基于安全运营中心主动防御体系的态势感知技术研究

郭培成 许鑫

摘要：针对网络安全运营主动性防御缺乏针对性问题，提出一种基于网络安全态势感知的主动防御技术。首先，对网络安全态势感知以及相关技术概念进行分析；其次，设计态势感知平台部署架构及主动防御模型；最后，通过实验验证本文提出的技术方案的可行性。

关键词：网络安全运营；主动防御；态势感知

引言

信息化飞速发展，给个人、企业甚至国家带来了相应的信息安全风险，以震网（Stuxnet）与Havex病毒为主的网络安全事故频频发生。传统网络的被动安全防御主要是建立在现有的网络体系架构之上，通过更多层次的防御体系来提升网络的安全性。但是，随着网络安全事故的频频发生，传统网络安全运营主动性防御缺乏针对性的问题日益凸显[1]。针对此种情况，本文对基于安全运营中心主动防御体系的态势感知技术进行研究，以期为提升网络运营安全性提供参考。

1. 相关概念

态势感知主要是建立在大数据基础上的一种安全技术，具备动态、整体感知网络安全风险的能力。该技术主要是在大数据的基础上，在一定的时间与空间内，采集网络信息系统的数据流量，通过匹配攻击关联规则，预测未来可能出现的网络攻击事件。主动防御技术（ADSS）主要是通过不断地改变网络基础属性，如端口、网络协议等，实现主动防御。

在传统的网络架构中，国外有关研究人员提出了一种基于虚假端口地址转换的主动防御方式，此种方式主要是通过在数据传输过程中加入虚假的地址以及端口信息，以此来迷惑攻击者[2]。此外，有关研究人员还提出了一种基于隐藏信息地址转换的主动防御技术，该技术主要是通过网络地址的随机转换，将数据分散至不同的端口进行传输[3]。

基于网络安全态势感知的主动防御技术（ADSS）具有以下优势：（1）主要是在网络安全态势感知技术的基础上，针对恶意攻击选择相应的主动防御策略，有效提升了防御的针对性；（2）可根据转换端接节点的地址信息，动态变换网络拓扑结构，进而增加网络的攻击难度。

2. 态势感知系统部署架构设计

系统架构主要由前端服务器（TSA、IDS服务器）、防火墙等部分组成，如图1所示。不同类型服务器可为网络安全态势感知平台提供相应的数据来源，以便于态势感知预警系统进行相应的数据分析与检索。采集服务器的作用在于收集TSA、IDS等前端服务器中的数据，并对其进行过滤、缓存处理。在数据经过相应的处理后，通过预处理服务器进行数据汇总，对其进行统一的规范化处理，并根据数据的类型将其存储至相对应的存储系统中。在数据经过预处理服务器处理后，将其转存至hadoop服务器中，通过hadoop进行存储与分析，并对数据的关联性进行统计与挖掘，然后再将数据结果导入数据导入检索引擎中，以便于在web服务器中查询。ES节点（elasticsearch）服务器的作用在于对hadoop中的数据结果进行二次统计，并向web服务器提供相应的检索数据。客户端服务器主要是在态势感知平台的基础上，提供相应的自动化运维以及监控服务，此时运维人员便可通过服务器提供的接口进行管理平台的调度与运维[4]。

web服务器主要分为两种类型，一种为web数据库服务器，另一种为web展示服务器。其中，前者主要存放态势感知预警平台中的业务功能数据，后者通过业务服务器中的基础数据与态势感知预警平台系统的数据，根据业务功能与威胁数据分析功能，实现数据的可视化展现。

3. 基于多源日志的网络安全态势感知主动防御技术（ADSS）

在网络规模不断扩大的背景下，网络攻击也变得多种多样，虽然人们加大了网络安全的建设力度，并增设相应的安全设备与系统，如防火墙、杀毒软件等，但由于传统安全设备仅能检测已知的网络攻击，导致漏报与误报的情况频频发生。同时APT产品只是对恶意代码样本进行分析，业务结合性相对较差，缺乏针对性，使得在追溯恶意代码时还需通过人工分析的方式在海量的数据中寻找，在一定程度上增加了网络攻击检测的难度。此外，虽然网络安全运营中心（SOC）、安全信息、事件管理（SIEM）将安全系统中的日志进行了整合，但是由于数据源相对单一，加之缺乏针对性的分析手段，在一定程度上加大了安全分析人员分析数据的难度[5]。

在網络运营过程中，传统安全设备、系统、SOC均可确保网络的运营安全，但是由于这些部分相互独立，难以实现信息共享，在发生相应的网络安全事件后，仅仅通过人工的方式进行解决，难以充分发挥各部分之间的作用。

针对此种情况，提出了一种基于多源日志的网络安全态势感知主动防御技术（ADSS）。该技术主要是将多维度、多层次的安全数据源进行整合，通过构建大数据分析技术的态势感知预警监测平台，在挖掘关联性的基础上对其进行深度分析，全面发展态势感知与高效的数据分析技术，进一步提升网络态势感知与防御能力[6]。

对于本次设计的网络安全态势感知预警平台而言，其内部在机器学习与智能分析算法基础上建立了多种网络安全模型，计算框架为TEZ，SPARK并行，通过数据挖掘、文本分析等方式对数据进行深度分析，并结合入侵检测模型、网络异常行为模型等实现安全威胁的甄别。同时通过信息系统的实时监控，构建了主动防御信息安全管理体系，将传统的被动防御转变为主动防御，并逐渐完善了已发生事件的应急处理机制，有效提升了网络运营安全主动防御针对性的能力。网络安全态势感知平台中主要包括以下几种分析模型：

