⽹络空间安全态势感知技术
1.1⽹络安全的重要性
经济飞速发展的同时,科学技术也在不断地进步,⽹络已经成为当前社会⽣产⽣活中不可或缺的重要组成部分,给⼈们带来了极⼤的便利。与此同时,⽹络系统也遭受着⼀定的安全威胁,这给⼈们正常使⽤⽹络系统带来了不利影响。尤其是在⼤数据时代,⽆论是国家还是企业、个⼈,在⽹络系统中均存储着⼤量重要的信息,⼀旦⽹络系统出现安全问题,那么将会造成极⼤的损失。 1.2⽹络空间安全案例介绍
美国已研发出数千种病毒,涵盖“蠕⾍”、“特洛伊⽊马”、“逻辑”、“陷阱门”等多种技术。“震⽹”、“⽕焰”、“⾼斯”、“瑞晶”等超级病毒背后也有美国的影⼦,这些病毒具有结构复杂、功能强⼤、攻击注⼊⼿段多样化、潜伏和反破解能⼒极强等特点,表明美国已具备对国家关键信息基础设施精确、持续的攻击能⼒。 2017年6⽉27⽇,不少乌克兰的企业感染了新的病毒,攻击源头是乌克兰知名的财务软件M.E.Doc,⿊客在源代码中植⼊了切取数据的后门,随着软件更新,⼴泛使⽤该软件的企业纷纷中招。3
60企业安全集团副总裁左英男说,虽然源代码安全检测类产品可以检测到这类缺陷,但类似这样的软件供应链攻击⽅式让⼈防不胜防。
1.3⽹络空间安全概述
1.3.1⽹络空间攻击技术概述
360企业安全集团董事长齐向东⽇前在贵阳数博会⽹络安全⾼端论坛演讲中,将⽹络攻击的发展分为了三个阶段,最初是“⼩球病毒”“救护车病毒”等,更像是恶作剧;“熊猫烧⾹”等以窃取隐私、钱财为⽬的的是第⼆次;从2015年开始⽹络攻击的复杂性和多样性提升,尤其是针对⼤中型企业和政府部门。有⽬标、精确、持久隐藏的ATP攻击(⾼级持续性威胁),攻击⼊侵的路径也并不局限于互联⽹,还可通过移动介质、内部⽹络横向传播,并和社会⼯程学等⼿段相结合。⽹络攻击的破坏性也在增⼤。据称⼏乎每个在线游戏在公测的⼀个⽉内,都会受到攻击除了层出不穷的外挂与⿊产,竞争对⼿的攻击也不在少数;电商、在线教育也是⽹络攻击的重灾区,业务活动时常收到DDoS 攻击(分布式拒绝服务攻击,消耗对⽅的系统资源使之难以提供服务)的影响。⽹络攻击甚⾄被应⽤于国际政治活动,“震⽹”史⽆前例地破坏了伊朗的核研究设施,⽽希拉⾥“邮件门”则⼀举扭转了美国⼤选的⾛向。
1.3.2当前国内⽹络安全事件的态势
2018年,我国进⼀步健全⽹络安全法律体系,完善⽹络安全管理体制机制,持续加强公共互联⽹⽹络安全监测和治理,构建互联⽹发展安全基础,构筑⽹民安全上⽹环境,特别是在党政机关和重要⾏业⽅⾯,⽹络安全应急响应能⼒不断提升,恶意程序感染、⽹页篡改、⽹站后门等传统的安全问题得到有效控制。全年未发⽣⼤规模病毒爆发、⼤规模⽹络瘫痪的重⼤事件,但关键信息基础设施、云平台等⾯临的安全风险仍较为突出,APT攻击、数据泄露、分布式拒绝服务攻击等问题也较为严重
2.1⽹络空间态势分析概述
国际上的⽹络安全公司, 如FireEye、 Mandiant、MITRE、RSA、Lastline等, 都发布了⽹络安全态势感知相关的产品。我国的⽹络安全公司, 如360公司、亚信科技、安恒科技、绿盟科技等安全企业, 也都推出了⽹络安全态势感知系统, 这些⽹络安全态势感知系统各有特⾊。
