基于安全态势感知在网络攻击防御中的应用

◆董 超 刘 雷

（浙江乾冠信息安全研究院有限公司 浙江 310015）

随着我国社会经济的不断进步，信息网络科技得到了长足发展，目前，绝大多数信息传输业务通过互联网进行，互联网在给人们的生产、生活带来便捷的同时，也时刻面临着网络攻击的威胁。当前我国的网络安全预防手段仍然存在较大缺陷，一般采用的是被动拦截、单点式预防的手段，即使采用了比较复杂的防火墙和病毒防治技术等，仍然不足以确保网络环境的安全与稳定。近年来新出现的安全态势感知技术，可以构建更加完善的防御体系，有效提升网络安全水平。本文首先介绍安全态势感知技术的基本特点和优势，然后分析其应用方法。

1 安全态势感知技术的基本特点

安全态势感知是通过动态、全面地监测网络环境，利用大数据方法，从全局角度来发现并识别网络中存在的安全风险，然后对其进行分析、处置。安全态势感知的最终目标是通过持续监控发现各类安全威胁，以采取相应的决策和行动，提高网络安全反应能力。特别是遭到针对性攻击时，可以及时进行响应分析，实现网络威胁的可视化处理，快速获悉网络威胁的波及范围、入侵路径、入侵手段和入侵目的等。此外，安全态势感知技术还可以用于构建风险通报和预警机制，有效了解入侵者的技术手段、入侵工具和目的等，建立更加完善的网络攻击防御体系。

2 传统网络攻击防御方法中存在的问题

与新型的安全态势感知技术相比，传统的网络攻击防御方法存在较大的缺陷，亟须进行替换升级。

（1）攻击防御体系不完整

当前网络环境日趋复杂，网络攻击速度快、隐蔽性强、监控难度大，使用传统的网络安全监控系统时，网络不同节点中的日志不完整，难以根据日志还原攻击者的实际情况，因此无法进行系统性的攻击防御，网络信息安全得不到有效保证。

（2）多使用被动式拦截方法

传统的网络攻击防御方法多使用被动式拦截，必须结合被拦截设备的具体特征，才能分析得到其真实情况。因此被动式拦截难以有效保证网络环境安全。

（3）多使用单点式预防方法

在传统的网络攻击防御中，普遍采用单点式防御方法，网络各区域内部分别建立单独的攻击防御设备和监控平台，使用单独的安全组件，因此很难实现联动式防御，无法及时分享安全信息，从而制约了网络攻击防御的效果。

（4）网络攻击结果不确定

传统的网络攻击防御方法不能确定网络攻击结果，因此难以识别网络攻击的具体情况，不能进行充分有效的安全警告和拦截，无法判断攻击防御措施是否成功。

3 安全态势感知的模型建立

网络安全管理人员应当根据网络安全态势的具体特点，建立针对性的感知模型，以提供网络攻击防御服务。网络攻击防御主要包括对安全态势感对象的保护以及攻击应对两方面内容。在安全保护方面，主要使用IDs技术和IPs技术对用户计算机中的防火墙进行保护，并监测网络攻击者的情况。在攻击应对方面，首先需要详细了解攻击者的具体目的，从而进行针对性解决。网络安全管理人员应当充分检查网络中对象和元素的情况，分析网络安全态势的纵向变化，对攻击者的手段和目标进行详细分析，全面掌握计算机网络系统的管理方法和性质，这样才能够建立完善的网络安全态势感知模型。

4 安全态势感知在网络攻击防御中的使用

管理人员应当对网络安全信息进行检测、收集，检测出其中包含的攻击活动和僵尸网络等，然后以此为基础，推断出攻击者的具体攻击手段、发起攻击的位置、攻击者的技术水平和攻击强度等，从而实现对网络安全态势的全面感知。在安全态势感知平台上，要制定完善的安全态势数据采集、分析以及防御应对等一系列流程，才能起到良好的网络攻击防御效果。

（1）网络安全态势数据的采集

要建立安全态势感知平台，首先就应当对网络安全态势进行监测，采集网络当中发生的各类安全事件的原始数据信息，建立全流量的网络安全日志。网络安全数据采集的对象包括IPS、IDS、DDoS、防火墙等，将传统安全监控系统中碎片化的各项监测项目综合起来，将网络威胁警告转变为结构化的数据形式，呈现可视化的攻击防御计划，从而为网络安全态势的管理提供基础，并为用户实时观察网络安全状况提供有效途径。

管理人员应当对采集到的安全态势数据进行分类管理，可分为结构化数据、非结构化数据和第三方数据。三类数据进行分别采集管理，可以提升网络安全数据采集的有效性和实用性，为安全态势感知平台的建立提供充分的依据和技术支持。

（2）网络安全态势数据的分析

在对网络安全态势数据进行充分采集，建立流量日志之后，管理人员应当对采集到的数据进行进一步分析，找出安全事件的发生原因和影响机制。例如，管理人员在分析某些小规模的网络攻击事件时，可以首先查看流量日志，并寻找安全事件过程中的报警记录，将流量日志和报警记录结合起来，分析网络安全事件的发生机制。管理人员还要将原始日志与现代日志放在一起，进行对比分析，找到原始日志中的安全事件，将其转化为直观、可视化的形式，使其便于理解，能够快速掌握网络安全事件的发生原因和影响因素。

（3）建立网络安全态势感知平台

网络安全态势感知平台可以兼容大数据技术进行构建，在其架构内应当包含基础设备层、数据采集层、数据存储层、实时检测层、数据分析层和业务功能层等结构。

基础设备层主要包括网络安全漏洞扫描设备、网站安全监控设备、可用性监控设备、数据库审计、终端安全、互联网威胁情报等组成部分，以提供基础的信息设备安全情况。

数据采集层主要包括各类安全数据信息的采集部分。盖层覆盖了网络当中的所有核心骨干节点、重要的联网系统，以及重要的站点、业务系统、网络情报数据等内容，使用流量采集检测、布点监测、扫描监测、定制数据推动、规则数据提取等方法获取全面的网络安全数据。在网络中的核心骨干节点上，布置数据采集设备，以采集网络流量数据。

数据存储层主要是对数据采集层所采集到数据进行预处理操作，将采集到的不完整、价值密度低的初始数据，处理成为高质量、价值密度高的存储数据，为后续的数据挖掘操作提供基础，提高数据挖掘的效率。对于原始数据，可以采用多种预处理方法，例如数据清洗、数据比对、数据归并、数据标识等。

实时检测层主要检测网络中的攻击行为，通过一定的特征与规则识别攻击行为和恶意文件的类型。此外，还可以添加自定义规则，对数据进行检测。

数据分析层是对平台中储存的安全数据进行深度挖掘分析，可以使用Mahout的经典算法，对数据进行分类和聚类，从而挖掘出数据中的隐含的各类信息。

业务功能层可以根据具体的业务需求，对实时监测层和数据分析层中的数据与分析结果进行可视化处理，提供基础设备管理、安全漏洞管理、安全事件数据、安全预警等多种业务功能，满足管理人员的不同需求。

图1 网络安全态势感知平台的架构

5 结语

在网络攻击防御中使用安全态势感知技术，可以充分提高防御水平，与传统的网络传统网络安全监控方法相比，具有较大的优势。传统的网络攻击防御方法具有信息碎片化、被动式拦截、单点式预防、攻击结果不确定等缺陷。而使用安全态势感知技术后，通过对网络安全态势感知数据的采集、存储和分析，可以建立完善的网络安全态势感知平台，为管理人员提供高效、可靠、使用的安全防御工具，全面提升网络系统的安全防御能力。