網(wǎng)絡(luò)安全態(tài)勢(shì)感知及關(guān)鍵技術(shù)研究

李慧敏 周勇

【摘 ?要】網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)安全狀況發(fā)生變化的安全要素進(jìn)行獲取、分析、可視化，并預(yù)測(cè)發(fā)展趨勢(shì)，為決策和后續(xù)處置提供依據(jù)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)是通過采集網(wǎng)絡(luò)流量、安全日志、安全告警、威脅情報(bào)等安全數(shù)據(jù)，利用數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)，分析網(wǎng)絡(luò)行為及用戶行為等因素，并對(duì)網(wǎng)絡(luò)當(dāng)前狀態(tài)和發(fā)展趨勢(shì)進(jìn)行分析和預(yù)測(cè)的系統(tǒng)。

【關(guān)鍵詞】網(wǎng)絡(luò)安全態(tài)勢(shì);感知;關(guān)鍵技術(shù)

1網(wǎng)絡(luò)安全態(tài)勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一門針對(duì)現(xiàn)今的網(wǎng)絡(luò)安全問題所提出的網(wǎng)絡(luò)安全技術(shù)。該技術(shù)起源于20世紀(jì)80年代，在美國(guó)軍事領(lǐng)域中被提出。美國(guó)空軍提出了態(tài)勢(shì)感知的概念，覆蓋感知（感覺）、理解和預(yù)測(cè)三個(gè)層次。因?yàn)闀r(shí)代的發(fā)展與網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)中各類網(wǎng)絡(luò)安全問題的出現(xiàn)，網(wǎng)絡(luò)安全態(tài)勢(shì)感知逐漸的被網(wǎng)絡(luò)安全人員們所熟知、研究與運(yùn)用。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)是使用各種網(wǎng)絡(luò)安全技術(shù)進(jìn)行數(shù)據(jù)的挖掘研究分析與處理，然后提供一個(gè)當(dāng)前的網(wǎng)絡(luò)安全示意圖，讓網(wǎng)絡(luò)安全管理員可以清楚的了解當(dāng)前的網(wǎng)絡(luò)安全狀況，通過了解到的狀況進(jìn)行分析，以采取對(duì)應(yīng)的保護(hù)方式，達(dá)到保護(hù)網(wǎng)絡(luò)安全的作用。數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)融合技術(shù)、智能分析以及可視化等技術(shù)可以幫助網(wǎng)絡(luò)安全態(tài)勢(shì)感知實(shí)現(xiàn)更好的網(wǎng)絡(luò)保護(hù)。網(wǎng)絡(luò)安全管理員利用安全態(tài)勢(shì)感知技術(shù)來實(shí)時(shí)了解網(wǎng)絡(luò)情況，根據(jù)所了解的信息去采取有效措施保護(hù)網(wǎng)絡(luò)安全。

2網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)架構(gòu)

早期的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)是通過對(duì)海量安全數(shù)據(jù)的采集，采用數(shù)據(jù)分析技術(shù)識(shí)別海量安全數(shù)據(jù)中有價(jià)值的信息，并展示為可理解的報(bào)告和圖表，從而讓網(wǎng)絡(luò)安全人員通過報(bào)告和圖表數(shù)據(jù)去發(fā)現(xiàn)和分析全網(wǎng)的安全威脅。近年來，隨著大數(shù)據(jù)技術(shù)的出現(xiàn)和發(fā)展，安全技術(shù)與大數(shù)據(jù)技術(shù)充分融合，極大地增強(qiáng)了安全檢測(cè)與分析能力，推動(dòng)了安全態(tài)勢(shì)感知的發(fā)展，主要表現(xiàn)在APT截獲、威脅感知和威脅情報(bào)共享等方面。

3網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要功能

1）可視。通過多維度的安全數(shù)據(jù)儀表盤，涵蓋網(wǎng)絡(luò)安全監(jiān)測(cè)的重點(diǎn)環(huán)節(jié)，將網(wǎng)絡(luò)重點(diǎn)環(huán)節(jié)的實(shí)時(shí)運(yùn)行及安全狀態(tài)多維度地展示給網(wǎng)絡(luò)安全人員，以便網(wǎng)絡(luò)安全人員及時(shí)掌握網(wǎng)絡(luò)安全整體狀況。

