及系統(tǒng)安全提出嚴(yán)峻考驗(yàn)和巨大挑戰(zhàn)。本文通過(guò)對(duì)安全態(tài)勢(shì)感知和預(yù)警防御體系的研究,基于攻擊態(tài)勢(shì)分析、威脅預(yù)警分析和趨勢(shì)分析與檢測(cè),有效解決了業(yè)務(wù)支撐系統(tǒng)中的信息孤島問(wèn)題。從而實(shí)現(xiàn)安全信息的整合收集與數(shù)據(jù)的匯總分析,為安全運(yùn)行維護(hù)人員提供直觀、強(qiáng)大、清晰的安全威脅預(yù)警能力,形成重大問(wèn)題、事件的整體性報(bào)告。
【關(guān)鍵詞】業(yè)務(wù)支撐系統(tǒng);態(tài)勢(shì)感知;威脅預(yù)警分析;態(tài)勢(shì)分析
1 安全態(tài)勢(shì)感知技術(shù)
1988年,Mica R. Endsley首次明確提出態(tài)勢(shì)感知的定義,態(tài)勢(shì)感知(situation awareness, SA)是指“在一定的范圍內(nèi),熟悉并了解環(huán)境因素,并能夠預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)”,態(tài)勢(shì)感知當(dāng)時(shí)只是應(yīng)用于航空領(lǐng)域,并未在網(wǎng)絡(luò)領(lǐng)域進(jìn)行應(yīng)用[3]。
1999年,Tim Bass首次提出了網(wǎng)絡(luò)空間的態(tài)勢(shì)感知(Cyberspace Situation Awareness,CSA)的概念,網(wǎng)絡(luò)態(tài)勢(shì)感知源于空中交通監(jiān)管(Auto-desk Training Center,A T C)態(tài)勢(shì)感知,是一個(gè)比較新的概念;Tim Bass對(duì)A T C態(tài)勢(shì)感知和網(wǎng)絡(luò)態(tài)勢(shì)感知進(jìn)行了對(duì)比分析,希望能把A T C態(tài)勢(shì)感知的理論知識(shí)和成熟的技術(shù)利用到網(wǎng)絡(luò)態(tài)勢(shì)感知中來(lái)[4]。目前,網(wǎng)絡(luò)態(tài)勢(shì)感知還沒(méi)有一個(gè)準(zhǔn)確及全面的定義。一般所指的網(wǎng)絡(luò)態(tài)勢(shì)主要是指由各種網(wǎng)絡(luò)及安全設(shè)備的運(yùn)行情況、受攻擊行為以及用戶行為等幾個(gè)方面的因素所構(gòu)成的網(wǎng)絡(luò)使用情況和所產(chǎn)生的變化。但是,態(tài)勢(shì)是一種發(fā)展趨勢(shì),是網(wǎng)絡(luò)設(shè)備運(yùn)營(yíng)的狀態(tài),是整個(gè)系統(tǒng)網(wǎng)絡(luò)的的概念,其他單一的變化或運(yùn)行狀態(tài)都不能稱之為態(tài)勢(shì)。在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境中,進(jìn)行獲取、理解、展示影響網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全數(shù)據(jù),并能利用這些數(shù)據(jù)預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)。
2 業(yè)務(wù)支撐網(wǎng)的發(fā)展現(xiàn)狀概述
移動(dòng)業(yè)務(wù)支撐系統(tǒng)分為兩級(jí)架構(gòu),分別為一級(jí)(總部)業(yè)務(wù)支撐系統(tǒng);一級(jí)業(yè)務(wù)支撐系統(tǒng)為全網(wǎng)業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營(yíng)提供支撐和保障,實(shí)現(xiàn)全網(wǎng)信息的交換和管理。二級(jí)(省級(jí))業(yè)務(wù)支撐系統(tǒng)為省公司進(jìn)行省內(nèi)業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營(yíng)提供支撐和保障。二級(jí)(省級(jí))業(yè)務(wù)支撐系統(tǒng)與一級(jí)業(yè)務(wù)支撐系統(tǒng)通過(guò)接口互聯(lián),實(shí)現(xiàn)數(shù)據(jù)的交換,二者相互協(xié)作與配合,共同支撐移動(dòng)業(yè)務(wù)的運(yùn)營(yíng)與管理[5-6]。