早期的⽹络安全态势感知系统是通过对海量安全数据的采集, 采⽤数据分析技术识别海量安全数据中有价值的信息, 并展⽰为可理解的报告和图表, 从⽽让⽹络安全⼈员通过报告和图表数据去发现和分析全⽹的安全威胁。
近年来, 随着⼤数据技术的出现和发展, 安全技术与⼤数据技术充分融合, 极⼤地增强了安全检测与分析能⼒, 推动了安全态势感知的发展, 主要表现在APT截获、威胁感知和威胁情报共享等⽅⾯。
现阶段的⽹络安全态势感知是通过机器学习、⼤数据分析等技术, 实现基于逻辑和知识的推理结果, 从已知威胁推演未知威胁, 实现对安全威胁事件的预测和判断, 这是当前⼤多数安全⼚商在探索和研发的重点内容。⽬前⽹络安全态势感知平台系统架构如图2-1所⽰。
图2-1⽹络安全态势感知系统架构⽰意图
2.2态势感知的应⽤场景
2.2.1态势感知的分析原理
⽹络安全态势感知模型被普遍接受的是基于数据融合理念的JDL(Joint Directors of Laboratories)模型, 主要包括以下4个关键技术。
1)海量多元异构数据的汇聚融合技术
⽬前, 在⼤规模⽹络中, ⽹络安全数据和⽇志数据由海量设备和多个应⽤系统中产⽣, 且这些安全数据和⽇志数据缺乏统⼀标准与关联, 在此基础上进⾏数据分析, ⽆法得到全局精准的分析结果。新的⽹络安全分析和态势感知要求对⽹络安全数据的分析能够打破传统的单⼀模式, 打破表与表、⾏与⾏之间的孤⽴特性, 把数据融合成⼀个整体, 能够从整体上进⾏全局的关联分析, 可以对数据整体进⾏⾼性能的处理, 以及以互动的形式对数据进⾏多维度的裁剪和可视化。
因此需要通过海量多元异构数据的汇聚融合技术实现PB量级多元异构数据的采集汇聚、多维度深度融合、统⼀存储管理和安全共享。将采集到的多元异构数据进⾏清洗、归⼀化后, 采⽤统⼀的格式进⾏存储和管理。通过属性融合、关系拓展、体聚类等⽅式挖掘数据之间的直接或潜在的相关性, 进⾏
多维度数据融合。这样才可以为⽹络安全分析、态势感知与决策提供⾼效、稳定、灵活、全⾯的数据⽀撑。
2)⾯向多类型的⽹络安全威胁评估技术
从流量、域名、报⽂和恶意代码等多元数据⼊⼿, 有效处理来⾃互联⽹探针、终端、云计算和⼤数据平台的威胁数据, 分解不同类型数据中潜藏的异常⾏为, 对流量、域名、报⽂和恶意代码等安全元素进⾏多层次的检测。
通过结合聚类分析、关联分析和序列模式分析等⼤数据分析⽅法对发现的恶意代码、域名信息等威胁项进⾏跟踪分析。利⽤相关图等相关性⽅法检测并扩建威胁列表, 对⽹络异常⾏为、已知攻击⼿段、组合攻击⼿段、未知漏洞攻击和未知代码攻击等多种类型的⽹络安全威胁数据进⾏统计建模与评估。
只有通过⽹络安全威胁评估完成从数据到信息、从信息到⽹络安全威胁情报的完整转化过程, ⽹络安全态势感知系统才能做到对攻击⾏为、⽹络系统异常等的及时发现与检测, 实现全貌还原攻击事件、攻击者意图, 客观评估攻击投⼊和防护效能, 为威胁溯源提供必要的线索⽀撑。3)⽹络安全态势评估与决策⽀撑技术
⽹络安全态势评估与决策⽀撑技术需要以⽹络安全事件监测为驱动, 以安全威胁线索为牵引, 对⽹络空
