企业网络安全态势感知平台建设研究

秦艳飞

摘 要：本文对网络安全态势感知技术在国内某企业应用可行性进行研究与分析，明确网络安全态势感知技术对企业的应用意义和可行性，并结合该企业现状探索建设网络安全态势感知平台的实施路径。

关键词：网络安全;态势感知;SOAPA;数据源;安全分析

中图分类号：TP393.08 文献标识码：A 文章编号：1671-2064（2019）18-0026-03

1 研究

1.1 研究背景分析

随着以大数据、人工智能、云计算、物联网、区块链为代表的新一代信息技术的不断应用，带来了日趋复杂的网络安全形势和严峻的网络安全威胁挑战。经分析，目前国内某企业面临的安全形势可总结归纳为以下三点：

一是网络安全威胁更加严重并呈现新特征，传统安全产品将无法有效防御。随着互联网的蓬勃发展和技术的日新月异，攻击和威胁手段也越来越多样化和复杂化，因网络入侵盗取客户信息带来的信息泄漏、网络DDOS攻击带来的业务中断、自动化脚本攻击带来的异常交易等网络安全事件时有发生，新一代威胁不仅传播速度更快，其利用的攻击面也越来越广，可以覆盖到移动、桌面、网络、主机、应用和各种社交网络，同时具有隐蔽性强、潜伏期长、持续性强的特点，传统安全产品将无法有效感知、防御，系统化、智能化、态势化逐步成为关键要素。

二是网络安全已上升至国家层面，监管机构检查力度逐步加大。为助力网络空间治理，提供网络安全的法律依据，并不断提高企业对网络安全外部形势的重视，我国从国家层面、行业层面相继出台多部法规制度、管理要求和标准，持续推动和规范企业网络安全建设。因此，掌握整体安全态势将成为企业更为迫切的需求。

三是新技术的不断应用驱动安全建设的创新与变革。面对日益严峻的安全威胁和持续加强的合规要求，传统的安全分析方法明显存在不足，对威胁或风险的感知和判定相对片面，完整性和上下文场景关联性相对较弱。同时，目前各企业网络安全数据正逐渐呈现数据量越来越大、速度越来越快、种类越来越多等大数据特征，将为企业带来海量异构数据的融合、存储、处理和分析等问题。借助基于大数据分析技术的机器学习和数据挖据算法，结合多源数据，能够更加智能地洞悉网络安全态势，更加主动、弹性地去应对新型复杂的威胁和未知多变的风险。

因此，对于国内某企业而言，目前虽已部署了大量安全产品，如漏洞扫描设备、防火墙、WAF、负载均衡设备、防篡改系统、邮件网关、防恶意代码软件、堡垒机以及SIME平台等，但仍缺少一个系统或平台统一分析展示企业整体安全形势，更无法通过对这些基础安全数据或信息进行进一步分析预测企业整体安全态势发展，无法智能地洞悉网络安全态势，无法更主动、弹性地去应对新型复杂的威胁和未知多变的风险。

1.2 研究意义分析

安全态势感知技术是对组织整体安全运行状态的宏观反映，它通过建立一套可行的网络安全特征体系来反映一个网络系统过去、当前以及未来的网络安全变化情况。通过多数据源收集网络的运行情况和受到的攻击情况，然后通过特征提取与量化，并将量化后的数据进行处理，得到过去和现在的网络安全状态，最后通过多种预测手段，利用已经得到的数据预测，提供一个直观准确的网络安全态势走向。如图1所示。

对于企业而言，建设安全态势感知平台可对保障企业网络安全产生以下重要作用：

第一，网络安全态势感知技术能够通过采集和分析多种安全信息并将这些安全信息进行综合分析，从而让管理人员从整体上了解到当前网络的安全状况，通过对包括网络攻击、服务信息以及系统自身脆弱性等相关安全元素进行多源综合分析，对整体安全态势从多维度进行展示，例如可以对漏洞信息、安全威胁信息、业务重要度、管理流程符合性等内容进行综合分析，并从合规、风险、安全威胁、漏洞等不同维度去更丰富、更有层次地呈现企业整体的网络安全形势。

第二，网络安全态势感知技术可以动态反映安全状况，可以看出一段时间内安全的动态变化情况，通過对同一攻击源一段时间内的攻击行为进行横向、纵向分析，同一时间段内不同攻击源的攻击行为的关联分析，以及对同一受攻击目标的业务重要度、所在安全环境的综合分析，动态反映整体安全状况。

第三，网络安全态势感知技术可以预测未来一段时间内网络安全的发展趋势，依据综合评估分析的结果，利用时间序列等分析方法分析网络未来的安全情况，对可能出现的安全威胁提前做好防护准备，例如可以通过对某外部攻击者的综合分析判断当前已发生网络安全事件或安全威胁告警所处的杀伤链阶段，预测下一步可能出现的安全威胁，并提前做好防护准备、制定好安全策略，提高网络的安全性。