業(yè)務(wù)支撐系統(tǒng)在不同的安全域之間部署了大量的安全防護(hù)設(shè)備及安全審計(jì)及安全管理系統(tǒng),但是安全設(shè)備、各安全系統(tǒng)之間信息孤立,存在安全隱患、無(wú)法實(shí)現(xiàn)信息共享,達(dá)到當(dāng)系統(tǒng)遭受攻擊時(shí)實(shí)現(xiàn)攻擊溯源和預(yù)警分析。
3 安全態(tài)勢(shì)感知的功能設(shè)計(jì)
3.1 攻擊態(tài)勢(shì)分析
攻擊威脅分析場(chǎng)景是對(duì)攻擊檢測(cè)的結(jié)果數(shù)據(jù)進(jìn)行多維度統(tǒng)計(jì)分析,其結(jié)果用于支撐攻擊態(tài)勢(shì)視圖展示;數(shù)據(jù)來(lái)源涉及密碼猜測(cè)攻擊、WEB攻擊、惡意掃描、惡意程序等4種攻擊檢測(cè)結(jié)果,及異常流量的檢測(cè)結(jié)果;從攻擊類維度,以分、時(shí)、天、周、月、年等時(shí)間周期分析統(tǒng)計(jì)攻擊類型和次數(shù);從地理位置維度,對(duì)攻擊源IP、攻擊資產(chǎn)、攻擊類型、攻擊次數(shù)進(jìn)行分析統(tǒng)計(jì);實(shí)現(xiàn)從資產(chǎn)維度,對(duì)攻擊類型,攻擊者數(shù)量及攻擊次數(shù)進(jìn)行分析統(tǒng)計(jì);并能夠根據(jù)攻擊的類型源IP數(shù)量以及受影響的資產(chǎn)數(shù)量進(jìn)行周期統(tǒng)計(jì)與分析得出危害等級(jí)進(jìn)行視圖展示。
3.2 威脅預(yù)警分析
對(duì)獲取的威脅情報(bào)進(jìn)行篩選和提煉,識(shí)別出可能存在外部攻擊行為,定位出與此外部攻擊的相關(guān)資產(chǎn)信息和漏洞。
外部攻擊識(shí)別:提取安全設(shè)備告警日志和Web中間件訪問(wèn)日志中的源IP地址、URL地址,與IP信譽(yù)庫(kù)、URL信譽(yù)庫(kù)進(jìn)行對(duì)比,篩選識(shí)別出所有惡意訪問(wèn)請(qǐng)求,并對(duì)訪問(wèn)源/目標(biāo)進(jìn)行資產(chǎn)關(guān)聯(lián)。
資產(chǎn)篩選:將情報(bào)內(nèi)容中資產(chǎn)(受到威脅的對(duì)象,如Linux版本號(hào)等)與省份資產(chǎn)信息對(duì)比分析,識(shí)別出與此情報(bào)相關(guān)資產(chǎn)信息。
漏洞對(duì)比:對(duì)上述分析結(jié)果資產(chǎn)進(jìn)行漏洞掃描,掃描結(jié)果結(jié)合威脅情報(bào)的漏洞信息對(duì)比,進(jìn)一步分析識(shí)別出具備與情報(bào)相同漏洞的資產(chǎn)信息。
3.3 趨勢(shì)分析與檢測(cè)
網(wǎng)絡(luò)態(tài)勢(shì)是由現(xiàn)網(wǎng)各種網(wǎng)絡(luò)及安全設(shè)備的運(yùn)行狀態(tài)以及用戶的訪問(wèn)行為等因素所構(gòu)成的整個(gè)系統(tǒng)網(wǎng)絡(luò)的當(dāng)前的狀態(tài)和變化趨勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知主要指在現(xiàn)網(wǎng)復(fù)雜網(wǎng)絡(luò)環(huán)境中,獲取、理解并展示引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的一系列因素,通過(guò)這一系列因素能夠未來(lái)的發(fā)展趨勢(shì)。系統(tǒng)從安全本身的發(fā)展變化入手,采用多種分析模型,通過(guò)對(duì)事件和威脅的分析來(lái)評(píng)估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢(shì),為用戶提升安全防護(hù)能力提供決策支持。分析呈現(xiàn)歷史安全概況,結(jié)合本地的活動(dòng)日歷,使用回歸分析對(duì)未來(lái)一段時(shí)間內(nèi)出現(xiàn)的攻擊類型和數(shù)量進(jìn)行預(yù)測(cè)。
通過(guò)分析獲取的一系列安全信息數(shù)據(jù),建立一套動(dòng)態(tài)的多維度威脅指標(biāo)體系,幫助安全管理人員對(duì)目前的安全威脅因素進(jìn)行辨別,最終找出導(dǎo)致威脅態(tài)勢(shì)異常的關(guān)鍵安全事件。
