浅谈网络安全态势感知

前言

网络空间环境日趋复杂，随着网络攻击种类和频次的增加，自建强有力的网络安全防御系统成为一个国家发展战略的一部分，而网络态势感知是实现网络安全主动防御的重要基础和前提。

什么是网络安全态势感知？

态势感知一词来源于对抗行动和战争。进入信息化时代，作战形态发生改变，不断向虚拟的网络空间延伸，网络安全态势感知的概念由此形成。

所谓知己知彼百战不殆。在传统作战中，情报侦察员负责展开态势感知活动，典型的活动包括侦察敌方的作战目的、部署计划以及兵力等可能影响作战的主要因素。

《计算机科学技术名词》定义网络安全态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势

中国对网络安全态势感知的研究，在近20年里取得了很大的进步。2003年，国家互联网应急中心就开发建设了包含有网络安全事件监测、信息共享等安全态势感知系统的公共互联网网络安全监测平台。该平台实现了对移动互联网服务，金融证券以及基础信息网络等安全事件的实时监测。

2015年，为了及时捕获网络安全态势、发现重大或大规模的网络攻击以及网络异常状况，四川大学投入建设了网络业务和安全态势大数据分析平台，极大地提升了对网络安全的管控能力。

近年来，中国也涌现出一批网络安全巨头，逐步推出了自建的网络安全态势感知系统或平台，引领当代网络安全行业发展。随着网络安全态势感知系统的发展成熟，其所涉及的关键技术也得到了升级和丰富。

网络安全态势感知的基本概念

前美国空军首席科学家Endsley博士给出的动态环境中态势感知的通用定义是:

态势感知是感知大量的时间和空间中的环境要素，理解它们的意义，并预测它们在不久将来的状态。

在这个定义中，我们可以提炼出态势感知的三个要素：感知、理解、预测。并且这三个要素存在着层次上的递进关系：

感知：感知和获取环境中的重要线索和元素；

理解：整合感知到的数据和信息，分析其相关性；

预测：基于对环境信息的感知和理解，预测相关知识在未来的发展趋势。

对应到网络安全领域，我们可以给网络安全态势感知一个基本的描述：

网络安全态势感知是综合分析网络安全要素，评估网络安全状况，预测其发展趋势，并以可视化的方式展现给用户。

其对应的过程也可以分解为以下四个：

数据采集：通过各种检测工具，对影响系统安全性的要素进行检测采集获取，这一步是态势感知的前提。

态势理解：对采集到的数据使用分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析，得出网络的整体安全状况，这一步是态势感知的基础。

态势评估：定性、定量分析网络当前的安全状态和薄弱环节，并给出相应的应对措施，这一步是态势感知的核心。

态势预测：通过对态势评估输出的数据进行建模分析，预测网络安全状况的发展趋势，这一步是态势感知的目标。

网络安全态势感知的整体架构

整体架构示意图：

可以看到，基本还是遵循了安全态势感知的分层次概念的。

首先通过多个数据源，采集到海量安全性数据。传统的IDS、IPS等技术基本属于这一层。

然后通过数据清洗、融合、归一化等手段，使数据能在某些层面反映出网络的安全态势状况。

之后，智能分析层通过对数据的进一步分析，评估网络的安全态势，预测网络安全态势发展趋势。

评估和预测结果在交互呈现层以数据可视化的形式展现出来。

网络安全态势感知的主要功能

网络安全态势感知要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施，以图、表等可视化形式展现给用户。网络态势感知的结果主要应该包括以下7部分

态势总览：展示系统资产、弱点、威胁告警等各种类型统计信息，综合展示系统安全态势。

资产管理：监测资产安全态势，展示进程、账号、端口、软件等资产指纹信息和资产暴露面，获取每个资产的告警、漏洞、被攻击情况。

告警管理：通过列表、搜索、详情等方式对告警进行展示，支持告警溯源和攻击链分析，让每一次攻击都无处可藏。

弱点分析：列表展示系统漏洞等级和状态，支持查看漏洞详情，包括CVE编号、漏洞工作原理、修复建议等。

日志库：列表展示日志类型、事件类型、日志来源等信息，支持日志搜索和查看原始日志。

系统设置：支持告警规则设置、日报/周报设置、资产授权。

态势大屏：移动云的态势感知，在升级高级版后，无需额外的费用，即可享用一款通用大屏，提供大屏界面帮助用户对安全威胁实时感知。

从平台建设的角度来讲，一个安全态势感知平台应该具备如下功能：

可视：通过多维度的安全数据仪表盘，将网络重点环节的实时运行及安全状态多维度的展示给安全人员，方便安全人员及时掌握网络整体状况。

可知：全量收集各种安全数据，便提供检索功能，便于安全人员从海量日志中查找到安全事件对应的日志。

可管：通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志, 结合安全基线、威胁情报和知识库进行多维度安全分析, 对发现的漏洞和脆弱性及时处置。

