基于態(tài)勢感知技術(shù)的專用網(wǎng)信息安全研究

梁志達(dá) 孫瑩

摘要：隨著信息化建設(shè)的不斷推進(jìn)，網(wǎng)絡(luò)安全事件也隨之增加，給使用專用網(wǎng)單位信息化網(wǎng)絡(luò)及服務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行造成巨大的威脅。態(tài)勢感知防護(hù)技術(shù)可以實(shí)時(shí)分析并研判出已知的安全漏洞和預(yù)測未來有哪些可持續(xù)攻擊行為的發(fā)生，通過相應(yīng)的安全策略細(xì)粒度嚴(yán)格過濾每一個(gè)數(shù)據(jù)包的內(nèi)容，通過態(tài)勢感知系統(tǒng)聯(lián)動(dòng)各個(gè)防火墻設(shè)備以及EDR和NDR的邊界設(shè)備做到實(shí)時(shí)精準(zhǔn)打擊且不放過任何一個(gè)可疑的數(shù)據(jù)包，通過不斷的演練的攻防讓態(tài)勢感知系統(tǒng)學(xué)習(xí)到更多的特征和行為做到統(tǒng)領(lǐng)全局的效果。

關(guān)鍵詞：態(tài)勢感知技術(shù);信息安全;安全策略

中圖分類號(hào)：TP393 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）02-0048-03

1 背景

態(tài)勢感知是對(duì)整體的網(wǎng)絡(luò)環(huán)境和在網(wǎng)絡(luò)節(jié)點(diǎn)中分布探針系統(tǒng)，通過收集環(huán)境中的數(shù)據(jù)信息通過綜合判斷和判別融合大數(shù)據(jù)進(jìn)行的一種分析過濾并通過直觀的界面展示出來的一種數(shù)據(jù)分析形式[1]。

通過態(tài)勢感知可以快速地溯源數(shù)據(jù)包的來源和威脅情況從而快速定位問題出現(xiàn)的方位和對(duì)網(wǎng)絡(luò)整體造成的影響，從而立體地對(duì)網(wǎng)絡(luò)的東西向和南北向的數(shù)據(jù)流量增加安全防護(hù)[2]。

2 建立智能一體化的專用網(wǎng)信息安全中心

2.1 現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)不滿足信息化的腳步

針對(duì)部分專用網(wǎng)單位中的網(wǎng)絡(luò)設(shè)備多數(shù)還以路由交換為主，但這些設(shè)備有強(qiáng)大的數(shù)據(jù)轉(zhuǎn)發(fā)能力的前提下卻不能滿足對(duì)數(shù)據(jù)包七層的分析過濾等特征分析的功能，各通信站或者下屬單位沒有直接明顯的邊界區(qū)域概念，即使有防火墻但并不是智能下一代防火墻，因此對(duì)于數(shù)據(jù)的分析和判別不精準(zhǔn)對(duì)APT攻擊防護(hù)更是無能為力。APT名字來源 Advanced（高級(jí)）Persistent（持續(xù)）Threat（威脅），中文全稱高級(jí)持續(xù)性威脅。是一種可以說“蓄謀已久”的攻擊，基本可以大體上分為以下幾個(gè)過程進(jìn)行攻擊：

第一階段：掃描探測目標(biāo)

在這個(gè)階段攻擊者會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)環(huán)境進(jìn)行長時(shí)間的掃描或者通過社工學(xué)等一系列方式來找到目標(biāo)網(wǎng)絡(luò)環(huán)境有哪些可以值得利用的漏洞信息和爆破信息。

