浅谈网络安全态势感知技术架构及建设思路

2019-06-05李普玉

网络安全技术与应用 2019年5期

◆李普玉

浅谈网络安全态势感知技术架构及建设思路

◆李普玉

（中国国际广播电台北京100040）

随着网络空间的高速发展，对网络安全防护技术提出了更高的要求。在大数据技术支持下，网络安全态势感知成为了实现网络安全监控的一种新技术，它能够动态反映当前网络安全状况，并对网络安全的发展趋势进行预测和预警。本文在研究态势感知技术架构的基础上，对网络安全态势感知系统的建设思路进行了探讨。

网络安全；态势感知；态势预测

0 引言

随着网络和信息化技术的快速发展，网络应用、网络规模和网络数据的日益庞大，加上网络攻击技术和手段逐渐呈现平台化、集成化，网络攻击具有更加隐蔽性和更长时间的特点，现有传统、被动、分散、静态的安全防御技术，已不能满足全方位安全防护要求，无法有效抵御未知的高级网络攻击，从而造成安全事件频繁发生。无论大型组织还是中小组织都面临着越来越严峻的网络安全形势，并越来越重视网络安全建设，对网络安全建设提出了更高的需求和目标。因此，我们迫切需要一种网络安全新技术，实时监测网络安全状况，及时发现并处置安全事件，以降低网络安全风险，提高网络安全防护能力。

网络安全态势感知是一种主动防御技术，它复合与增强了多项安全技术[1]，能够实时、主动地监控网络状态，对当前和未来一段时间内网络的安全状况进行全面分析评估，从而预测网络安全风险并及时采取措施，实现静态和动态相结合的安全防御。

1 网络安全态势感知技术架构

由于态势感知系统涉及的网络安全信息大、种类多、结构复杂，又对数据处理的实时性、准确性和高效性等要求很高，而大数据技术支持海量存储、多数据类型，并具有并行计算、数据处理速度快等特点，大数据技术的发展为态势感知系统建设提供了机遇。把大数据技术应用到态势感知系统建设中，借助大数据采集、处理、存储、分析等相关技术，对海量网络安全信息进行自动分析处理和深度挖掘，对网络的安全状态进行分析评价，感知安全威胁和网络趋势。基于大数据技术，网络安全态势感知由安全数据采集、数据预处理、态势分析、态势预测和态势展示5部分组成，其技术架构如图１所示。

图1 网络安全态势感知技术架构

1.1 安全数据采集

安全威胁往往隐藏在海量网络数据之中，持续收集海量、多维的数据是进行网络安全态势感知的基础，只有对安全数据进行全面、准确地采集才能保证网络安全态势评估与预测的准确性。因而网络安全数据采集要尽可能的广泛、全面和完整，包括终端行为、原始流量、审计数据、监测数据、威胁告警数据、日志数据、资产和元数据等各种信息[2]。数据采集方式常见的有传感器、syslog、SNMP、NetFlow等技术，对于大量多源异构数据，可采用前置探针的方式，对数据进行集中采集。

1.2 数据预处理

由于采集的原始数据来源多样化，其数据格式、内容、质量千差万别，存储形式、表达的语义也不同[3]，同时，这些数据中还存在着大量的不完整、不一致，甚至重复、错误或异常的数据，如果不对数据进行预处理，就会严重影响到后续数据的分析和挖掘，以及分析的准确性。因此，在态势分析之前，需要对采集的数据进行规格化、统一化的预处理，以改进数据质量，提高数据分析的效率、质量和准确性。数据预处理就是通过数据清洗、数据融合、数据关联等方法，将原始数据进行重新审核、筛选和排序，形成准确、基础的数据关系图谱的过程，常用处理方法主要包括数据清洗、集成、归约、变换、融合等[4]。

1.3 态势分析

态势分析主要是将预处理后的安全数据进行分析挖掘，把具有一定相关性、反映某些网络安全事件的特征信息提取出来，采用相应模型或算法从整体上对当前网络的安全状况进行分析，从而全面掌握网络整体的安全状况。在态势分析前，首先要按照一定的原则和标准从预处理后的数据中提取相关指标信息，建立一套合理的安全态势指标体系，然后以此指标体系为基础建立合适的数学模型，从而对当前的网络状况进行态势分析。由于态势分析涉及数据量很大、评估方法复杂且没有系统的理论体系，因此，在现有的理论和技术中一般有数据挖掘和数据融合两类技术可以运用。

1.4 态势预测

态势预测是通过分析评估当前网络状态和历史信息，对网络态势的未来发展趋势进行推测和估计，是实现网络安全主动防御的关键环节。目前网络安全态势预测一般采用定性分析、时间序列分析和因果分析等传统方法。由于网络攻击具有随机性、不确定性和复杂性等特点，当面对复杂复合式的网络攻击，传统预测方法已逐渐不能满足需求，随着人工智能和机器学习技术的发展，态势预测越来越倾向于使用智能预测方法和技术。目前，神经网络预测是常用的网络安全态势智能预测方法[4]，它能够通过网络自学能力调整和构建态势预测模型，具有自学习性、自适用性，以及良好的容错性和稳健性等特点。