间安全相关信息进⾏汇聚融合, 将多个安全事件联系在⼀起进⾏综合评估与决策⽀撑, 实现对整体⽹络安全状况的判定。
对安全事件尤其是对⽹络空间安全相关信息进⾏汇聚融合后所形成针对⼈、物、地、事和关系的多维安全事件知识图谱, 是⽹络安全态势评估分析的关键。
⽹络安全态势评估与决策⽀撑技术从“ ⼈” 的⾓度评估攻击者的⾝份、团伙关系、⾏为和动机意图; 从“ 物” 的⾓度评估其⼯具⼿段、⽹络要素、虚拟资产和保护⽬标; 从“ 地” 的⾓度评估其地域、关键部位、活动场所和途径轨迹; 从“ 事” 的⾓度评估攻击事件的相似关系、同源关系。
4)⽹络安全态势可视化
⽹络安全态势可视化的⽬的是⽣成⽹络安全综合态势图, 使⽹络安全态势感知系统的分析处理数据可视化、态势可视化。
⽹络安全态势可视化是⼀个层层递进的过程, 包括数据转化、图像映射、视图变换3个部分。数据转化是把分析处理后的数据映射为数据表,将数据的相关性以关系表的形式存储; 图像映射是把数据表转换为对应图像的结构和图像属性; 视图变换是通过坐标位置、缩放⽐例、图形着⾊等⽅⾯来创建视图, 并可通过调控参数, 完成对视图变换的控制。
2.3⽹络安全态势感知建设内容及功能
由图2-1可知, ⽹络安全态势感知系统是依据国家⽹络安全法律法规体系和政策标准体系, 落实⽹络安全战略规划⽬标, 实现国家或⾏业的关键信息基础设施和重要信息系统的安全状况可视、可知、可管、可控、可溯、可预警的系统。
因此, ⽹络安全态势感知主要建设内容是:从安全设备、⽹络设备、操作系统、应⽤系统等⽹络安全数据源采集⽹络安全数据, 通过关联分析、模式识别、规则匹配、⾏为检测、机器学习等⼤数据分析⽅法进⾏分析, 进⽽实现⽹络态势评估、⽹络威胁评估和⽹络态势预测。
⽹络态势评估包括态势元素提取和当前态势分析。⽹络威胁评估是关于恶意攻击的破坏能⼒和对整个⽹络威胁程度的估计。⽹络态势预测是从已知数据推演分析将要发⽣的安全事件, 从已知威胁推演未知威胁, 实现对安全威胁事件的预测和判断发⽣的概率。通过⽹络态势评估、⽹络威胁评估和⽹络态势预测实现国家或⾏业的关键信息基础设施和重要信息系统的安全状况可视、可知、可管、可控、可溯和可预警。
⽬前态势感知平台主要功能如下:
1)可视。通过多维度的安全数据仪表盘, 涵盖⽹络安全监测的重点环节, 将⽹络重点环节的实时运⾏及安全状态多维度地展⽰给⽹络安全⼈员, 以便⽹络安全⼈员及时掌握⽹络安全整体状况。
2)可知。通过安全数据全量管理。收集的安全数据包括操作系统、安全设备、⽹络设备、应⽤程序和数据库的安全配置和安全⽇志等信息,并提供安全⽇志的全⽂检索功能, 便于⽹络安全⼈员从海量⽇志查和关联相关安全⽇志。在全量收集各种安全数据的基础上, 充分利⽤⼤数据技术, 从海量数据中挖掘⾼价值信息, 侦测是否存在异常⽹络⾏为。
3)可管。通过监测操作系统、安全设备、⽹络设备、应⽤程序和数据库的安全配置和安全⽇志, 结合安全基线、威胁情报和知识库进⾏多维度安全分析, 对发现的漏洞和脆弱性及时处置。
