网络安全态势感知系统的应用研究

张雨涛

随着计算机网络的快速发展，企业开始构建主动安全防御体系，以应对网络安全面临的挑战。网络安全态势感知是整个防御体系的核心部分。本文概述企业网络安全面临的挑战以及网络安全态势感知的工作原理，分析网络安全态势感知系统在企业的应用，为实施网络安全态势感知系统的企业提供参考。

一、网络安全态势感知的概述

近年来，网络安全形势严峻，网络攻击呈现多样化、复杂化和规模化趋势，如网络攻击将一次攻击目标划分为多个目标，通过多个阶段的可持续攻击来实现，具有高隐蔽性、持续时间长等特征。传统的网络安全防御体系缺乏威胁信息共享以及协同防御，安全设备之间相互隔离，安全事件处理效率低。因此，企业需要构建主动安全防御体系提升网络安全整體防御能力，网络安全态势感知系统则是主动安全防御体系的核心部分。

态势感知指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。网络安全态势感知是态势感知技术在网络安全领域的应用。网络安全态势感知系统从网络设备获取态势安全要素数据，通过数据融合、风险评估、态势预测等技术，识别网络攻击活动，分析安全事件的原因，及时处置网络威胁，评估攻击活动对网络的影响程度，预测网络安全态势的发展变化，为管理人员决策提供依据，进而提升企业网络安全防御能力。

二、网络安全态势感知的原理

网络安全态势感知模型由网络安全态势觉察、网络安全态势理解、网络安全态势预测构成。网络安全态势觉察对原始数据进行预处理，发现网络异常行为；网络安全态势理解对网络异常行为进行关联分析，感知整体网络安全态势；网络安全态势预测即评估攻击行为对网络安全的影响以及预测网络安全态势的变化。

（一）网络安全态势觉察

网络安全态势觉察负责完成对原始数据的预处理，发现异常网络行为及其特征。网络安全态势感知系统采集的原始数据包括网络的拓扑信息、网络设备的运行日志、安全设备的告警信息等。原始数据是多源异构数据，来源于各类网络设备，结构不一致，不能被网络安全态势觉察直接使用。系统将原始数据结构化处理，减少重复数据，统一数据格式等，使原始数据标准化，能被网络安全态势觉察使用，提高系统分析数据的效率。面对大量的企业网络数据，传统入侵检测系统的检测结果存在重复告警、误报和漏报等情况，数据质量低。网络安全态势感知系统能实时监测企业网络的所有数据，快速发现、识别网络攻击活动引起的安全态势要素的变化。系统采用数据融合技术，将标准化的数据进行关联分析，以发现异常网络行为，进一步确认网络攻击行为。系统将告警数据和知识库相关的网络攻击行为匹配，从而辨识出网络攻击行为。目前网络攻击趋于复杂化，知识库可能没有未知的网络攻击行为的相关信息。出现此类情况，系统可将多个告警数据与网络设备检测的数据关联分析，识别未知的网络攻击行为。网络安全态势理解使用网络安全态势觉察的分析结果，因此网络安全态势觉察的分析结果影响整体网络安全态势感知的结果。

（二）网络安全态势理解

网络安全态势理解指系统对大量的异常行为数据进行融合、关联分析，感知整体网络的安全状态，辅助管理人员决策。网络安全态势感知系统通过数据融合算法，将网络异常行为数据融合，进而分析整体网络安全态势。以告警数据为例，数据融合算法将告警数据关联，形成整体网络的威胁态势，同时减少无效或重复的数据。系统通过多个攻击行为关联分析，分析攻击行为的语义，挖掘攻击行为之间的逻辑关系，推断攻击者的意图、攻击源和被攻击的目标等。对于多阶段的攻击行为，系统根据攻击步骤之间的逻辑关系和攻击行为的关联数据，掌握整个攻击过程。网络攻击产生大量的数据，网络安全态势理解能对这些数据进行聚类分析，高效辨识并深度理解攻击行为，还能运用数学模型推断攻击行为的变化，如采用马尔可夫模型，分析攻击活动之间的关系，预测可能发生的攻击活动。该模型将网络攻击链的每个阶段看作一个状态，可以保持当前状态或者转换为另外一个状态，根据转移概率而改变状态，进而推断可能发生的攻击行为。网络安全态势理解的分析结果可供网络安全态势预测使用。

