酷播亮新聞
最棒的知識補給站

網路安全態勢感知技術研究與應用

文章摘要: 中觀網路安全態勢感知平臺、微觀網路安全態勢感知平臺通過網路1.6感知安全風險 網路安全風險感知是在感知網路資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上

0 引 言

網路攻擊手段日益複雜化,導致使用者在遭受攻擊時很難發現攻擊者的攻擊行為,甚至在事後無法追溯攻擊路徑,還原攻擊過程。在全球網路資訊化程度高速發展的大背景下,具備隱蔽性、滲透性和針對性的高階持續性威脅,對各類高等級資訊保安系統造成的威脅日益嚴重。針對特定目標的有組織的APT攻擊日益增多,國家、企業的網路信息系統和資料安全面臨嚴峻挑戰[1]。

傳統防火牆、防病毒和入侵防禦等以邊界防護和靜態防護為主的安全防護方式,已不能適應新的網路安全形勢,需要採用持續監控、大資料分析等新技術,全量採集網路相關資料、感知網路當前態勢,並預測網路安全趨勢。近年來,網路安全態勢感知可謂炙手可熱,在各種領導講話、會議發言、企業宣傳等場合頻頻出現。同時,有關網路安全態勢感知的論文也不斷增加,涉及態勢感知的概念、起源、內涵、指標以及框架架構等。本文旨在闡述「態勢感知」感知內容的基礎上,分別從微觀、中觀和巨集觀三個層面提出態勢感知的功能架構和部署方式,即「態勢感知」如何感知,以釐清針對具體資訊網路安全保障和網路安全監管的態勢感知之間的關係和側重點。

1態勢感知的內容

1.1感知網路資產

IT系統越來越複雜,從而產生大量的無主資產、殭屍資產,且這些資產長時間無人維護,存在大量的漏洞和配置違規,為使用者網路安全帶來了極大隱患。因此,首先要摸清資產家底。任何網路入侵和攻擊都是以資產為載體或目標,如果網路資產是一筆糊塗賬,那麼網路安全狀況將無法保障。

感知資產的方法主要有主動探測和被動分析。主動探測主要用於對未知網路下的資產發現探測,被動分析主要用於7×24小時持續性的監聽已知網路下的未發現資產。通過強大的資產指紋庫建立各型別資產的特徵,包括網路裝置、安全裝置、各類作業系統、資料庫和應用中介軟體等,進行識別資產並完成資產屬性的補全,最終實現未知資產的發現、識別與管理。同時,需要通過有代理或無代理方式監控資產的執行狀態,包括主機CPU、記憶體、磁碟佔用率變化情況、網路頻寬的佔用變化情況和交換機每個埠的流量情況。更進一步,可採集服務程序、執行緒資料、CPU和記憶體佔用率等[2],為安全檢測分析提供資料支撐。

1.2感知資產脆弱性

網路安全脆弱性主要包括資產漏洞和弱密碼等配置不當。脆弱性已經成為網路攻擊者入侵網路竊取資訊或者破壞系統的重要入口。因此,「摸清家底」的一個重點就是要摸清資產的脆弱性。如果資產漏洞和不合理配置不明確,將無法進行資產安全加固並採取防護措施。

對於資產漏洞,感知方法是基於已知的漏洞資訊,採用埠探測等手段,對網路中指定的主機、網路裝置等資產進行漏洞檢測,發現網路資產存在的漏洞;資產配置脆弱性感知方法是採用基線安全配置檢測工具,深度獲取主機、伺服器和網路裝置等資產的配置資訊,並與配置基線進行比較,發現資產配置的脆弱性。最終,在發現脆弱性基礎上,維護所有資產脆弱性的生命週期資訊,並分析可能的攻擊面和攻擊路徑。

1.3感知安全事件

隨著網絡技術的發展,網路安全威脅的方式層出不窮。病毒、蠕蟲、後門和木馬等網路攻擊方式越來越多,逐漸受到人們的廣泛關注。爲了保證網路系統的安全執行,網路中廣泛使用了防火牆、入侵檢測系統、漏洞掃描系統和安全審計系統等安全裝置。這些安全裝置會產生大量違反安全策略和安全規則的告警事件。但是,這些安全告警事件資訊中含有大量的重複報警和誤報警,且各類安全事件之間分散獨立,缺乏聯絡,無法給安全管理員提供在攻擊時序上和地域上真正有意義的指導。

