◆杨 锐 陈玉明



网络安全态势感知与有效防护

◆杨 锐 陈玉明

(漳州市公安局网安支队 福建 363000)

信息技术的发展，在给世界各国带来技术进步的同时，也带来很多的负面影响，计算机病毒、黑客等随时都会危及到网络的发展，而随着技术的发展，各种工具和攻击手法层出不穷。面对如此严重的安全威胁，我们却对黑客社团所知甚少。当网络被攻陷破坏后，我们甚至对攻击者、攻击方式、攻击目的及攻击工具更是一无所知。为改变这种攻防的非对称性，增加攻击代价，减少对实际系统的安全威胁，研究攻击者的攻击工具和攻击方法，追踪攻击源，态势感知技术应运而生。网络安全态势感知技术能够综合多方面的安全因素，从大体上动态反映网络安全态势，并对其进行分析评价，及时通报预警，从而有效提升我国的网络安全监测、预警与防护的能力。

网络安全；态势感知；预警；防护

0 引言

网络信息化技术的飞速发展，极大促进了我国各行各业网络信息化程度的不断提高。然而，近年来发生的各类网络攻击事件显示，我国的网络安全正面临着国内外两方面前所未有的严峻威胁和挑战。

国内不法分子利用网络从事诈骗、攻击勒索、盗取数据等破坏活动日益猖獗，严重影响社会秩序；境外势力有组织的网络攻击、渗透等破坏活动频繁发生，严重威胁我国政治、经济、军事、国防建设安全以及敏感信息的安全。频发的网络事件表明，当前我国网络安全事件的监测、预警能力和防护手段严重不足。

正如习近平总书记2016年4月19日在网络安全和信息化工作座谈会上指出“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。”同时指出“全天候全方位感知网络安全态势，知己知彼，才能百战不殆。”因此，加强和完善我国的网络安全监测、预警与防护的能力刻不容缓。

1 网络安全监测与防护存在的问题

随着国家将网络安全提升到国家安全和国家战略的高度，我国网络安全行业蓬勃发展，整个网络安全产业形成了由众多安全产品构建的安全体系。尽管我们的网络安全行业形成了一个庞大的产业，但我们的安全监测预警与防护依然存在诸多问题，主要体现在以下两个方面。

1.1 安全防护的滞后性

传统安全防护的基本处理流程是在威胁事件已经发生的情况下，分析威胁，并形成识别该威胁的具体特征规则，然后对该威胁进行防御。无论是恶意代码防护还是攻击防护，无论是对已知攻击行为的检测还是对未知攻击行为的感知，这种安全防护模式总是处于一种后知后觉、后防的体系中，产品面世的那一刻就已经处于过时阶段，需要通过连续的、不断的升级方式来弥补防御能力的不足。

1.2 防护分散，各自独立，缺少动态立体综合防护体系

传统防护理念重边界安全轻端点安全，且各自独立，防护分散，信息不关联，造成安全防护能力不足。

信息化网络是由网络、网络设备、计算机组成等共同组成，安全防护必须建立在整个防御链条下的终端、边界、服务、应用等各类安全基础之上。因此，以传统的防火墙、入侵检测、审计、安全堡垒等设备为代表的信息安全防护装置无法成体系地做出威胁信息的收集、融合、联动来应对威胁和网络攻击，必须要建立以各类信息采集、数据融合、感知预测、主动防御的一体化网络安全防护体系。

2 网络安全态势感知与防护

网络安全态势感知与防护，通过实时监测采集网络流量、主机静态与动态安全数据，整合计算机、网络、应用系统、数据流量等各类数据源，使用对抗式的智能动态行为关联分析算法和各类威胁行为的智能识别模型，将表象毫无联系、杂乱无序的各类数据转化为可以直观可视化的安全信息，实现对各类威胁行为的自主发现、预警和态势感知，提升威胁行为发现与防御的能力和时效性。

网络安全态势感知能够实时获取并评估当前网络的安全状况，提供精准分析信息帮助网络管理员进行决策处理，降低安全威胁可能造成的风险和损失。网络安全态势感知对提升安全监管、提供网络安全预警、完善安全分析、实时防御、促进网络健康发展具有重要作用。

