第22期2022年11月无线互联科技Wireless Internet TechnologyNo.22November,2022作者简介:赵佩咏(1987 ),男,陕西西安人,工程师,硕士;研究方向:计算机网络,计算机科学与技术,网络信息安全技术㊂网络安全态势感知系统结构及关键技术赵佩咏(武警工程大学,陕西㊀西安㊀710086)摘㊀要:近年来,信息技术与通信技术在各领域的深度融合应用推动了网络系统建设,但也增加了网络安全风险㊂为了有效应对外部风险㊁阻击恶意攻击㊁保障用户安全,部分网络系统应用主体增强了对态势感知技术的运用㊂文章概述了网络安全态势感知技术发展,剖析了态势感知系统结构,并以此为基础,对其中应用的关键技术进行了具体讨论㊂关键词:网络安全态势;感知系统;结构;关键技术0㊀引言㊀㊀20世纪末,Bass 提出了网络中态势运行感知概念,这是网络安全概念与安全态势信息感知系统概念的复合概念,简称为网络安全态势感知,起初被应用于航空领域的交通安全监管,经过推广被应用到了网络安全管理方面㊂网络安全态势感知主要是以网络㊁网络中的安全监控设备与设备之间的日志㊁预告警作为基础,对网络系统进行实时动态化的综合分析,旨在解决网络安全问题㊂实践经验表明,网络安全态势感知系统通过模型方式搭建完成后,可以借助分布式网络入侵数据检测㊁数据相互融合分析的联合方式,对网络安全开展有效的态势综合评估㊂目前,人们在实际应用中增加了观察黑客网络攻击事件足迹㊁SSARE 检测工具以及机器学习算法等,由此形成了多种适用广泛㊁适配性较高的态势感知技术㊂1㊀网络安全态势感知技术概述㊀㊀网络安全态势感知主要是指在网络安全管理中应用的态势感知技术,在形式上属于一种网络安全管理产品,在内容上则以态势感知技术发挥作用[1]㊂自1999年提出该概念㊁形成理论㊁推广应用至今,该技术已经经历了3大发展阶段:(1)网络安全态势展示阶段;(2)网络安全管理阶段;(3)网络安全态势感知模型构建及应用阶段㊂目前,应用大数据技术㊁云计算技术㊁人工智能等可以根据应用主体的实际需求,选择不同的技术要素进行配置,并借助构建态势感知模型的方式,提供智能预警㊁自动跟踪㊁网络安全态势实时分析展示等㊂2㊀网络安全防护短板分析㊀㊀以某企业为例,建立数据中心后,网络部署以防火墙㊁入侵检测等为主,当网络受到攻击时,可以生成大量安全日志,虽然能够实现追踪,但是在攻击行为的溯源方面存在较大难度㊂同时,在日常的监测预警方面没有设置有效手段,仍然采用人工方式检查,主动防护能力相对较弱㊂尤其在漏洞处置方面,通过演练与实践,基本可以达到漏洞处理目标,然而因弱口令暴力破解以及文件上传漏洞的存在,并不能很好地防御来自网络的攻击行为,整体上的网络安全防护自动化水平较低㊂为了有效解决攻击行为溯源难㊁主动监测预警能力差㊁漏洞处置自动化水平低的多重问题,该企业选择了网络安全态势感知技术,成功搭建了系统结构,并部署了相关技术㊂3㊀网络安全态势感知系统结构分析㊀㊀该企业在分析了网络安全态势感知系统后,主要通过概念模型与结构模型的方式搭建系统结构㊂3.1㊀概念模型㊀㊀在概述模型方面,按照 三层次,四步骤 进行搭建:(1)基础概念层:为多源异构数据,包括IDS㊁防火墙㊁防病毒㊁安全审计等㊂(2)信息概念层:包括数据信息㊁特征信息㊁感知信息㊁态势信息㊂(3)概念应用层:主要分为特征提取㊁安全评估㊁态势感知㊁预警4大步骤㊂基础概念层㊁信息概念层㊁概念应用层中的各个概念构成要素之间,密切关联,构成了网络安全态势感知概念体系,并借助概念模型的方式进行呈现㊂3.2㊀网络安全态势感知系统架构㊀㊀以概念模型为基础,该企业分析了搭建的网络安全态势感知系统结构的两条线路:(1)数据源集成平台 特征提取 安全评估 态势感知 预警 态势可视化显示㊂(2)数据源集成平台 拓扑发现 安全拓扑生成 态势可视化显示㊂其中,第一条线路中的安全评估,主要包括评估模型㊁漏洞扫描㊁威胁评估,态势感知则以事件关联和海量数据处理为主㊂第二条线路中的安全拓扑生成环节与第一条线路中的安全评估㊁态势感知密切关联㊂因此,在应用网络安全态势感知概述模型㊁结构模型时,通常要求应用主体根据实际情况,利用二次开发的方式搭建与其需求相一致的系统架构[2]㊂该企业结合实际存在的困难,搭建了由数据采集㊁存储计算㊁BI 展示层4大结构层组成的网络安全态势感知系统架构㊂具体如图1所示㊂第一,数据采集层由若干探针硬件与安全管理软件组成,数据来源于脆弱性检测㊁安全威胁检测㊁行为审计3个方面,此类数据采集定位在与态势相关的元数据方面,包括信息安全产品的日志与告警和信息系统日志㊂例如,通过系统漏洞扫描与对Web 