一種基于數(shù)據(jù)分析的網(wǎng)絡安全態(tài)勢感知系統(tǒng)設計與實現(xiàn)*

周榮娟，李 偉，李曉花

（63610 部隊，新疆 庫爾勒 841001）

0 引 言

隨著網(wǎng)絡安全防護系統(tǒng)的不斷建設，大量安防設備在使用過程中產(chǎn)生的海量安全日志告警，缺少有效地告警歸并措施，給運維人員造成了較大困擾，在安全事件風險分析和應急響應方面也無法形成協(xié)同效益。建立一個對各類安全態(tài)勢信息進行統(tǒng)計分析和多形式的可視化呈現(xiàn)，可基于各類態(tài)勢信息評估全系統(tǒng)、區(qū)域、設備等的安全威脅等級，對網(wǎng)絡攻擊、威脅重點區(qū)域、威脅發(fā)展趨勢等進行預警的安全態(tài)勢感知系統(tǒng)，以便網(wǎng)絡運維管理人員隨時掌握全網(wǎng)安全態(tài)勢，為運維人員決策提供支撐，具有十分重要的意義。

1 國內外研究現(xiàn)狀趨勢及必要性分析

1.1 國內外研究現(xiàn)狀及趨勢

現(xiàn)代意義上的態(tài)勢感知（Situation Awareness，SA）研究也來自于戰(zhàn)爭的需要，其在二戰(zhàn)后美國空軍對提升飛行員空戰(zhàn)能力的人因（Human Factor）工程學研究過程中被提出來，是為提升空戰(zhàn)能力、分析空戰(zhàn)環(huán)境信息、快速判斷當前及未來形勢，以做出正確反應而進行的研究探索，至今仍是軍事科學領域的重要研究課題[1]。

Mica R.Endsley 對態(tài)勢感知的經(jīng)典定義：“在一定時間和空間內觀察環(huán)境中的元素，理解這些元素的意義并預測這些元素在不久將來的狀態(tài)”。20 世紀90 年代，態(tài)勢感知的概念開始逐漸被接受，并隨著網(wǎng)絡的興起升級為網(wǎng)絡態(tài)勢感 知（Cyberspace Situation Awareness，CSA），具體指在大規(guī)模網(wǎng)絡環(huán)境中對能夠引起網(wǎng)絡態(tài)勢變化的安全要素進行獲取、理解、顯示及發(fā)展趨勢的順延性預測，而最終的目的是要進行網(wǎng)絡空間防御決策與行動[2]。

隨著網(wǎng)絡安全重要性的凸顯，態(tài)勢感知開始在網(wǎng)絡安全領域嶄露頭角。2009 年，美國白宮在公布的網(wǎng)絡空間安全戰(zhàn)略文件中明確提出，要構建態(tài)勢感知能力和職責的國家級網(wǎng)絡安全中心或機構，包含國家網(wǎng)絡安全中心（NCSC）、情報部門、司法與反間諜部門、美國計算機應急響應小組（US-CERT）、網(wǎng)絡作戰(zhàn)部門的網(wǎng)絡安全中心（Cybersecurity Center）等，覆蓋國家安全、情報、司法、公私合作等各個領域[3]。

互聯(lián)網(wǎng)連接各行各業(yè)，網(wǎng)絡安全牽一發(fā)而動全身，日益成為我國非傳統(tǒng)領域的重中之重。維護網(wǎng)絡安全迫在眉睫、刻不容緩，網(wǎng)絡安全態(tài)勢感知便是國家提高整體網(wǎng)絡安全保障能力的重要措施?！吨腥A人民共和國網(wǎng)絡安全法》第五十一條規(guī)定，國家建立網(wǎng)絡安全檢測預警和信息通報制度。國家網(wǎng)信部門應當統(tǒng)籌協(xié)調有關部門加強網(wǎng)絡信息安全收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全檢測預警信息[4]。這是從國家層面要建立安全態(tài)勢感知與信息通報制度。

