◆梁国光 祁继锋 林飞 易永波

关于网络安全态势感知系统标准架构模式与应用探究

◆梁国光1祁继锋2林飞3易永波3

（1.中国移动通信集团山西有限公司网络管理中心 山西 030032；2.山西省通信管理局网络安全管理处 山西 030002；3.任子行网络技术股份有限公司 广东 518057）

网络安全态势感知是实现网络安全检测与预警的一种方式，这项技术结合了防火墙、杀毒软件、入侵检测系统以及安全审视系统等安全防护措施的数据信息，能够评估当前的网络安全情况，预测未来的网络变化形势，提升网络安全。本文研究了网络安全态势感知系统标准架构模式与应用，供相关读者参考。

安全态势感知；架构模式；应用探究

伴随着网络信息技术不断发展与进步，数据信息的传播速度不断提升，进而导致网络入侵与安全威胁等网络安全问题不断发生。为了提升网络环境安全，有效地处理网络安全问题，安全管理人员就要加强网络安全监控管理，使用入侵检测、防火墙、网络安全软件等措施强化安全监管力度，提升应用程度以及系统运行过程中的安全性，全方位地分析可能引发网络安全风险的潜在因素，采取有效的应急预案以及响应措施等，提升网络安全等级。

1 网络安全态势感知相关技术概念

（1）网络安全态势

我国自进入了信息数字化时代以来，互联网技术得到了迅猛的发展，互联网技术在社会、科研、教育以及生活的各个方面都得到了充分的运用，现阶段，信息网络呈现出了多样化、智能化的特征，网络运行的情况也在不断地发生着变化，因此在网络管理中的难度也不断地增加。虽然目前已经构成了完善的网络管理系统，研究出了各式各样的网络管理设备，提高了网络管理工作中的自动化程度，但是多样化网络所产生的海量网络管理信息仍是一盘散沙，这些信息没有得到有效的结合，整体的信息运行情况无法得到反馈，进而限制对信息网络的整体态势分析。想要获取全方位的信息网络整体态势，预估未来的网络发展情况，并采取有效的预防与响应措施，是现在的网络安全管理工作面临着一个重要课题。

态势感知提取、态势分析与态势预测构成了态势感知系统，将其进行细分，主要能够分为以下几方面：首先在网络环境中进行态势评估之前，要对多种因素进行分析，做好态势评估的准备；其次详细地分析事件的深层原因，并对监控的态势作出综合性的评价；最后构成态势图，使用不同的图标表示不同的网络状态，这样能够让管理员直观地对网络环境获得了解。网络安全态势感知会形成态势图与分析报告，为网络管理提供准确的决策依据。

网络安全态势感知，英文名为CyberspaceSecuritySituational，简称CSSA，是网络态势感知领域内的主要研究内容，同时也是未来信息安全领域内的重要研究内容。网络安全态势感知系统能获取分析监测网络环境中的风险因素，并分析网络环境在未来的发展趋势。

（2）入侵检测系统

入侵检测系统能够发现与隔离入侵网络的各项行为，通过收集信息网络中的一些关键数据以及资源信息，判断网络中是否存在违反了安全策略的行为，或是信息网络受到攻击的迹象。入侵检测系统是基于防火墙发展而来的，能够协助防火墙、路由器进行工作，通常情况下，入侵检测系统位于防火墙之后，是信息网络中的第二道防线，能够实时地检测信息网络环境，分析当前的网络活动，整理归纳网络流量，根据设定好的逻辑规则来判断从主机网卡到网线上的流量，在检测到风险时及时地报警。

（3）风险评估系统

风险评估系统能够分析网络中存在的漏洞与缺陷，不仅能够对网络入侵行为进行描述与分类，也能够形成评估模型，维护系统的安全性，保护系统内的重要资源，并评估一些关键数据，从而获得系统性的评估报告。在此基础上除了评估分析以外也可以形成网络攻击风险的形式化模型。

2 网络安全态势感知系统的标准架构模式

结合网络态势感知与网络安全态势感知的定义，在构建网络安全态势感知系统时要实现安全因素的获取分析与显示。构建网络安全态势感知系统，能够提升网络威胁感知的有效性与主动性。在网络安全感知中，态势感知与态势理解能够集成不同类型的威胁种类，增加评估因素，在关键点技术上没有本质上的区别，最大的区别在于态势察觉层次的不同。网络安全态势感知系统需要获取针对性的数据，全程感知网络环境下的各种攻击行为，就要构建集合主动与被动检测的传感器网络，能够预测与评估未来的网络安全发展趋势。主要的设计需求有以下几点：

（1）收集数据

传感器网络能集成主动与被动检测，实现数据收集，主要能够收集以下几方面的数据：

来自网络安全防护系统的数据。这些数据的来源主要有防火墙、入侵检测系统、漏洞扫描系统以及硬件与软件的日志数据等；

来自主机与重要服务器的数据。数据的主要来源有服务器安全日志、文件访问信息、进程调用信息，实现主机与网络的协同能够极大地增强感知网络风险的能力；

来自网络节点的数据。这类数据的主要来源有由运营商提供的网络原始数据，收集到越多的网络节点数据，感知网络攻击路径的能力就越强；

来自网络威胁的数据。这类数据的来源主要有来自网络攻击源或是网络攻击路径的追踪数据，或是由安全软件获取的网络攻击数据；

协同合作数据。主要有来自权威部门发布的病毒蠕虫预警数据，或是网络安全公司提供的网络攻击行为分析数据等。

在上述数据类型中，除了第一种与第二种数据类型，其他的数据类型都能够由安全态势感知系统来收集，如果能够获取骨干网络设备的访问权，通过设备的镜像功能，能够获取流经网络设备的详细数据。