网络安全态势感知及防护体系架构按照信息处理流程，可分为数据采集、数据存储、网络安全威胁行为分析、网络安全态势预警与处置四个部分，以构建完整的网络安全预测和防护体系。如图1所示为网络安全态势感知与防护体系架构。

图1 网络安全态势感知与防护体系架构

2.1 数据采集

从安全发现角度而言，识别一次完整的网络攻击渗透，涉及的内容包括身份认证、应用访问授权、终端操作行为检测、网络流量特征检测、恶意代码发现、风险报警、应用安全审计等多个环节，所有环节都会记录网络攻击的蛛丝马迹，都潜藏着区别于正常操作的非法行为特征。因此态势感知的源数据要尽可能覆盖整个网络攻击操作链条下的每个节点、每个环节和每个要素，将监测的诸如通讯流量、行为审计、日志、恶意代码、环境资产等各类数据都采集下来，包括但不限于被监测或被分析对象的环境数据、静态数据、动态行为数据等，确保威胁行为定性分析所需数据的完整性、全面性、真实性、有效性。

采集数据主要包括三个大方面：检测对象数据、全流量数据和威胁事件数据。其中：

（1）监测对象数据是指被监测分析对象的运行环境数据、对象静态数据、动态行为数据；

（2）全流量数据是指网络全流量数据的直接镜像采集存储，为电子证据提取、疫情分布统计查询、提升疫情监测分析效率、实现多时间跨度的威胁行为监测、威胁潜伏周期分析提供详尽的数据基础；

（3）威胁事件数据是指监测安全威胁事件，为疫情分布提供数据基础。

数据采集源主要包括全流量数据镜像设备、流量探针设备、蜜罐式探针设备、终端探针软件，建立多环境、多层次的数据采集架构，以保障数据的有效性、可靠性、完整性、全面性。如图2所示数据采集架构。

图2 数据采集架构

（1）全流量镜像设备部署在骨干网、重要网络节点，网络监测节点的网络全流量数据的镜像采集，并上传数据存储中心；

（2）流量探针设备部署在重要网络节点或每个需要监测的网络节点，对网络流量数据实时截取/接入/过滤/还原/全存，然后通过沙盒技术、虚拟环境技术、信息分析技术，快速分析截获对象的静态与动态行为数据，并将数据上传分析中心的威胁大数据存储中心；

（3）蜜罐式探针设备部署在骨干网、机房等，通过成熟的蜜罐技术，以及沙盒技术、虚拟环境技术、信息分析技术，长期监测分析蜜罐系统截获的对象的静态与动态行为数据，并将数据上传分析中心的威胁大数据存储中心。可根据被监测网络的应用环境，建立与应用环境相同的蜜罐系统，实时监测分析针对该应用环境实施的具有针对性的特定攻击，可以帮助解决具有逃逸性质的攻击行为，并可有效监控网络内部发生的攻击威胁行为；

（4）终端探针软件部署于计算机，采用轻量级设计原则，长期监测分析被监测计算机的网络环境数据、计算机系统环境数据，以及全部进程的静态与动态行为数据，并将数据上传分析中心的威胁大数据存储中心。终端探针软件所采集的数据为被监测网络的真实运行环境和被攻击入侵的长期、实时、真实数据。可以有效解决具有逃逸性质的攻击行为，并能够有效监测通过U盘等方式的攻击方法；

（5）虚拟云模拟探针系统部署于预警监测与应急处置中心。通过虚拟云计算机技术，构建模拟运行环境，对上传的分析对象实施动态监测，捕获其动态行为数据，并将数据上传分析中心的威胁大数据存储中心；

（6）威胁事件探测设备部署于骨干网节点、重要网络节点、重要网络出入口内侧核心交换以及重要网络节点。主要作用是捕获已定性威胁的事件。疫情分析中心对威胁行为定性后，由系统自动提取威胁行为特征标识，添加威胁行为特征标识库，并通知所辖威胁事件探测设备进行特征标识的更新，实时发现经过监测节点的威胁事件，并上报数据中心，为疫情分析、预警提供有效的数据支撑。