2016 年4 月19 日，習近平總書記在網(wǎng)絡安全和信息化工作座談會上講到：“要梳理正確的網(wǎng)絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網(wǎng)絡安全態(tài)勢，增強網(wǎng)絡安全防御能力和威懾能力?！蓖瑫r指出，“知己知彼，才能百戰(zhàn)不殆。感知網(wǎng)絡安全態(tài)勢是最基本最基礎的工作。要全面加強網(wǎng)絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。要建立統(tǒng)一高效的網(wǎng)絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網(wǎng)絡安全風險發(fā)生的規(guī)律、動向、趨勢?！盵5]“十三五”國家信息化規(guī)劃也提出要全天候、全方位感知網(wǎng)絡安全態(tài)勢，加強相關能力的建設。

2017 年5 月爆發(fā)“永恒之藍”勒索蠕蟲攻擊事件，360 勒索蠕蟲專項態(tài)勢感知系統(tǒng)抗擊勒索蠕蟲72 小時，實時掌握蠕蟲傳播態(tài)勢，并及時實施處置策略和相關措施，抑制“永恒之藍”的大面積爆發(fā)。

在黨的十九大網(wǎng)絡安全保衛(wèi)項目中，公安機關利用態(tài)勢感知系統(tǒng)實時掌握安全風向，與重保單位進行實時網(wǎng)絡安全信息通報，實時處置和響應突發(fā)事件，保障會議期間的安全。

2020 年國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會等12 個部門聯(lián)合發(fā)布了《網(wǎng)絡安全審查辦法》[6]。

1.2 必要性分析

一是業(yè)務承載網(wǎng)信息鉸鏈關系復雜，需確保各子網(wǎng)之間實現(xiàn)數(shù)據(jù)跨網(wǎng)跨域安全交換；二是航天發(fā)射測控系統(tǒng)長期與不受控的國際測控系統(tǒng)、國外站互聯(lián)，易受到來自境外的網(wǎng)絡滲透、攻擊和破壞，需確保對外受控互聯(lián)；三是大量采用非自主可控產(chǎn)品和技術，信息系統(tǒng)存在安全隱患，需加大國產(chǎn)自主化要求和應對未知網(wǎng)絡入侵的能力；四是業(yè)務承載網(wǎng)面臨計算機系統(tǒng)信息泄露和病毒傳播內部安全威脅，需加強應對內部威脅的有效措施。

基于以上四點，系統(tǒng)從頂層進行安全防護的統(tǒng)籌規(guī)劃、集中統(tǒng)管、有機結合，進行整體的安全防護體系聯(lián)動，著眼于當前業(yè)務承載網(wǎng)安全建設，立足于現(xiàn)有配備的安全設備，通過對各網(wǎng)絡安全情況匯集整編和態(tài)勢融合展現(xiàn)功能，實現(xiàn)對網(wǎng)絡空間態(tài)勢常態(tài)化監(jiān)控，幫助網(wǎng)絡運維人員隨時掌握網(wǎng)絡空間情況，以提升整體安全防護能力。

2 系統(tǒng)設計

在系統(tǒng)架構設計上，系統(tǒng)按照安全數(shù)據(jù)接入?yún)R聚、安全數(shù)據(jù)處理分析和安全態(tài)勢呈現(xiàn)三個層次的總體架構設計，通過鏡像流量、syslog以及安管GCB010-2015 標準接口進行安全數(shù)據(jù)采集，利用大數(shù)據(jù)技術進行數(shù)據(jù)預處理和存儲，結合互聯(lián)網(wǎng)威脅情報大數(shù)據(jù)進行智能分析以及時發(fā)現(xiàn)網(wǎng)絡威脅，對分析結果進行態(tài)勢呈現(xiàn)，同時自動化或結合安全運維人員進行安全事件處置，形成安全事件的監(jiān)測、分析、預警、呈現(xiàn)、處置的完整流程。各層級以及模塊之間的功能設計具有相對的獨立性，采用行業(yè)通用接口和軍隊標準接口進行信息交互，從而使得系統(tǒng)整體具有較高的擴展性。同時，依托業(yè)務承載網(wǎng)自身的物理安全、主機安全、應用安全、數(shù)據(jù)安全、網(wǎng)絡安全等多維度安全措施實現(xiàn)業(yè)務承載網(wǎng)的安全保障。提早發(fā)現(xiàn)關鍵威脅、持續(xù)感知網(wǎng)絡安全態(tài)勢、預警網(wǎng)絡安全事件，同時支撐網(wǎng)絡安全應急響應工作。系統(tǒng)總體架構設計如圖1 所示。

