基于威脅情報的網(wǎng)絡安全態(tài)勢評估技術

摘要：為了解決當前網(wǎng)絡規(guī)模不斷擴大而導致的網(wǎng)絡攻擊行為頻發(fā)問題，本文利用威脅情報能力，通過網(wǎng)絡安全態(tài)勢評估技術對威脅進行評估，從威脅態(tài)勢、脆弱性態(tài)勢等方面入手，構建網(wǎng)絡安全評估指標體系，構建網(wǎng)絡安全態(tài)勢評估手段，提升網(wǎng)絡安全檢測能力。

關鍵詞：網(wǎng)絡安全態(tài)勢；網(wǎng)絡威脅情報；態(tài)勢評估；安全指標

鑒于當前網(wǎng)絡架構日益復雜化，網(wǎng)絡攻擊手段亦呈現(xiàn)出多樣化的趨勢。傳統(tǒng)的安全威脅檢測方法已無法滿足日益嚴峻且不斷變化的網(wǎng)絡環(huán)境安全需求。網(wǎng)絡安全意識評估可以準確預測和預防潛在的安全問題，最大限度地降低網(wǎng)絡安全風險。網(wǎng)絡威脅情報（Cyber Threat Intelligence，CTI）可以描述攻擊行為，提供網(wǎng)絡攻擊的相關信息，有助于管理網(wǎng)絡攻擊和防御，并且通過有效地收集和分享威脅信息，助力網(wǎng)絡安全管理人員更好地管理和防御網(wǎng)絡攻擊。這樣做還能確保信息交換的安全和質量。同時，分析惡意行為也是加強網(wǎng)絡安全管理的關鍵，能幫助我們檢測和預防網(wǎng)絡攻擊，并進一步降低網(wǎng)絡安全風險[1]。連續(xù)威脅為開發(fā)網(wǎng)絡安全態(tài)勢感知模型提供新思路。

一、網(wǎng)絡安全態(tài)勢評估

網(wǎng)絡安全主要是指整個網(wǎng)絡的安全狀況和未來的安全趨勢，涉及網(wǎng)絡設備的狀態(tài)、網(wǎng)絡活動和用戶行為等。網(wǎng)絡安全態(tài)勢評估是指通過對網(wǎng)絡環(huán)境中不同安全因素的選擇和組織，以預測未來趨勢和評估網(wǎng)絡安全狀態(tài)，其內容包括三個方面。

1.預測態(tài)勢：安全評估的最后階段是態(tài)勢預測，可用于收集信息，以預測未來潛在的安全情況并支持系統(tǒng)操作員的決策。

2.態(tài)勢要素提?。菏占ňW(wǎng)絡流量日志、系統(tǒng)處理日志等網(wǎng)絡安全的影響因素。完成計算后，同樣可以提取基本數(shù)據(jù)，為了解網(wǎng)絡安全情況做準備。

3.態(tài)勢理解：通過分析潛在因素之間的相關性，并使用定量和定性的研究方法，全面評估當前網(wǎng)絡安全問題的總體情況，以獲得完整準確的分析結果。

二、基于威脅情報的網(wǎng)絡安全態(tài)勢評估指標

根據(jù)業(yè)務邏輯，網(wǎng)絡系統(tǒng)由設備、網(wǎng)絡、系統(tǒng)和應用程序這幾個部分組成。為了了解網(wǎng)絡是否安全，需要進行評估，評估維度包括安全故障、系統(tǒng)漏洞、系統(tǒng)冗余、系統(tǒng)響應等。這些可能會出現(xiàn)的問題，都可以被視作網(wǎng)絡安全的威脅和風險，并被概括為威脅態(tài)勢、自身的脆弱性態(tài)勢。圖1所示為網(wǎng)絡安全態(tài)勢評估層次。

（一）威脅態(tài)勢

威脅態(tài)勢評估網(wǎng)絡、資源及其他因素對網(wǎng)絡安全的潛在影響。內部安全事件，也稱內部攻擊，包括未經(jīng)授權訪問系統(tǒng)、應用程序或數(shù)據(jù)。外部安全事件，也稱外部攻擊，即對系統(tǒng)、應用程序、網(wǎng)絡、資源等的外部攻擊。外部攻擊的形式十分多樣化，常見的攻擊包括選擇風險指標時，需重視網(wǎng)絡內外部安全事件，如惡意代碼攻擊、計算機盜版和DDoS攻擊。依據(jù)攻擊特性和網(wǎng)絡變化進行科學分類，借助威脅評估指標區(qū)分。威脅信息源自設備記錄、網(wǎng)絡流量、警報數(shù)據(jù)等。構建評估體系時，納入警報數(shù)量、事件頻率、流量波動和帶寬變化等要素，審視安全事件歷史與現(xiàn)狀。確保管理人員快速捕捉威脅，采取有效應對措施。

