安全態(tài)勢(shì)感知在移動(dòng)業(yè)務(wù)支撐系統(tǒng)中的應(yīng)用

石磊　劉耀華

【摘 要】移動(dòng)業(yè)務(wù)支撐系統(tǒng)迅猛發(fā)展的同時(shí)，給網(wǎng)絡(luò)及系統(tǒng)安全提出嚴(yán)峻考驗(yàn)和巨大挑戰(zhàn)。本文通過(guò)對(duì)安全態(tài)勢(shì)感知和預(yù)警防御體系的研究，基于攻擊態(tài)勢(shì)分析、威脅預(yù)警分析和趨勢(shì)分析與檢測(cè)，有效解決了業(yè)務(wù)支撐系統(tǒng)中的信息孤島問(wèn)題。從而實(shí)現(xiàn)安全信息的整合收集與數(shù)據(jù)的匯總分析，為安全運(yùn)行維護(hù)人員提供直觀、強(qiáng)大、清晰的安全威脅預(yù)警能力，形成重大問(wèn)題、事件的整體性報(bào)告。

【關(guān)鍵詞】業(yè)務(wù)支撐系統(tǒng)；態(tài)勢(shì)感知；威脅預(yù)警分析；態(tài)勢(shì)分析

1 安全態(tài)勢(shì)感知技術(shù)

1988年，Mica R. Endsley首次明確提出態(tài)勢(shì)感知的定義，態(tài)勢(shì)感知（situation awareness， SA）是指“在一定的范圍內(nèi)，熟悉并了解環(huán)境因素，并能夠預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)”，態(tài)勢(shì)感知當(dāng)時(shí)只是應(yīng)用于航空領(lǐng)域，并未在網(wǎng)絡(luò)領(lǐng)域進(jìn)行應(yīng)用[3]。

1999年，Tim Bass首次提出了網(wǎng)絡(luò)空間的態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA）的概念，網(wǎng)絡(luò)態(tài)勢(shì)感知源于空中交通監(jiān)管（Auto-desk Training Center，A T C）態(tài)勢(shì)感知，是一個(gè)比較新的概念；Tim Bass對(duì)A T C態(tài)勢(shì)感知和網(wǎng)絡(luò)態(tài)勢(shì)感知進(jìn)行了對(duì)比分析，希望能把A T C態(tài)勢(shì)感知的理論知識(shí)和成熟的技術(shù)利用到網(wǎng)絡(luò)態(tài)勢(shì)感知中來(lái)[4]。目前，網(wǎng)絡(luò)態(tài)勢(shì)感知還沒(méi)有一個(gè)準(zhǔn)確及全面的定義。一般所指的網(wǎng)絡(luò)態(tài)勢(shì)主要是指由各種網(wǎng)絡(luò)及安全設(shè)備的運(yùn)行情況、受攻擊行為以及用戶行為等幾個(gè)方面的因素所構(gòu)成的網(wǎng)絡(luò)使用情況和所產(chǎn)生的變化。但是，態(tài)勢(shì)是一種發(fā)展趨勢(shì)，是網(wǎng)絡(luò)設(shè)備運(yùn)營(yíng)的狀態(tài)，是整個(gè)系統(tǒng)網(wǎng)絡(luò)的的概念，其他單一的變化或運(yùn)行狀態(tài)都不能稱之為態(tài)勢(shì)。在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境中，進(jìn)行獲取、理解、展示影響網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全數(shù)據(jù)，并能利用這些數(shù)據(jù)預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)。

2 業(yè)務(wù)支撐網(wǎng)的發(fā)展現(xiàn)狀概述

移動(dòng)業(yè)務(wù)支撐系統(tǒng)分為兩級(jí)架構(gòu)，分別為一級(jí)（總部）業(yè)務(wù)支撐系統(tǒng)；一級(jí)業(yè)務(wù)支撐系統(tǒng)為全網(wǎng)業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營(yíng)提供支撐和保障，實(shí)現(xiàn)全網(wǎng)信息的交換和管理。二級(jí)（省級(jí)）業(yè)務(wù)支撐系統(tǒng)為省公司進(jìn)行省內(nèi)業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營(yíng)提供支撐和保障。二級(jí)（省級(jí)）業(yè)務(wù)支撐系統(tǒng)與一級(jí)業(yè)務(wù)支撐系統(tǒng)通過(guò)接口互聯(lián)，實(shí)現(xiàn)數(shù)據(jù)的交換，二者相互協(xié)作與配合，共同支撐移動(dòng)業(yè)務(wù)的運(yùn)營(yíng)與管理[5-6]。

