谷晓鹏

（91001部队，北京 100841）

0 引言

计算机网络的日益普及和组网技术的快速发展，网络在深入社会、政治、经济、军事等各个领域，对社会治理、产业发展、个人生活、思想文化产生了巨大影响。网络在人类社会中的作用越来越大，同时入侵攻击带来的损失也日益增大，网络安全问题逐渐严重。网络攻防也日趋规模化、分布化、复杂化，攻击手段向着态势变化迅速、破坏性越来越大的方向发展。日益严峻的安全威胁迫使政府、社会、企业不得不加强网络系统安全防护。目前网络攻击向着高级持续威胁等有组织的攻击发展，传统的单点防御、各种独立的安全防御措施，在新的攻击技术、新形势下，已经完全无法满足需求。构建协同化、立体防御系统，核心在于有效生成和发布网络安全态势信息，使得防御方难于响应复杂网络攻击。在这种情况下，迫切需要一种新的网络安全态势系统，可协同各个网络防御单元实时掌握网络安全态势信息，并及时消除网络威胁，降低攻击造成的损失。网络安全态势信息是不同的安全厂商、网络运营单位之间进行安全情报共享、敌情我情评估的共性数据，而且具备机器可读信息。因此，开展网络安全态势感知研究至关重要。

本文首先参照国家相关标准，面向网络威胁信息设计安全态势感知模型，并在此基础上构建网络安全态势感知系统，为全面的网络安全防护体系构建提供前瞻且务实的指导思想。

1 国内外研究现状

态势感知（Situation Awareness,SA）最早用于研究飞行员对当前所处飞行状态的认识［1］。Endsley 等［2］认为态势是对抗双方或多方，在一定时空环境内的各方态势要素进行探测与信息收集，并对获得的信息进行理解，预测它们在不久将来的状态的方法。态势感知通常分为三个层次，分别为察觉、理解和预测。

1999 年，Bass［3］提出了网络空间态势感知（Cyberspace Situation Awareness，CSA）和网络态势感知（Network Situation Awareness，NSA）的概念，是首次将态势感知概念引入网络安全领域。本文基于Bass 对CSA 的定义，认为网络安全态势感知是在大规模网络环境中，对能够引起网络态势变化的安全要素进行获取、理解、可视化，并能够对未来发展趋势进行一定的顺延性预测的技术方法，其最终的目的是要获得网络安全防御的正确决策，采取正确行动。所以，网络空间安全态势既是一种状态，又是一种趋势，必须考虑整体、全局多个层级以及它们的关联性，用普遍联系的思维研究网络安全问题，因此任何单一的安全事件、局部的安全状态都不能称之为网络安全态势。

2007 年，美国在爱因斯坦计划［4］的基础上提出可信互联网连接（TIC）计划，提出网络出口管理。2010 年又通过《联邦信息安全管理法》要求各机构的网络信息安全方案中，必须包含对各类信息系统进行持续监测［5］。美国国家标准与技术研究院在2016 年发布了网络威胁信息共享指南，该指南中所涉及的信息源的选择、威胁情报类型、数据源的选择、威胁指标等内容可以作为态势感知系统的有效参考［6］。

国内对态势感知发展建设同样重视。2017年，中国移动通信集团公司业务支撑系统部制定了《中国移动业务支撑网升级安全威胁分析与预警平台技术规范》［7］，规定了中国移动业务支撑网省级安全威胁分析与预警平台对业务支撑系统、管理信息系统各类安全数据的采集、存储、安全威胁分析、安全告警和安全预警的功能要求。2019年5月，发布的国家标准《信息安全技术网络安全威胁信息格式规范》（GB/T36643-2018）［8］中，对网络安全威胁信息描述做出了标准规范，有助于整体的网络安全威胁态势感知能力的提升。目前态势感知已经逐步成为网络安全系统建设中越来越重要的组成部分。