圖1 系統(tǒng)架構設計

2.1 安全數(shù)據(jù)接入?yún)R聚

安全數(shù)據(jù)接入?yún)R聚是整個網(wǎng)絡安全態(tài)勢感知的系統(tǒng)輸入，是網(wǎng)絡安全數(shù)據(jù)分析和態(tài)勢感知呈現(xiàn)的前提和基礎，安全數(shù)據(jù)匯聚接入層通過流量采集器、日志采集器、資產(chǎn)探測器等設備進行數(shù)據(jù)采集。數(shù)據(jù)采集按照統(tǒng)一規(guī)劃和統(tǒng)一標準獲取業(yè)務承載網(wǎng)的關鍵網(wǎng)絡流量、各設備的日志和告警信息、資產(chǎn)數(shù)據(jù)，確保系統(tǒng)輸入的安全數(shù)據(jù)全面、充分、詳實、準確，為安全分析和掌握整體安全態(tài)勢打下基礎。數(shù)據(jù)采集框架如圖2 所示。

圖2 安全數(shù)據(jù)匯聚接入

流量采集器以網(wǎng)絡旁路的形式部署各節(jié)點核心交換機處，對關鍵網(wǎng)絡鏡像流量采集后進行流量還原和分析，生成流量日志和流量告警信息。其中流量日志主要記錄數(shù)據(jù)包的時間、IP 地址、端口、協(xié)議信息等；流量告警是流量數(shù)據(jù)還原后與病毒庫、特征庫等進行比對，分析威脅形成告警信息。通過對網(wǎng)絡元數(shù)據(jù)、網(wǎng)絡傳輸數(shù)據(jù)、載荷行為數(shù)據(jù)等信息的全要素、細粒度記錄，提升對定向攻擊、高級威脅的發(fā)現(xiàn)和溯源能力，從而達到對潛在威脅、未知威脅的持續(xù)檢測效果。

日志采集器進行日志、告警信息的采集。日志信息采集對終端主機（終端防護軟件）、網(wǎng)絡設備、安全防護設備、漏洞掃描設備等進行日志和告警信息采集，具體包括業(yè)務服務器、業(yè)務終端、路由器、交換機、防火墻、流量探針、網(wǎng)絡隔離設備、安全管理系統(tǒng)、漏洞掃描設備等。終端主機的數(shù)據(jù)采集通過終端安全管控軟件、殺毒軟件等終端現(xiàn)有客戶端軟件，從業(yè)務網(wǎng)中的計算機及各類終端資產(chǎn)中采集各類安全數(shù)據(jù)，采集終端產(chǎn)生的所有全量數(shù)據(jù)，包括違規(guī)日志數(shù)據(jù)、補丁信息數(shù)據(jù)、終端中毒情況、終端日志數(shù)據(jù)等；網(wǎng)絡設備的數(shù)據(jù)采集主要采集日志信息和狀態(tài)信息等；安全防護設備的數(shù)據(jù)采集主要采集接入策略日志、報警日志、操作日志和狀態(tài)信息等；漏洞掃描設備的數(shù)據(jù)采集主要采集漏洞信息。

資產(chǎn)探測器采用主動探測方式對網(wǎng)絡內的所有終端、網(wǎng)絡和安全防護設備進行周期性掃描探測和識別，獲取資產(chǎn)的類型、IP 地址、操作系統(tǒng)、軟件版本、協(xié)議、服務、開放的端口等信息，信息通過API 調用方式上報至安全數(shù)據(jù)總線。

2.2 安全數(shù)據(jù)處理分析

安全數(shù)據(jù)處理分析是安全態(tài)勢準確感知呈現(xiàn)的重要保證，系統(tǒng)在安全體系的保障及標準體系的指導下，通過建設數(shù)據(jù)接入、數(shù)據(jù)處理、數(shù)據(jù)組織、數(shù)據(jù)分析、數(shù)據(jù)治理和信息共享服務，全方位打造“采集”“融合”“服務”于一體的大數(shù)據(jù)處理分析。數(shù)據(jù)分析處理邏輯架構如圖3 所示。