第二階段：工具的投放

一旦攻擊者找到可以值得利用的漏洞后，攻擊者會(huì)采取各式各樣的辦法方式將產(chǎn)生的惡意代碼、惡意木馬、惡意的URL、甚至是偽裝后惡意郵件發(fā)送給目標(biāo)，目標(biāo)打開連接后可能不會(huì)直接觸發(fā)后面程序，經(jīng)過長時(shí)間潛伏期后將收集的網(wǎng)絡(luò)環(huán)境的信息發(fā)送給攻擊者，待時(shí)機(jī)成熟后大面積開展持續(xù)攻擊以獲取重要數(shù)據(jù)和破壞環(huán)境中其他主機(jī)。

第三階段：遠(yuǎn)程服務(wù)建立

信息收集后將中毒或者正處于潛伏期的網(wǎng)絡(luò)設(shè)備悄悄地與黑客主機(jī)或者服務(wù)器建立遠(yuǎn)程連接，并留出大量后門和提升自己的權(quán)限以獲取足夠的權(quán)限來控制“肉雞”。

第四階段：立體擴(kuò)展攻擊網(wǎng)絡(luò)

以點(diǎn)成線，以線成面，以面成體。這個(gè)過程是一個(gè)立體化的攻擊結(jié)構(gòu)，通過入侵一個(gè)點(diǎn)來橫向擴(kuò)展到其他主機(jī)，再通過其他主機(jī)獲取交換、路由、防火墻等一系列網(wǎng)絡(luò)設(shè)備的權(quán)限，做到由內(nèi)而外地全面入侵。

第五階段：全面攻擊和控制

把一些有價(jià)值的數(shù)據(jù)和敏感數(shù)據(jù)通過加密的方式傳輸?shù)焦粽呋蛘吣骋粋€(gè)公開數(shù)據(jù)庫中，通過受害主機(jī)為跳板把數(shù)據(jù)打包或者隱匿起來等待時(shí)機(jī)傳輸，而大部分網(wǎng)絡(luò)中對(duì)內(nèi)而外的數(shù)據(jù)包過濾和檢測都不十分關(guān)注，對(duì)于專用網(wǎng)單位來說更是要引起高度重視和關(guān)注。

2.2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)模型

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)充分利用大數(shù)據(jù)技術(shù)，融合多種探知檢測系統(tǒng)，提供了大數(shù)據(jù)存儲(chǔ)計(jì)算、數(shù)據(jù)挖掘分析、場景引擎分析、大數(shù)據(jù)建模分析、態(tài)勢分析、調(diào)查分析、安全監(jiān)測、安全處置、集中策略管控、資產(chǎn)管理、威脅情報(bào)等核心功能，幫助用戶實(shí)現(xiàn)全面的態(tài)勢感知。探知檢測系統(tǒng)主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，探知終端行為，發(fā)現(xiàn)網(wǎng)站漏洞、掛馬、篡改，檢測流量中的木馬控制、入侵及網(wǎng)絡(luò)訪問，收集網(wǎng)絡(luò)、安全、應(yīng)用等設(shè)備及系統(tǒng)日志，實(shí)現(xiàn)摸清網(wǎng)絡(luò)家底。挖掘分析建立情報(bào)關(guān)聯(lián)、攻擊檢測、IP畫像、態(tài)勢分析等模型對(duì)探知檢測到的數(shù)據(jù)分析全面找出網(wǎng)絡(luò)風(fēng)險(xiǎn)。信息檢索及探索分析支撐專家進(jìn)行風(fēng)險(xiǎn)確認(rèn)和漏洞追溯。通報(bào)處置支撐風(fēng)險(xiǎn)事件流程化處置。威脅情報(bào)管理匯集多種情報(bào)源，提升風(fēng)險(xiǎn)認(rèn)清效率。從而實(shí)現(xiàn)全網(wǎng)資產(chǎn)采集探測、動(dòng)態(tài)聯(lián)動(dòng)漏洞掃描設(shè)備、一鍵管理防火墻和IDS策略、全天候網(wǎng)站異常監(jiān)測、多事件關(guān)聯(lián)分析、反向追蹤溯源、資產(chǎn)失陷研判、威脅IP畫像、可視化建模分析、自定義場景引擎組合、多維度可視化態(tài)勢展示等[3]。