平台漏洞扫描,可以实时获取外部情报㊁安全产品㊁日志代理㊁日451志方面的脆弱性数据㊂再如,在网络应用过程中,可以通过安全威胁检测,对僵尸信息㊁木马程序㊁传播病毒等进行检测,同时对网络中应用的WNF,IDP,EDR,APR,DLP 以及防火墙等开展安全威胁监测,尤其在网络数据中心DDos 检测与网站监控方面,能够实现全面实时的检测,预防网络运行中的各类威胁㊂除此之外,借助智能分析与人工信息录入等方式,可以针对网络行为㊁数据库行为㊁日志开展动态审计,并将采集到的数据上传到存储计算层,通过该层的数据处理达到对数据的有效利用㊂图1㊀网络安全态势感知系统架构㊀㊀第二,存储分析层含有数据存储与数据分析两个子模块:(1)数据存储模块分设交换接口与数据清洗两个子模块,通过交换接口子模块可以完成对数据采集层获取数据的处理,功能包括SYSLOG㊁文件共享㊁数据库表㊁消息总线㊁API 等㊂当交换接口子模块数据整理完成后,需要对数据进行清洗处理,因而在数据清洗子模块中,需要通过数据归一化㊁过滤㊁归并㊁打标签等进行分类[3],在此基础上构成数据集群与关系数据库集群㊂(2)大数据分析模块将分类好的数据存储到存储计算引擎模块中的对应子模块,常用的模块有数据仓库㊁分布式检索㊁分布式计算㊁分布式文件存储㊁关系型数据库,旨在实现数据的标准化存储㊂然后,利用大数据分析引擎得到数据结果,为核心业务层进一步应用提供数据支持㊂第三,核心业务层将重点放在企业的资产管理㊁风险感知㊁预警管理3大业务㊂其中,资产管理业务通过探针识别㊁安全管理㊁风险分析进行操作㊂例如,在调查分析时,主要通过追踪溯源㊁告警分析㊁事件分析㊁脆弱性分析㊁威胁分析㊁资产分析,保障对数据存储计算获得数据中异常数据的抓取㊂在风险感知业务中,主要根据溯源分析㊁关联分析㊁威胁预警分析模块进行业务分析,操作时借助对安全事件㊁攻击威胁㊁网站㊁脆弱性的实时监测,实时为安全处置模块提供风险数据,并通过该模块中的处置工作台与统计报表,完成风险数据处理,同时利用集中管控模块为其提供本土地策略管理㊁在线策略管理以及配置备份㊂在预警管理业务中,按照风险预警㊁安全威胁预警㊁安全事件预警进行管理㊂考虑到资产管理处于核心地位,因而根据实际情况细化了资产管理模块,并进行资产维护管理㊁资产属性管理㊁资产识别,从而使威胁情报㊁安全知识通过报表的形式发送到态势大屏中㊂需要注意的是,在核心业务层中能够由用户根据自身的业务,开展用户管理㊁日志转发㊁安全配置㊁系统维护㊂核心业务层与存储分析层之间关联密切,一旦存储计算层中存在实时数据更新,就可以直接发送到核心业务层,由其中的相关模块开展运算分析㊂第四,在B1展示层,操作网络安全态势感知的主要界面设置了 安全态势可视化ң告警可视化ң自定义展示ң资产可视化ң报表评估曲线展示 ㊂从应用经验来看,可以在大屏中通过全网态势㊁威胁态势㊁安全底图㊁安全处置㊁专题态势㊁自定义态势模块,开展网络安全管理[4]㊂尤其是在大屏功能中,配套建立了知551识库,能够利用以 知识积累 知识创造 知识应用 形成知识平台 持续更新与循环 为基本环节的 循环+升级 模式,持续深化网络安全态势感知系统㊂4㊀网络安全态势感知系统的关键技术4.1㊀攻击行为分析技术㊀㊀该企业网络受到攻击时,主要包括预攻击㊁攻击㊁后攻击3个阶段㊂第一阶段,旨在收集信息;第二阶段,重点放在对初步权限的提取方面;最后一个阶段,则会对系统相关数据进行清除处理,并进行渗透控制㊂例如,在外部攻击中,该企业通过实时聚类的办法,克服开源聚类算法方面的批次聚类不足,对动态产生的安全日志进行聚类后实施多维加权相似性计算㊂然后,根据预分类进行聚类处理,结合攻击算法的多维攻击方式,采用流式聚类方案,从而在较低资源占用条件下,针对不同攻击场景,实施最大效用的智能分析㊂通过防御体系的建立及安全监测,该系统每日可以监测的境内外疑似攻击行为数量大于10000起,其中IP300条以上恶意攻击可以快速监测并识别,结合应急处置演练方法进行有效处理㊂4.2㊀主机恶意行为监测技术㊀㊀该企业在网络安全态势感知系统中应用了大数据技术,而且借助类技术实施了虚拟化数据中心升级㊂考虑到虚拟主机恶意下载㊁恶意软件检测以及恶意识别等现象,该企业将网络安全态势感知技术与虚拟数据中心进行了关联,能够针对不同主机恶意行为开展智能监测㊂例如,在木马程序㊁蠕虫病毒㊁僵尸恶意代码等方面,随着对家族变种与代码演化技术,其恶意攻击行为越来越隐蔽㊂在这种情况下,借助网络安全感知系统数据采集层设置的安全威胁监测模块,实时跟踪相关恶意代码并对其开展全过程分析,在其不同的阶段发起识别与安全处理㊂尤其在入侵组织识别㊁文件信誉评定㊁家族变种识别等方面,该企业借助 