一文解析主動防御模式的網(wǎng)絡(luò)安全態(tài)勢感知方案

　　隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷發(fā)展和電子政務(wù)比重的不斷增加，網(wǎng)絡(luò)規(guī)模逐漸擴大，安全數(shù)據(jù)日益增多，網(wǎng)絡(luò)安全問題也被提到了至關(guān)重要的位置。

　　在學(xué)校業(yè)務(wù)信息化、數(shù)字化的同時，網(wǎng)絡(luò)威脅手法也在不斷演變，網(wǎng)絡(luò)安全威脅也變得更加復(fù)雜，但是現(xiàn)有的安全產(chǎn)品，如防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、漏洞掃描系統(tǒng)和防毒系統(tǒng)等卻各自為政，并不能全面地、有機地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題。

　　近年來，網(wǎng)絡(luò)安全態(tài)勢感知已經(jīng)引起了研究人員以及各大廠商的廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢感知能夠融合所有可以獲取的信息，全面感知網(wǎng)絡(luò)威脅態(tài)勢，提高網(wǎng)絡(luò)監(jiān)控能力，可視化網(wǎng)絡(luò)安全狀態(tài)，為網(wǎng)絡(luò)安全管理者提供決策依據(jù)，提高應(yīng)急響應(yīng)能力［1］。因此，為解決北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)安全所面臨的問題，本文提出了主動防御模式的網(wǎng)絡(luò)安全態(tài)勢感知方案。

　　網(wǎng)絡(luò)安全面臨的問題

　　從1996年“211”校園網(wǎng)建設(shè)項目啟動，到2016年進行校園網(wǎng)絡(luò)建設(shè)改造，北京大學(xué)醫(yī)學(xué)部主干線速率從155Mbps升至萬兆，校園物理服務(wù)器增至24臺，校園虛擬服務(wù)器增至123臺，虛擬化存儲升至90TB。

　　隨著北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)規(guī)模的逐漸擴大，網(wǎng)絡(luò)管理人員的安全意識也逐步深入，并組織上架了各種安全防護產(chǎn)品，如防火墻、安全審計產(chǎn)品、入侵檢測產(chǎn)品和漏洞掃描系統(tǒng)等。但隨著大數(shù)據(jù)時代的來臨，網(wǎng)絡(luò)安全面臨著新的挑戰(zhàn)：

　　1.海量日志處理問題

　　北京大學(xué)醫(yī)學(xué)部信息化建設(shè)經(jīng)過數(shù)十年的發(fā)展，網(wǎng)絡(luò)幾乎覆蓋校園的每一個角落。

　　一方面，學(xué)生與教職員工的各類電子設(shè)備，如手機、平板電腦、筆記本和科研服務(wù)器等，成為校園網(wǎng)絡(luò)日志數(shù)據(jù)的重要源頭，每天都會產(chǎn)生大量的上網(wǎng)行為日志；另一方面，隨著網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)設(shè)備本身也會產(chǎn)生大量的操作系統(tǒng)日志與設(shè)備日志。

　　如何從海量日志中挖掘有效信息是一項重要任務(wù)，而采用傳統(tǒng)的日志分析軟件卻無法高效、實時地分析處理海量日志。

　　2.傳統(tǒng)安全設(shè)備各自為政

　　在現(xiàn)在的網(wǎng)絡(luò)安全體系中，查殺病毒安裝防病毒軟件、防御外部普通的攻擊安裝防火墻、防入侵購買入侵檢測系統(tǒng)、防范Web攻擊采用漏洞掃描系統(tǒng)。

　　但是這些設(shè)備都是單一的、分散的，需要網(wǎng)絡(luò)管理人員逐一配置，并人工匯總分析這些設(shè)備產(chǎn)生的數(shù)據(jù)，缺乏綜合性、全局性和連續(xù)性的功能，只是設(shè)備的堆疊，不能實現(xiàn)安全設(shè)備之間的協(xié)同聯(lián)動。

　　3.高級持續(xù)性威脅（Advanced

　　Persistent Threat，APT）興起

　　隨著以APT為代表的新型攻擊的發(fā)展［2］，網(wǎng)絡(luò)安全形勢發(fā)生了巨大的改變，APT攻擊已經(jīng)成為高危的網(wǎng)絡(luò)攻擊方式。

　　與傳統(tǒng)的數(shù)據(jù)庫注入、跨站腳本攻擊、病毒與木馬的威脅不同，APT攻擊具有破壞性更大、隱蔽性更強與持久性更高等特征。

　　而現(xiàn)有的網(wǎng)絡(luò)安全防御設(shè)備的告警信息都各自存放，沒有從全方位的整體視角來看待安全問題，因而難以實現(xiàn)從海量日志中發(fā)現(xiàn)APT。