2）可知。通過安全數(shù)據(jù)全量管理。收集的安全數(shù)據(jù)包括操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫(kù)的安全配置和安全日志等信息，并提供安全日志的全文檢索功能，便于網(wǎng)絡(luò)安全人員從海量日志查找和關(guān)聯(lián)相關(guān)安全日志。在全量收集各種安全數(shù)據(jù)的基礎(chǔ)上，充分利用大數(shù)據(jù)技術(shù)，從海量數(shù)據(jù)中挖掘高價(jià)值信息，偵測(cè)是否存在異常網(wǎng)絡(luò)行為。

3）可管。通過監(jiān)測(cè)操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫(kù)的安全配置和安全日志，結(jié)合安全基線、威脅情報(bào)和知識(shí)庫(kù)進(jìn)行多維度安全分析，對(duì)發(fā)現(xiàn)的漏洞和脆弱性及時(shí)處置。

4）可控。充分利用大數(shù)據(jù)的分析模型和機(jī)器學(xué)習(xí)等算法，為用戶建立行為畫像，可以基于已知威脅檢測(cè)和異常行為分析來發(fā)現(xiàn)多態(tài)惡意代碼、APT攻擊、0day攻擊等未知威脅攻擊，并對(duì)分析出來的安全事件、異常行為等進(jìn)行實(shí)時(shí)告警，通過可視化展現(xiàn)、郵件、手機(jī)APP等方式及時(shí)通報(bào)給相關(guān)網(wǎng)絡(luò)安全人員進(jìn)行處置。

5）可溯。通過威脅情報(bào)、規(guī)則匹配和大數(shù)據(jù)分析模型等技術(shù)對(duì)給定的安全事件進(jìn)行追蹤溯源，刻畫網(wǎng)絡(luò)安全事件的攻擊路徑，為網(wǎng)絡(luò)安全人員采取措施和溯源提供依據(jù)。

6）可預(yù)警。實(shí)時(shí)動(dòng)態(tài)展示當(dāng)前網(wǎng)絡(luò)安全狀況，并呈現(xiàn)一定時(shí)間內(nèi)整個(gè)網(wǎng)絡(luò)空間環(huán)境安全要素，從已知數(shù)據(jù)推演分析將要發(fā)生的安全事件，實(shí)現(xiàn)對(duì)安全威脅事件的預(yù)測(cè)和判斷發(fā)生的概率。

4網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)

4.1多源異構(gòu)數(shù)據(jù)的采集與融合

目前，在企業(yè)網(wǎng)絡(luò)中，安全數(shù)據(jù)和日志數(shù)據(jù)由各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生，且這些數(shù)據(jù)缺乏統(tǒng)一標(biāo)準(zhǔn)與關(guān)聯(lián)，分析各自獨(dú)立的數(shù)據(jù)，無法得到全局精準(zhǔn)的分析結(jié)果，因此，建設(shè)統(tǒng)一的大數(shù)據(jù)日志分析平臺(tái)，進(jìn)行集中化的存儲(chǔ)、備份、查詢、審計(jì)、告警和分析，實(shí)現(xiàn)日志的全生命周期管理，從宏觀上感知全局的風(fēng)險(xiǎn)及安全態(tài)勢(shì)，智能感知威脅，獲悉全局的安全態(tài)勢(shì)，提升企業(yè)信息安全管理能力顯得尤其重要。由于企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)及各種應(yīng)用系統(tǒng)等多源異構(gòu)數(shù)據(jù)，就要求網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)具備支持Syslog、SNMPTrap、UDP/TCP、WebService、ODBC、JDBC等多種數(shù)據(jù)協(xié)議類型數(shù)據(jù)采集能力，具備多種安全采集工具，為態(tài)勢(shì)感知平臺(tái)的上層分析研判業(yè)務(wù)提供有力的支撐。

4.2數(shù)據(jù)挖掘技術(shù)

