網(wǎng)絡(luò)安全態(tài)勢感知實訓(xùn)平臺設(shè)計與實踐

李馥娟，王 群

（江蘇警官學(xué)院 計算機信息與網(wǎng)絡(luò)安全系，江蘇 南京 210031）

網(wǎng)絡(luò)安全態(tài)勢感知（network security situation awareness，NSSA）[1-3]是在傳統(tǒng)網(wǎng)絡(luò)安全管理的基礎(chǔ)上，通過對分布式環(huán)境中信息的動態(tài)獲取，經(jīng)數(shù)據(jù)融合、語義提取、模式識別等綜合分析處理后，對當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢進行實時評估，從中發(fā)現(xiàn)攻擊行為和攻擊意圖，為安全決策提供相應(yīng)的依據(jù)，以提高網(wǎng)絡(luò)安全的動態(tài)響應(yīng)能力，盡可能降低因攻擊而造成的損失。

作為專門人才培養(yǎng)主陣地的高等院校，需要將一些典型的應(yīng)用、成熟的技術(shù)和創(chuàng)新的方法及時納入到人才培養(yǎng)過程中，真正做到理論與實踐、書本知識與實際應(yīng)用之間的結(jié)合，培養(yǎng)出符合社會需求的專門人才[4]。NSSA作為信息安全領(lǐng)域一項熱門技術(shù)和應(yīng)用，在具體的教學(xué)過程中由于缺乏真實可信的實驗實訓(xùn)環(huán)境，使得教學(xué)效果遠(yuǎn)遠(yuǎn)達不到預(yù)期的要求。與其他類型的實驗室或?qū)嵱?xùn)平臺不同的是，NSSA實驗必須建立在能夠提供有效信息的真實網(wǎng)絡(luò)環(huán)境中。作者所在的團隊根據(jù)教學(xué)需要，通過合理調(diào)用和整合學(xué)校網(wǎng)絡(luò)資源，設(shè)計了基于學(xué)校校園網(wǎng)絡(luò)（同時通過電信、移動和教育網(wǎng)接口接入互聯(lián)網(wǎng)）的NSSA實訓(xùn)平臺，一方面用于校園網(wǎng)絡(luò)的安全管理，另一方面用于教學(xué)，取得了較好的效果。

1 網(wǎng)絡(luò)安全態(tài)勢感知

1.1 網(wǎng)絡(luò)安全態(tài)勢感知的概念

（1）態(tài)勢。態(tài)勢是系統(tǒng)中各個要素（如指向某個節(jié)點的分布式拒絕服務(wù)（DdoS）攻擊流量、發(fā)往某個特定主機指定端口的探測報文等）從當(dāng)前狀態(tài)到下一個狀態(tài)的變化趨勢。網(wǎng)絡(luò)安全中的態(tài)勢不僅僅指某一特定要素的變化情況，還包括特定網(wǎng)絡(luò)環(huán)境中相關(guān)聯(lián)的不同要素之間的變化情況。

（2）態(tài)勢感知。態(tài)勢感知是指在一定時空范圍內(nèi)，采取一系列技術(shù)手段，對從不同位置獲取的不同格式、代表不同意圖的信息進行分析處理，從而獲得更全面準(zhǔn)確的狀態(tài)信息，再將這些狀態(tài)信息與系統(tǒng)中建立的知識庫（專家數(shù)據(jù)庫）進行比對，進而得出當(dāng)前網(wǎng)絡(luò)的安全運行狀況。態(tài)勢感知以時間軸為主線，形成針對特定要素以及不同要素之間的變化趨勢，是一個基于經(jīng)驗知識的動態(tài)學(xué)習(xí)和更新過程[5]，其中知識庫所提供的經(jīng)驗知識的質(zhì)量影響著態(tài)勢感知的實際效果。從實現(xiàn)過程看，態(tài)勢感知可分為觀察（observe）、導(dǎo)向（orient）、決策（decision）和行動（act）4個階段[6]，構(gòu)成了一個動態(tài)環(huán)，如圖1所示。其中，觀察過程實現(xiàn)了對網(wǎng)絡(luò)信息的獲取，導(dǎo)向的功能是將獲取到的信息與經(jīng)驗知識庫中的信息進行比對，決策的作用是根據(jù)比對和評估結(jié)果為即將采取的安全響應(yīng)決策提供依據(jù)，行動是根據(jù)決策所采取的應(yīng)急響應(yīng)行為。

