安全态势感知在移动业务支撑系统中的应用

石磊　刘耀华

【摘 要】移动业务支撑系统迅猛发展的同时，给网络及系统安全提出严峻考验和巨大挑战。本文通过对安全态势感知和预警防御体系的研究，基于攻击态势分析、威胁预警分析和趋势分析与检测，有效解决了业务支撑系统中的信息孤岛问题。从而实现安全信息的整合收集与数据的汇总分析，为安全运行维护人员提供直观、强大、清晰的安全威胁预警能力，形成重大问题、事件的整体性报告。

【关键词】业务支撑系统；态势感知；威胁预警分析；态势分析

1 安全态势感知技术

1988年，Mica R. Endsley首次明确提出态势感知的定义，态势感知（situation awareness， SA）是指“在一定的范围内，熟悉并了解环境因素，并能够预测未来的发展趋势”，态势感知当时只是应用于航空领域，并未在网络领域进行应用[3]。

1999年，Tim Bass首次提出了网络空间的态势感知（Cyberspace Situation Awareness，CSA）的概念，网络态势感知源于空中交通监管（Auto-desk Training Center，A T C）态势感知，是一个比较新的概念；Tim Bass对A T C态势感知和网络态势感知进行了对比分析，希望能把A T C态势感知的理论知识和成熟的技术利用到网络态势感知中来[4]。目前，网络态势感知还没有一个准确及全面的定义。一般所指的网络态势主要是指由各种网络及安全设备的运行情况、受攻击行为以及用户行为等几个方面的因素所构成的网络使用情况和所产生的变化。但是，态势是一种发展趋势，是网络设备运营的状态，是整个系统网络的的概念，其他单一的变化或运行状态都不能称之为态势。在目前复杂的网络环境中，进行获取、理解、展示影响网络态势发生变化的安全数据，并能利用这些数据预测未来网络安全发展趋势。

2 业务支撑网的发展现状概述

移动业务支撑系统分为两级架构，分别为一级（总部）业务支撑系统；一级业务支撑系统为全网业务管理和业务运营提供支撑和保障，实现全网信息的交换和管理。二级（省级）业务支撑系统为省公司进行省内业务管理和业务运营提供支撑和保障。二级（省级）业务支撑系统与一级业务支撑系统通过接口互联，实现数据的交换，二者相互协作与配合，共同支撑移动业务的运营与管理[5-6]。

业务支撑系统在不同的安全域之间部署了大量的安全防护设备及安全审计及安全管理系统，但是安全设备、各安全系统之间信息孤立，存在安全隐患、无法实现信息共享，达到当系统遭受攻击时实现攻击溯源和预警分析。

3 安全态势感知的功能设计

3.1 攻击态势分析

攻击威胁分析场景是对攻击检测的结果数据进行多维度统计分析，其结果用于支撑攻击态势视图展示；数据来源涉及密码猜测攻击、WEB攻击、恶意扫描、恶意程序等4种攻击检测结果，及异常流量的检测结果；从攻击类维度，以分、时、天、周、月、年等时间周期分析统计攻击类型和次数；从地理位置维度，对攻击源IP、攻击资产、攻击类型、攻击次数进行分析统计；实现从资产维度，对攻击类型，攻击者数量及攻击次数进行分析统计；并能够根据攻击的类型源IP数量以及受影响的资产数量进行周期统计与分析得出危害等级进行视图展示。

3.2 威胁预警分析

对获取的威胁情报进行筛选和提炼，识别出可能存在外部攻击行为，定位出与此外部攻击的相关资产信息和漏洞。

外部攻击识别：提取安全设备告警日志和Web中间件访问日志中的源IP地址、URL地址，与IP信誉库、URL信誉库进行对比，筛选识别出所有恶意访问请求，并对访问源/目标进行资产关联。

资产筛选：将情报内容中资产（受到威胁的对象，如Linux版本号等）与省份资产信息对比分析，识别出与此情报相关资产信息。

漏洞对比：对上述分析结果资产进行漏洞扫描，扫描结果结合威胁情报的漏洞信息对比，进一步分析识别出具备与情报相同漏洞的资产信息。

3.3 趋势分析与检测

网络态势是由现网各种网络及安全设备的运行状态以及用户的访问行为等因素所构成的整个系统网络的当前的状态和变化趋势。网络态势感知主要指在现网复杂网络环境中，获取、理解并展示引起网络态势发生变化的一系列因素，通过这一系列因素能够未来的发展趋势。系统从安全本身的发展变化入手，采用多种分析模型，通过对事件和威胁的分析来评估当前网络的整体安全态势，为用户提升安全防护能力提供决策支持。分析呈现历史安全概况，结合本地的活动日历，使用回归分析对未来一段时间内出现的攻击类型和数量进行预测。

通过分析获取的一系列安全信息数据，建立一套动态的多维度威胁指标体系，帮助安全管理人员对目前的安全威胁因素进行辨别，最终找出导致威胁态势异常的关键安全事件。

态势感知是对当前的系统状态进行评估和判断，而趋势预测则是基于历史信息结合当前的状态去预测系统未来状态的发展趋势，通过预测可以为决策系统提供制定决策所需要的必要知识和参考信息。在面对复杂的網络信息化环境的时候，预测模型的建立是对被预测问题的一种高度抽象，系统越复杂，建模的准确性度就越难以保证，而结果的不确定性也就越高，因此仅仅利用单一的一种方法进行预测往往准确描述出需要预测的结果。

采用组合预测的方法，结合定量预测法和定性预测法构建出一个基于大数据的预测分析系统。系统使用灰色系统预测GM（1，1）模型来预测趋势平缓的大规模网络安全态势；使用指数加权移动平均（EWMA）模型对非周期性网络安全态势进行预测，EWMA模型保持了对历史数据的逐期溯源性和对最新数据的指数加权性，能够实现较好的预测效果；使用Holt-Winters模型预测周期性和季节规律较强的网络安全态势预测。针对不同网络规模下的网络安全态势总体趋势，可以选择不同的预测模型，最终实现对安全态势的准确预测。

使用各类历史安全数据和资料，最新的攻击和漏洞情报，将两期或多期连续的相同攻击态势数据进行同比和环比，得出安全攻击趋势，明确未来一段时间的防范重点。本期输出是未来时段遭受某类型攻击的概率。

重大活动及节假日对一段时间内的攻击态势造成显著影响，分析这些活动的特点，总结安保过程中经验，记录到活动日历。通过活动日历，集团共享，相互借鉴，对将来的重大活动及节假日安保与应对有借鉴和指导意义。

4 结束语

在介绍网络安全态势相关概念和技术的基础上，对当前移动业务支撑系统网络攻击防御与预警面临的问题进行了探讨，着重对网络安全态势感知设计以及预警分析建设要素进行阐述。将态势感知技术应用于业务支撑系统的网络攻击防御中，不仅能够全面掌握当前移动业务支撑网网络安全状态，还可以预测系统网络安全的趋势。

【参考文献】

[1]林菁.业务支撑网网管系统的发展历程及方向[J].信息通信，2017（6）.

[责任编辑：张涛]endprint