業(yè)務(wù)支撐系統(tǒng)在不同的安全域之間部署了大量的安全防護(hù)設(shè)備及安全審計(jì)及安全管理系統(tǒng)，但是安全設(shè)備、各安全系統(tǒng)之間信息孤立，存在安全隱患、無(wú)法實(shí)現(xiàn)信息共享，達(dá)到當(dāng)系統(tǒng)遭受攻擊時(shí)實(shí)現(xiàn)攻擊溯源和預(yù)警分析。

3 安全態(tài)勢(shì)感知的功能設(shè)計(jì)

3.1 攻擊態(tài)勢(shì)分析

攻擊威脅分析場(chǎng)景是對(duì)攻擊檢測(cè)的結(jié)果數(shù)據(jù)進(jìn)行多維度統(tǒng)計(jì)分析，其結(jié)果用于支撐攻擊態(tài)勢(shì)視圖展示；數(shù)據(jù)來(lái)源涉及密碼猜測(cè)攻擊、WEB攻擊、惡意掃描、惡意程序等4種攻擊檢測(cè)結(jié)果，及異常流量的檢測(cè)結(jié)果；從攻擊類維度，以分、時(shí)、天、周、月、年等時(shí)間周期分析統(tǒng)計(jì)攻擊類型和次數(shù)；從地理位置維度，對(duì)攻擊源IP、攻擊資產(chǎn)、攻擊類型、攻擊次數(shù)進(jìn)行分析統(tǒng)計(jì)；實(shí)現(xiàn)從資產(chǎn)維度，對(duì)攻擊類型，攻擊者數(shù)量及攻擊次數(shù)進(jìn)行分析統(tǒng)計(jì)；并能夠根據(jù)攻擊的類型源IP數(shù)量以及受影響的資產(chǎn)數(shù)量進(jìn)行周期統(tǒng)計(jì)與分析得出危害等級(jí)進(jìn)行視圖展示。

3.2 威脅預(yù)警分析

對(duì)獲取的威脅情報(bào)進(jìn)行篩選和提煉，識(shí)別出可能存在外部攻擊行為，定位出與此外部攻擊的相關(guān)資產(chǎn)信息和漏洞。

外部攻擊識(shí)別：提取安全設(shè)備告警日志和Web中間件訪問(wèn)日志中的源IP地址、URL地址，與IP信譽(yù)庫(kù)、URL信譽(yù)庫(kù)進(jìn)行對(duì)比，篩選識(shí)別出所有惡意訪問(wèn)請(qǐng)求，并對(duì)訪問(wèn)源/目標(biāo)進(jìn)行資產(chǎn)關(guān)聯(lián)。

資產(chǎn)篩選：將情報(bào)內(nèi)容中資產(chǎn)（受到威脅的對(duì)象，如Linux版本號(hào)等）與省份資產(chǎn)信息對(duì)比分析，識(shí)別出與此情報(bào)相關(guān)資產(chǎn)信息。

漏洞對(duì)比：對(duì)上述分析結(jié)果資產(chǎn)進(jìn)行漏洞掃描，掃描結(jié)果結(jié)合威脅情報(bào)的漏洞信息對(duì)比，進(jìn)一步分析識(shí)別出具備與情報(bào)相同漏洞的資產(chǎn)信息。

3.3 趨勢(shì)分析與檢測(cè)

網(wǎng)絡(luò)態(tài)勢(shì)是由現(xiàn)網(wǎng)各種網(wǎng)絡(luò)及安全設(shè)備的運(yùn)行狀態(tài)以及用戶的訪問(wèn)行為等因素所構(gòu)成的整個(gè)系統(tǒng)網(wǎng)絡(luò)的當(dāng)前的狀態(tài)和變化趨勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知主要指在現(xiàn)網(wǎng)復(fù)雜網(wǎng)絡(luò)環(huán)境中，獲取、理解并展示引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的一系列因素，通過(guò)這一系列因素能夠未來(lái)的發(fā)展趨勢(shì)。系統(tǒng)從安全本身的發(fā)展變化入手，采用多種分析模型，通過(guò)對(duì)事件和威脅的分析來(lái)評(píng)估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢(shì)，為用戶提升安全防護(hù)能力提供決策支持。分析呈現(xiàn)歷史安全概況，結(jié)合本地的活動(dòng)日歷，使用回歸分析對(duì)未來(lái)一段時(shí)間內(nèi)出現(xiàn)的攻擊類型和數(shù)量進(jìn)行預(yù)測(cè)。

