淺談網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)架構(gòu)及建設(shè)思路

◆李普玉

淺談網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)架構(gòu)及建設(shè)思路

◆李普玉

（中國國際廣播電臺 北京100040）

隨著網(wǎng)絡(luò)空間的高速發(fā)展，對網(wǎng)絡(luò)安全防護(hù)技術(shù)提出了更高的要求。在大數(shù)據(jù)技術(shù)支持下，網(wǎng)絡(luò)安全態(tài)勢感知成為了實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)控的一種新技術(shù)，它能夠動態(tài)反映當(dāng)前網(wǎng)絡(luò)安全狀況，并對網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警。本文在研究態(tài)勢感知技術(shù)架構(gòu)的基礎(chǔ)上，對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的建設(shè)思路進(jìn)行了探討。

網(wǎng)絡(luò)安全；態(tài)勢感知；態(tài)勢預(yù)測

0 引言

隨著網(wǎng)絡(luò)和信息化技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)數(shù)據(jù)的日益龐大，加上網(wǎng)絡(luò)攻擊技術(shù)和手段逐漸呈現(xiàn)平臺化、集成化，網(wǎng)絡(luò)攻擊具有更加隱蔽性和更長時間的特點(diǎn)，現(xiàn)有傳統(tǒng)、被動、分散、靜態(tài)的安全防御技術(shù)，已不能滿足全方位安全防護(hù)要求，無法有效抵御未知的高級網(wǎng)絡(luò)攻擊，從而造成安全事件頻繁發(fā)生。無論大型組織還是中小組織都面臨著越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢，并越來越重視網(wǎng)絡(luò)安全建設(shè)，對網(wǎng)絡(luò)安全建設(shè)提出了更高的需求和目標(biāo)。因此，我們迫切需要一種網(wǎng)絡(luò)安全新技術(shù)，實(shí)時監(jiān)測網(wǎng)絡(luò)安全狀況，及時發(fā)現(xiàn)并處置安全事件，以降低網(wǎng)絡(luò)安全風(fēng)險，提高網(wǎng)絡(luò)安全防護(hù)能力。

網(wǎng)絡(luò)安全態(tài)勢感知是一種主動防御技術(shù)，它復(fù)合與增強(qiáng)了多項(xiàng)安全技術(shù)[1]，能夠?qū)崟r、主動地監(jiān)控網(wǎng)絡(luò)狀態(tài)，對當(dāng)前和未來一段時間內(nèi)網(wǎng)絡(luò)的安全狀況進(jìn)行全面分析評估，從而預(yù)測網(wǎng)絡(luò)安全風(fēng)險并及時采取措施，實(shí)現(xiàn)靜態(tài)和動態(tài)相結(jié)合的安全防御。

1 網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)架構(gòu)

由于態(tài)勢感知系統(tǒng)涉及的網(wǎng)絡(luò)安全信息大、種類多、結(jié)構(gòu)復(fù)雜，又對數(shù)據(jù)處理的實(shí)時性、準(zhǔn)確性和高效性等要求很高，而大數(shù)據(jù)技術(shù)支持海量存儲、多數(shù)據(jù)類型，并具有并行計(jì)算、數(shù)據(jù)處理速度快等特點(diǎn)，大數(shù)據(jù)技術(shù)的發(fā)展為態(tài)勢感知系統(tǒng)建設(shè)提供了機(jī)遇。把大數(shù)據(jù)技術(shù)應(yīng)用到態(tài)勢感知系統(tǒng)建設(shè)中，借助大數(shù)據(jù)采集、處理、存儲、分析等相關(guān)技術(shù)，對海量網(wǎng)絡(luò)安全信息進(jìn)行自動分析處理和深度挖掘，對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評價，感知安全威脅和網(wǎng)絡(luò)趨勢?；诖髷?shù)據(jù)技術(shù)，網(wǎng)絡(luò)安全態(tài)勢感知由安全數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、態(tài)勢分析、態(tài)勢預(yù)測和態(tài)勢展示5部分組成，其技術(shù)架構(gòu)如圖１所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)架構(gòu)

