基于态势感知技术的专用网信息安全研究

梁志达 孙莹

摘要：随着信息化建设的不断推进，网络安全事件也随之增加，给使用专用网单位信息化网络及服务系统安全稳定运行造成巨大的威胁。态势感知防护技术可以实时分析并研判出已知的安全漏洞和预测未来有哪些可持续攻击行为的发生，通过相应的安全策略细粒度严格过滤每一个数据包的内容，通过态势感知系统联动各个防火墙设备以及EDR和NDR的边界设备做到实时精准打击且不放过任何一个可疑的数据包，通过不断的演练的攻防让态势感知系统学习到更多的特征和行为做到统领全局的效果。

关键词：态势感知技术;信息安全;安全策略

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2022）02-0048-03

1 背景

态势感知是对整体的网络环境和在网络节点中分布探针系统，通过收集环境中的数据信息通过综合判断和判别融合大数据进行的一种分析过滤并通过直观的界面展示出来的一种数据分析形式[1]。

通过态势感知可以快速地溯源数据包的来源和威胁情况从而快速定位问题出现的方位和对网络整体造成的影响，从而立体地对网络的东西向和南北向的数据流量增加安全防护[2]。

2 建立智能一体化的专用网信息安全中心

2.1 现有的传统网络不满足信息化的脚步

针对部分专用网单位中的网络设备多数还以路由交换为主，但这些设备有强大的数据转发能力的前提下却不能满足对数据包七层的分析过滤等特征分析的功能，各通信站或者下属单位没有直接明显的边界区域概念，即使有防火墙但并不是智能下一代防火墙，因此对于数据的分析和判别不精准对APT攻击防护更是无能为力。APT名字来源 Advanced（高级）Persistent（持续）Threat（威胁），中文全称高级持续性威胁。是一种可以说“蓄谋已久”的攻击，基本可以大体上分为以下几个过程进行攻击：

第一阶段：扫描探测目标

在这个阶段攻击者会对目标网络环境进行长时间的扫描或者通过社工学等一系列方式来找到目标网络环境有哪些可以值得利用的漏洞信息和爆破信息。

第二阶段：工具的投放

一旦攻击者找到可以值得利用的漏洞后，攻击者会采取各式各样的办法方式将产生的恶意代码、恶意木马、恶意的URL、甚至是伪装后恶意邮件发送给目标，目标打开连接后可能不会直接触发后面程序，经过长时间潜伏期后将收集的网络环境的信息发送给攻击者，待时机成熟后大面积开展持续攻击以获取重要数据和破坏环境中其他主机。

第三阶段：远程服务建立

信息收集后将中毒或者正处于潜伏期的网络设备悄悄地与黑客主机或者服务器建立远程连接，并留出大量后门和提升自己的权限以获取足够的权限来控制“肉鸡”。

第四阶段：立体扩展攻击网络

以点成线，以线成面，以面成体。这个过程是一个立体化的攻击结构，通过入侵一个点来横向扩展到其他主机，再通过其他主机获取交换、路由、防火墙等一系列网络设备的权限，做到由内而外地全面入侵。

第五阶段：全面攻击和控制

把一些有价值的数据和敏感数据通过加密的方式传输到攻击者或者某一个公开数据库中，通过受害主机为跳板把数据打包或者隐匿起来等待时机传输，而大部分网络中对内而外的数据包过滤和检测都不十分关注，对于专用网单位来说更是要引起高度重視和关注。

2.2 网络安全态势感知系统模型

网络态势感知系统充分利用大数据技术，融合多种探知检测系统，提供了大数据存储计算、数据挖掘分析、场景引擎分析、大数据建模分析、态势分析、调查分析、安全监测、安全处置、集中策略管控、资产管理、威胁情报等核心功能，帮助用户实现全面的态势感知。探知检测系统主动发现网络资产，探知终端行为，发现网站漏洞、挂马、篡改，检测流量中的木马控制、入侵及网络访问，收集网络、安全、应用等设备及系统日志，实现摸清网络家底。挖掘分析建立情报关联、攻击检测、IP画像、态势分析等模型对探知检测到的数据分析全面找出网络风险。信息检索及探索分析支撑专家进行风险确认和漏洞追溯。通报处置支撑风险事件流程化处置。威胁情报管理汇集多种情报源，提升风险认清效率。从而实现全网资产采集探测、动态联动漏洞扫描设备、一键管理防火墙和IDS策略、全天候网站异常监测、多事件关联分析、反向追踪溯源、资产失陷研判、威胁IP画像、可视化建模分析、自定义场景引擎组合、多维度可视化态势展示等[3]。

2.3 数据预处理和特征选择

态势感知首先是通过部署节点探针通过流量镜像的方式来获取网络当中的数据包，同时采集日志审计设备、防火墙、IPS、IDS、NDR、EDR等日志信息的流量特征[4]。

收集底层数据后进行筛检和过滤将不重要的数据包和特征过滤掉重点判断和分析存在异常行为的数据来匹配特征库进行比对做出处理动作。

特征收集是一个细粒度的分析过程，通过最小化最优原则，将判断后的结果分发到各个节点设备让各节点采取处理动作。特征的选择一般有Filter 和Wrapper 这两类， 当然还有ABB 算法、Relief算法和LVW算法。这几年的其他算法也起着重要的作用比如：遗传算法、模拟退火算法。

3 基于态势感知技术的专用网信息安全的具体做法

3.1 建立数据中心的安全中心，形成安全智慧大脑

基于态势感知的智能安全中心是建立在大量探针的基础上，通过这些探针收集、监测目标的安全状态，并及时分析、处理信息网络中各种威胁、攻击等，从而提高整个信息网络的安全性。专用网单位综合各类主流技术，部署技术先进，运行稳定的探针，具有以下功能：