隨著信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)的不斷應(yīng)用，網(wǎng)絡(luò)上存在著大量數(shù)據(jù)。如何將海量的數(shù)據(jù)進(jìn)行分析，找到其中所存在的各種關(guān)聯(lián)關(guān)系，這時(shí)候就需要數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘泛指從海量的數(shù)據(jù)信息中發(fā)現(xiàn)和提取出有用的信息，而專業(yè)解釋是，數(shù)據(jù)挖掘是從大量不完整、噪聲、模糊、隨機(jī)的實(shí)際應(yīng)用中發(fā)現(xiàn)數(shù)據(jù)之間的規(guī)律和數(shù)據(jù)之中所隱含的意義等，但又有潛在有用的并且最終可理解的信息和只是的非平凡過程。如今，數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域中所存在的技術(shù)有：聚類分析與關(guān)聯(lián)分析。聚類分析是，根據(jù)數(shù)據(jù)的不同特征與性質(zhì)將數(shù)據(jù)分為不同的簇，沒一個(gè)簇在數(shù)據(jù)的特征中都具備一定的相似性。關(guān)聯(lián)分析是。將海量、繁多復(fù)雜的數(shù)據(jù)進(jìn)行分

4.3態(tài)勢(shì)預(yù)測(cè)技術(shù)

態(tài)勢(shì)預(yù)測(cè)技術(shù)是指分析以前的網(wǎng)絡(luò)安全資料信息，把以前的實(shí)踐經(jīng)驗(yàn)同現(xiàn)今發(fā)展的理論整合、分析來預(yù)測(cè)網(wǎng)絡(luò)安全未來的情況。網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)展擁有不確定性，并且預(yù)測(cè)的性質(zhì)、范圍及對(duì)象等會(huì)導(dǎo)致預(yù)測(cè)的方法不同。根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的屬性可以分為三種：因果預(yù)測(cè)方法、定性預(yù)測(cè)方法和時(shí)間序列分析法。因果預(yù)測(cè)方法是指：在系統(tǒng)變量之間的各類關(guān)系的基礎(chǔ)上，確定某些因素將可能會(huì)造成什么樣的結(jié)果，然后建立與其對(duì)應(yīng)的數(shù)學(xué)模型關(guān)系，通過模型中因素的變化，來對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行未來方向和趨勢(shì)的預(yù)測(cè)。定性預(yù)測(cè)方法是指：將一切的網(wǎng)絡(luò)系統(tǒng)同現(xiàn)在的網(wǎng)絡(luò)安全數(shù)據(jù)結(jié)合起來，人們將基于直覺邏輯對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估和判斷。時(shí)間序列分析法是指：研究過去的信息同時(shí)間之間的關(guān)系，然后對(duì)接下來的系統(tǒng)變量進(jìn)行預(yù)測(cè)。因?yàn)檫@種方式只參考了時(shí)間變化而引起的系統(tǒng)性能變量，所以比較適合應(yīng)用在依據(jù)簡(jiǎn)單統(tǒng)計(jì)數(shù)據(jù)隨著時(shí)間而改變的對(duì)象。

4.4態(tài)勢(shì)要素獲取技術(shù)

態(tài)勢(shì)要素的獲取是實(shí)現(xiàn)態(tài)勢(shì)感知的基礎(chǔ)，從多樣的網(wǎng)絡(luò)設(shè)備中進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的分析與處理以此得到態(tài)勢(shì)要素，這些數(shù)據(jù)是多維的、異構(gòu)的、大規(guī)模的，并且這些數(shù)據(jù)中存在很多冗雜的信息。發(fā)現(xiàn)網(wǎng)絡(luò)中的異常信息是獲取態(tài)勢(shì)要素的關(guān)鍵。

結(jié)語

網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)仍在不斷的發(fā)展，各種關(guān)鍵的技術(shù)不斷的被研究出來但當(dāng)今還存在著不少問題，如信息格式不統(tǒng)一、事件關(guān)聯(lián)性的處理方式、如何提高態(tài)勢(shì)感知系統(tǒng)的響應(yīng)速度以及態(tài)勢(shì)感知系統(tǒng)的負(fù)荷等等還有待進(jìn)一步的研究。

參考文獻(xiàn)：

[1]李奎.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[J].電腦知識(shí)與技術(shù)，2016，12（32）：26-28.

[2]陳娜.網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系及關(guān)鍵技術(shù)研究[J].自動(dòng)化與儀器儀表，2015（01）：47-49.