2.3 數(shù)據(jù)預(yù)處理和特征選擇

態(tài)勢感知首先是通過部署節(jié)點(diǎn)探針通過流量鏡像的方式來獲取網(wǎng)絡(luò)當(dāng)中的數(shù)據(jù)包，同時(shí)采集日志審計(jì)設(shè)備、防火墻、IPS、IDS、NDR、EDR等日志信息的流量特征[4]。

收集底層數(shù)據(jù)后進(jìn)行篩檢和過濾將不重要的數(shù)據(jù)包和特征過濾掉重點(diǎn)判斷和分析存在異常行為的數(shù)據(jù)來匹配特征庫進(jìn)行比對(duì)做出處理動(dòng)作。

特征收集是一個(gè)細(xì)粒度的分析過程，通過最小化最優(yōu)原則，將判斷后的結(jié)果分發(fā)到各個(gè)節(jié)點(diǎn)設(shè)備讓各節(jié)點(diǎn)采取處理動(dòng)作。特征的選擇一般有Filter 和Wrapper 這兩類， 當(dāng)然還有ABB 算法、Relief算法和LVW算法。這幾年的其他算法也起著重要的作用比如：遺傳算法、模擬退火算法。

3 基于態(tài)勢感知技術(shù)的專用網(wǎng)信息安全的具體做法

3.1 建立數(shù)據(jù)中心的安全中心，形成安全智慧大腦

基于態(tài)勢感知的智能安全中心是建立在大量探針的基礎(chǔ)上，通過這些探針收集、監(jiān)測目標(biāo)的安全狀態(tài)，并及時(shí)分析、處理信息網(wǎng)絡(luò)中各種威脅、攻擊等，從而提高整個(gè)信息網(wǎng)絡(luò)的安全性。專用網(wǎng)單位綜合各類主流技術(shù)，部署技術(shù)先進(jìn)，運(yùn)行穩(wěn)定的探針，具有以下功能：

1）感知探針能夠分析現(xiàn)存的大量數(shù)據(jù)協(xié)議，通過細(xì)粒度劃分可以精準(zhǔn)判斷數(shù)據(jù)的行為，感知探針設(shè)備一般性能非常強(qiáng)，可以將大量數(shù)據(jù)分析特征包的比對(duì)，同時(shí)面對(duì)現(xiàn)在數(shù)據(jù)爆發(fā)的時(shí)代，可以采用多級(jí)別、多節(jié)點(diǎn)、冗余等網(wǎng)絡(luò)架構(gòu)削弱數(shù)據(jù)帶來的壓力，做到層級(jí)式的網(wǎng)絡(luò)攔截分析。

2）感知探針同時(shí)可以加載多種引擎模塊比如IPS、AV等入侵和防病毒模塊，可以直接在探針層就可以把流量特征分析出來，以減輕態(tài)勢感知服務(wù)器的壓力，避免遭受木馬、蠕蟲、宏病毒和流量攻擊，以及腳本病毒的危害。

3）感知探針本身就是一臺(tái)具有特征庫和一定性能的設(shè)備，通過設(shè)備自身的收集信息的作用和效果大大提高精準(zhǔn)度和緩解大量的網(wǎng)絡(luò)數(shù)據(jù)處理的壓力，更加細(xì)粒度挖掘數(shù)據(jù)存在的風(fēng)險(xiǎn)和網(wǎng)絡(luò)結(jié)構(gòu)中東西向的防護(hù)，更精確可靠，同時(shí)能夠基于IP地址、病毒庫匹配特征、攻擊事件、應(yīng)用協(xié)議等產(chǎn)生的流量信息和攻擊信息以及已經(jīng)失陷等事件信息，可以通過編輯自定義統(tǒng)計(jì)指定協(xié)議流量的TOP排名，能夠協(xié)助信息運(yùn)維人員了解當(dāng)前網(wǎng)絡(luò)帶寬和攻擊響應(yīng)的狀況，并及時(shí)做出響應(yīng)。