（三）网络安全态势预测

网络安全态势预测指在网络环境中，系统评估企业的网络安全态势以及预测未来网络安全态势的发展。网络安全态势评估运用数学模型和历史数据，评估攻击行为和潜在威胁对企业网络的影响程度；网络安全态势评估选取的评估指标及其权重等因素影响评估结果的准确性。网络安全态势预测是网络安全态势感知的重要目标。管理人员会根据合理的预测结果，采取相应的防御措施，从被动安全防御转为主动安全防御。网络安全态势预测的方法有时间序列预测方法、基于灰色系统理论模型的预测方法等。时间序列预测方法预测网络安全态势发展趋势，将过去的网络安全态势数据，按照时间顺序排列，分析这组数据的规律，绘成网络安全态势变化图，并预测未来一段时间的网络安全态势的发展变化。基于灰色系统理论模型的预测方法指在不确定性系统中，算法把少量的无规律数据累加生成有规律的数据，再据此预测未来企业网络的安全状态。该模型具有可以弥补历史数据样本少、随机性高的优点。网络安全态势预测的结果通过可视化的方式，呈现攻击信息，有助于管理人员分析处理网络安全问题。

三、网络安全态势感知的应用

企业部署网络安全态势感知系统，可以实现网络安全态势感知模型的态势觉察、态势理解、态势预测的功能。系统监测整体网络的安全状态，呈现综合安全态势、资产态势、脆弱性态势、攻击态势、安全事件态势等。在综合安全态势模块，系统展示脆弱性态势、攻击态势、安全事件态势等情况，以及网络安全态势的综合评分。在资产态势模块，系统监测网络中服务器、终端等资产状况。在脆弱性态势模块，系统实时监测脆弱性资产，包括风险主机、脆弱性等级、脆弱性的类型等，并且定位漏洞资产，展示全部漏洞类型以及风险态势。在攻击态势模块，检索列表描述每次攻击行为的类型、来源和目的信息、严重等级和发生时间等。在安全事件态势模块，系统展示整体网络发生的安全事件的总数及处置状态、事件类型、严重等级、安全事件态势图等。

网络安全态势感知系统的工作过程如下：流量探针和日志采集器获取原始数据，流量探针接收网络设备的原始流量，采集器采集日志数据；系统分别处理原始流量和日志数据，提取有效数据，进行安全检测。安全检测的类型主要有隐蔽通道异常检测、加密流量异常检测、邮件异常检测等，如隐蔽通道异常检测用于发现攻击者利用正常的协议，将数据嵌入协议字段，规避防火墙、入侵主机等行为。网络安全态势感知系统若判断被检测数据存在安全威胁，则输出一个异常事件，运用可视化技术呈现给管理人员，同时联动安全设备阻断网络攻击。在攻击前期，系统能发现异常网络行为，提醒管理人员采取相应的防御措施。在攻击过程中，系统快速发现异常网络设备，识别攻击行为，隔离网络设备，减少损失。在攻击结束后，系统对攻击行为进行关联分析，溯源攻击过程，辅助管理人员调整防御策略。因此，网络安全态势感知系统能辨识网络攻击行为，及时处置网络安全威胁，提升网络安全防御效率，保证网络及应用系统安全稳定运行。

四、结束语

本文选取网络安全态势感知系统进行研究，概述网络安全态势感知的工作原理，分析网络安全态势感知系统在企业的应用。此类系统能防御大规模网络中的攻击行为和潜在的网络威胁，评估攻击行为对网络安全态势的影响，运用可视化技术呈现攻击信息，为管理人员提供决策依据，提升网络安全防御的效率，帮助企业构建主动安全防御体系。

作者单位：上海明华电力科技有限公司