网络安全态势感知技术研究

章提到的网络安全态势感知是近几年网络信息安全管理领域一项重要的技术，能够全面覆盖各方面

的安全因素，整体性、动态性的反映网络安全状况，提供安全预警和安全防御手段，极大程度增强了网 络信息安全的可靠性。关键词：网络安全；态势感知；态势预测；安全防御中图分类号:TN915.08 文献标识码:A0引言近年来.随着云时代的来临，以云计算和大数据 为代表的新型信息技术的发展和应用.引发了多领域 的计算处理模式的革新,在促进数据信息应用和提升 协同计算能力方面取得显著成绩。然而伴随着信息

1.2高级威胁的分析技术手段不足过去的系统建设更多考虑从数据中直接看到结

果，在实际业务中更多应该由安全分析人员综合各 类系统、工具所产生的数据进行深度关联分析和综

合研判。目前，这类帮助分析人员的分析技术比较 缺失，直接影响了对APT这样高级威胁的分析和研 判水平。科技的进步，我国网络空间安全也面临着更加严峻的 威胁和挑战，近几年的网络攻击、信息泄露、数据窃

取、网络诈骗事件层出不穷。所有的问题都暴露出 我国目前重要信息系统安全防护工作的不足和网络 安全重大事件预警防御手段的欠缺。随着“网络强

1.3网络空间基本情况不明系统建设越来越多，越来越复杂，安全部门对网

络情况缺少清晰的掌握，不能确定有哪些在线的资 产，不知道某些设备或数据的所有人，不了解哪些资 产暴露在互联网上。国战略”被正式提出，网络信息安全工作上升到国家

和战略层次，加强和完善网络安全管理和预警防御 系统，实现对安全风险的实时监控与准测预警以及

1.4缺少对漏洞风险的闭环管理安全人员只是定期地扫描漏洞,无法对漏洞的修 补情况做到及时有效的闭环管理。对网络安全态势的全方面感知（NSSA）和响应工作 刻不容缓。1现状及存在的问题经过多年的信息化建设，各个政企单位均已经部 署了各种安全设备\但依然存在信息孤岛、漏洞弥

1.5安全预警和应急的流程不清晰及时的安全预警、快速的安全应急都能够有效地

减少安全事件带来的危害，这需要非常清晰的职责、 流程和考核来支撑。补不及时、高级威胁对抗能力差等不足.具体问题包 括几个方面。1.1重大安全事件监控技术手段的不足日常工作中，更加重视典型防护手段的建设，但 是在重大事件的网络安全保障工作中,需要实时监控 的安全事件种类更多，例如网站安全状态的监控（被

2网络安全态势感知的概念态势感知（Situation Awareness, SA ）这一概念最初

源于航天飞行的人因研究,此后在军事、核反应控制、

空中交通监管（Air Traffic Control, ATC）及医疗等领域 被广泛研究°。Endsley将态势感知定义为“在一定 的时空条件下，对环境因素的获取、理解以及对未来

黑、挂马、暗链、可用性差等）、内网服务器的安全监控 （可用性差、病毒入侵、数据泄露）、终端的安全监控 （病毒入侵、非法外联、非法接入）。状态的预测”，整个态势感知过程分为覆盖感知（要素 获取）、理解和预测3个层次，如图1所示。作者简介：陈亚（1990—）,女，江苏徐州人，工程师，学士;研究方向：网络架构设计，网络安全-38 —第3期2019年1月江苏科技信息•应用技术No.3January ,2019探测能力能准确掌握网络上的信息资产基本数据、信

息资产的运行情况、信息资产的访问关系等。3.1.2安全事件检测能力形成安全事件的检测能力能够在第一时间发现

信息资产的可用性事件、越权访问事件、数据篡改事 件、数据泄露事件等。图1态势感知的三级模型3.1.3完整的漏洞发现能力具备完整的漏洞发现能力能够全面及时地发现 信息资产上存在的各种漏洞。随着网络信息安全重要性的凸显,态势感知技术 逐渐被应用于网络空间和网络安全管理领域。所谓 网络安全态势感知是指在大规模网络环境中对引起