圖2 展示了態(tài)勢感知的攻擊界面和存在攻擊的top排行榜和形象地展示了哪種類型的攻擊以及應(yīng)急預(yù)案的匹配，而且還體現(xiàn)出哪些高危漏洞和已經(jīng)被入侵的業(yè)務(wù)。

3.2 建立專用網(wǎng)信息安全培訓(xùn)演練平臺(tái)

專用網(wǎng)單位必須非常重視日常的安全培訓(xùn)和演練，要想增強(qiáng)信息化建設(shè)的腳步首先要改變?nèi)藛T對(duì)網(wǎng)絡(luò)安全的意識(shí)，通過觀念的改變來帶動(dòng)行動(dòng)的改變，原有的培訓(xùn)形式已不能滿足現(xiàn)代化信息快速發(fā)展的腳步，應(yīng)該以多學(xué)、多練、多交流為主導(dǎo)。

通過部署各類網(wǎng)絡(luò)安全設(shè)備發(fā)揮對(duì)網(wǎng)絡(luò)的層級(jí)保護(hù)，并長期開展訓(xùn)練對(duì)抗平臺(tái)操作來發(fā)現(xiàn)現(xiàn)有的技術(shù)存在哪些缺點(diǎn)和不足，對(duì)抗演練平臺(tái)能充分地說明工作當(dāng)中有哪些已知和未知的攻擊參數(shù)和行為，也是對(duì)各個(gè)廠商設(shè)備的一種考驗(yàn)的判斷，彌補(bǔ)現(xiàn)存網(wǎng)絡(luò)中的病毒和威脅的一種認(rèn)知。圖3展示一次實(shí)際演練過程。

3.3 強(qiáng)化專用網(wǎng)智能檢測的動(dòng)態(tài)特性

隨著網(wǎng)絡(luò)安全設(shè)備的不斷增加，下一代智能防火墻、入侵檢測系統(tǒng)（IPS）、入侵掃描系統(tǒng)（IDS）、行為管理等安全設(shè)備的大量部署使用，安全網(wǎng)絡(luò)設(shè)備在實(shí)際機(jī)房環(huán)境中也起著重要的作用，甚至可以說依賴作用，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備對(duì)抗現(xiàn)在多種多樣的新型攻擊卻顯得力不從心，傳統(tǒng)的防火墻只能對(duì)四層的網(wǎng)絡(luò)協(xié)議和簡單的七層協(xié)議做出判斷，而現(xiàn)代化的防御系統(tǒng)卻要大家一起努力共同進(jìn)步，做到知識(shí)與病毒庫的共享方能應(yīng)對(duì)更多的攻擊行為。

智能態(tài)勢感知系統(tǒng)的部署對(duì)整體的信息化的建設(shè)不僅起到承上啟下的重要作用，它的關(guān)鍵在于對(duì)于數(shù)據(jù)的分析和動(dòng)作的處理更加精準(zhǔn)和快速，傳統(tǒng)的運(yùn)維機(jī)制完全是靠人力，人員的技術(shù)水平和技術(shù)要求更是要精益求精，但現(xiàn)實(shí)中人員存在多種不穩(wěn)定因素和技術(shù)缺陷等問題，對(duì)于數(shù)據(jù)是分析更是因人而異，通過態(tài)勢感知技術(shù)的快速部署和判讀大大節(jié)省人為的多種復(fù)雜因素和條件上的束縛。

信息化不僅僅是某個(gè)人的任務(wù)也不是一個(gè)團(tuán)隊(duì)的任務(wù)，它是一個(gè)數(shù)據(jù)共享、數(shù)據(jù)互通的形式，通過自動(dòng)化運(yùn)維讓判斷更精準(zhǔn)、處理動(dòng)作更快速、人員更方便的作用。