圖1 態(tài)勢感知的4個階段

（3）網(wǎng)絡(luò)安全態(tài)勢感知。在上世紀(jì)末，態(tài)勢感知技術(shù)就已經(jīng)應(yīng)用到網(wǎng)絡(luò)入侵檢測系統(tǒng)（network intrusion detection system，NIDS）中，用于融合來自不同入侵檢測系統(tǒng)（IDS）的異構(gòu)數(shù)據(jù)，識別出攻擊者的身份，確定攻擊頻率和受威脅程度[7]。NSSA是態(tài)勢感知技術(shù)和方法在信息安全領(lǐng)域的具體應(yīng)用，具體是指在能夠提供足夠可用信息的大規(guī)模網(wǎng)絡(luò)中，實時獲取引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素，使安全管理人員能夠以直觀的方式從宏觀上掌握網(wǎng)絡(luò)的安全態(tài)勢，以及該安全態(tài)勢對網(wǎng)絡(luò)正常運行的影響。NSSA的任務(wù)主要表現(xiàn)為：通過對測量到的被檢測設(shè)備與系統(tǒng)產(chǎn)生的原始異構(gòu)數(shù)據(jù)的融合與語義提取，辨識出網(wǎng)絡(luò)活動的意圖，判斷活動意圖產(chǎn)生的安全威脅[8]。為便于觀察，NSSA還需要將網(wǎng)絡(luò)安全狀況以可視化方式展現(xiàn)出來。

1.2 網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)教學(xué)的重要性

高校信息安全、網(wǎng)絡(luò)空間安全、網(wǎng)絡(luò)安全與執(zhí)法等專業(yè)人才培養(yǎng)的方案制訂和具體實施，都必須體現(xiàn)專業(yè)的學(xué)科背景、課程（群）的理論基礎(chǔ)和技術(shù)應(yīng)用現(xiàn)狀與發(fā)展趨勢[9]。NSSA作為近年來信息安全領(lǐng)域出現(xiàn)的一個較新的概念和應(yīng)用[10]，相關(guān)教學(xué)在信息安全相關(guān)專業(yè)人才培養(yǎng)中的重要性可歸納為以下幾個方面：

（1）安全知識間的關(guān)聯(lián)性。解決了原來各類單一信息安全技術(shù)和產(chǎn)品之間相互孤立的現(xiàn)狀，實現(xiàn)了對傳統(tǒng)安全技術(shù)之間的關(guān)聯(lián)，更容易培養(yǎng)學(xué)生綜合運用不同技術(shù)解決具體安全問題的能力。

（2）安全意識培養(yǎng)的系統(tǒng)性。NSSA的思想是從宏觀視角分析和解決網(wǎng)絡(luò)安全問題，這有益于培養(yǎng)學(xué)生從系統(tǒng)的角度分析解決問題的意識和能力。

（3）安全內(nèi)容的完整性。NSSA從分布式環(huán)境中動態(tài)發(fā)現(xiàn)和收集相關(guān)節(jié)點的實時信息，經(jīng)信息融合、語義分析、大數(shù)據(jù)分析與可視化等處理后，對可能發(fā)生的安全問題和威脅進行預(yù)測，這一功能的實現(xiàn)主要涉及到模式識別、機器學(xué)習(xí)、大數(shù)據(jù)技術(shù)等多方面的知識，有利于拓展學(xué)生的知識面，引導(dǎo)學(xué)生的學(xué)習(xí)。