3.1.4高级威胁的检测能力形成高级威胁的检测能力能够发现潜在的攻击 行为,并掌握关键数据的访问和流转情况等。网络态势变化的安全要素进行获取、分析理解、呈现

以及预测最近发展趋势的顺延性,从而进行决策与行

动。1999年,Tim・Base首次提出了基于多传感器及 数据融合技术的网络安全态势感知架构，是以态势感

3.1.5完善预警通报体系建立预警与应急操作流程，完善预警体系，提

知技术在网络安全领域开始崭露头角。2009年，美 国网络空间安全战略文件中明确提岀构建态势感知 能力，范围覆盖了国家安全、司法、情报等多个领域。

升快速预警与响应能力，减小网络安全突发事件的 影响。3.1.6安全事件应急处置能力安全事件应急处置能力对于重保期间重点防护 的网站提供技术防护，对于监管单位通报的网站，能

2016年，习总书记在“419座谈会”上明确指出：“加快

构建关键信息基础设施安全保障体系,全天候全方位

感知网络安全态势，增强网络安全防御能力和威慑能 提供临时应急防护，以便给网站管理者提供修复网站

力。”网络安全态势感知在我国逐步上升到国家安全 和战略层次，众多大行业、大企业纷纷开始倡导、建设 和积极采用态势感知技术。全天候全方位的态势感 知更是为态势感知系统的建设实施提岀了新的要求。

漏洞时间。3.2体系架构大数据态势感知平台应兼容大数据平台的特性, 体系架构包括基础安全设备层、大数据采集层、大数 据存储层、实时检测引擎层、大数据分析层、业务功能 层等（见图2） o3网络安全态势感知的建设实施建设网络安全态势感知系统应包含安全监测、通 报预警、快速处置、态势感知、安全防护、终端防病毒

3.2.1基础安全设备层应包括基础的漏洞扫描设备、可用性监控设 备、网站安全监控设备、终端安全、数据库审计、互 联网威胁情报等，提供针对信息资产基本情况的安

等至少6部分功能，实现“集中管控，统一防护；全面 感知,深度挖掘;及时预警，联动响应;处置管理，溯源

打击”一体化闭环态势感知解决方案.3.1建设目标综合大中小型企事业单位网络环境

信息资产管理子系统全数据。安全事件监测子系统安全威胁监测子系统安全漏洞管理子系统要求，借鉴发达国家 的互联网安全防护建

安全审计子系统通报预警子系统-----J

态势感知子系统统计报表子系统设成功经验，按照“集 中管控，统一防护;全

面感知，深度挖掘;及

时预警，联动响应;处

分布式文件系统HDFS-—-

置管理，溯源打击”的 建设思路，网络安全

流计算Stream大数据分析

操作行为机器学习引蒙数据样本机器学习引擎APT —\"异常流量分析引嘴全量日志审计引翳数据关联分析引警态势感知系统基本建 设目标包括以下几

［流量11 Netflow/B^|项能力。L采集器11流量数据3.1.1网络空间探测

能力iitt

网管采集器、采集器.1LI服务器咄册沙箱检测基因图谱相似度检测W©b攻击特征检测网络攻击特征检测安全设甯I网络设备数据库|中间件互联网威胁情报图2大数据态势感知平台架构-39-第3期No.32019年1月江苏科技信息•应用技术January,20193.2.2大数据采集层汲取数据与分析结果，根据不同的业务要求进行相应