　　網(wǎng)絡(luò)安全態(tài)勢感知方案

　　自從1999年美國空軍通信與信息中心的T.Bass提出網(wǎng)絡(luò)空間態(tài)勢感知（Cyberspace Situation Awareness，CSA）的概念［3］以來，各專家學(xué)者基于此概念提出了不同的改進模型。綜合多種不同的模型得出，網(wǎng)絡(luò)安全態(tài)勢感知指的是

　　“采集導(dǎo)致網(wǎng)絡(luò)狀態(tài)產(chǎn)生變化的安全態(tài)勢要素，并使用相關(guān)數(shù)學(xué)理論和數(shù)據(jù)處理技術(shù)，呈現(xiàn)和預(yù)警網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)和趨勢”［4］。

　　從概念中可以看出網(wǎng)絡(luò)安全態(tài)勢感知包含三個層次：網(wǎng)絡(luò)態(tài)勢要素提取、網(wǎng)絡(luò)態(tài)勢數(shù)據(jù)融合和網(wǎng)絡(luò)態(tài)勢預(yù)測，如圖1所示。

　　針對網(wǎng)絡(luò)安全面臨的三個問題，結(jié)合態(tài)勢感知概念設(shè)計了網(wǎng)絡(luò)安全態(tài)勢感知方案，如圖2所示。

　　圖2 網(wǎng)絡(luò)安全態(tài)勢感知框架

　　該方案分為三個層次：

　　1.要素提取。要素提取是網(wǎng)絡(luò)安全態(tài)勢感知的基礎(chǔ)。同時，它也是網(wǎng)絡(luò)安全態(tài)勢感知平臺搭建的第一步。全面的態(tài)勢要素提取對于平臺的效果十分重要，不同來源、不同類型的日志是態(tài)勢感知平臺的信息源。

　　2.數(shù)據(jù)融合。數(shù)據(jù)融合是網(wǎng)絡(luò)安全態(tài)勢感知的保障。它是把孤立的、各自存儲的數(shù)據(jù)融合到一起，形成協(xié)同聯(lián)動的數(shù)據(jù)。這不僅為網(wǎng)絡(luò)安全的態(tài)勢感知提供了數(shù)據(jù)接口，也為日志治理提供了通道。

　　3.態(tài)勢預(yù)測。態(tài)勢預(yù)測是網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵。態(tài)勢感知平臺的效果很大程度上取決于態(tài)勢預(yù)測的準確性。利用態(tài)勢預(yù)測結(jié)果，可以提高突發(fā)事件的應(yīng)急響應(yīng)能力與網(wǎng)絡(luò)系統(tǒng)的監(jiān)控能力。可視化則是網(wǎng)絡(luò)安全態(tài)勢感知的一種表達方式。

　　下面詳細介紹網(wǎng)絡(luò)安全態(tài)勢感知每一部分的具體情況。

　　要素提取

　　要素提取是從網(wǎng)絡(luò)架構(gòu)中提取影響網(wǎng)絡(luò)態(tài)勢產(chǎn)生變化的要素，是建立網(wǎng)絡(luò)安全態(tài)勢感知的第一步。

　　首先，要素提取需具有全面性，包括WEB日志、操作系統(tǒng)日志、網(wǎng)絡(luò)及安全設(shè)備日志。全面的數(shù)據(jù)采集是態(tài)勢感知的具有整體性、全局性的重要保障。同時，也可以形成對設(shè)備的全方面監(jiān)控。

　　其次，要素采集方式多樣化。不同的產(chǎn)品有不同的日志輸出方式，多樣化的數(shù)據(jù)要素采集方法是保證要素提取全面性的重要手段。常用的數(shù)據(jù)采集方式有：探針、爬蟲、FileBeat采集與SDK接口等。

　　最后，對提取的要素進行規(guī)范化處理。不同產(chǎn)品的日志格式往往大不相同，甚至相同產(chǎn)品不同類型的日志格式也不相同。因此對于下一步數(shù)據(jù)融合而言，對數(shù)據(jù)進行規(guī)范化處理不可或缺。常用的規(guī)范化處理方法包括按照需求正則化處理與使用Logstash、Kafka、ETL等工具處理。

　　數(shù)據(jù)融合

　　數(shù)據(jù)融合是通過采集與匯聚不同種類、不同來源的數(shù)據(jù)，依次通過數(shù)據(jù)描述、數(shù)據(jù)組織和數(shù)據(jù)交換三個過程實現(xiàn)數(shù)據(jù)融合的功能，并且最終通過數(shù)據(jù)服務(wù)對外提供數(shù)據(jù)檢索和展示功能。