2.2 数据存储

数据存储就是实现数据采集源所采集数据的存储与集中管理，并对数据进行去重、聚合、标准化处理，确保威胁行为定性分析与疫情分析预警的精准性、高效性。

为满足所有结构化数据、非结构化数据和半结构化数据的存储需要，数据存储需要整合关系数据库系统、数据库集群系统、分布式文件系统等，构建一个混合式的数据仓库。我们采用基于Hadoop 的分布式文件存储系统（HDFS），该系统是实现大量安全数据存储与管理的有效途径。该系统具有高容错性和高吞吐量的特点。HDFS 将文件数据划分为多个数据块，为每一个数据块创建、维护多个副本，并将这些副本存储到不同的服务器上，实现数据的容错/灾备。此外，在分布式环境下，HDFS还可通过就近原则和并行I /O进一步提高数据的读写性能。

（1）数据去重就是重复数据删除，是指在一个数据集合中，找出重复的数据并将其删除，只保存唯一的数据单元。在删除的同时，要考虑数据重建，即虽然部分数据被删除，但当需要时，仍然将完整的文件内容重建出来，这就需要保留文件与唯一数据单元之间的索引信息。通过重复数据删除，不仅可以大大降低需要的存储介质数量，进而降低成本，而且在写入数据的时候就进行数据去重，可以避免一部分的数据写入磁盘，从而提升写入性能。

（2）数据聚合是指根据数据的内在性质将数据分成一些聚合类，每一聚合类中的元素尽可能具有相同的特性，不同聚合类之间的特性差别尽可能大。数据聚合分析的目的是分析数据是否属于各个独立的分组，使一组中的成员彼此相似，而与其他组中的成员不同。

（3）数据标准化处理就是统计数据的指数化，是在数据分析之前，先将数据标准化，利用标准化后的数据进行数据分析。数据标准化处理主要包括数据同趋化处理和无量纲化处理两个方面。数据同趋化处理主要解决不同性质数据问题，对不同性质指标直接加总不能正确反映不同作用力的综合结果，须先考虑改变逆指标数据性质，使所有指标对测评方案的作用力同趋化，再加总，才能得出正确结果。数据无量纲化处理主要解决数据的可比性。数据经过标准化处理，原始数据均转换为无量纲化指标测评值，即各指标值都处于同一个数量级别上，可以进行综合测评分析。

2.3 网络安全威胁行为分析

网络安全威胁行为分析，首先根据输入的结果需求对数据进行筛选过滤及索引处理，通过构建的各类威胁行为的智能动态行为关联分析识别模型，对监测对象的各项数据实施关联性分析，确定被分析对象的行为性质，即正常行为，或恶意威胁行为。

动态行为关联分析识别模型是威胁行为分析、定性的关键，我们以衍生关联关系树、执行关联关系树、事件关联关系树等构建各类威胁行为的动态行为关联分析模型，实现对监测对象行为的定性分析，确定被监测对象的行为性质，识别出威胁行为。

以攻击代码A为例。攻击代码A源于网络，衍生于IE进程，并被IE进程主动执行。攻击代码A执行后，衍生攻击代码B和攻击代码C。攻击代码A主动启动攻击代码B和C。攻击代码B被执行后，负责将攻击代码C的启动方式写入注册表项Run启动项，保证攻击代码C随着系统启动而自动运行。攻击代码C被执行后，负责搜索系统包含特定字符的文件，并将该文件的位置和将要访问的远程服务器地址两个参数发送给系统的FTP程序，并主动启动FTP程序。FTP程序被执行后，将攻击代码C通报的文件发送到制定的远程服务器。如果以割裂的方式分别独立分析攻击代码A、B、C，均可以认为是正常行为。如果将攻击代码A、B、C的衍生关系、执行关系、事件关系作为一个整体进行关联分析，其行为已经构成以窃取信息为目的的威胁行为。