圖3 數(shù)據(jù)分析處理邏輯架構

數(shù)據(jù)接入部分負責多元異構數(shù)據(jù)的高效、靈活接入與分發(fā)。

數(shù)據(jù)處理利用數(shù)據(jù)治理的成果以及知識庫中的模型、規(guī)則等知識，完成數(shù)據(jù)組織中原始庫、資源庫、主題庫、業(yè)務庫等的構造，產(chǎn)生數(shù)據(jù)關聯(lián)信息，實現(xiàn)數(shù)據(jù)融合，提升數(shù)據(jù)價值。

數(shù)據(jù)治理通過管理數(shù)據(jù)資源目錄、元數(shù)據(jù)、分級分類、血緣關系等信息，定義數(shù)據(jù)匯聚于融合后的期望效果，規(guī)范數(shù)據(jù)組織形式，對數(shù)據(jù)質量進行管控，通過運維手段確保數(shù)據(jù)全生命周期的運行。

表1 數(shù)據(jù)組織類別

數(shù)據(jù)組織規(guī)范了數(shù)據(jù)價值逐步提升過程中數(shù)據(jù)的組織、展示形態(tài)。數(shù)據(jù)組織類別如表1所示。原始庫是對所有不同來源的數(shù)據(jù)按原格式進行存儲，支持所有數(shù)據(jù)類型，因此原始庫的數(shù)據(jù)組織方式與接入時的數(shù)據(jù)組織方式直接一一對應，不對數(shù)據(jù)做任何處理，所有原始日志信息和原始告警信息分別存于原始日志庫和原始告警庫，用于后期攻擊威脅的追蹤溯源；資源庫對原始庫里的數(shù)據(jù)按照一定的規(guī)則進行過濾、清洗、標準化，并按業(yè)務使用規(guī)則或屬性規(guī)則等進行整合加工與匯總，為整個平臺提供基礎數(shù)據(jù)資源支撐的數(shù)據(jù)集合；主題庫是在資源庫的基礎之上進行抽象，依據(jù)本體邏輯建模（LDM）方法，構建了相關領域的實體及關系；知識庫是指網(wǎng)絡安全領域或與網(wǎng)絡安全專業(yè)領域相關的特征知識數(shù)據(jù)和規(guī)則方法集合，包括一些全領域共享的特定知識性數(shù)據(jù)集合，知識庫的數(shù)據(jù)來源比較廣，既有從現(xiàn)有各業(yè)務系統(tǒng)中提煉的相關知識類信息，也有在數(shù)據(jù)處理過程的不同階段累積的知識類數(shù)據(jù)，同時這些數(shù)據(jù)又對進入平臺的各類業(yè)務數(shù)據(jù)的匯聚融合、分析挖掘、價值提升等提供了指導性的規(guī)則。

數(shù)據(jù)分析通過使用資源庫、主題庫、業(yè)務庫的數(shù)據(jù)，結合已有知識庫信息，通過分析、挖掘手段構建分析模型，完成知識庫的更新積累，為數(shù)據(jù)處理及數(shù)據(jù)服務提供智能化支撐。

數(shù)據(jù)服務給上層應用提供透明、一致、靈活的數(shù)據(jù)服務。

2.3 安全態(tài)勢呈現(xiàn)

以往的安防系統(tǒng)建設往往呈現(xiàn)一種“煙囪林立”的狀態(tài)，大量的安防設備在功能上重疊，數(shù)據(jù)卻無交互，產(chǎn)生的海量告警信息、安全日志信息需要耗費大量時間和精力去判別維護。本系統(tǒng)以安全大數(shù)據(jù)、業(yè)務建模、機器學習等先進技術手段為支撐，通過改造、集成業(yè)務承載網(wǎng)內各類安全基礎設施，通過采集網(wǎng)絡流量，安全日志、安全告警、威脅情報等安全數(shù)據(jù)，利用數(shù)據(jù)分析和機器學習技術，分析網(wǎng)絡行為及用戶行為等因素，對網(wǎng)絡當天狀態(tài)和發(fā)展趨勢進行分析和預測，將采集和處理分析的數(shù)據(jù)結果，依托態(tài)勢感知系統(tǒng)軟件，運用可視化技術將其轉化為易于理解的曲線圖表形式呈現(xiàn)，實現(xiàn)安全事件、攻擊路徑、地域可視化，降低運維難度。