综上，通过利用网络安全态势感知技术的“可感、可知”，结合企业网络安全事件集中监控与管理能力和网络安全事件应急管理能力，能够有效应对上文提到的风险与挑战，辅助企业网络安全决策。

2 安全态势感知技术研究

下文将详细介绍安全态势感知技术的结构框架与流程，并对态势感知的核心技术进行详细阐述。基于对态势感知的理解，安全态势感知的处理流程也同样可分为三个层次，分别为安全态势认知、安全态势理解和安全态势预测。

2.1 安全态势认知

安全态势认知即对安全态势特征的提取与量化，主要是了解组织当前的安全状态，在网络环境中监视网络数据流，通过对连接数据、管理数据等底层数据轮廓的学习，及时发现偏离正常轮廓的网络行为信息，从而确定引起异常的行为、攻击者的身份、入侵的频度和入侵目的等。与传统的态势感知方法相同的是，网络安全态势感知需要在第一步对底层的对象进行身份识别、目标定位和态势知识的推理，这一步的目的都是通过在底层数据中提取数据，并将数据处理成态势感知所需要的形式，为下一步的态势理解/评估做好准备。此过程除了状态识别与确认（攻击发现）外，还应对态势认知所需信息来源和素材的质量进行评价。

2.2 安全态势理解

安全态势理解则是对安全态势特征的评估，包括了解攻击的影响、攻击者的行为和当前态势发生的原因及方式，可简单概括为损害评估、行为分析（即对攻击行为的趋势与意图分析）以及因果分析（包括溯源分析和取证分析）。态势的评估是建立在态势特征的提取与量化基础之上的。态势评估是融合、关联和归并安全事件信息，对已经发生的安全事件或性能指标进行实时分析，对组织安全状态生成一个动态的理解，通过这个理解可以得到组织受到的威胁信息，并将这些信息通过安全态势折线图表达出来，用以反映组织的安全状态。

2.3 安全态势预测

安全态势预测是对态势发展情况的预测评估，主要包括态势演化和影响评估。通过生成的状态折线图可以对已经发生的过去的安全状态有个清晰的了解，但是安全事件已经发生后再进行应急处理显得为时已晚。因此需要将得到的评估结果结合相关技术对网络威胁的变化做预测，以便管理人员能够提前做好防护准备，制定合理准确的应对方案。

3 安全态势感知技术的应用探索

3.1 安全态势感知技术应用模型设计

从安全态势感知的处理流程看，态势认知层的技术应用主要体现在可见性层，态势理解和态势预测的技术应用主要体现在安全态势感知技术应用模型的安全分析层。

安全态势感知技术应用模型可分为三层，自底向上分别是可见性层、安全分析层和展示与应用层。其中可见性层主要能力包括全面感知组织安全环境中的安全数据、支撑全面感知组织安全环境内外部数据源的采集、存储能力以及多数据源接入标准化能力。安全分析层主要能力是通过对当前形势进行充分理解，多维度分析、评估当前安全形势下产生的影响的能力，包括大数据处理能力、实时分析能力以及多数据源复杂场景关联分析能力。

因此，安全态势感知平台的建设主要集中在可见性能力和安全分析能力的建设上。

对于该企业而言目前可见性方面已初步具備传统安全产品数据源，但仅有此部分数据源不足以呈现完整的安全状况，对于管理数据的接入缺失以及新一代检测数据（如流量分析平台、端点监测工具等）的缺失将直接影响整体安全状态的获知;对于安全分析能力方面，目前已部署的SIEM平台可具备一部分安全分析能力，但对于复杂场景下用户行为实体的分析或预测仍是重要缺失。下文将对该企业态势感知平台可见性能力和安全分析能力的建设进行重点阐述。

3.2 安全态势感知可见层技术应用探索

安全态势感知技术的第一步是对多数据源信息进行预处理，因为不同设备处理网络攻击的方法不同、表现方式也不同，数据标准也不一致，同时还包含一些无用的数据信息，如果不将这些数据进行预处理而直接使用，会导致评估过程无限延长，甚至会产生错误的评估结果，影响最后的态势预测。因此先将有用的数据从海量数据中剥离出来，保留有用的数据，剔除对评估分析无用的、甚至产生误导作用的数据，为安全分析工作做好准备。

可见层的核心技术功能点主要包括：

（1）数据标准化，既可以对结构化数据进行标准化，同时可对非结构化数据进行标准化;（2）数据存储与处理，即大数据存储与处理能力;（3）数据采集，包含syslog、文件和目录监视器、威胁情报、DB Connect和WINDOWS监视器等;（4）数据接口，如软件安全开发工具包SDK（Python＼jave＼ JavaScript＼C#＼Ruby）、数据转发至第三方系统（TCP套接字＼Syslog）和REST API等;（5）数据源，涵盖原始数据及单点检测分析，覆盖面应涵盖内部（人、终端、应用、主机、网络、物理）和外部情报数据，关键技术包括数据和应用监控、漏洞扫描工具、威胁情报平台、恶意软件分析和沙箱、NFT或NTA以及端点检测和响应。