因此，NSSA實訓(xùn)平臺的建設(shè)，不僅僅是滿足信息安全領(lǐng)域相關(guān)專業(yè)人才培養(yǎng)的需要，更是立足信息網(wǎng)絡(luò)安全人才培養(yǎng)、提升學(xué)生創(chuàng)新創(chuàng)業(yè)能力的要求。

2 網(wǎng)絡(luò)安全態(tài)勢感知實訓(xùn)平臺

2.1 實訓(xùn)平臺設(shè)計

本文設(shè)計了基于校園網(wǎng)絡(luò)的NSSA實訓(xùn)平臺，網(wǎng)絡(luò)拓?fù)淙鐖D2所示。該實訓(xùn)平臺搭建在校園網(wǎng)環(huán)境中，實時獲取校園網(wǎng)中真實的流量以及設(shè)備與應(yīng)用系統(tǒng)的日志信息，結(jié)合云端的威脅情報大數(shù)據(jù)以及平臺自身的安全大數(shù)據(jù)分析能力，實現(xiàn)校園網(wǎng)的安全態(tài)勢感知。該平臺為校園網(wǎng)絡(luò)提供必要的安全態(tài)勢感知能力，同時可通過在管理控制平臺創(chuàng)建多個賬號，提供給相關(guān)專業(yè)老師及學(xué)生利用真實的校園網(wǎng)數(shù)據(jù)進行安全大數(shù)據(jù)的態(tài)勢感知實驗。

2.2 實訓(xùn)平臺功能

圖2 基于校園網(wǎng)的NSSA實訓(xùn)平臺拓?fù)?/p>

NSSA實訓(xùn)平臺包含網(wǎng)絡(luò)安全監(jiān)測、態(tài)勢感知、通報處置等系統(tǒng)，通過大數(shù)據(jù)技術(shù)，建設(shè)針對網(wǎng)絡(luò)空間安全的分析平臺，相關(guān)操作過程和結(jié)果都以可視化方式呈現(xiàn)。該實訓(xùn)平臺包含了網(wǎng)絡(luò)空間中攻擊與防御、安全大數(shù)據(jù)分析應(yīng)用、可視化等技術(shù)，能夠?qū)踩R、操作技能、處置流程系統(tǒng)生動地傳授給學(xué)生，從而使學(xué)生掌握全面協(xié)同的安全知識和真實網(wǎng)絡(luò)空間對抗中的安全技能，獲得真正的安全實戰(zhàn)能力。

NSSA實訓(xùn)平臺可實現(xiàn)對網(wǎng)絡(luò)安全的態(tài)勢覺察、跟蹤、預(yù)測和預(yù)警，全面、實時掌握網(wǎng)絡(luò)安全態(tài)勢，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件線索，預(yù)警通報重大網(wǎng)絡(luò)安全威脅和處置安全事件。NSSA實訓(xùn)平臺集“看、防、管、控”于一體，以實時態(tài)勢感知、準(zhǔn)確安全監(jiān)測、及時應(yīng)急處置、實際教學(xué)實驗為目的。主要包括以下的功能：

（1）實現(xiàn)安全區(qū)域內(nèi)重要網(wǎng)站、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全事件的集中管理、批量處理、自動化安全監(jiān)測，全面匯總它們的安全風(fēng)險，實現(xiàn)對信息基礎(chǔ)設(shè)施的安全管理。

（2）整合現(xiàn)有網(wǎng)絡(luò)安全監(jiān)測預(yù)警資源，建設(shè)全面覆蓋網(wǎng)絡(luò)內(nèi)部相關(guān)信息系統(tǒng)、網(wǎng)站和數(shù)據(jù)的綜合性態(tài)勢感知實訓(xùn)平臺。