（二）脆弱性態(tài)勢

脆弱性態(tài)勢含網(wǎng)絡脆弱性與資源脆弱性。網(wǎng)絡脆弱性指網(wǎng)絡架構的弱點和潛在風險，若被利用，將威脅網(wǎng)絡安全。資源脆弱性涉及軟硬件資源問題，如軟件缺陷和硬件故障，影響系統(tǒng)穩(wěn)定。兩者均需高度重視，并采取管理措施，保障信息資產(chǎn)安全穩(wěn)定。在軟件層面，部分系統(tǒng)和應用程序存在薄弱環(huán)節(jié)。若這些弱點被惡意利用，可能對系統(tǒng)造成威脅。為確保全面評估軟件漏洞，需考慮整體安全狀態(tài)、不同損壞級別的漏洞數(shù)量、補丁安裝和端口開放狀況。從硬件脆弱性方面來看，重點在于設備的物理可靠性，如能源安全、平均故障率等。此外，網(wǎng)絡脆弱性中的漏洞亦不容忽視，其主要與網(wǎng)絡拓撲有關。通過專業(yè)分析，人們可以了解網(wǎng)絡節(jié)點、網(wǎng)絡連接等結構特征，以評估網(wǎng)絡拓撲漏洞對網(wǎng)絡服務性能的影響[3]。在安全威脅分析方面，需關注系統(tǒng)漏洞、系統(tǒng)配置和網(wǎng)絡安全等多個方面。評估過程中，應注意一些關鍵指標，如安全級別、網(wǎng)絡故障率、開放端口數(shù)量和網(wǎng)絡結構脆弱性等。

（三）網(wǎng)絡安全態(tài)勢評估指標

針對威脅態(tài)勢、脆弱性狀況等多個維度，基于網(wǎng)絡系統(tǒng)的設備、系統(tǒng)與應用以及網(wǎng)絡本身進行綜合考量，筆者總結出如表1所示的網(wǎng)絡安全態(tài)勢評估指標。

就如評價一個人的健康狀況需要從多個指標展開一樣，網(wǎng)絡系統(tǒng)的安全狀況也應從多個方面來評估。在威脅態(tài)勢方面，需要分析不同類型的網(wǎng)絡攻擊，然后找出那些普遍存在的、可以操作的評估指標。在脆弱性態(tài)勢方面，需重點關注資產(chǎn)和網(wǎng)絡本身的脆弱性，這樣可以更全面地了解網(wǎng)絡安全的脆弱性。在資產(chǎn)維度方面，需查看網(wǎng)絡系統(tǒng)是否正常運行，以及機器持續(xù)服務能力等?？偟膩碚f，制定一套簡單易懂、操作方便的網(wǎng)絡安全態(tài)勢評估指標，有助于更好地了解網(wǎng)絡系統(tǒng)的安全狀況。

三、威脅情報在網(wǎng)絡安全態(tài)勢感知中的應用

基于威脅情報的態(tài)勢感知模型，可以分為態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射三個部分，圖2所示為態(tài)勢感知模型圖。

（一）態(tài)勢察覺

1.異常行為的識別和攻擊檢測方法

在態(tài)勢感知中，傳統(tǒng)的檢測識別方法包括攻擊模式檢測方法、DDoS攻擊檢測方法、基F分布攻擊檢測方法。然而，所有這些方法都有其缺點，使得很難檢測到隱藏的和長期的攻擊。通過威脅分析，即對IP信譽、文件信譽、其他指紋屬性等進行比較，密切監(jiān)測系統(tǒng)異常行為，同時辨別攻擊行為，確定優(yōu)先級，以及采取適當措施緩解這些行為[4]。