负责各种安全数据的采集。这些数据的采集将

的处理。主要功能包括:信息资产管理、漏洞风险管 覆盖网络核心骨干节点、联网的重要系统和重要网 理、安全事件监测、安全威胁监测、态势感知、通报预

站、业务系统、互联网情报数据等，通过流量采集检 警等。测、扫描监测、布点监测、规则数据提取、定制数据推

大数据态势感知平台主要的系统处理流程包括

动等方式完成网络安全数据的获取。在网络核心骨 4个步骤，分别是:采集、存储、处理和应用（见图3）。

干节点部署或复用数据采集设备进行网络流量数据

第一步是通过重要网站和骨干节点采集到各类安全 米集。情报数据;第二步是利用数据管理等技术手段进行信

3.2.3大数据存储层息存储;第三步是使用数值分析、数据挖掘等技术手 采集层采集到的数据可能会是不完整、不一致的 段对信息进行处理,得到各类分析后的态势数据和情

脏数据,无法直接进行数据挖掘,或挖掘结果差强人

报信息;最后是利用态势数据和情报信息进行可视化 意,需要在数据预处理层进行数据挖掘前的预处理操

展现、通报发布、预警发布等业务应用。作。数据预处理有多种方法:数据清洗，数据归并，数 3.3网络拓扑据比对、数据标识等。经过数据预处理层的处理，将

态势感知平台网络拓扑设计，应本着节约的原 大大提高数据挖掘模式的质量,降低实际挖掘所需要 则，尽量利用已有的网络设备和线路，不进行重复建

的时间。设。以具有互联网和教学网两套网络的某高校为例， 3.2.4实时检测层态势感知平台采取“一部分部署在教学网上,一部分

使用特征或规则检测安全攻击行为,例如基于特 部署在互联网上”的架构，项目的网络也分为互联网 征的网络攻击行为、基于特征的Web攻击行为等，还 和教学网两部分进行部署，中间使用单向数据传输设

包括基于特征的恶意文件检测,并且允许通过自定义

备。结合网络的实际情况，可将辖区所涉及的网络花 规则，对安全数据进行实时检测。费为业务办理区、态势检测区、运营管理区、基础设施

3.2.5大数据分析层支撑区、外部接口区等多个部分。网络拓扑及部署如 数据分析过程中，系统支持各类基础数据模型， 图4所示。并利用Mahout中的机器学习领域经典算法进行分 4结语类、聚类的实现，挖掘岀在数据中的隐含信息网络安全态势感知系统应具有自适应入侵响应、 3.2.6业务功能层实时的态势感知、安全检测、通报预警、安全防护、安 业务功能层将从实时检测及大数据分析处理层

全决策等多方面的功能，能够实现“集中管控，统一-40-第3期2019年1月江苏科技信息•应用技术No.3January,2019图4态势感知平台拓扑示意防护;全面感知,深度挖掘;及时预警,联动响应;处置

管理，溯源打击”一体化闭环态势感知，为网络信息安 全管理者提供可靠的安全管理和决策依据。参考文献当前，由于政策、业内机构及网络信息安全发展 的驱动，国内对网络安全态势感知的研究已经骤然变 成热门话题。深入开展网络安全态势感知研究和部 署,对于与掌握当前网络安全状况、保障网络的可靠 性、提高网络安全管理和决策响应能力具有极为重要

[1] 李强.网络安全态势感知与认知的认识[C].北京： 第五届中国指挥控制大会,2017:4.[2] 李奎.网络安全态势感知体系初探[C].北京：决策

论坛——区域发展与公共政策研究学术研讨会，

的意义。网络安全态势感知技术作为一项重要的网 络安全技术，仍具有很大的发展空间。依托云计算和 大数据的技术,如何在传统的态势感知的基础上建立

2016:1.[3] 管磊，胡光俊，王专.基于大数据的网络安全态势 感知技术研究[J].信息网络安全,2016(9):45-50.[4] 苏忠，林繁，陈厚金，等.网络安全态势感知系统的 构建与应用[J].信息网络安全,2014(5):73-77.(责任编辑程雅琪)全方位的态势感知系统仍旧是我们近期研究的目标 和话题。Research on network security situation awareness technologyChen Ya(Jiangsu Educational Examination Institute, Nanjing 210024, China)Abstract: With the rapid development of computer and communications technology, the complexity and uncertainty of

the network also increased, network security problem is increasingly prominent, a variety of network attacks often have

serious implications for the operation of information systems, and even affect social stability. Therefore, it is very

important to study the technology of network security situation awareness for raising the level of network security and

improving the decision-making of network security. The network security situation awareness mentioned in this paper

is an important technology in the field of network information security management in recent years, which can

comprehensively cover all aspects of security factors and reflect the network security situation in a holistic and dynamic manner and provides security early warning and security defense means, greatly enhances the reliability of network

information security.Key words: network security; situational awareness; situation assessment; security defense-41 -