（2）安全态势评估

安全态势评估分为五个环节，分别为数据预处理、数据集成、数据稳定性评估、网络威胁评估以及安全评估。在收集来自于异源异构传感器的数据时，要进行格式化统一的数据分类处理，在数据库与相关技术的支持下，分析与判断网络安全事件，进行数据的去重与集成，再按照数据的脆弱性与安全事件的威胁进行专项评估。现阶段，我国在数据集成与融合方面的技术发展较慢，因此主要以威胁识别为牵引，评估数据因安全事件引发的变化程度，具体来说是面向网络攻防对抗的网络安全态势评估。在此需要解决以下三个方面的问题：

首先，利用网络威胁主动探测数据，虽然这些数据可能缺乏系统性与完整性，但是这些数据具有很强的指向性，能够证明威胁数据的存在，能够直接用于确认安全事件，并还原网络攻击路径。

整合宏观网络节点数据与具体设计某一信息系统的数据，通过调动数据中的关键字，如IP地址或是攻击特征等，从这些关键字中寻找有价值的数据信息，解决宏观与微观的关联问题。

从网络数据中提出网络攻击行为特征。借助特征匹配技术，提取网络攻击模式与数据流特征，提升对新型威胁的预防能力。

（3）安全态势预测

由于部分网络数据带有脆弱性，并且经常会调整安全策略，这会导致网络威胁具有很强的变化能力。对此，当获取网络威胁数据时，预想不同的条件与场景，结合网络安全的历史信息，在网络威胁的基础下进行安全态势预测，能够直观地反映出在未来特定时间内的网络安全形势，网络安全态势预测的目的并不是形成新准确预警信息，而是分析预警结果，用于网络攻防的对抗中。

3 网络安全态势感知系统的应用

（1）脆弱点分析评估

当外界因素发现并利用了信息网络中的脆弱数据时，就会引发网络安全事故，处理网络安全事件的最佳方式是及时地发现并使用正确的方式处理数据中的脆弱部分，这也是构建网络安全态势感知系统的目的之一。获取系统中脆弱数据的分布情况，能够挟制网络安全态势感系统进行安全事件的预估，在信息网络中，根据威胁程度的大小可以将漏洞分为严重、高、中、低的等级，一旦威胁程度为严重的漏洞被利用，就会带来非常严重的后果，这种漏洞要将其视为重点，及时地进行修补，以避免造成更大的损失。

（2）安全态势分析评估

随机性是安全事件的一项基本特征，部分网络数据还带有脆弱性，需要经常调整安全策略，但是分析数据在一段时间内的运行状态，能够从中提取出网络安全事件发展规律。网络安全态势感知系统等能够以星期为周期总结安全事件的发展趋势，也能够以日为周期总结安全事件的发生频率，通过安全事件的发展信息，能够分析每一天出现的安全事件。网络安全态势感知系统能够将事件的名称发生时间、事件源、资产值与风险值进行直观地概括，其中风险值越小就代表这一安全事件所造成的网络威胁程度越小。如果只存在少量的风险或是不存在安全风险时，当前的信息网络环境就是安全可控状态。网络安全态势感知系统能够记录风险事件的全部信息，将事件进行类型判断，例如，当事件被判断为告警类型的P2P策略冲突的关联事件，系统可以通过修改P2P策略来控制该事件。

4 结束语

综上所述，在网络安全管理中，构建网络安全态势感知系统，能够提升安全事件分析与预防的准确性与稳定性。网络安全态势感知系统集成了多种监测技术、数据分析技术等，能够分析在信息网络或是设备上的网络安全风险监测。网络安全态势感知系统是未来网络安全领域中重点研究与发展的方向之一，现阶段，网络安全态势感知的研究已经受到了国内外学者的关注。本文总结了网络安全态势感知系统的标准架构模式，阐述了网络安全感知系统中的各项需求，为构建系统提出了思路与方案。

[1]殷亚玲. 基于态势感知系统的网络安全防护与应用[J]. 科技风，2020（33）：102-103.

[2]张秀成. 网络安全态势感知系统的构建与应用研究[J]. 网络安全技术与应用，2020（10）：1-2.

[3]宣慧. 高校网络环境中的网络安全态势感知系统[J]. 电脑知识与技术，2020，16（29）：72-74.

[4]冯文静. 基于安全态势感知SDN网络拓扑污染攻击防御系统设计[J]. 现代电子技术，2020，43（16）：85-88.

[5]许庆帅，孔贵琴，王学良. 网络安全态势感知系统技术研究[J]. 数码世界，2020（04）：236.

[6]李若愚，张新跃，张晋豪. 网络安全态势感知系统架构浅析[J]. 信息记录材料，2019，20（08）：101-102.

[7]韩晓樱. 浅谈网络安全态势感知系统及其关键技术[J]. 电子世界，2019（11）：206.

[8]陶源，黄涛，张墨涵，等. 网络安全态势感知关键技术研究及发展趋势分析[J]. 信息网络安全，2018（08）：79-85.