通過(guò)分析獲取的一系列安全信息數(shù)據(jù)，建立一套動(dòng)態(tài)的多維度威脅指標(biāo)體系，幫助安全管理人員對(duì)目前的安全威脅因素進(jìn)行辨別，最終找出導(dǎo)致威脅態(tài)勢(shì)異常的關(guān)鍵安全事件。

態(tài)勢(shì)感知是對(duì)當(dāng)前的系統(tǒng)狀態(tài)進(jìn)行評(píng)估和判斷，而趨勢(shì)預(yù)測(cè)則是基于歷史信息結(jié)合當(dāng)前的狀態(tài)去預(yù)測(cè)系統(tǒng)未來(lái)狀態(tài)的發(fā)展趨勢(shì)，通過(guò)預(yù)測(cè)可以為決策系統(tǒng)提供制定決策所需要的必要知識(shí)和參考信息。在面對(duì)復(fù)雜的網(wǎng)絡(luò)信息化環(huán)境的時(shí)候，預(yù)測(cè)模型的建立是對(duì)被預(yù)測(cè)問(wèn)題的一種高度抽象，系統(tǒng)越復(fù)雜，建模的準(zhǔn)確性度就越難以保證，而結(jié)果的不確定性也就越高，因此僅僅利用單一的一種方法進(jìn)行預(yù)測(cè)往往準(zhǔn)確描述出需要預(yù)測(cè)的結(jié)果。

采用組合預(yù)測(cè)的方法，結(jié)合定量預(yù)測(cè)法和定性預(yù)測(cè)法構(gòu)建出一個(gè)基于大數(shù)據(jù)的預(yù)測(cè)分析系統(tǒng)。系統(tǒng)使用灰色系統(tǒng)預(yù)測(cè)GM（1，1）模型來(lái)預(yù)測(cè)趨勢(shì)平緩的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)；使用指數(shù)加權(quán)移動(dòng)平均（EWMA）模型對(duì)非周期性網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，EWMA模型保持了對(duì)歷史數(shù)據(jù)的逐期溯源性和對(duì)最新數(shù)據(jù)的指數(shù)加權(quán)性，能夠?qū)崿F(xiàn)較好的預(yù)測(cè)效果；使用Holt-Winters模型預(yù)測(cè)周期性和季節(jié)規(guī)律較強(qiáng)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)。針對(duì)不同網(wǎng)絡(luò)規(guī)模下的網(wǎng)絡(luò)安全態(tài)勢(shì)總體趨勢(shì)，可以選擇不同的預(yù)測(cè)模型，最終實(shí)現(xiàn)對(duì)安全態(tài)勢(shì)的準(zhǔn)確預(yù)測(cè)。

使用各類歷史安全數(shù)據(jù)和資料，最新的攻擊和漏洞情報(bào)，將兩期或多期連續(xù)的相同攻擊態(tài)勢(shì)數(shù)據(jù)進(jìn)行同比和環(huán)比，得出安全攻擊趨勢(shì)，明確未來(lái)一段時(shí)間的防范重點(diǎn)。本期輸出是未來(lái)時(shí)段遭受某類型攻擊的概率。

重大活動(dòng)及節(jié)假日對(duì)一段時(shí)間內(nèi)的攻擊態(tài)勢(shì)造成顯著影響，分析這些活動(dòng)的特點(diǎn)，總結(jié)安保過(guò)程中經(jīng)驗(yàn)，記錄到活動(dòng)日歷。通過(guò)活動(dòng)日歷，集團(tuán)共享，相互借鑒，對(duì)將來(lái)的重大活動(dòng)及節(jié)假日安保與應(yīng)對(duì)有借鑒和指導(dǎo)意義。

4 結(jié)束語(yǔ)

在介紹網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念和技術(shù)的基礎(chǔ)上，對(duì)當(dāng)前移動(dòng)業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)攻擊防御與預(yù)警面臨的問(wèn)題進(jìn)行了探討，著重對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知設(shè)計(jì)以及預(yù)警分析建設(shè)要素進(jìn)行闡述。將態(tài)勢(shì)感知技術(shù)應(yīng)用于業(yè)務(wù)支撐系統(tǒng)的網(wǎng)絡(luò)攻擊防御中，不僅能夠全面掌握當(dāng)前移動(dòng)業(yè)務(wù)支撐網(wǎng)網(wǎng)絡(luò)安全狀態(tài)，還可以預(yù)測(cè)系統(tǒng)網(wǎng)絡(luò)安全的趨勢(shì)。

【參考文獻(xiàn)】

[1]林菁.業(yè)務(wù)支撐網(wǎng)網(wǎng)管系統(tǒng)的發(fā)展歷程及方向[J].信息通信，2017（6）.

[責(zé)任編輯：張濤]endprint