网络安全威胁行为分析，不仅帮助我们定性行为的性质，还能够帮助我们确定被分析对象类型、家族性、攻击传播方式、攻击路线、来源追溯、威胁行为意图。

2.4 网络安全态势感知预警与处置

网络安全态势感知预警与处置业务应用主要包括5个方面的功能：

（1）网络安全威胁报警与发布。利用网络安全威胁行为分析的分析结果，实现对高级持续攻击、恶意代码传播、溢出攻击、网页篡改、信息盗取等网络攻击活动的即时报警，并对重大安全威胁事件实时发布。

（2）国家重点及关键信息基础设施的实时监测与通报。对国家党政机关、重点企事业单位以及国有企业的网站和重要信息系统进行实时监测，发现高级持续攻击、信息盗取、网页篡改、拒绝服务攻击等网络安全威胁和恶意破坏事件，并实现向被攻击机构实时通报。

（3）网络风险预警及感知。提供网络安全攻击与威胁活动分布、攻击事件、关键信息基础设施安全隐患与漏洞等网络安全态势的可视化展示和输出，并及时了解和掌控不同安全要素决定的网络安全发展趋势以及可能的影响范围。

（4）网络安全态势展示。通过统一的前端界面，基于多种可视化脚本库进行安全态势的全景展示。

（5）网络安全威胁事件主动处置。网络安全攻击行为被发现时，基于预设的安全威胁程度等级标准，安全态势感知系统根据攻击行为的威胁程度采取不同的应对机制，对普通的攻击行为仅仅进行记录和上报处理，对威胁程度较高的安全攻击行为采用主动实时响应机制进行处理。

主动响应机制可以显著提升安全态势感知体系的安全防御功能，主动响应机制针对关键网络功能的敏感数据提出高层次的安全防护，可以避免产生误操作。

（6）结合移动APP，实现公安机关与各等级保护单位信息同步。监测预警APP为公安、支撑单位、等保单位、运营商等提供手机、IPAD等移动应用，方便等级保护、实时监测、分析研判、追踪溯源、通报预警、网络安全管理等工作的及时沟通联络，实现联动应急处置功能，从而提升通报预警与应急响应的效率。

3 总结

从网络攻击现状及当前网络安全防御的需求出发，分析了当前网络安全监测预警防御体系存在的问题，以及网络安全的动态性、被动性、对抗性、不确定性和不对称性等特点，在此基础上提出了整合计算机、网络、应用系统、数据流量等各类环境、静态与动态安全数据源，构建集安全数据采集、数据存储与处理、网络安全威胁行为分析、网络安全态势预警与处置于一体的网络安全态势感知架构，建立安全威胁可识别、威胁来源可追溯、威胁意图可掌握、潜伏周期可查询、威胁损失可评估的网络安全监测与防护系统， 最终达到网络应用环境一体化安全防护的目标。

[1]2016年11月7日.中华人民共和国网络安全法.

[2]信安字[2018]003号.全国信息安全标准化技术委员会2018年度工作要点.

[3]中华人民共和国公安部令第82号.(2006年3月1日起施行).互联网安全保护技术措施规定.

[4]国发〔2012〕23号.国务院关于大力推进信息化发展和切实保障信息安全的若干意见.

[5]公通字[2007]43号.信息安全等级保护管理办法.

[6]公通字[2004]66号.关于信息安全等级保护工作的实施意见.

[7]中办发[2003]27号（2003年8月26日发布）.国家信息化领导小组关于加强信息安全保障工作的意见.

[8]中华人民共和国国务院令第147号(1994年2月18日发布).中华人民共和国计算机信息系统安全保护条例.

[9]GB 17859-1999.计算机信息系统安全保护等级划分准则.

[10]GB/T 22239-2008.信息系统等级保护基本要求.

[11]GB/T 22240-2008.信息系统安全保护定级指南.

[12]GB/T 25058-2010.信息系统安全等级保护实施指南.

[13]毛捍东，陈锋.信息安全风险评估方法研究[J].中国信息协会信息安全委员会年会集，2004.

[14]姚淑萍.网络安全预警防御技术[M].国防工业出版社，2015.