（3）基于監(jiān)測、檢查和報送的基礎(chǔ)數(shù)據(jù)，進行大數(shù)據(jù)挖掘和分析，對安全事件進行趨勢分析、可視化展現(xiàn)，對可能發(fā)生的安全事件及時進行預(yù)警、通報和處置。

2.3 實訓(xùn)平臺的設(shè)計特點

本實訓(xùn)平臺涉及的態(tài)勢感知對象主要包括校園網(wǎng)環(huán)境中對外和對內(nèi)提供服務(wù)的網(wǎng)站、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等信息基礎(chǔ)設(shè)施。通過采集整個網(wǎng)絡(luò)的流量和日志信息，以及安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、中間件、數(shù)據(jù)庫等各種系統(tǒng)的事件信息，動態(tài)實現(xiàn)威脅感知功能。同時，可對整個過程進行安全大數(shù)據(jù)分析和建模，實時掌握涵蓋整個網(wǎng)絡(luò)的安全態(tài)勢。

本平臺除為信息安全相關(guān)專業(yè)的人才培養(yǎng)提供教學(xué)實訓(xùn)外，還可以為師生科研和學(xué)生創(chuàng)新創(chuàng)業(yè)項目的開展提供平臺支撐，同時為學(xué)校的網(wǎng)絡(luò)安全管理提供完整的解決方案，并且使學(xué)校的信息化建設(shè)和應(yīng)用成果服務(wù)于教學(xué)和科研。

3 網(wǎng)絡(luò)安全態(tài)勢感知實訓(xùn)平臺提供的實驗內(nèi)容

基于本實訓(xùn)平臺，結(jié)合本單位教學(xué)實際，目前主要開發(fā)了以下幾個方面的實驗。

3.1 基礎(chǔ)實驗

（1）資產(chǎn)管理。網(wǎng)絡(luò)中的主機（包括接入的計算機和服務(wù)器）、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等對象是實現(xiàn)態(tài)勢感知的基礎(chǔ)，詳細(xì)的資產(chǎn)清單為安全威脅的定位和排查提供最基本的保障。為便于實驗的開展，需要建立完整的資產(chǎn)檔案信息。

（2）可視化?？梢暬夹g(shù)在分析和研究海量多維異構(gòu)數(shù)據(jù)集中是非常重要的[11]。在實驗過程中，為了應(yīng)對不斷變化的威脅事件，需要及時調(diào)整監(jiān)控維度和監(jiān)控重點，NSSA必須能夠為實驗人員提供實時的多維度持續(xù)監(jiān)控能力。另外，根據(jù)教學(xué)需要，還能夠通過可視化建模工具制作符合用戶使用習(xí)慣的統(tǒng)計分析圖表。

（3）威脅告警。威脅告警可通過規(guī)則類型快速過濾相關(guān)類型的告警信息，也可通過搜索條件來過濾告警列表范圍。同時，通過告警柱狀圖能夠直觀感受到威脅告警的趨勢和狀態(tài)。

（4）報表管理。報表是態(tài)勢感知系統(tǒng)中非常重要的數(shù)據(jù)分析方式，高質(zhì)量的報表內(nèi)容能夠有效幫助用戶進行決策分析。實驗中，利用報表管理功能，可按照時間和空間維度持續(xù)地反饋當(dāng)前網(wǎng)絡(luò)所存在的安全威脅。

（5）日志搜索。日志檢索為調(diào)查取證提供有力支撐，日志信息的全量存儲能夠有效地幫助實驗人員進行追根溯源，繪制完整的事件畫像。NSSA實訓(xùn)平臺采用分布式數(shù)據(jù)存儲和全文檢索方式，對不同格式的源數(shù)據(jù)提供自動識別和格式化處理功能。

3.2 風(fēng)險管理實驗

（1）風(fēng)險評估。風(fēng)險管理能夠有效地反映當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險狀態(tài)，通過風(fēng)險數(shù)值的量化給出具體的評分指標(biāo)，宏觀地了解整個網(wǎng)絡(luò)的安全態(tài)勢，給管理員提供可靠的輔助決策依據(jù)。風(fēng)險評估主要包括量化風(fēng)險數(shù)值和宏觀態(tài)勢展現(xiàn)兩部分內(nèi)容。