网内风险排查ң感知ң分析ң处置 为主的闭环管理达到了较好的主机监测效果㊂4.3㊀安全信息和事件管理技术㊀㊀该企业通过网络安全态势感知系统开展安全信息和事件管理(SIEM)时,主要采用与第三方安全设备等联合方式进行操作㊂该企业具体应用了SIEM分析系统,通过安全设备㊁AI机器学习,在 数据来源ң数据采集&存储ң关联分析ң数据展示 的基本框架下,开展深入而细致的数据标准化分析[5]㊂在事件管理方面,该企业通过演习期实践,发现三级应用系统㊁工程控制系统㊁门户网站㊁OA系统㊁外网电子邮件系统等均没有被攻陷㊂另外,该企业在用户体验方面增加了账号登录㊁外发数据㊁访问㊁数据库㊁外联等方面的异常情况分析功能,借助网络模型训练完成对相关行为的画像后,再结合基线画线检测超阈值画线,得到行为异常数据㊂配套应用的决策树㊁聚类等计算处理模型保障了系统的良好运行㊂5㊀结语㊀㊀总之,网络系统的运用为各行业企业管理提供了技术支持,有利于提升管理效率,扩增可营利空间㊂在新时期高质量发展阶段,有必要结合网络安全管理需求,进一步增强对网络安全态势感知技术的运用㊂通过以上初步分析可以看出,网络安全态势感知技术先后经历了3大发展阶段,现阶段的应用主要结合数字化技术,通过搭建态势感知模型的方式,开展网络安全态势分析㊂其中,应用的关键技术包括智能分析外部攻击㊁智能监测主机恶意行为㊁安全信息和事件管理㊁分析用户实体行为等㊂因此,建议在当前阶段,尽可能加强对态势感知技术与智能算法的融合研究,为其网络安全智能化管理提供技术支撑㊂[参考文献][1]陈伟然,朱重伟.网络安全态势感知技术研究现状[J].科技与创新,2020(14):1-5.[2]何波.网络安全态势感知问题探讨[J].科学与信息化,2020(7):49-51.[3]张琦,张思明,倪巍巍.网络空间安全态势感知与防御[J].数码设计,2020(8):47.[4]许暖,蔡宇进.安全态势感知研究[J].网络安全技术与应用,2020(1):38-41.[5]乌日娜.基于大数据的情报态势感知技术[J].网络空间安全,2020(6):10-13.(编辑㊀沈强) Network security situation awareness system structure and key technologiesZhao Peiyong(Engineering University of PAP,Xi an710086,China)Abstract:In recent years,the deep integration and application of information technology and communication technology in various fields promoted the construction of network system,but also increased the risk of network security.In order to effectively deal with external risks,block malicious attacks and ensure user security,some application subjects of the network system have enhanced the application of situational awareness technology.This paper summarizes the development of network security situation awareness technology and analyzes the structure of situation awareness system.On the basis of this,the key technologies applied in its phase are discussed in detail. Key words:network security situation;perception system;structure;key technology651。