3 系統(tǒng)實現(xiàn)和測試

完成設備安裝部署后，進行系統(tǒng)調試測試，對設備參數(shù)配置、功能和性能進行檢查，錄入部分各類參試硬件設備參數(shù)測試，測試資產(chǎn)管理模塊功能。測試表明，資產(chǎn)管理支持按單位、站點管理，支持手動及自動發(fā)現(xiàn)軟硬件資產(chǎn)；支持對主機設備、網(wǎng)絡設備、安全設備、應用系統(tǒng)等設備的識別，具體包括交換機、路由器、防火墻、Windows 服務器、Linux 服務器、SQL Server、Oracle、DB2、MySQL 等；支持對網(wǎng)絡中設備數(shù)量和類型的分類統(tǒng)計；支持對內網(wǎng)操作系統(tǒng)的識別，能夠準確獲取操作系統(tǒng)具體版本；支持對操作系統(tǒng)和版本的手動修正；支持對內網(wǎng)設備類型、開放端口、開放服務等多種屬性識別，能感知網(wǎng)絡內設備的變更事件，記錄設備類型、操作系統(tǒng)、交換機IP、交換機端口變更等詳細信息；能夠感知網(wǎng)絡設備屬性，對網(wǎng)絡設備狀態(tài)、網(wǎng)絡性能、CPU 利用率、內存利用率等監(jiān)控，設備面板管理，可以對重點端口進行流量監(jiān)控并且配置告警閾值；通過掃描引擎能夠對已知及未知的資產(chǎn)信息進行有效補充，擴大監(jiān)管范圍，破除監(jiān)管盲點。資產(chǎn)管理模塊的硬件資產(chǎn)統(tǒng)計如圖4 所示。

圖4 資產(chǎn)統(tǒng)計

用戶和角色管理部分，支持對系統(tǒng)用戶所屬組織機構進行管理，角色管理支持對系統(tǒng)角色的添加、修改刪除、查看等操作，綁定登錄用戶信息和用戶組信息，構成整個平臺的數(shù)據(jù)權限體系，系統(tǒng)可以靈活自定義根據(jù)需求預置相應的角色。系統(tǒng)管理員給各站建立一個可以查看對應各單位設備、網(wǎng)絡安全態(tài)勢信息的用戶，各站可自行查詢本單位的網(wǎng)絡安全態(tài)勢，將各站通信崗位人員納入安全運維行列，節(jié)省中心網(wǎng)管人員時間精力，擴大了全單位安全運維隊伍，從人員的角度提升整體安全運維能力。

安全態(tài)勢感知實現(xiàn)對安全態(tài)勢進行評估和多維度呈現(xiàn)。網(wǎng)絡數(shù)據(jù)流量采集后，通過惡意代碼分析、異常流量分析、威脅分析等技術進行攻擊行為分析，以此來評估當前網(wǎng)絡的整體安全態(tài)勢，以使用單位為視角，對本單位監(jiān)管范圍下的單位安全狀態(tài)進行監(jiān)測，并且根據(jù)系統(tǒng)內置的風險評估算法給出當前被監(jiān)管單位整體分級的安全評估。基于威脅發(fā)現(xiàn)和風險分析的結果，對攻擊者進行信息獲取和深度分析，同時對安全事件、風險評估、資產(chǎn)信息、漏洞信息進行綜合分析，形成攻擊鏈和攻擊者畫像等信息，從全網(wǎng)和各單位角度對多種信息進行整合呈現(xiàn)，實現(xiàn)安全態(tài)勢的監(jiān)測和展示，包括全網(wǎng)的綜合安全態(tài)勢、區(qū)域安全態(tài)勢、資產(chǎn)態(tài)勢和攻擊態(tài)勢等。