2 安全态势感知模型

为确保构建的安全态势感知模型具备通用性、一致性和可移植性，本文在遵循GB/T36643-2018标准要求的基础上开展设计，首先介绍上述标准中的威胁信息模型。

2.1 威胁信息模型

为了能够实现不同组织间网络安全威胁信息的共享和利用，GB/T36643-2018 标准定义了威胁信息模型，从对象、方法和事件三个维度对各类威胁信息进行了划分。经典的威胁信息模型包括可观测数据（Observation）、攻击指标（Indicator）、安全事件（Incident）、攻击活动（Campaign）、威胁主体（Threat Actor）、攻击目标（Exploit Target）、攻击方法（TTP）、应对措施（Course Of Action）在内的八个威胁信息组件描述网络安全威胁信息。又可划分为对象域、方法域和事件域：

（1）对象域：描述了网络安全行为的参与角色，核心就是攻防双方，包括“威胁主体”类角色（一般是攻击者）和“攻击目标”类角色（一般是被攻击方）。

（2）方法域：描述网络安全威胁中的方法类元素，包括两个方面：一是“攻击方法”，二是“应对措施”，分别对应了攻击者的主要方法，也就是攻击和入侵所采用的方法、技术和过程，和防御方的主要技术方法，也就是针对攻击行为的防御措施，如预警、检测、防护、响应等动作。

（3）事件域：描述网络安全威胁相关的事件，包括四个组件：攻击活动、安全事件、攻击指标和可观测数据，其中攻击活动通常以经济或政治为攻击目标，攻击事件是指对目标信息系统进行网络渗透的行为、安全时间主要指对终端、网络节点、设备实施的具体攻击，可观测数据主要是从网络或主机层面捕获流量和日志信息。

在对上述模型信息组件研究的基础上，经过各类安全时间和攻防模型的研究，本文在微观、中观和宏观三个层面构建了安全态势感知模型，并可划分为运行状态态势、攻击活动态势和攻击方法态势。

2.2 运行状态态势

运行状态态势是针对所要描述的网络环境，给出其运行状况的定性及定量评估，如图1 所示。运行状态所基于的网络环境，应当是单个资产，或基于一定关系组织起来的局部网络或资产组合，从微观到中观到宏观，可基于应用、设备、信息系统、业务活动、域、子、整体网络等给出运行状态态势。基于时间序列给出的运行状态评估值序列称为运行状态变化趋势。

2.3 攻击活动态势

安全事件基于威胁主体及具体意图的融合理解，形成攻击活动。对于安全事件最直接的融合是基于过滤条件（如时间、威胁主体、攻击方法、攻击目标等）输出事件列表及事件次数统计信息。从微观、中观到宏观视角对安全事件-攻击活动的态势如图2所示。

图2 安全事件-攻击活动态势

同样，也可针对事件数量及威胁评估值在时间序列上的变化形成事件数量时间趋势及威胁评估值时间趋势，如图3所示。

图3 攻击链模型

从态势感知角度，基于威胁事件的特征把事件分配到攻击链各个环节，从IP 关联、时间关联、大类关联、阶段关联等多种关联手段分析攻击者意图，建立起事件与事件之间的关联关系，还原攻击过程。

从攻击链模型的七大阶段看，前三阶段事实上是攻击的试探及准备阶段，第四个阶段“渗透”是个分界线，后面三个阶段都是渗透成功，获得部分权限后所执行的威胁活动。攻击链的具体实例，基于不同的威胁过程，可能不一定包含七个步骤的内容。

2.4 攻击方法态势

攻击方法的分类分为两种维度。其一是对攻击技术手段的维度，其二是针对攻击目标所利用的脆弱性进行分类。

对攻击技术手段的分类分为基于攻击机制及攻击领域两种分类方式。针对攻击目标的脆弱性的分类方式可按研究概念视图、开发概念视图、架构概念视图等不同视图进行分类。

不管采用哪种分类方法，攻击方法的分类都是多层次的结构，如图4所示。攻击方法在微观上的态势分析是针对单个事件具体使用的攻击方法的分析。对攻击方法的态势融合在分类层面的从微观层次到中观再到宏观的融合遵循从单个具体的方法到小类型到上级类型的规律。

