安全态势感知研究

◆许 暖 蔡宇进

安全态势感知研究

◆许 暖 蔡宇进

（中国移动通信集团安徽有限公司 安徽 230000）

经济的发展为技术的进步奠定了坚实的物质基础，技术的发展是一把双刃剑，因为技术的不断革新使得技术的内部结构不断复杂化，对于管理行业来说是一项较为严峻的挑战，传统的安全管理模式已经很难满足当前的安全需求，因此加强新技术的研发，实现对技术的动态监测显得尤为重要，安全态势感知技术就是一种全新的安全管理技术。本文针对安全态势感知工作进行研究和分析，并进行了简要的总结。

安全态势；感知；研究

以网络为例，近年来互联网的迅速发展和相关应用的普及为很多行业的发展注入了源源不断的发展动力，互联网已经逐渐成为人们日常生活中的重要组成部分，同时大幅度提高了相关工作的质量和效率，使得信息之间的互通成为可能，一方面促进了社会经济的发展，另一方面也丰富了人们的日常生活，除此之外，计算机和互联网技术还在政治和经济领域得到了广泛的应用。随着互联网内部结构的不断复杂化，网络病毒对于互联网的威胁也越来越大，传统的网络安全管理模式主要是以防火墙和IDS等网络安全防护技术为主，但是随着外部环境的不断复杂，这种网络安全维护技术的适应性进一步下降，进行全新技术的研发和推广显得很有必要，安全态势感知技术在这时应运而生。

1 全面监控的意义

1.1 安全防御技术发展的新潮流

信息安全是一种管理过程，如果在管理的过程中无法对攻击者进行把握，就很难提高相关管理工作的质量和效率，但是如果发生了安全事故后才进行补救，自然也比较被动，很难满足信息化发展的需求，在移动互联网和云计算等新业务的推进下，主动防御和安全基线等建设理念逐渐出现。

主动防御的核心也就是在安全基线建设的同时，实现对网络内部信息的监控，如果用户的体验出现了下降的情况，通过蜜罐等手段进行侵入，这时就能充分发挥自身的主观能动性，对不稳定因素进行控制。主动主要有以下两种含义：首先就是对自身的动态监控，因为自身的实际情况大部分都是可知的因素，防御的难度比较小；其次就是能够实现对用户行为的全面跟踪，这样就能有效降低被人侵入的可能，譬如城市中的街道安装了摄像头后，小偷就很难推进自身的犯罪行为，自然也就会有所收敛。

可以说不管是安全基线还是主动防御，都是全面监控工作中的重点，安全感知网络是实现相关工作的基础和动力，互联网技术，特别是感知网络的发展与进步，为安全态势的感知奠定了坚实的基础。

1.2 安全保障体系中的重点

在信息安全建设发展到一定的阶段之后，安全动态的监控体系成为相关建设工作中的重点，这一点在“花瓶”模型中，进行了较为明确的说明。

该模型将信息安全保障建设分成保障基线和运维管理平台：

首先就是边界防护线，这种防护线能够阻挡大量的攻击行为，值得注意的是，这种边界不仅是一种物理边界，同时也是一种系统同人之间的边界，譬如服务器的控制等等，这种机制能在边界上部署有效的访问措施，这种网络边界比较容易理解，但是内部结构也较为复杂，可以针对不同的需求选择针对性比较强的产品技术，譬如FW、IPS和AV等，除此之外还能实现对一些专业设备的防护。

其次就是动态监控线，虽然说边界能在一定程度上阻碍入侵者，但是也无法实现所有不稳定因素的阻挡，如果越过了边界，那么边界线也无法充分发挥自身的主观能动性，这时动态监控应运而生，譬如恶意代码和漏洞等等。

第三就是信用审计线，不仅可以匿名访问一定的公共业务，同时访问的用户也有较为明确的身份，只有对审计用户的行为记录进行判断和审核，才能推进一些事后的管理和定位工作。

最后就是安全管理平台，为了充分发挥以上三者的积极作用，需要建立一个较为完善的平台，对于提高相关工作的效率，实现资源的优化配置都有很大的帮助。

2 安全态势感知系统建设的要点

安全态势感知，顾名思义就是对网络的整体安全态势进行把握，并对安全态势的发展趋势进行把握和控制，为行业工作人员后期的工作奠定坚实的基础。所以说在系统的建设过程中需要对多个要点进行把握。整个系统可划分成感知网络、分析系统和展示系统三个部分，但是综合来看，态势感知系统同其他的监控系统还是存在很多不足之处，因为这种系统的设计呈现出倒退式的规律。

态势感知系统设计不同于日常的管理工作，这种系统设计能为管理者提供决策的相关工具。

需求主要来自于管理者，因为目标是用户关心的内容，所以说态势感知系统的设计要从安全度量指标体系的明确开始，然后推进相关的倒退工作，主要来说分为以下几个过程：首先就是对用户业务的核心和关键进行把握，形成对网络安全态势的度量工作；其次就是选择合适的技术，对信息和数据进行整理；第三就是对网络中的数据和信息进行处理；最后就是充分利用人工的方式进行具体的分析工作。

这种系统具有一定的定制性，也就是针对性比较强，在工作过程中要对这一点进行把握。

2.1 安全度量

安全度量主要是对用户关心的安全态势进行把握，进行安全指标体系的建设，譬如汽车司机关心的是汽车速度和发动机转速等因素；而企业的投资者更加注重对本金和收益的把握。

综上所述，安全度量工作针对不同业务来说，存在很多的不同之处，主要可以分为：网络安全态势的业界公认指标和用户业务的特殊指标，这是一种全新的设计思路，不仅满足了行业的实际需求，同时也顺应了时代的发展潮流。