（2）漏洞管理。漏洞掃描是發(fā)現(xiàn)漏洞的主要手段[12]。網(wǎng)絡(luò)中重要的主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備都會出現(xiàn)因漏洞引起的安全問題，漏洞成為潛在的最大安全風(fēng)險。系統(tǒng)提供漏洞管理模塊，可對重要主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備進行漏洞信息收集和管理，并將漏洞掃描結(jié)果自動同步到風(fēng)險模塊中，參與風(fēng)險評估計算。漏洞管理主要支持漏洞掃描器聯(lián)動、第三方報告導(dǎo)入、漏洞處置閉環(huán)、知識庫關(guān)聯(lián)等功能。

3.3 威脅分析與處置實驗

（1）攻擊鏈分析[13]。攻擊鏈分析基于已經(jīng)發(fā)生的事件和告警信息，并以此作為分析線索，從網(wǎng)絡(luò)攻擊的實施過程入手，追蹤溯源網(wǎng)絡(luò)攻擊的目標(biāo)、源頭、方法、手段等重要信息。同時，還可從攻擊者角度把攻擊分為偵查跟蹤、工具準(zhǔn)備、載荷投遞、漏洞利用、安裝植入、命令控制、命令達成等階段，形成完整的溯源攻擊鏈，進行攻擊畫像，并以可視化的方式對攻擊鏈中的整個過程進行描述，描述IP地址間的攻擊關(guān)系以及攻擊鏈中各階段IP地址對象間的關(guān)系。描述的對象同時包括攻擊者和受害者。攻擊鏈分析主要包括：直觀地呈現(xiàn)威脅關(guān)系、攻擊過程、不同對象之間的關(guān)系；將分散的告警以攻擊鏈的形式圍繞資產(chǎn)對象進行組織，提供面向攻擊過程的展示和分析方法。

（2）調(diào)查分析。調(diào)查分析實驗?zāi)K根據(jù)產(chǎn)生的告警、日志、事件等信息創(chuàng)建調(diào)查任務(wù)，在調(diào)查任務(wù)中將多種告警、日志、孤立的線下事件等信息以時間維度串聯(lián)成完整事件，并對任務(wù)進行級別標(biāo)注、備注說明、歷史操作記錄，以便于分析。

（3）關(guān)聯(lián)分析。關(guān)聯(lián)分析功能基于大數(shù)據(jù)技術(shù)，通過對數(shù)據(jù)之間的關(guān)聯(lián)性進行分析，從而實時發(fā)現(xiàn)復(fù)雜的、更具價值的威脅事件[14]。關(guān)聯(lián)分析的實現(xiàn)需要提供多種類型和維度的數(shù)據(jù)，并能夠?qū)敵鼋Y(jié)果進行回注分析。關(guān)聯(lián)分析通過規(guī)則模型來實現(xiàn)，規(guī)則建模提供了日志過濾、日志連接、聚類統(tǒng)計、閾值比較和序列分析等類型的計算單元，實驗中可通過組合計算單元來配置自定義規(guī)則，讓學(xué)生學(xué)習(xí)威脅事件的發(fā)現(xiàn)方法。

（4）威脅情報查詢。威脅情報查詢通過從云端獲取威脅情報，并通過在本地系統(tǒng)創(chuàng)建分析規(guī)則，對本地網(wǎng)絡(luò)中采集的數(shù)據(jù)進行實時比對分析，發(fā)現(xiàn)可疑的網(wǎng)絡(luò)活動行為。在實驗過程中，可對發(fā)現(xiàn)的可疑IP地址、域名、郵箱地址、文件MD5值、證書指紋（SHA1、SHA2值）等信息進行深入的情報判定，以此獲得覆蓋整個網(wǎng)絡(luò)的安全數(shù)據(jù)。本實訓(xùn)平臺中提供的威脅情報實驗支持域名信譽查詢、IP地址信譽查詢、基于樣本MD5情報查詢等。