4 態(tài)勢感知應(yīng)用的成效

4.1 信息安全管理水平提高

通過部署態(tài)勢感知系統(tǒng)直觀地展示攻擊數(shù)據(jù)流向爆發(fā)的原點(diǎn)，從而大大提高技術(shù)上的能力的快速應(yīng)急處理能力，從而將風(fēng)險(xiǎn)控制在可控范圍內(nèi)，避免不必要的大面積失控場面的發(fā)生。通過監(jiān)控和管理面對(duì)極其復(fù)雜的網(wǎng)絡(luò)攻擊尤其是以日益增多的0day攻擊和APT攻擊，態(tài)勢感知可以快速應(yīng)對(duì)做出處理[5]。通過態(tài)勢感知探針收集到日志和流量信息傳送給態(tài)勢感知平臺(tái)，快速做出判斷和處理結(jié)果和是否放行和阻斷等動(dòng)作，幫助信息管理人員快速處理問題。

4.2 安全信息管理人員技術(shù)和觀念的提升

建設(shè)基于態(tài)勢感知的智能一體化平臺(tái)的作用不僅僅是體現(xiàn)在設(shè)備的部署和動(dòng)態(tài)的感知，更重要的是提升每一個(gè)作為安全運(yùn)維人員的認(rèn)知和技術(shù)能力，面對(duì)傳統(tǒng)運(yùn)維和智能運(yùn)維的對(duì)抗技術(shù)是一方面而另一方面還是觀念的改變和應(yīng)急處理的更替，通過安全事件緊急處理流程的升級(jí)來帶動(dòng)處理突發(fā)事件的緊急應(yīng)對(duì)能力。

5 結(jié)束語

隨著網(wǎng)絡(luò)安全意識(shí)不斷增強(qiáng)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中各種風(fēng)險(xiǎn)顯得尤為重要，及早發(fā)現(xiàn)安全隱患，控制風(fēng)險(xiǎn)在萌芽有利于專用網(wǎng)絡(luò)安全管理，態(tài)勢感知系統(tǒng)應(yīng)用較好地解決了這個(gè)問題，它通過發(fā)現(xiàn)網(wǎng)絡(luò)中存在的各種威脅信息并直觀地通報(bào)網(wǎng)絡(luò)管理者存在風(fēng)險(xiǎn)與需要處置的信息，同時(shí)聯(lián)動(dòng)各個(gè)防火墻以及IPS、WAF、IDS讓網(wǎng)絡(luò)的管理更加立體，加快了專用網(wǎng)單位信息化建設(shè)的步伐，達(dá)到發(fā)現(xiàn)問題及時(shí)聯(lián)動(dòng)的效果，大大減少處理錯(cuò)誤和工作量，為專用網(wǎng)單位實(shí)現(xiàn)智能化網(wǎng)絡(luò)安全管理提供了有力的技術(shù)支撐。

參考文獻(xiàn)：

[1] 王娟，張鳳荔，傅翀，等.網(wǎng)絡(luò)態(tài)勢感知中的指標(biāo)體系研究[J].計(jì)算機(jī)應(yīng)用，2007，27（8）：1907-1909，1912.

[2] 王慧強(qiáng)，賴積保，朱亮，等.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué)，2006，33（10）：5-10.

[3] 陳彥德，趙陸文，王瓊，等.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)工程與應(yīng)用，2008，44（1）：100-102，147.

[4] 龔儉，臧小東，蘇琪，等.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學(xué)報(bào)，2017，28（4）：1010-1026.

[5] 劉冬蘭，劉新，張昊，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知及主動(dòng)防御技術(shù)研究與應(yīng)用[J].計(jì)算機(jī)測量與控制，2019，27（10）：229-233.

【通聯(lián)編輯：謝媛媛】

1800500511373