實際中,大部分的安全告警事件並不是孤立產生的,它們之間存在一定的時序或因果聯絡。結合安全告警事件的執行環境,對原來相對孤立的低層網路安全事件資料集進行關聯整合,並通過過濾、聚合等手段去偽存真,發掘隱藏在這些資料之後的事件之間的真實聯絡[3],確定事件的時間、地點、人物、起因、經過和結果。

1.4感知網路威脅

隨著技術的不斷進步,網路攻擊行為逐漸呈現分佈化、遠端化與虛擬化等趨勢。傳統基於對攻擊行為進行特徵識別與比對的威脅感知和甄別機制,受到了來自新型攻擊手法的巨大挑戰。層出不窮的各類高危漏洞、0Day漏洞,使攻擊特徵庫的及時更新與長期維護面臨巨大困難[4]。此外,傳統的威脅檢測手段在應對APT攻擊時顯得力不從心,因為傳統的檢測手段主要針對已知的威脅,對未知的漏洞利用、木馬程式、攻擊手法無法進行檢測和定位。

面對層出不窮的網路攻擊和新的網路安全形勢,感知網路威脅的方法可以概括為「知己」和「知彼」兩個方面。「知己」方面是採集內部網路流量資料、日誌資料和安全資料等,進行基於大資料分析、人工智慧技術的異常行為檢測,發現隱藏在海量資料中的網路異常行為;「知彼」方面是通過監測、交換和購買等各種方式,蒐集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網路或者主機特徵、攻擊工具、攻擊戰技術、攻擊組織等網路威脅情報資料,用於支撐安全執行維護、安全檢測分析和安全運營管理。

1.5感知網路攻擊

在網路攻擊的一次迭代過程中,一般分為情報收集、目標掃描、實施攻擊、維持訪問和擦除痕跡5個階段[5]。感知網路攻擊是持續不斷地收集當前網路中的攻防對抗資料。一方面實時展現當前網路中的攻防對抗實況,深入挖掘各種攻擊行為,如埠掃描、口令猜測、緩衝區溢位攻擊、拒絕服務攻擊、IP地址欺騙以及會話劫持等;另一方面,藉助網路異常行為檢測和歷史攻擊資訊,分析潛藏的高危攻擊行為和未知威脅,並協助安全分析師抽取高價值的威脅情報。

1.6感知安全風險

網路安全風險感知是在感知網路資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上,進一步進行資料融合分析,建立全網的安全風險指標體系和風險評估模型,從抽象的高度來評估當前網路的整體安全風險。風險評估可採用定量與定性相結合的綜合評估方法。層次分析法(AHP)是一種典型的評估方法,是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經驗判斷予以量化,從而為決策者提供定量形式的決策依據。

2態勢感知的方法

2.1微觀層面態勢感知

這裏所指的微觀層面,是針對具體企業或政府的資訊網路而言的。作為網路安全的具體保障物件,企業資訊網路態勢感知的目的是詳細掌握企業網路資產、脆弱性、告警事件、威脅、攻擊和風險,並進行應急響應、調查分析等閉環處置。具體方法是儘可能全面採集資訊網路相關資料,包括網路裝置資料、安全裝置資料、主機裝置資料、資料庫資料以及應用系統和中介軟體資料,融合威脅情報進行基於大資料平臺的安全管理與安全分析,實現資產管理、漏洞管理、事件管理、威脅告警、調查分析和應急響應等業務功能,為安全運營(管理、分析、響應)團隊提供技術支撐,如圖1所示。 

微觀層面的網路安全態勢感知平臺的部署方式可根據資訊網路的規模採用集中式部署(適用於中小企業資訊網路),或者分佈採集、集中運營管理的部署方式。常見的部署方式如圖2所示。 