4)可控。充分利⽤⼤数据的分析模型和机器学习等算法, 为⽤户建⽴⾏为画像, 可以基于已知威胁检测和异常⾏为分析来发现多态恶意代码、APT攻击、0 day攻击等未知威胁攻击, 并对分析出来的安全事件、异常⾏为等进⾏实时告警, 通过可视化展现、邮件、⼿机APP等⽅式及时通报给相关⽹络安全⼈员进⾏处置。
5)可溯。通过威胁情报、规则匹配和⼤数据分析模型等技术对给定的安全事件进⾏追踪溯源, 刻画⽹络安全事件的攻击路径, 为⽹络安全⼈员采取措施和溯源提供依据。
6)可预警。实时动态展⽰当前⽹络安全状况, 并呈现⼀定时间内整个⽹络空间环境安全要素, 从已知数据推演分析将要发⽣的安全事件, 实现对安全威胁事件的预测和判断发⽣的概率。
2.3.1态势感知技术发展趋势
1.深度融合⼤数据和⼈⼯智能技术。通过在态势感知系统中融合使⽤深度学习、知识图谱等⼤数据分析算法和⼈⼯智能模型, 从整体上把握⽹络空间安全状态, 对针对关键信息基础设施和重要信息系统的⽹络攻击和重⼤⽹络安全威胁实现可知、可管、可控、可溯、可预警, 及时发现并精确预警及处置。
2.系统可以动态扩展和云化。随着云计算基础设施的⼤量使⽤, 要求对安全威胁和攻击的处置能⼒也是可以随着云计算平台扩展⽽可动态扩展的, 实现⽹络安全态势感知系统的基础平台云化, 使其态势感知能⼒可以随着保护对象的规模变化⽽动态变化。
3.可以提供精准预测和防御处置建议。在⼤数据挖掘与分析技术持续发展的基础上, 态势感知系统可以对越来越⼴泛的海量数据采集和分析,通过⼈⼯智能算法, 结合云架构的⼤数据平台计算和分析能⼒, 对⽹络安全态势进⾏深度感知和整体把握, 并结合我国政策法规和相关标准, 对⽹络空间的整体安全态势发展给出更精准的预测和积极防御处置建议, 以供⽹络安全决策者参考和⽹络安全⼈员执⾏。
第3章总结与展望
随着云计算和⼤数据等新技术的应⽤, ⽹络规模越来越⼤, ⽹络节点越来越多, 数据流量⼤, 存在多种异构⽹络环境和应⽤平台。随着⽹络⼊侵和攻击正在向规模化、复杂化的趋势发展, 国内⽹络安全⼯作随着信息技术的长⾜发展, 从针对局部信息系统的被动性、应急性安全保障, 演变为⾯向整个⽹络空间的安全规划布局转变。需要采⽤⽹络安全态势感知系统实时、准确地掌握⽹络安全态势状况, 检测恶
意攻击⾏为, 让⽹络安全⼯作具有主动性和条理性。
⽹络安全信息共享作为应对⽹络安全威胁态势的重要举措,各国都在持续构筑这⼀体系、机制和落实措施。美国多部法案都试图在政企之间形成有效、持续的共享通道,2018年这些法案将继续在美国国会各个层⾯尝试突破。我国《⽹络安全法》信息共享相关条款下的配套制度建设也可能成为未来加快步调的重要⽅⾯。同时,鉴于欧盟第29条⼯作组对“隐私盾”协议年度审查报告的负⾯评判,很难想象短时间内各国对数据的跨境传输能够达成共识。可以预见,未来相当长时间内围绕数据跨境传输的⾓⼒仍将持续,可能从联合国到WTO再到双边或其他多边协议的各个层⾯展开。此外,尽管各国⾮法有害信息的界定有所区别,但对虚假新闻、政治⼴告、淫秽⾊情等仇恨、暴⼒以及恐怖主义等⾮法内容的主动预防、发现和消除监管要求基本⼀致,未来将更赋予平台更多的责任和义务。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议