1.1 安全數(shù)據(jù)采集

安全威脅往往隱藏在海量網(wǎng)絡(luò)數(shù)據(jù)之中，持續(xù)收集海量、多維的數(shù)據(jù)是進(jìn)行網(wǎng)絡(luò)安全態(tài)勢感知的基礎(chǔ)，只有對安全數(shù)據(jù)進(jìn)行全面、準(zhǔn)確地采集才能保證網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測的準(zhǔn)確性。因而網(wǎng)絡(luò)安全數(shù)據(jù)采集要盡可能的廣泛、全面和完整，包括終端行為、原始流量、審計(jì)數(shù)據(jù)、監(jiān)測數(shù)據(jù)、威脅告警數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)和元數(shù)據(jù)等各種信息[2]。數(shù)據(jù)采集方式常見的有傳感器、syslog、SNMP、NetFlow等技術(shù)，對于大量多源異構(gòu)數(shù)據(jù)，可采用前置探針的方式，對數(shù)據(jù)進(jìn)行集中采集。

1.2 數(shù)據(jù)預(yù)處理

由于采集的原始數(shù)據(jù)來源多樣化，其數(shù)據(jù)格式、內(nèi)容、質(zhì)量千差萬別，存儲形式、表達(dá)的語義也不同[3]，同時，這些數(shù)據(jù)中還存在著大量的不完整、不一致，甚至重復(fù)、錯誤或異常的數(shù)據(jù)，如果不對數(shù)據(jù)進(jìn)行預(yù)處理，就會嚴(yán)重影響到后續(xù)數(shù)據(jù)的分析和挖掘，以及分析的準(zhǔn)確性。因此，在態(tài)勢分析之前，需要對采集的數(shù)據(jù)進(jìn)行規(guī)格化、統(tǒng)一化的預(yù)處理，以改進(jìn)數(shù)據(jù)質(zhì)量，提高數(shù)據(jù)分析的效率、質(zhì)量和準(zhǔn)確性。數(shù)據(jù)預(yù)處理就是通過數(shù)據(jù)清洗、數(shù)據(jù)融合、數(shù)據(jù)關(guān)聯(lián)等方法，將原始數(shù)據(jù)進(jìn)行重新審核、篩選和排序，形成準(zhǔn)確、基礎(chǔ)的數(shù)據(jù)關(guān)系圖譜的過程，常用處理方法主要包括數(shù)據(jù)清洗、集成、歸約、變換、融合等[4]。

1.3 態(tài)勢分析

態(tài)勢分析主要是將預(yù)處理后的安全數(shù)據(jù)進(jìn)行分析挖掘，把具有一定相關(guān)性、反映某些網(wǎng)絡(luò)安全事件的特征信息提取出來，采用相應(yīng)模型或算法從整體上對當(dāng)前網(wǎng)絡(luò)的安全狀況進(jìn)行分析，從而全面掌握網(wǎng)絡(luò)整體的安全狀況。在態(tài)勢分析前，首先要按照一定的原則和標(biāo)準(zhǔn)從預(yù)處理后的數(shù)據(jù)中提取相關(guān)指標(biāo)信息，建立一套合理的安全態(tài)勢指標(biāo)體系，然后以此指標(biāo)體系為基礎(chǔ)建立合適的數(shù)學(xué)模型，從而對當(dāng)前的網(wǎng)絡(luò)狀況進(jìn)行態(tài)勢分析。由于態(tài)勢分析涉及數(shù)據(jù)量很大、評估方法復(fù)雜且沒有系統(tǒng)的理論體系，因此，在現(xiàn)有的理論和技術(shù)中一般有數(shù)據(jù)挖掘和數(shù)據(jù)融合兩類技術(shù)可以運(yùn)用。