3.1 关联分析模型

对于平台中的网络安全设备而言，其产生的日志详细记录了安全事件发生的整个过程，可针对性地对网络中疑似攻击事件产生报警，并且将其与对应的日志进行关联分析，实现数据包的回溯分析，此时便可实现对应TCP过程的可视化，将整个网络攻击事件完整地还原[7]。通过此种在相似度基础上进行的报警关联分析，不仅有效降低了关联分析的难度，而且还在一定程度上提升了关联分析的准确性。基于相似度的报警关联分析流程如图2所示。

（1）提取报警日志中的主要属性，目的在于将攻击报警属性还原攻击时间，进而形成相应的原始报警；

（2）在得到相应的原始报警后，将其中重复的部分进行合并，对其进行分类匹配，并将相似度相对较高的报警进行聚合，形成相信的聚合报警；

（3）在得到聚合报警后，通过报警属性相似度的计算方法，分配属性权重；

（4）權重分配完成后，计算不同聚合报警的相似度，通过比较计算结果来判断是否需要进行再次报警；

（5）在报警关联性比较时，可通过基于时间窗口的报警方式来实现，并构建相应的关联知识库，深度挖掘原始数据之间的关联关系，根据相应的报警绘制事件关联图；

（6）通过将同一类型的报警事件输出，形成相应的安全事件，并按时间节点将报警事件发生的次数、攻击目标IP等进行记录。

3.2 融合分析模型

在安全设备运行过程中，通常会存在一定的冗余性，为了生成更为精确的安全态势，需对设备采集的日志进行融合，并对单源日志报警信息的相似度进行关联分析，这样可将日志中攻击时间的原始过程还原。在进行多源安全事件的判别时，主要通过D－S证据理论实现，此种方式不仅可对安全事件的可信度进行评估，而且还可有效提升准确率，对于降低安全设备的误报率有着十分重要的作用，其融合分析的过程如下：

（1）由于安全事件具有多维度的特征，为实现安全事件的容和分析，可通过多维信息的分域、层次融合等方式来实现，并采用初始信息确定融合所需的概率分布近似算法实现对安全事件的融合处理，进而生成原始报警日志[8]；

（2）在得到原始报警日志后，通过初始信任的方式，分配信息度相似函数；

（3）通过D－S证据理论，对融合报警日志的可信度进行计算。

3.3 攻击要素分析模型

通过部署在网络出口的设备，可采集网络输出中的全部数据流量。由于采集的数据量相对较大，在分析过程中需采用逐层分析的方式，分析过程如下：

（1）分析大量的网络攻击事件，并建立相应的攻击特征库；

（2）将建立的攻击特征库加入网络态势感知平台中，通过平台自匹配攻击事件；

（3）通过攻击事件的类型，分析服务端口中可能存在的漏洞；

（4）在现有网络环境中建立相应的漏洞知识库；

（5）若网络中存在异常流量，则自动生成攻击事件；

（6）将生成的攻击事件与漏洞知识库中的时间进行对比，进而确认攻击事件。

4. 实验分析

为了验证上述态势感知平台的可行性，将其接入信息外网出口流量、服务器流量、内网出口流量、防火墙、信息外网APT系统中。在其运行过程中，获取的威胁事件数据达8TB记录威胁数据条数总计为6170兆条。以2021年某网络运营中心的数据为例，外网威胁事件总计674310条，重点威胁事件为1868条，触发web攻击类2640次，DDOS攻击2200次，浏览器扫描275500次。从整体上来讲，该技术可将不同策略的扫描成功率降低至90%以上，可针对不同类型的攻击类型制定相应的防御策略。除此之外，该技术实施的成本相对合理，确保了技术方案的可行性。

结语

为了有效解决网络安全运营主动性防御缺乏针对性问题，本文采用态势感知技术实时感知预测网络安全威胁，深入分析了网络安全态势感知及主动防御技术，重点研究部分为多源日志的关联分析、融合分析等技术。通过在网络运营中心外网网络出口部署流量采集服务器的方式，对网络中的流量数据进行实时采集，并通过大数据分析技术实现网络安全威胁事件的实时分析，回溯分析攻击事件的整个过程，有针对性地制定防御措施。实验验证表明，本文设计的系统可将不同策略的扫描成功率提高至90%以上，可针对不同类型的攻击类型制定相应的防御策略。

参考文献：

[1]孙佳炜，戴然，阚沁怡，等.基于态势感知设备安全事件的主动防御技术应用[J].网络安全技术与应用，2021，（2）：105-107.

[2] Zhang JW， Feng HM，Liu B.Survey of Technology in Network Security Situation Awareness[J].Sensors，2023，23（5）：2608.

[3]Wu Y，Guo NW，Wang BB，et al.Research on Situational Awareness Technology of Industrial Control Network Based on Big Data[J].Journal of Physics：Conference Series，2022，（1）：2216.

[4]王勇，孙嘉启，淮华瑞.基于“业务+数据”视角的民航网络安全态势感知技术研究[J].信息安全研究，2020，6（6）：549-554.

[5]景文强，余波，李昂阳，等.天地一体化信息网络主动防御安全体系研究[J].信息技术与网络安全，2019，38（8）：17-21.

[6]王路遥.机器学习构建智能网安主动防御体系[J].上海信息化，2019，（5）：57-61.

[7]程智力.智能车联网主动防御体系探析[J].摩托车技术，2018，（6）：27-32.

[8]毕晓东.态势感知技术构建企业主动防御体系的研究[J].信息技术时代，2022，（3）：37-39.

作者简介：郭培成，本科，高级工程师，研究方向：信息化管理；许鑫，本科，工程师，研究方向：信息化管理。