　　圖2 網(wǎng)絡(luò)安全態(tài)勢感知框架

　　如圖2所示，在經(jīng)過要素提取對數(shù)據(jù)進行規(guī)范化處理之后，使用不同的大數(shù)據(jù)分布式存儲相結(jié)合的方式分類別存儲日志數(shù)據(jù)。一部分要素，如防火墻日志，使用ElasticSearch及對應(yīng)的組件存儲和檢索數(shù)據(jù)，其他要素使用Hive及對應(yīng)的組件存儲和檢索數(shù)據(jù)。

　　ElasticSearch具有強大的聚合統(tǒng)計和全文檢索功能，但不能關(guān)聯(lián)查詢。Hive具有關(guān)聯(lián)檢索和數(shù)據(jù)轉(zhuǎn)換能力，但實時性能不足。二者相互補充，相互協(xié)作，可以對不同來源的數(shù)據(jù)進行聯(lián)合查詢。

　　數(shù)據(jù)融合橫向打通了多源異構(gòu)數(shù)據(jù)，并且原業(yè)務(wù)系統(tǒng)任意數(shù)據(jù)的變動通過數(shù)據(jù)融合都可以進行實時捕獲。因此，針對威脅事件可以及時地檢索出某段時間執(zhí)行威脅動作的源IP地址與目的IP地址，然后挖掘出更多有效信息。

　　態(tài)勢預(yù)測

　　根據(jù)數(shù)據(jù)融合提供的數(shù)據(jù)接口，利用機器學(xué)習(xí)算法進行態(tài)勢預(yù)測，識別出各類網(wǎng)絡(luò)活動以及異常網(wǎng)絡(luò)活動的意圖，從而獲得網(wǎng)絡(luò)的安全態(tài)勢。

　　北京大學(xué)醫(yī)學(xué)部采用機器學(xué)習(xí)算法進行態(tài)勢預(yù)測。機器學(xué)習(xí)在描述非線性的復(fù)雜系統(tǒng)方面具有良好的表現(xiàn)，且自適應(yīng)、自組織和無限逼近能力表現(xiàn)優(yōu)異，因此使用機器學(xué)習(xí)算法來進行態(tài)勢預(yù)測。

　　網(wǎng)絡(luò)安全管理人員根據(jù)呈現(xiàn)的攻擊、威脅、風(fēng)險提示，及時作出預(yù)判與干預(yù)，快速、精準地消除或降低安全威脅隱患。

　　態(tài)勢預(yù)測將威脅響應(yīng)時間從以往的數(shù)天縮短至數(shù)十分鐘，進一步降低了病毒橫向傳播的幾率?？梢暬菓B(tài)勢感知平臺的重要組成部分，通過可視化可以清晰有效地傳達態(tài)勢預(yù)測信息。

　　網(wǎng)絡(luò)安全態(tài)勢預(yù)測是一種主動防御機制，其首先對現(xiàn)在及以往的網(wǎng)絡(luò)態(tài)勢要素進行分析和理解，然后對將來的網(wǎng)絡(luò)態(tài)勢進行推測，因而是建立動態(tài)響應(yīng)機制的重要保障。

　　結(jié)語

　　本文針對北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)安全面臨的海量日志處理問題、高級持續(xù)威脅興起與傳統(tǒng)安全設(shè)備弱關(guān)聯(lián)性的三方面問題，提出了網(wǎng)絡(luò)安全態(tài)勢感知方案。

　　該方案采用多種措施，實現(xiàn)了安全要素數(shù)據(jù)的提取，并利用了兩種分布式數(shù)據(jù)存儲相結(jié)合的方式進行數(shù)據(jù)融合，最后利用機器學(xué)習(xí)算法對網(wǎng)絡(luò)未來態(tài)勢進行預(yù)測。該方案提高了學(xué)校對海量數(shù)據(jù)的治理能力，增強了網(wǎng)絡(luò)安全的防御能力，同時也增加了安全狀態(tài)的可視性。

　　參考文獻

　?。?］石樂義， 劉佳， 劉祎豪，等。 網(wǎng)絡(luò)安全態(tài)勢感知研究綜述［J］。 計算機工程與應(yīng)用， 2019， 55（24）：9.

　?。?］董剛， 余偉， 玄光哲。 高級持續(xù)性威脅中攻擊特征的分析與檢測［J］。 吉林大學(xué)學(xué)報：理學(xué)版， 2019， 57（2）：6.

　?。?］ Tadda G ， Salerno J J ， Boulware D ， et al. Realizing situation awareness within a cyber environment［C］// SPIE. SPIE， 2006:624204-624204-8.

　?。?］胡浩。基于攻擊圖的網(wǎng)絡(luò)安全態(tài)勢感知方法研究［D］。戰(zhàn)略支援部隊信息工程大學(xué)，2018.

　　作者：耿慧玲（北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)安全與信息化技術(shù)中心）