1.4 態(tài)勢預(yù)測

態(tài)勢預(yù)測是通過分析評估當(dāng)前網(wǎng)絡(luò)狀態(tài)和歷史信息，對網(wǎng)絡(luò)態(tài)勢的未來發(fā)展趨勢進(jìn)行推測和估計(jì)，是實(shí)現(xiàn)網(wǎng)絡(luò)安全主動防御的關(guān)鍵環(huán)節(jié)。目前網(wǎng)絡(luò)安全態(tài)勢預(yù)測一般采用定性分析、時間序列分析和因果分析等傳統(tǒng)方法。由于網(wǎng)絡(luò)攻擊具有隨機(jī)性、不確定性和復(fù)雜性等特點(diǎn)，當(dāng)面對復(fù)雜復(fù)合式的網(wǎng)絡(luò)攻擊，傳統(tǒng)預(yù)測方法已逐漸不能滿足需求，隨著人工智能和機(jī)器學(xué)習(xí)技術(shù)的發(fā)展，態(tài)勢預(yù)測越來越傾向于使用智能預(yù)測方法和技術(shù)。目前，神經(jīng)網(wǎng)絡(luò)預(yù)測是常用的網(wǎng)絡(luò)安全態(tài)勢智能預(yù)測方法[4]，它能夠通過網(wǎng)絡(luò)自學(xué)能力調(diào)整和構(gòu)建態(tài)勢預(yù)測模型，具有自學(xué)習(xí)性、自適用性，以及良好的容錯性和穩(wěn)健性等特點(diǎn)。

1.5 態(tài)勢展示

態(tài)勢感知涉及大量抽象的數(shù)據(jù)，相互之間關(guān)系復(fù)雜，利用傳統(tǒng)文本方法無法直觀地將態(tài)勢分析和預(yù)測結(jié)果呈現(xiàn)。由于大數(shù)據(jù)可視化技術(shù)的發(fā)展，態(tài)勢展示可利用可視化技術(shù)，根據(jù)業(yè)務(wù)特點(diǎn)和需求關(guān)注點(diǎn)，將大量、復(fù)雜、抽象的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)體系以圖形圖像的方式進(jìn)行綜合展現(xiàn)，幫助安全人員分析網(wǎng)絡(luò)態(tài)勢，識別安全威脅，為管理決策提供有力的依據(jù)。態(tài)勢展示涉及計(jì)算機(jī)圖形學(xué)、圖像處理、計(jì)算機(jī)視覺、計(jì)算機(jī)輔助設(shè)計(jì)等多個領(lǐng)域[3]，目前已有很多可視化技術(shù)和工具應(yīng)用到了態(tài)勢感知領(lǐng)域，并取得了一定的效果。

2 網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)思路

網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)對提升網(wǎng)絡(luò)安全防護(hù)能力至關(guān)重要，要建好用好網(wǎng)絡(luò)安全態(tài)勢感知，離不開有效的技術(shù)平臺、安全運(yùn)營管理和安全人員建設(shè)。通過網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)平臺建設(shè)實(shí)現(xiàn)網(wǎng)絡(luò)空間的安全持續(xù)監(jiān)控能力，及時預(yù)警各種威脅與異常，并進(jìn)行可視化展示；通過網(wǎng)絡(luò)安全運(yùn)營管理建設(shè)，建立健全各項(xiàng)安全管理制度、安全預(yù)警機(jī)制等，實(shí)現(xiàn)有效的安全決策和應(yīng)急響應(yīng)；通過技術(shù)人員建設(shè)，提高網(wǎng)絡(luò)安全工作能力和安全事件處置能力，達(dá)到網(wǎng)絡(luò)安全威脅事中阻斷、事后溯源的效果。