一些在線威脅分析來自移動或移動網(wǎng)絡，這些網(wǎng)絡使用一些專門的威脅行為分析工具來生成威脅數(shù)據(jù)。威脅信息包括攻擊威脅評估方法、檢測方法、攻擊特征、安全補救方法、防御計劃等。此外，威脅情報包括使用豐富的威脅情報數(shù)據(jù)庫來分析互聯(lián)網(wǎng)，該數(shù)據(jù)庫可以將暗網(wǎng)絡數(shù)據(jù)與現(xiàn)有數(shù)據(jù)相結合，創(chuàng)建智能資源。

2.確定攻擊特征

為了使用開源威脅情報檢測攻擊，有必要盡可能準確、完整、簡潔地描述攻擊特征，以確定攻擊的目的、影響和防御方法。威脅情報涵蓋指標、背景、機制、相關性分析及風險建議。評估現(xiàn)有及新風險，考量資產(chǎn)風險。利用情報，深度處理攻擊數(shù)據(jù)，創(chuàng)建結構化標準化格式，提升識別全面性和準確性。文本威脅分析可識別流量欺詐特征，避免依賴自然語言處理獲取基本信息，并基于該特征建立了攻擊的檢測規(guī)則[5]。

基于態(tài)勢感知來說，開源數(shù)據(jù)庫對于特定攻擊做出反應的概率相對較小。所以，在此種情況下，可以使用外部威脅數(shù)據(jù)，對于收集的網(wǎng)絡安全要素進行預處理分析，如存儲目標網(wǎng)絡資源數(shù)據(jù)、風險統(tǒng)計和警告數(shù)據(jù)等，對系統(tǒng)中的異常行為進行有效識別，解析攻擊的目的、采用的方法以及這些行為所可能產(chǎn)生的具體影響。同時，利用外部獲取的威脅情報，轉化為內部可用的威脅信息，并將這些威脅的有關信息進行共享，能夠有效增強網(wǎng)絡對攻擊的抵御能力，有助于提高大型網(wǎng)絡的安全性。

（二）態(tài)勢理解

在NSSA的第一階段，基于威脅情報對系統(tǒng)中不正常的行為、攻擊特征等進行檢測識別，然后確定攻擊者的目標、產(chǎn)生的影響、攻擊方法等。了解這些攻擊行為后，制定有效的應對策略，并以標準威脅數(shù)據(jù)格式生成內部攻擊數(shù)據(jù)。通過將內部威脅情報與共享威脅情報進行比較和分析，可以確定適當?shù)姆烙呗浴獌?yōu)先考慮具體的風險緩解措施，包括糾正或預防措施，以及影響事件的補償或緩解措施。

（三）態(tài)勢投射

1.態(tài)勢量化評估

隨機博弈、馬爾可夫、支持向量機（SVM）等評估模型是當前網(wǎng)絡安全評估的關鍵評估模型。使用這些模型來評估網(wǎng)絡安全情況可能會導致準確性不同，無法適應在線環(huán)境的變化。威脅信息共享技術保持情報數(shù)據(jù)庫實時更新，精準反映網(wǎng)絡安全動態(tài)。具體而言，威脅情報深入剖析系統(tǒng)潛在威脅，實現(xiàn)精準識別和有效應對。潛在的威脅將直接影響系統(tǒng)的穩(wěn)定性和安全性，所以，對于系統(tǒng)而言，威脅情報具有重要意義。例如，基于攻擊圖模型的安全評估方法，用于分析成功攻擊周期的可能性和系統(tǒng)丟失的風險。因此，將適當?shù)娘L險分析系統(tǒng)納入態(tài)勢評估，能夠有效提高網(wǎng)絡安全態(tài)勢評估的準確性[6]。

2.攻擊預測

網(wǎng)絡預測主要是基于歷史數(shù)據(jù)和趨勢的預測，并未考慮到網(wǎng)絡環(huán)境正在日益復雜化，且會隨時發(fā)生變化。要實現(xiàn)預測的準確性，就需要考慮網(wǎng)絡可能發(fā)生的變化。為提升攻擊預測準確性，我們引入威脅情報。情報分析包括廣泛安全事件數(shù)據(jù)，并告知網(wǎng)絡管理者關鍵信息，以便及時應對潛在威脅。在威脅情報分析中引入人工智能技術，可以使分析變得智能化、準確化。

3.攻擊溯源

由于網(wǎng)絡空間結構的復雜性，攻擊方法和入侵者防御技術的不斷發(fā)展是監(jiān)控網(wǎng)絡安全攻擊是保障網(wǎng)絡環(huán)境穩(wěn)定與數(shù)據(jù)安全的關鍵。