態(tài)勢(shì)感知是對(duì)當(dāng)前的系統(tǒng)狀態(tài)進(jìn)行評(píng)估和判斷,而趨勢(shì)預(yù)測(cè)則是基于歷史信息結(jié)合當(dāng)前的狀態(tài)去預(yù)測(cè)系統(tǒng)未來(lái)狀態(tài)的發(fā)展趨勢(shì),通過(guò)預(yù)測(cè)可以為決策系統(tǒng)提供制定決策所需要的必要知識(shí)和參考信息。在面對(duì)復(fù)雜的網(wǎng)絡(luò)信息化環(huán)境的時(shí)候,預(yù)測(cè)模型的建立是對(duì)被預(yù)測(cè)問(wèn)題的一種高度抽象,系統(tǒng)越復(fù)雜,建模的準(zhǔn)確性度就越難以保證,而結(jié)果的不確定性也就越高,因此僅僅利用單一的一種方法進(jìn)行預(yù)測(cè)往往準(zhǔn)確描述出需要預(yù)測(cè)的結(jié)果。
采用組合預(yù)測(cè)的方法,結(jié)合定量預(yù)測(cè)法和定性預(yù)測(cè)法構(gòu)建出一個(gè)基于大數(shù)據(jù)的預(yù)測(cè)分析系統(tǒng)。系統(tǒng)使用灰色系統(tǒng)預(yù)測(cè)GM(1,1)模型來(lái)預(yù)測(cè)趨勢(shì)平緩的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì);使用指數(shù)加權(quán)移動(dòng)平均(EWMA)模型對(duì)非周期性網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè),EWMA模型保持了對(duì)歷史數(shù)據(jù)的逐期溯源性和對(duì)最新數(shù)據(jù)的指數(shù)加權(quán)性,能夠?qū)崿F(xiàn)較好的預(yù)測(cè)效果;使用Holt-Winters模型預(yù)測(cè)周期性和季節(jié)規(guī)律較強(qiáng)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)。針對(duì)不同網(wǎng)絡(luò)規(guī)模下的網(wǎng)絡(luò)安全態(tài)勢(shì)總體趨勢(shì),可以選擇不同的預(yù)測(cè)模型,最終實(shí)現(xiàn)對(duì)安全態(tài)勢(shì)的準(zhǔn)確預(yù)測(cè)。
使用各類歷史安全數(shù)據(jù)和資料,最新的攻擊和漏洞情報(bào),將兩期或多期連續(xù)的相同攻擊態(tài)勢(shì)數(shù)據(jù)進(jìn)行同比和環(huán)比,得出安全攻擊趨勢(shì),明確未來(lái)一段時(shí)間的防范重點(diǎn)。本期輸出是未來(lái)時(shí)段遭受某類型攻擊的概率。
重大活動(dòng)及節(jié)假日對(duì)一段時(shí)間內(nèi)的攻擊態(tài)勢(shì)造成顯著影響,分析這些活動(dòng)的特點(diǎn),總結(jié)安保過(guò)程中經(jīng)驗(yàn),記錄到活動(dòng)日歷。通過(guò)活動(dòng)日歷,集團(tuán)共享,相互借鑒,對(duì)將來(lái)的重大活動(dòng)及節(jié)假日安保與應(yīng)對(duì)有借鑒和指導(dǎo)意義。
4 結(jié)束語(yǔ)
在介紹網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念和技術(shù)的基礎(chǔ)上,對(duì)當(dāng)前移動(dòng)業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)攻擊防御與預(yù)警面臨的問(wèn)題進(jìn)行了探討,著重對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知設(shè)計(jì)以及預(yù)警分析建設(shè)要素進(jìn)行闡述。將態(tài)勢(shì)感知技術(shù)應(yīng)用于業(yè)務(wù)支撐系統(tǒng)的網(wǎng)絡(luò)攻擊防御中,不僅能夠全面掌握當(dāng)前移動(dòng)業(yè)務(wù)支撐網(wǎng)網(wǎng)絡(luò)安全狀態(tài),還可以預(yù)測(cè)系統(tǒng)網(wǎng)絡(luò)安全的趨勢(shì)。
【參考文獻(xiàn)】
[1]林菁.業(yè)務(wù)支撐網(wǎng)網(wǎng)管系統(tǒng)的發(fā)展歷程及方向[J].信息通信,2017(6).
[責(zé)任編輯:張濤]endprint