2.1 本地?cái)?shù)據(jù)中心和第三方態(tài)勢感知服務(wù)平臺相結(jié)合

由于自主建設(shè)態(tài)勢感知平臺周期長、預(yù)算多、風(fēng)險高，這種方法，一般不適用于中小組織。因此，若想快速有效的搭建態(tài)勢感知平臺，可充分利用第三方服務(wù)平臺，采取本地部分建設(shè)和第三方服務(wù)相結(jié)合的方式。一方面，在本地建設(shè)數(shù)據(jù)中心，數(shù)據(jù)中心進(jìn)行數(shù)據(jù)采集、存儲和預(yù)處理，并利用大數(shù)據(jù)技術(shù)進(jìn)行分析，實(shí)時監(jiān)測網(wǎng)絡(luò)安全狀況；另一方面，采購第三方網(wǎng)絡(luò)安全企業(yè)的態(tài)勢感知平臺的服務(wù)，將本地?cái)?shù)據(jù)中心預(yù)處理后的數(shù)據(jù)和態(tài)勢分析狀況同步至第三方網(wǎng)絡(luò)安全態(tài)勢感知服務(wù)平臺，由第三方服務(wù)平臺進(jìn)行安全數(shù)據(jù)和威脅情報數(shù)據(jù)的對比分析和態(tài)勢預(yù)測，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全趨勢預(yù)測和深度挖掘潛在的安全威脅，并進(jìn)行可視化展示。

2.2 自主建設(shè)態(tài)勢感知平臺

自主建設(shè)方式適用于大型組織或者某個行業(yè)，在建設(shè)中可按照統(tǒng)一規(guī)劃、分級部署的方式，分多個階段逐步建設(shè)。在初始階段應(yīng)重點(diǎn)考慮基礎(chǔ)平臺和安全管理系統(tǒng)建設(shè)，基礎(chǔ)平臺包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析、可視化展示以及資產(chǎn)管理等，安全管理系統(tǒng)可根據(jù)實(shí)際需求，面向不同的安全問題和管理需求，開發(fā)不同的安全管理子系統(tǒng)，如預(yù)警響應(yīng)、安全監(jiān)測、態(tài)勢感知、快速處置、等保監(jiān)測、報表中心、溯源分析等子系統(tǒng)。隨著基礎(chǔ)平臺和管理系統(tǒng)的建設(shè)，逐步引入自動化配置手段和人工智能分析預(yù)測技術(shù)，實(shí)現(xiàn)自動化、體系化主動動態(tài)的網(wǎng)絡(luò)安全防護(hù)能力，建立起覆蓋全網(wǎng)的態(tài)勢感知、安全監(jiān)測、通報預(yù)警的體系。

在網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)中需重點(diǎn)關(guān)注安全數(shù)據(jù)中心和威脅情報中心的建設(shè)[5]。本地安全數(shù)據(jù)中心建設(shè)，應(yīng)覆蓋全部網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中的各種軟件、硬件和各個環(huán)節(jié)，建立相應(yīng)數(shù)據(jù)采集點(diǎn)，盡可能多的采集網(wǎng)絡(luò)中的各類安全狀態(tài)數(shù)據(jù)、流量數(shù)據(jù)、安全威脅和告警數(shù)據(jù)以及安全管理類數(shù)據(jù)信息，經(jīng)過數(shù)據(jù)預(yù)處理后存儲在安全數(shù)據(jù)中心。在安全數(shù)據(jù)中心的基礎(chǔ)上，建設(shè)威脅情報分析中心，將威脅情報和本地的安全規(guī)則和安全數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅和異常，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的評估和預(yù)測。為提升整體網(wǎng)絡(luò)安全運(yùn)營水平，提高態(tài)勢預(yù)測的準(zhǔn)確性和全面性，高質(zhì)量的威脅情報數(shù)據(jù)必不可少，因此威脅情報中心在采集平臺內(nèi)部威脅情報數(shù)據(jù)的同時，還應(yīng)收集融合平臺外部的威脅情報數(shù)據(jù)，為此可考慮建立平臺內(nèi)部和外部的威脅情報數(shù)據(jù)共享機(jī)制。