（5）威脅處置。威脅處置是一個需要多方協(xié)同的復(fù)雜過程，以工單的形式將多方對單個/多個告警和漏洞的判斷進行跟蹤和記錄，以增強安全團隊的聯(lián)動協(xié)作能力，并為威脅跟蹤提供詳細(xì)的過程信息。

3.4 知識庫管理實驗

知識庫管理主要是針對漏洞庫、運行知識庫和情報庫的管理[15]，包括知識庫的更新、錄入、修改、刪除等。

（1）漏洞庫。漏洞庫可根據(jù)漏洞名稱、漏洞類型、CVE編號、CNNVD編號進行快速查詢搜索，同時可對漏洞掃描結(jié)果進行關(guān)聯(lián)查詢。為了提高系統(tǒng)的應(yīng)用性能，系統(tǒng)使用過程中需要對漏洞庫進行不斷豐富和完善。

（2）運行知識庫。運行知識庫主要包括檢測和事件處置知識。其中，檢測知識用于在威脅分析過程中根據(jù)場景指定檢測規(guī)則，事件處置知識用于事件處置過程中對相同類型事件的處置。

（3）情報庫。系統(tǒng)可收集不同來源的威脅情報數(shù)據(jù)，并完成格式標(biāo)準(zhǔn)化操作，然后通過單向傳輸設(shè)備或者數(shù)據(jù)交換平臺推送到內(nèi)部的威脅情報庫中。實訓(xùn)平臺中涉及的情報數(shù)據(jù)主要包括失陷檢測情報、文件信譽情報、攻擊成員檔案庫、安全預(yù)警通告等。

4 結(jié)語

本文介紹的NSSA實訓(xùn)平臺是作者所在團隊教學(xué)研究的創(chuàng)新性成果。與其他仿真教學(xué)環(huán)境不同的是，該平臺基于校園網(wǎng)的真實環(huán)境建立，采集的數(shù)據(jù)均來自實際業(yè)務(wù)系統(tǒng)。實訓(xùn)平臺通過流量日志采集、安全大數(shù)據(jù)建模、關(guān)聯(lián)規(guī)則分析等技術(shù)手段提供基于網(wǎng)絡(luò)空間安全的實戰(zhàn)演練，并結(jié)合學(xué)校人才培養(yǎng)特色和要求，進行涉及網(wǎng)絡(luò)安全的教科研活動。基于該實訓(xùn)平臺，目前主要針對學(xué)生的創(chuàng)新創(chuàng)業(yè)訓(xùn)練，開發(fā)了內(nèi)網(wǎng)安全分析、郵件安全分析、資產(chǎn)安全分析、漏洞風(fēng)險管理、惡意軟件分析等實驗項目；針對信息網(wǎng)絡(luò)安全相關(guān)課程的教學(xué)需要，開發(fā)了日志與流量采集、資產(chǎn)數(shù)據(jù)管理、威脅情報查詢、關(guān)聯(lián)分析與威脅檢測、特定場景分析、事件管理、態(tài)勢感知等實驗。通過這些工作，能夠?qū)踩R、操作技能、處置流程等內(nèi)容系統(tǒng)生動地傳授給學(xué)生，從而讓學(xué)生學(xué)習(xí)全面協(xié)同的安全知識，掌握真實網(wǎng)絡(luò)空間對抗中的安全知識和技能，提升網(wǎng)絡(luò)安全實戰(zhàn)能力。

致謝：在本實訓(xùn)平臺建設(shè)過程中得到了奇安信科技集團股份有限公司董旭、梁江湖、陳逸等技術(shù)人員的支持，在此表示感謝！