目前，廣泛采用高效且具針對性的攻擊跟蹤方法，主要分為兩類：基于哈希技術的溯源方法和基于IP地址的溯源方法。前者通過哈希運算追蹤攻擊源頭，后者通過解析與追蹤IP地址揭示攻擊者位置與身份。兩者相輔相成，是網(wǎng)絡安全防護體系的重要組成。基于代數(shù)的攻擊溯源方法以及基于IP隧道的攻擊溯源方法等。這些方法過于簡單，功能有限，監(jiān)測結果不盡如人意[7]。

近年來，威脅情報的增加為攻擊跟蹤的發(fā)展提供了新的動力，威脅情報共享已成為實現(xiàn)有效攻擊跟蹤的關鍵手段。為了提高攻擊跟蹤的有效性和準確性，專家們提出了一個共享和使用基于STIX的威脅信息的簡化框架。例如，本文通過監(jiān)測威脅信息的交換和使用來討論C2數(shù)據(jù)，并通過實驗驗證了使用威脅信息追蹤攻擊的可能性[8]。這一研究成果對于加強網(wǎng)絡安全防護、提升攻擊溯源能力具有重要意義。

經(jīng)過深入研究，將威脅情報應用在態(tài)勢投射中具有非常好的效果。威脅情報能夠顯著提高態(tài)勢感知的效果。然而，值得注意的是，威脅信息列表存儲了大量數(shù)據(jù)，其中，部分情報自收集以來并未得到實際應用。因此，為了進一步提高態(tài)勢投射的準確性，相關人員應當重點研究和發(fā)掘高質量的威脅情報，并將其應用于態(tài)勢評估和預測中。這將是未來網(wǎng)絡安全研究的重要方向。

四、結束語

綜上所述，相較于傳統(tǒng)的網(wǎng)絡安全手段，網(wǎng)絡安全態(tài)勢評估技術更能有效地監(jiān)測網(wǎng)絡安全環(huán)境中的各類風險，并實現(xiàn)快速檢測與及時緩解。此項工作極具復雜性與挑戰(zhàn)性，涵蓋了多種類型與來源的數(shù)據(jù)與場景，特別是在數(shù)據(jù)資源豐富的環(huán)境下，無疑進一步提升了評估的難度。為應對這一挑戰(zhàn)，可充分利用威脅情報進行態(tài)勢感知，一方面有助于強化網(wǎng)絡態(tài)勢的實時監(jiān)控，另一方面可精準識別內部威脅，從而實現(xiàn)持續(xù)的安全監(jiān)控，并快速準確地應對各類網(wǎng)絡安全威脅。此外，還需要不斷提升網(wǎng)絡技術的管理能力，為國家網(wǎng)絡管理的加速發(fā)展提供堅實的技術支撐。

作者單位：雷穎 岑嵐 周崎 中國移動通信集團安徽有限公司

參考文獻

[1]李學民，顧麗旺，宮克.基于威脅情報的網(wǎng)絡安全態(tài)勢評估方法研究[J].情報工程，2023，9（04）：3-13.

[2]王廣利.基于深度學習的網(wǎng)絡安全態(tài)勢評估算法設計[J].長江信息通信，2023，36（01）：97-99.

[3]張然，潘芷涵，尹毅峰，等.基于SAA-SSA-BPNN的網(wǎng)絡安全態(tài)勢評估模型[J]. 計算機工程與應用，2022，58（11）：117-124.

[4]龔嘉瑤，王鐘莊.基于卷積神經(jīng)網(wǎng)絡算法的網(wǎng)絡安全態(tài)勢評估方法[J].長江信息通信，2023，36（04）：93-95.

[5]肖鵬，王柯強，黃振林. 基于IABC和聚類優(yōu)化RBF神經(jīng)網(wǎng)絡的電力信息網(wǎng)絡安全態(tài)勢評估[J].智慧電力，2022，50（06）：100-106.

[6]王帥.多源異構數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢評估體系研究[J].軟件，2023，44（06）：141-143.

[7]俞洋.高等院校網(wǎng)絡安全態(tài)勢評估模型應用設計研究[J].電子測試，2022（13）：86-88，85.

[8]喬溢.基于多通道機制的網(wǎng)絡安全態(tài)勢評估研究[J].信息技術，2022，46（10）：159-165.