下文将着重对数据源规划、数据标准化、接入数据源应用功能及部署关键点分析进行重点阐述。

3.3 数据源规划与数据标准化

3.3.1 数据源规划

从数据源覆盖全面感知安全形势出发，结合企业现有数据源情况以及场景案例数据源需求，规划数据源共分为三大类，包括传统数据源、上下文数据、新一代检测分析数据。

传统数据源主要包括系统软件日志、硬件设备日志、工具软件日志、应用交易日志、管理数据和情报数据;上下文数据主要包括用户上下文、资产上下文、漏洞上下文、威胁环境、安全配置上下文、数据上下文、外部数据、业务环境、位置和物理环境;新一代检测分析数据主要包括沙箱数据、流量分析平台数据、EDR数据。

3.3.2 数据标准化

安全态势感知平台应建立数据标准化模型，将各厂商、外部数据进行标准化，支撑各模块应用。数据的标准化一般包括三个步骤：名称统一、分类、状态统一，通过标准化数据管理模型实现。

3.3.3 接入数据源应用功能及部署关键点分析

基于该企业已部署了如防火墙、网页防篡改系统和上网行为管理等安全产品的现状，SIEM平台已实现一部分数据源接入和数据标准化，但缺少整体数据源接入依据，缺少数据源规划。该企业需要再补充新一代检测分析数据领域，主要侧重探索全流量分析平台、沙箱和威胁情报平台的应用探索。

全流量分析平台应用功能及部署关键分析如下：实现对所有互联网流量的收集、存储和分析;区别于传统安全的IPS、防护墙，从七层网络层面分析数据报文;通过会话级的视图展示，呈现攻击链的全过程视图，为攻击行为的回溯分析提供支持。

沙箱应用功能及部署关键点分析如下：针对邮件系统，部署邮件附件检测沙箱，解决钓鱼邮件、鱼叉攻击、木马攻击等威胁;可实现针对业务系统部署文件检测沙箱，解决跨外网向内网传输文件问题，规避“僵木蠕”风险;与SIEM系统、威胁情报实现数据同步，为安全感知提供可靠的元数据。

威胁情报平台应用功能及部署关键点如下：本地化部署威胁情报系统，实现“本地查询+云端查询”的混合模式;集成商业威胁情报和第三方开源威胁情报，保障威胁情报的多元性，提高研判置信度。

3.4 安全态势感知安全分析层技术应用探索

在当前大数据、多信息源时代下，安全态势感知也变得更为复杂，传统的因果关联分析、事件统计、本体模型等技术方法虽然依旧是有效的感知技术，然而传统的感知技术适用的感知级别具有降低的趋势。

安全分析层的核心技术功能点按照分析方法可分为安全智能分析、机器学习和深度学习三种分析技术，一是安全智能分析，主要用于应对已知威胁，通过与资产、漏洞、威胁情报和多事件源等上下文的关联分析，提升告警准确率，减少误报，如通过签名或基线检测、阈值、威胁情报关联、资产或身份关联、漏洞关联、多事件或实体关联以及地域关联等;另外两大类为机器学习与深度学习，主要用于应对未知威胁，通过机器学习，对风险进行深度挖掘，并对用户、攻击者、内部员工的行为进行分析，如通过动态基线检测、逻辑回歸、聚类、决策树算法等。

4 结语

本文对安全态势感知技术在国内某企业应用可行性进行研究与分析，具体目标包括：明确安全态势感知技术对企业的应用意义和可行性;结合企业现状探索建设安全态势感知平台的实施路径。

本文首先介绍了安全态势感知的研究背景与研究意义，基于现状分析目前面临的安全挑战和威胁，本文还对安全态势感知技术在企业的应用进行了重点阐述，明确了引入安全态势感知技术的主要目的是辅助企业进行安全决策。在此基础上充分研究了安全态势感知的定义，共分为三层：安全态势认知、安全态势理解和安全态势预测，对应技术应用层分别为可见层和安全分析层。随后本文基于企业现状，结合可见层和安全分析层的核心技术点对建设态势感知平台可行性进行评估，并对未来如何进行平台建设提出了建议，以此为后续安全态势感知技术落地提供研究基础。

总之，从落地可行性分析，目前该企业已部署了SIEM平台和部分用于安全威胁检测的安全产品，已具备一定落地实施的基础。下一步可安排力量进行专项研究和建设，在安全态势感知技术的应用上遵循“结合现有SIEM平台，分层能力建设;利用好当前产品，做好未来衔接”的原则分层建设、分步实施。建议逐步完成以下工作内容，以完善安全态势感知平台能力建设，如表1所示。

参考文献

[1] 韩晓露，刘云，张振江，等.网络安全态势感知理论与技术综述及难点问题研究[J].信息安全与通信保密，2019（07）：61-71.

[2] 武珂.网络安全态势感知应用[J].中国有线电视，2017（b03）：391-393.

[3] 张松，王行健，鲁伟.网络安全态势感知研究综述[J].电子测试，2017（14）：52-53.