网络安全态势感知系统结构及关键技术

赵佩咏

(武警工程大学，陕西 西安 710086)

20世纪末，Bass提出了网络中态势运行感知概念，这是网络安全概念与安全态势信息感知系统概念的复合概念，简称为网络安全态势感知，起初被应用于航空领域的交通安全监管，经过推广被应用到了网络安全管理方面。网络安全态势感知主要是以网络、网络中的安全监控设备与设备之间的日志、预告警作为基础，对网络系统进行实时动态化的综合分析，旨在解决网络安全问题。实践经验表明，网络安全态势感知系统通过模型方式搭建完成后，可以借助分布式网络入侵数据检测、数据相互融合分析的联合方式，对网络安全开展有效的态势综合评估。目前，人们在实际应用中增加了观察黑客网络攻击事件足迹、SSARE检测工具以及机器学习算法等，由此形成了多种适用广泛、适配性较高的态势感知技术。

网络安全态势感知主要是指在网络安全管理中应用的态势感知技术，在形式上属于一种网络安全管理产品，在内容上则以态势感知技术发挥作用[1]。自1999年提出该概念、形成理论、推广应用至今，该技术已经经历了3大发展阶段：(1)网络安全态势展示阶段；
(2)网络安全管理阶段；
(3)网络安全态势感知模型构建及应用阶段。目前，应用大数据技术、云计算技术、人工智能等可以根据应用主体的实际需求，选择不同的技术要素进行配置，并借助构建态势感知模型的方式，提供智能预警、自动跟踪、网络安全态势实时分析展示等。

以某企业为例，建立数据中心后，网络部署以防火墙、入侵检测等为主，当网络受到攻击时，可以生成大量安全日志，虽然能够实现追踪，但是在攻击行为的溯源方面存在较大难度。同时，在日常的监测预警方面没有设置有效手段，仍然采用人工方式检查，主动防护能力相对较弱。尤其在漏洞处置方面，通过演练与实践，基本可以达到漏洞处理目标，然而因弱口令暴力破解以及文件上传漏洞的存在，并不能很好地防御来自网络的攻击行为，整体上的网络安全防护自动化水平较低。为了有效解决攻击行为溯源难、主动监测预警能力差、漏洞处置自动化水平低的多重问题，该企业选择了网络安全态势感知技术，成功搭建了系统结构，并部署了相关技术。

该企业在分析了网络安全态势感知系统后，主要通过概念模型与结构模型的方式搭建系统结构。

3.1 概念模型

在概述模型方面，按照“三层次，四步骤”进行搭建：(1)基础概念层：为多源异构数据，包括IDS、防火墙、防病毒、安全审计等。(2)信息概念层：包括数据信息、特征信息、感知信息、态势信息。(3)概念应用层：主要分为特征提取、安全评估、态势感知、预警4大步骤。基础概念层、信息概念层、概念应用层中的各个概念构成要素之间，密切关联，构成了网络安全态势感知概念体系，并借助概念模型的方式进行呈现。

3.2 网络安全态势感知系统架构

以概念模型为基础，该企业分析了搭建的网络安全态势感知系统结构的两条线路：(1)数据源集成平台—特征提取—安全评估—态势感知—预警—态势可视化显示。(2)数据源集成平台—拓扑发现—安全拓扑生成—态势可视化显示。其中，第一条线路中的安全评估，主要包括评估模型、漏洞扫描、威胁评估，态势感知则以事件关联和海量数据处理为主。第二条线路中的安全拓扑生成环节与第一条线路中的安全评估、态势感知密切关联。因此，在应用网络安全态势感知概述模型、结构模型时，通常要求应用主体根据实际情况，利用二次开发的方式搭建与其需求相一致的系统架构[2]。该企业结合实际存在的困难，搭建了由数据采集、存储计算、BI展示层4大结构层组成的网络安全态势感知系统架构。具体如图1所示。

图1 网络安全态势感知系统架构

第一，数据采集层由若干探针硬件与安全管理软件组成，数据来源于脆弱性检测、安全威胁检测、行为审计3个方面，此类数据采集定位在与态势相关的元数据方面，包括信息安全产品的日志与告警和信息系统日志。例如，通过系统漏洞扫描与对Web平台漏洞扫描，可以实时获取外部情报、安全产品、日志代理、日志方面的脆弱性数据。再如，在网络应用过程中，可以通过安全威胁检测，对僵尸信息、木马程序、传播病毒等进行检测，同时对网络中应用的WNF，IDP，EDR，APR，DLP以及防火墙等开展安全威胁监测，尤其在网络数据中心DDos检测与网站监控方面，能够实现全面实时的检测，预防网络运行中的各类威胁。除此之外，借助智能分析与人工信息录入等方式，可以针对网络行为、数据库行为、日志开展动态审计，并将采集到的数据上传到存储计算层，通过该层的数据处理达到对数据的有效利用。

第二，存储分析层含有数据存储与数据分析两个子模块：(1)数据存储模块分设交换接口与数据清洗两个子模块，通过交换接口子模块可以完成对数据采集层获取数据的处理，功能包括SYSLOG、文件共享、数据库表、消息总线、API等。当交换接口子模块数据整理完成后，需要对数据进行清洗处理，因而在数据清洗子模块中，需要通过数据归一化、过滤、归并、打标签等进行分类[3]，在此基础上构成数据集群与关系数据库集群。(2)大数据分析模块将分类好的数据存储到存储计算引擎模块中的对应子模块，常用的模块有数据仓库、分布式检索、分布式计算、分布式文件存储、关系型数据库，旨在实现数据的标准化存储。然后，利用大数据分析引擎得到数据结果，为核心业务层进一步应用提供数据支持。