對於中小型企業,可以採用集中部署的方式,在中心集中部署採集器叢集;對於中大型企業,則採用分散式採集部署方式。

2.2中觀層面態勢感知

這裏所指的中觀層面,是針對具有多個微觀管理域職能的企業集團或行業主管部門而言的。作為企業集團或行業主管部門,既有自身資訊網路安全保障的職責,也有下級網路安全監管職責,其網路安全態勢感知平臺應該是一個分級分域的架構,其功能架構與微觀層面態勢感知平臺類似。但是,上級平臺除具有微觀態勢感知的全部功能外,需要對匯聚的下級平臺態勢資訊進行統計分析和關聯分析,並向下級平臺預警等,部署方式如圖3所示。 

圖3中,下級平臺向上級平臺上報網路安全態勢、重要安全事件、執行狀態和知識庫更新等資訊,上級平臺向下級平臺下發預警、級聯狀態和知識庫更新等資訊[6]。在中觀層面,上級平臺匯聚了多個下級平臺的態勢資訊和事件資訊,可以實現多域聯動和協同響應。

2.3巨集觀層面態勢感知

這裏所指的巨集觀層面,是針對政府監管機構而言的,關注的重點是管轄範圍內的巨集觀網路安全態勢。巨集觀網路安全態勢感知需要匯聚轄區內中觀態勢感知平臺個獨立的微觀態勢感知平臺的態勢資訊、重要事件資訊,同時結合網際網路大範圍監測的DDoS攻擊態勢、WEB攻擊態勢、僵木蠕態勢以及第三方網路威脅情報中心的情報資訊,分析、研判轄區內巨集觀網路安全態勢,針對重大、特別重大網路安全事件進行預警通報和應急指揮。功能架構如圖4所示。

圖4中,中觀網路安全態勢感知平臺、微觀網路安全態勢感知平臺通過網路,將本平臺的態勢資訊、重大或特別重大網路安全事件上報巨集觀態勢感知平臺。巨集觀態勢感知平臺進行統計分析、關聯分析和攻擊鏈分析,結合威脅情報進行威脅判斷,下發安全預警通報,並針對重大或特別重大安全事件進行應急處置,實現全域聯動和協同響應。

3結語

本文在詳細闡述網路安全態勢感知內容的基礎上,針對不同使用者的不同目的,提出了微觀、中觀和巨集觀網路安全態勢感知的功能架構和部署方式。其中,微觀網路安全態勢感知平臺適用於政府、企業針對具體資訊網路的安全保障,可以作為政府、企業的網路安全運營管理中心的重要支撐平臺;巨集觀網路安全態勢感知則適用於政府監管機構對一定區域內或國家的巨集觀網路的安全監管,可以作為監管機構的技術支撐平臺;中觀網路安全態勢感知則介於微觀和巨集觀之間,適用於企業集團或者行業主管部門自身資訊網路安全保障和對下級企業網路的安全監管。

參考文獻:

[1] 許敬偉,何慶,鄧曉東.基於網路安全態勢感知的高階持續性威脅檢測和研究[J].電腦程式設計技巧與維護,2017,14(29):83-86.

[2] 鄧曉東,何慶,許敬偉.大數據網絡安全態勢感知中資料融合技術研究[J].網路安全技術與應用,2017(08):79-80.

[3] 琚安康,郭淵博,朱泰銘.網路安全事件關聯分析技術與工具研究[J].電腦科學,2017(02):38-43.

[4] 單琳.網路威脅情報發展現狀綜述[J].保密科學技術,2016(08):28-33.

[5] 劉龍龍,張建輝,楊夢.網路攻擊及其分類技術研究[J].電子科技,2017,30(02):169-172.

[6] 潘峰,張電.一個實用、高效網路安全態勢感知系統的設計[J].保密科學技術,2012(02):65-69.

作者簡介:

宋進,中國電子科技集團公司第三十三研究所工程師,碩士,主要研究方向為網路資訊保安;

唐光亮,中國電子科技網路資訊保安有限公司高階工程師,碩士,主要研究方向為網路資訊保安。

如有侵權請來信告知:酷播亮新聞 » 網路安全態勢感知技術研究與應用