图4 攻击方法态势

3 网络安全态势感知系统框架

结合大数据、人工智能等技术，实现安全态势感知模型的应用，形成网络安全态势感知系统框架如图5 所示。该系统分为资源层、采集管控层、大数据层、服务层和业务层，采集层对资源层进行安全数据采集，通过大数据层实现数据存储与分析，这三层为平台的服务层和业务层提供数据支撑。而平台的服务层和业务层，为用户提管理服务和技术服务。

图5 网络安全态势感知系统框架

3.1 数据支撑服务

网络安全态势感知系统在数据支撑上，支持对网络下所有节点日志的统一管理，以及多种日志采集方式收集云平台设备和系统日志，并通过对日志的分类、过滤、强化、分析和存储，为技术服务与管理服务提供数据支撑。

通过内置过滤器，系统对网络设备、安全设备、安全资源池等进行日志过滤、归并和规范化，过滤掉严重程度较低的原始日志信息。通过指定日志影响的设备、日志采用协议、日志类别、日志标题等日志属性进行过滤，对日志数据过滤的开启状态进行手工设定，多级过滤。日志采集引擎支持预处理安全日志，在采集引擎段即可生成标准化的日志格式。通过交互式界面，动态识别和提取日志关键信息，并自动生成正则表达式，通过所见即所得的交互式模式进行正则的验证。

3.2 管理服务功能

系统以安全管理体系为输入，进行管理流程设计。如结合安全管理体系中的规章制度、规范流程设计平台的工作流；参照管理机构与人员，对应用户设置不同权限，制定审批链，并以此为参照，进行用户权限管理；结合运维过程中的记录、表单，设计工单管理中的流转页面。在平台运营过程中，结合平台资产库、漏洞库、配置基线库等，通过平台开展运维管理。

结合网络内的扫描类产品，系统支持网络资产自动发现功能，能够自动发现和识别资产。能够实现全局模式下通过搜索IP 地址、资产名称、MAC、操作系统、资产编号、物理位置、资产类型等方式查询资产表信息，实现事件快速定位。

脆弱性管理包括漏洞脆弱性和配置脆弱性两个部分，是网络环境重要的风险评估项，在等保与分保标准中，也要求定期开展配置检查和漏洞扫描。脆弱性管理功能从脆弱性、漏洞情报和资产管理三维度出发，分析资产受影响情况，提供防护措施。通过脆弱性管理功能模块加强漏洞风险管理。

3.3 技术服务功能

系统以安全态势感知模型为基础，综合应用威胁情报系统，建立攻防场景模型，对态势进行大数据分析，对各类相关数据设计了可视化展示方法，能够建立对安全态势的全面监控，在综合其他数据源的基础上，可以进行安全威胁的实时预警和安全事件的智能决策，具备安全事故联动响应的能力。系统能够高效地结合情境上下文分析，协助安全运维人员和安全分析工程师快速发现和分析安全问题。指导实际运维手段，提升网络安全防御水平。

平台在技术服务上包含三大核心：情报预警中心、态势感知中心、联动响应中心。

威胁情报管理根据来自内部预警信息和外部预警信息，分析获得对可能发生的威胁的提前通告。

安全中心安全态势分析的定位是可以针对整体范围或某一特定时间与环境，基于条件开展微观、中观和宏观的态势感知评估，最终形成历史的整体态势以及对未来短期的预测。

联动响应的安全架构自顶向下可分为安全应用、安全控制平台和安全设备三层。态势感知应用对整体攻防态势进行感知，决策引擎进行分析判断，最终生成安全决策，向安全控制平台下达处置策略。

4 结语

网络安全态势感知系统是安全体系中融合技术与管理，提供整体运维和安全管控的支撑平台。它一方面从网络中采集安全数据，进行安全状态实时监控，并通过大数据分析，结合威胁信息，形成多层面的态势感知呈现。通过对全网安全数据的采集，应用大数据、机器学习等技术，形成安全管控的智能决策。