1）感知探针能够分析现存的大量数据协议，通过细粒度划分可以精准判断数据的行为，感知探针设备一般性能非常强，可以将大量数据分析特征包的比对，同时面对现在数据爆发的时代，可以采用多级别、多节点、冗余等网络架构削弱数据带来的压力，做到层级式的网络拦截分析。

2）感知探针同时可以加载多种引擎模块比如IPS、AV等入侵和防病毒模块，可以直接在探针层就可以把流量特征分析出来，以减轻态势感知服务器的压力，避免遭受木马、蠕虫、宏病毒和流量攻击，以及脚本病毒的危害。

3）感知探针本身就是一台具有特征库和一定性能的设备，通过设备自身的收集信息的作用和效果大大提高精准度和缓解大量的网络数据处理的压力，更加细粒度挖掘数据存在的风险和网络结构中东西向的防护，更精确可靠，同时能够基于IP地址、病毒库匹配特征、攻击事件、应用协议等产生的流量信息和攻击信息以及已经失陷等事件信息，可以通过编辑自定义统计指定协议流量的TOP排名，能够协助信息运维人员了解当前网络带宽和攻击响应的状况，并及时做出响应。

图2 展示了态势感知的攻击界面和存在攻击的top排行榜和形象地展示了哪种类型的攻击以及应急预案的匹配，而且还体现出哪些高危漏洞和已经被入侵的业务。

3.2 建立专用网信息安全培训演练平台

专用网单位必须非常重视日常的安全培训和演练，要想增强信息化建设的脚步首先要改变人员对网络安全的意识，通过观念的改变来带动行动的改变，原有的培训形式已不能满足现代化信息快速发展的脚步，应该以多学、多练、多交流为主导。

通过部署各类网络安全设备发挥对网络的层级保护，并长期开展训练对抗平台操作来发现现有的技术存在哪些缺点和不足，对抗演练平台能充分地说明工作当中有哪些已知和未知的攻击参数和行为，也是对各个厂商设备的一种考验的判断，弥补现存网络中的病毒和威胁的一种认知。图3展示一次实际演练过程。

3.3 强化专用网智能检测的动态特性

随着网络安全设备的不断增加，下一代智能防火墙、入侵检测系统（IPS）、入侵扫描系统（IDS）、行为管理等安全设备的大量部署使用，安全网络设备在实际机房环境中也起着重要的作用，甚至可以说依赖作用，传统的网络设备对抗现在多种多样的新型攻击却显得力不从心，传统的防火墙只能对四层的网络协议和简单的七层协议做出判断，而现代化的防御系统却要大家一起努力共同进步，做到知识与病毒库的共享方能应对更多的攻击行为。

智能态势感知系统的部署对整体的信息化的建设不仅起到承上启下的重要作用，它的关键在于对于数据的分析和动作的处理更加精准和快速，传统的运维机制完全是靠人力，人员的技术水平和技术要求更是要精益求精，但现实中人员存在多种不稳定因素和技术缺陷等问题，对于数据是分析更是因人而异，通过态势感知技术的快速部署和判读大大节省人为的多种复杂因素和条件上的束缚。

信息化不仅仅是某个人的任务也不是一个团队的任务，它是一个数据共享、数据互通的形式，通过自动化运维让判断更精准、处理动作更快速、人员更方便的作用。

4 态势感知应用的成效

4.1 信息安全管理水平提高

通过部署态势感知系统直观地展示攻击数据流向爆发的原点，从而大大提高技术上的能力的快速应急处理能力，從而将风险控制在可控范围内，避免不必要的大面积失控场面的发生。通过监控和管理面对极其复杂的网络攻击尤其是以日益增多的0day攻击和APT攻击，态势感知可以快速应对做出处理[5]。通过态势感知探针收集到日志和流量信息传送给态势感知平台，快速做出判断和处理结果和是否放行和阻断等动作，帮助信息管理人员快速处理问题。

4.2 安全信息管理人员技术和观念的提升

建设基于态势感知的智能一体化平台的作用不仅仅是体现在设备的部署和动态的感知，更重要的是提升每一个作为安全运维人员的认知和技术能力，面对传统运维和智能运维的对抗技术是一方面而另一方面还是观念的改变和应急处理的更替，通过安全事件紧急处理流程的升级来带动处理突发事件的紧急应对能力。

5 结束语

随着网络安全意识不断增强，及时发现网络中各种风险显得尤为重要，及早发现安全隐患，控制风险在萌芽有利于专用网络安全管理，态势感知系统应用较好地解决了这个问题，它通过发现网络中存在的各种威胁信息并直观地通报网络管理者存在风险与需要处置的信息，同时联动各个防火墙以及IPS、WAF、IDS让网络的管理更加立体，加快了专用网单位信息化建设的步伐，达到发现问题及时联动的效果，大大减少处理错误和工作量，为专用网单位实现智能化网络安全管理提供了有力的技术支撑。

参考文献：

[1] 王娟，张凤荔，傅翀，等.网络态势感知中的指标体系研究[J].计算机应用，2007，27（8）：1907-1909，1912.

[2] 王慧强，赖积保，朱亮，等.网络态势感知系统研究综述[J].计算机科学，2006，33（10）：5-10.

[3] 陈彦德，赵陆文，王琼，等.网络安全态势感知系统结构研究[J].计算机工程与应用，2008，44（1）：100-102，147.

[4] 龚俭，臧小东，苏琪，等.网络安全态势感知综述[J].软件学报，2017，28（4）：1010-1026.

[5] 刘冬兰，刘新，张昊，等.基于大数据的网络安全态势感知及主动防御技术研究与应用[J].计算机测量与控制，2019，27（10）：229-233.

【通联编辑：谢媛媛】

1800500511373