2.3 加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營管理

態(tài)勢感知平臺建設(shè)完成后，若要充分發(fā)揮其效能，就需要加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營管理，建立起相適應(yīng)的網(wǎng)絡(luò)安全管理機(jī)構(gòu)和配套的規(guī)章制度體系。安全管理機(jī)構(gòu)需要承擔(dān)信息安全管理工作，要制定信息安全管理制度，完善技術(shù)防護(hù)措施，因此需進(jìn)一步明確定義管理機(jī)構(gòu)的管理層次、角色、職責(zé)、權(quán)限、技能要求等，并配備合適的人員；在規(guī)章制度建設(shè)中，可結(jié)合實(shí)際從數(shù)據(jù)管理、漏洞管理、運(yùn)維管理、備份管理、資產(chǎn)管理、人員管理、安全事件處置、應(yīng)急響應(yīng)等方面制定相應(yīng)的安全管理制度和操作規(guī)程，并要求相關(guān)人員嚴(yán)格遵守。此外，還應(yīng)加強(qiáng)風(fēng)險管理，定期對網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)開展安全評測，對發(fā)現(xiàn)的問題和薄弱環(huán)節(jié)，進(jìn)行修復(fù)整改。

2.4 加強(qiáng)安全人員建設(shè)

為有效提升網(wǎng)絡(luò)安全防護(hù)能力，必須將態(tài)勢感知和響應(yīng)處置相結(jié)合，面對網(wǎng)絡(luò)安全威脅，其防護(hù)策略調(diào)整、響應(yīng)處置等需要人來落實(shí)，高效及時的響應(yīng)和處置，對安全人員提出了很高的要求。因此，在網(wǎng)絡(luò)態(tài)勢感知建設(shè)中，安全人員建設(shè)同平臺建設(shè)、安全運(yùn)營管理建設(shè)同等重要。一方面，加強(qiáng)安全人員安全意識教育、技能培訓(xùn)和團(tuán)隊(duì)建設(shè)，提高網(wǎng)絡(luò)安全工作能力；另一方面，進(jìn)一步拓展和深化安全人員專業(yè)技能，在掌握傳統(tǒng)網(wǎng)絡(luò)、安全等專業(yè)領(lǐng)域知識和工具的基礎(chǔ)上，不斷加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知、大數(shù)據(jù)技術(shù)等知識的學(xué)習(xí)，不斷了解網(wǎng)絡(luò)攻擊的新手段和新方法，研究網(wǎng)絡(luò)防御新方法，提高網(wǎng)絡(luò)安全檢測、分析和響應(yīng)水平。

3 總結(jié)

本文在研究網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)架構(gòu)的基礎(chǔ)上，對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)進(jìn)行了探討。網(wǎng)絡(luò)安全態(tài)勢感知是一項(xiàng)復(fù)雜的系統(tǒng)工程，它是多項(xiàng)技術(shù)的復(fù)合與增強(qiáng)，還涉及資金、平臺建設(shè)、資產(chǎn)管理、團(tuán)隊(duì)建設(shè)、制度建設(shè)等各方面，不可能一次建設(shè)到位，因此需要各組織根據(jù)實(shí)際需求分階段建設(shè)問題。

[1]張應(yīng)奇.計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施[J].電子技術(shù)與軟件工程，2017(10).

[2]管磊，胡光俊，王專.基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺研究[J].保密科學(xué)技術(shù)，2016(05).

[3]毛軍禮，汲錫林.基于大數(shù)據(jù)的網(wǎng)絡(luò)態(tài)勢感知體系架構(gòu)[J].無線電通信技術(shù)，2018(03).

[4]杜嘉薇，周穎，郭榮華，索國偉.網(wǎng)絡(luò)安全態(tài)勢感知提取、理解和預(yù)測[M]，機(jī)械工業(yè)出版社，2015.

[5]陳杰.大數(shù)據(jù)安全分析及態(tài)勢感知——企業(yè)網(wǎng)絡(luò)的安全倍增器[J].保密科學(xué)與技術(shù)，2016(05).