第三，核心业务层将重点放在企业的资产管理、风险感知、预警管理3大业务。其中，资产管理业务通过探针识别、安全管理、风险分析进行操作。例如，在调查分析时，主要通过追踪溯源、告警分析、事件分析、脆弱性分析、威胁分析、资产分析，保障对数据存储计算获得数据中异常数据的抓取。在风险感知业务中，主要根据溯源分析、关联分析、威胁预警分析模块进行业务分析，操作时借助对安全事件、攻击威胁、网站、脆弱性的实时监测，实时为安全处置模块提供风险数据，并通过该模块中的处置工作台与统计报表，完成风险数据处理，同时利用集中管控模块为其提供本土地策略管理、在线策略管理以及配置备份。在预警管理业务中，按照风险预警、安全威胁预警、安全事件预警进行管理。考虑到资产管理处于核心地位，因而根据实际情况细化了资产管理模块，并进行资产维护管理、资产属性管理、资产识别，从而使威胁情报、安全知识通过报表的形式发送到态势大屏中。需要注意的是，在核心业务层中能够由用户根据自身的业务，开展用户管理、日志转发、安全配置、系统维护。核心业务层与存储分析层之间关联密切，一旦存储计算层中存在实时数据更新，就可以直接发送到核心业务层，由其中的相关模块开展运算分析。

第四，在B1展示层，操作网络安全态势感知的主要界面设置了“安全态势可视化→告警可视化→自定义展示→资产可视化→报表评估曲线展示”。从应用经验来看，可以在大屏中通过全网态势、威胁态势、安全底图、安全处置、专题态势、自定义态势模块，开展网络安全管理[4]。尤其是在大屏功能中，配套建立了知识库，能够利用以“知识积累—知识创造—知识应用—形成知识平台—持续更新与循环”为基本环节的“循环+升级”模式，持续深化网络安全态势感知系统。

4.1 攻击行为分析技术

该企业网络受到攻击时，主要包括预攻击、攻击、后攻击3个阶段。第一阶段，旨在收集信息；
第二阶段，重点放在对初步权限的提取方面；
最后一个阶段，则会对系统相关数据进行清除处理，并进行渗透控制。例如，在外部攻击中，该企业通过实时聚类的办法，克服开源聚类算法方面的批次聚类不足，对动态产生的安全日志进行聚类后实施多维加权相似性计算。然后，根据预分类进行聚类处理，结合攻击算法的多维攻击方式，采用流式聚类方案，从而在较低资源占用条件下，针对不同攻击场景，实施最大效用的智能分析。通过防御体系的建立及安全监测，该系统每日可以监测的境内外疑似攻击行为数量大于10 000起，其中IP300条以上恶意攻击可以快速监测并识别，结合应急处置演练方法进行有效处理。

4.2 主机恶意行为监测技术

该企业在网络安全态势感知系统中应用了大数据技术，而且借助类技术实施了虚拟化数据中心升级。考虑到虚拟主机恶意下载、恶意软件检测以及恶意识别等现象，该企业将网络安全态势感知技术与虚拟数据中心进行了关联，能够针对不同主机恶意行为开展智能监测。例如，在木马程序、蠕虫病毒、僵尸恶意代码等方面，随着对家族变种与代码演化技术，其恶意攻击行为越来越隐蔽。在这种情况下，借助网络安全感知系统数据采集层设置的安全威胁监测模块，实时跟踪相关恶意代码并对其开展全过程分析，在其不同的阶段发起识别与安全处理。尤其在入侵组织识别、文件信誉评定、家族变种识别等方面，该企业借助“网内风险排查→感知→分析→处置”为主的闭环管理达到了较好的主机监测效果。

4.3 安全信息和事件管理技术

该企业通过网络安全态势感知系统开展安全信息和事件管理(SIEM)时，主要采用与第三方安全设备等联合方式进行操作。该企业具体应用了SIEM分析系统，通过安全设备、AI机器学习，在“数据来源→数据采集&存储→关联分析→数据展示”的基本框架下，开展深入而细致的数据标准化分析[5]。在事件管理方面，该企业通过演习期实践，发现三级应用系统、工程控制系统、门户网站、OA系统、外网电子邮件系统等均没有被攻陷。另外，该企业在用户体验方面增加了账号登录、外发数据、访问、数据库、外联等方面的异常情况分析功能，借助网络模型训练完成对相关行为的画像后，再结合基线画线检测超阈值画线，得到行为异常数据。配套应用的决策树、聚类等计算处理模型保障了系统的良好运行。

总之，网络系统的运用为各行业企业管理提供了技术支持，有利于提升管理效率，扩增可营利空间。在新时期高质量发展阶段，有必要结合网络安全管理需求，进一步增强对网络安全态势感知技术的运用。通过以上初步分析可以看出，网络安全态势感知技术先后经历了3大发展阶段，现阶段的应用主要结合数字化技术，通过搭建态势感知模型的方式，开展网络安全态势分析。其中，应用的关键技术包括智能分析外部攻击、智能监测主机恶意行为、安全信息和事件管理、分析用户实体行为等。因此，建议在当前阶段，尽可能加强对态势感知技术与智能算法的融合研究，为其网络安全智能化管理提供技术支撑。