可控：充分利用大数据的分析模型和机器学习等算法, 为用户建立行为画像, 可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击等未知威胁攻击, 并对分析出来的安全事件、异常行为等进行实时告警, 通过可视化展现、邮件等方式及时通报给相关网络安全人员进行处置。

可塑：通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源, 刻画网络安全事件的攻击路径, 为网络安全人员采取措施和溯源提供依据。

可预警：实时动态展示当前网络安全状况, 并呈现一定时间内整个网络空间环境安全要素, 从已知数据推演分析将要发生的安全事件, 实现对安全威胁事件的预测和判断发生的概率。

网络安全态势感知的发展趋势

态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币，占安全市场的5%。国内的厂商平台一般含有的功能：资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。目前，态势感知更多是提供数据分析结果，在大数据分析技术应用与预测方面，仍然做的不够。

当前安全态势感知的发展状态：

安全态势感知打破了传统安全体系中各类安全产品各自为战形成的安全孤岛。将各类安全设备的log采集到统一的日志存储平台，实现了集中存储。

以资产为核心，通过互联网已公开的漏洞信息、恶意域名、代理攻击IP等信息与资产进行匹配，呈现网络的安全风险状况。

多以汇总数据和静态呈现为主，采用定期刷新统计数据为主，智能分析技术应用较少。

主要定位于事件分析、风险可视、告警管理等。

整合了一定报表生成功能，以满足内控、审计方面的要求。

未来态势感知的发展趋势：

数据采集阶段，态势感知2.0要求安全厂商以API接口和SDN网络对接，突破Vxlan技术限制，使之可以采集东西向的流量。在云环境时代，东西流量占据了业务流量的大部分。

态势感知与大数据、人工智能联合，将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理，可以满足近实时的风险发现。

结合机器学习和深度学习技术提供更精准的评估和预测能力。更好实现风险预警、响应处理，提高对未来的预测、实时处置能力。系统可以从采集的数据中学习，形成一个具有自身相关特性的分析模型。

系统可以动态扩展和云化。随着云计算基础设施的大量使用, 要求对安全威胁和攻击的处置能力也是可以随着云计算平台扩展而可动态扩展的, 实现网络安全态势感知系统的基础平台云化，使其态势感知能力可以随着保护对象的规模变化而动态变化。

德迅云安全的网络安全态势感知
- 定义：

采用先进的大数据架构，通过采集系统的网络安全数据信息，对所有安全数据进行统一处理分析，实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警，打造安全可监控、威胁可感知、事件可控制的安全能力。

- 优势：

主动监测：通过对安全设备的日志采集和数据抽取，监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。

精准防护：通过事件分级分类、分析研判等方式，精确识别系统安全风险并能生成告警。

智能分析：对所有设备日志进行分析，提供专业报告的查看和导出功能，并给出加固建议。通过全文检索和数据详情，实现所有日志的统一查询。

可视化态势：态势总览和态势大屏，展示系统监控资产信息和各种系统安全态势，帮助租户直观了解系统的资产情况、威胁告警、有害程序等。

- 应用场景

金融：

电商：

政企：

总结

安全态势感知是一种新兴的安全概念，而不是单一的一种安全技术。是一种基于环境的、动态、整体地洞悉安全风险的能力。从前面的介绍，可以知道安全态势感知的前提是安全大数据。在安全大数据的基础上，进行数据整合、特征提取，然后应用一系列态势评估算法生成网络的整体态势状况，应用态势预测算法预测态势的发展状况。最后在交互层，使用数据可视化技术，将态势状况和预测情况展示给安全人员，方便安全人员直观便捷的了解网络当前状态及预期的风险。