綜合態(tài)勢呈現(xiàn)，可根據(jù)需要定制顯示攻擊事件類型、攻擊源、受影響單位、安全事件同比環(huán)比分析、安全事件等級分布、安全事件實時監(jiān)測、安全事件趨勢分析等模塊可視化呈現(xiàn)當前綜合安全態(tài)勢，實時展示各個維度的安全威脅同比變化比例，便于迅速及時掌握整個網(wǎng)絡空間安全現(xiàn)狀。綜合態(tài)勢大屏顯示如圖5 所示。

圖5 綜合態(tài)勢大屏

攻擊態(tài)勢主要是針對全網(wǎng)遭受攻擊狀況的可視化呈現(xiàn)。通過攻擊態(tài)勢頁面，可以直觀了解到所有監(jiān)控資源的脆弱性分布，遭受攻擊的情況以及最終受損的情況，實時感知當前發(fā)生的各種攻擊事件和資產(chǎn)威脅情況，展現(xiàn)攻擊者攻擊方式、攻擊來源及目的地址、攻擊頻次等信息，以3D 地球的方式進行實時攻擊展示，便于直觀了解攻擊源和攻擊目的關系和屬地關系，通過溯源挖掘分析這些事件產(chǎn)生的原因，掌握黑客攻擊路徑，提供處置建議和流程，提高運維質量和效率。攻擊態(tài)勢顯示如圖6 所示。

圖6 攻擊態(tài)勢

日志檢索模塊，記錄安全設備全部原始日志數(shù)據(jù)信息，可以更靈活調取各個時間段數(shù)據(jù)，并按需求自定義安全報表，定制記錄表單，滿足規(guī)范要求和安全檢查需求。

安全監(jiān)測模塊，根據(jù)事件類型、發(fā)生時間、次數(shù)展示近期的安全事件，包含威脅源、受影響資源、受影響資源所屬單位、站點信息，方便攻擊溯源，追查問題。

通報預警模塊，能對預警信息進行匯總、分析、研判，并及時將情況上報、通報、下達，采用特定對象安全評估通報、定期綜合通報、突發(fā)事件通報、專項通報等方式進行通報。事件分析展示安全事件相關單位、責任部門、域名IP、事件類型等信息，可及時發(fā)布通告預警督促相關單位進行整改和治理，權責清晰，形成監(jiān)管閉環(huán)。如圖7 所示為某單位某IP 對應的通報預警統(tǒng)計。

圖7 通報預警

驗證測試表明，業(yè)務承載網(wǎng)安全態(tài)勢感知系統(tǒng)對原有網(wǎng)絡及運行在此網(wǎng)絡上的應用系統(tǒng)無影響。通過安全態(tài)勢感知系統(tǒng)建設，實現(xiàn)了在保障網(wǎng)絡和應用系統(tǒng)正常運轉的前提下，運用大數(shù)據(jù)技術提升安全威脅發(fā)現(xiàn)能力，運用威脅情報提升攻擊檢測與追蹤溯源能力，運用可視化技術提升安全態(tài)勢呈現(xiàn)能力，運用安全數(shù)據(jù)聯(lián)動提升主動防御能力，運用智能化技術提升安全檢測評估能力，多維度全流程掌握業(yè)務承載網(wǎng)安全態(tài)勢，構建網(wǎng)絡安全監(jiān)控常態(tài)化、重點單位監(jiān)測持續(xù)化、網(wǎng)絡資源監(jiān)管全面化、預警響應機制高效化的網(wǎng)絡安全監(jiān)管體系，有效提升了整個系統(tǒng)的安全強度。

4 結 語

習近平總書記指出，維護網(wǎng)絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發(fā)生風險。正所謂“聰者聽于無聲，明者見于未形”。感知網(wǎng)絡態(tài)勢是最基本最基礎的工作。

結合業(yè)務承載的安全實際需求，建設集攻擊威脅發(fā)現(xiàn)、位置威脅預警、應急響應處置、安全態(tài)勢監(jiān)測為一體的網(wǎng)絡安全態(tài)勢感知系統(tǒng)，提升業(yè)務承載網(wǎng)的網(wǎng)絡安全監(jiān)測、感知和防御能力，確保業(yè)務承載網(wǎng)安全態(tài)勢可知、可控、可管，推動大數(shù)據(jù)驅動的網(wǎng)絡安全體系防御能力全面躍升。