1.5 态势展示

态势感知涉及大量抽象的数据，相互之间关系复杂，利用传统文本方法无法直观地将态势分析和预测结果呈现。由于大数据可视化技术的发展，态势展示可利用可视化技术，根据业务特点和需求关注点，将大量、复杂、抽象的网络安全态势数据体系以图形图像的方式进行综合展现，帮助安全人员分析网络态势，识别安全威胁，为管理决策提供有力的依据。态势展示涉及计算机图形学、图像处理、计算机视觉、计算机辅助设计等多个领域[3]，目前已有很多可视化技术和工具应用到了态势感知领域，并取得了一定的效果。

2 网络安全态势感知建设思路

网络安全态势感知建设对提升网络安全防护能力至关重要，要建好用好网络安全态势感知，离不开有效的技术平台、安全运营管理和安全人员建设。通过网络安全态势感知技术平台建设实现网络空间的安全持续监控能力，及时预警各种威胁与异常，并进行可视化展示；通过网络安全运营管理建设，建立健全各项安全管理制度、安全预警机制等，实现有效的安全决策和应急响应；通过技术人员建设，提高网络安全工作能力和安全事件处置能力，达到网络安全威胁事中阻断、事后溯源的效果。

2.1 本地数据中心和第三方态势感知服务平台相结合

由于自主建设态势感知平台周期长、预算多、风险高，这种方法，一般不适用于中小组织。因此，若想快速有效的搭建态势感知平台，可充分利用第三方服务平台，采取本地部分建设和第三方服务相结合的方式。一方面，在本地建设数据中心，数据中心进行数据采集、存储和预处理，并利用大数据技术进行分析，实时监测网络安全状况；另一方面，采购第三方网络安全企业的态势感知平台的服务，将本地数据中心预处理后的数据和态势分析状况同步至第三方网络安全态势感知服务平台，由第三方服务平台进行安全数据和威胁情报数据的对比分析和态势预测，从而实现网络安全趋势预测和深度挖掘潜在的安全威胁，并进行可视化展示。

2.2 自主建设态势感知平台

自主建设方式适用于大型组织或者某个行业，在建设中可按照统一规划、分级部署的方式，分多个阶段逐步建设。在初始阶段应重点考虑基础平台和安全管理系统建设，基础平台包括数据采集、数据处理、数据分析、可视化展示以及资产管理等，安全管理系统可根据实际需求，面向不同的安全问题和管理需求，开发不同的安全管理子系统，如预警响应、安全监测、态势感知、快速处置、等保监测、报表中心、溯源分析等子系统。随着基础平台和管理系统的建设，逐步引入自动化配置手段和人工智能分析预测技术，实现自动化、体系化主动动态的网络安全防护能力，建立起覆盖全网的态势感知、安全监测、通报预警的体系。

在网络安全态势感知平台建设中需重点关注安全数据中心和威胁情报中心的建设[5]。本地安全数据中心建设，应覆盖全部网络和业务系统中的各种软件、硬件和各个环节，建立相应数据采集点，尽可能多的采集网络中的各类安全状态数据、流量数据、安全威胁和告警数据以及安全管理类数据信息，经过数据预处理后存储在安全数据中心。在安全数据中心的基础上，建设威胁情报分析中心，将威胁情报和本地的安全规则和安全数据中心的数据进行关联分析，从而发现网络中的威胁和异常，实现网络安全态势的评估和预测。为提升整体网络安全运营水平，提高态势预测的准确性和全面性，高质量的威胁情报数据必不可少，因此威胁情报中心在采集平台内部威胁情报数据的同时，还应收集融合平台外部的威胁情报数据，为此可考虑建立平台内部和外部的威胁情报数据共享机制。

2.3 加强网络安全运营管理

态势感知平台建设完成后，若要充分发挥其效能，就需要加强网络安全运营管理，建立起相适应的网络安全管理机构和配套的规章制度体系。安全管理机构需要承担信息安全管理工作，要制定信息安全管理制度，完善技术防护措施，因此需进一步明确定义管理机构的管理层次、角色、职责、权限、技能要求等，并配备合适的人员；在规章制度建设中，可结合实际从数据管理、漏洞管理、运维管理、备份管理、资产管理、人员管理、安全事件处置、应急响应等方面制定相应的安全管理制度和操作规程，并要求相关人员严格遵守。此外，还应加强风险管理，定期对网络和业务系统开展安全评测，对发现的问题和薄弱环节，进行修复整改。

2.4 加强安全人员建设

为有效提升网络安全防护能力，必须将态势感知和响应处置相结合，面对网络安全威胁，其防护策略调整、响应处置等需要人来落实，高效及时的响应和处置，对安全人员提出了很高的要求。因此，在网络态势感知建设中，安全人员建设同平台建设、安全运营管理建设同等重要。一方面，加强安全人员安全意识教育、技能培训和团队建设，提高网络安全工作能力；另一方面，进一步拓展和深化安全人员专业技能，在掌握传统网络、安全等专业领域知识和工具的基础上，不断加强网络安全态势感知、大数据技术等知识的学习，不断了解网络攻击的新手段和新方法，研究网络防御新方法，提高网络安全检测、分析和响应水平。