下面是安全度量工作的一些常用指标：首先就是事件，用户要更加注重对安全类事件的把握，在必要时还会对安全事故的具体类型进行划分；其次就是攻击，主要是指网络正在遭受的攻击详情，除此之外，硬件上的一些故障也会对系统的未来发展产生重要的反作用；第三就是漏洞，漏洞是攻击的桥梁，对这一点进行把握也显得至关重要，在实际的工作过程中可以通过打补丁等方式进行弥补，但是有些系统由于自身的特性，无法进行打补丁工作，这时就要注重对风险进行把握，从而为后期工作的推进奠定坚实的基础；第四就是风险，对于风险的把握也有以下几个重点：第一就是风险的预测工作；第二就是风险的大小计算工作；第三就是对于风险传播过程的控制，行之有效的工作能为后期操作奠定便利基础；第五就是敏感数据状态的把握，相关工作也较为复杂，包括数据的查询、修改和输出等工作；第六就是用户的体验状态，随着时代的进步和发展，服务质量逐渐成为影响行业发展的重要因素；第七就是系统的可靠性，大部分系统已经提供了相关的服务工作，同时对系统服务的后续发展奠定了坚实的基础，主要是对硬件和软件的把握。

在长期的实践过程中，对于安全度量指标的选择主要有以下几项原则：首先就是直观展示数据和信息；其次就是能充分发挥自身的主观能动性，为用户的后期工作创造便利。作为工作和研究工作中的重点，安全度量工作的工作效率至关重要。

2.2 信息采集

信息采集工作主要是对信息和是数据的提取，这就对数据的完整性提出了更高的要求，主要来说有以下几种信息和数据需要进行着重把握：首先就是网络威胁，主要是一些安全设备；其次就是用户行为，主要分为以下几种：分别是主机上的行为、网络上的行为和在系统上的行为；第三是流量动态，一旦网络状态发生了异常，那么可能就是出现了攻击行为，这时要对不稳定因素进行把握；第四就是业务状态，业务状态主要包括用户数量和存储空间等，对业务的多种因素进行把握。

3 现有技术的技术方案

基础设施的完善为互联网和相关网络技术的发展创造了便利条件，但是这也导致相关工作中的不稳定因素越来越多，主要就是信息的安全问题，除了人为的操作因素之外，系统的落后和闭塞也会为安全漏洞的出现埋下隐患，对于行业的长远发展非常不利，由此可见推进相关整改和维护工作的重要性。

结合行业的实际情况来看，主要通过定期扫描的方式进行安全漏洞的探测，在必要时将相关信息和数据反馈给不同的责任主体，进行及时有效的处理。

在进行安全评估的过程中，对多种风险因素进行了把握，包括网络的堵塞等等，但是因为无法实现登录扫描的工作，所以需要进行二次筛选工作。

4 详细的技术方案

该种方案以智能分析技术为基础，推进后期的漏洞筛选工作，在分析的过程中对漏洞扫描对象的真实信息进行把握，同时对整体的安全态势进行研究，最后得出较为客观的结论，一方面对结论的客观性进行了保证；另一方面也促进了相关的研究工作。本方案的相关方法更加符合技术设备发展的实际情况，对漏洞误报筛选的准确性进行了保障。

主要来说有以下几个创新点：首先就是就是打破传统的行业工作观念，针对漏洞的误报筛选工作，推进了较为可行的方案，使得漏洞误报筛选工作的处理成为可能，同时也为其他行业的发展提供了借鉴；第三就是能够对漏洞扫描对象的真实信息进行把握，还包括一些安全态势，能在很大程度上提高筛选工作的准确性。

本方案的具体实现流程如下：

首先就是进行相关规则库的建立，漏报五包规则库能进行漏洞的准确定位工作，可以说是相关工作中的重点之一。为了保障本方案的实施，需要对以下几方面工作进行把握：第一就是主机，具体的主机类型要较为丰富，这样才能保障最终筛选工作的质量；第二就是数据库和中间件的把握，譬如Mysql等等，都是研究工作中的重点，当然相关补丁集也是控制工作中的重点。为了提高相关工作的质量，可以从操作系统官网漏洞进行漏洞信息的获取，进行版本的修复工作。

其次就是获取漏洞扫描的具体报告，对于相关工作的把握同第三方漏洞扫描工具之间有着紧密的联系，当然第三方漏洞扫描工具的具体内容之间也存在一定差异，所以说需要对IP地址、设备类型和风险等级等因素进行把握，为了保证扫描报告的质量，在必要时可以进行具体的细分工作。

第三就是对安全类型的态势系数进行把握，本步骤中的安全类型主要分为以下几类：代码类、口令类、配置类等等。这一步骤的实现工作如下：第一步就是进行数据包的收集，针对不同的工作类型，进行不同类型数据包的收集；第二步就是对数据包之间的粘合度进行把握，想要实现粘合度的把握，需要对多个影响因素进行把握，包括数据包的大小和包长度等等例如，譬如配置类的数据包为个，数据包包括个特征（特征可以为包大小，包长度等）。

粘合度=数据包之间相似度的和/。

任意两个数据包，之间的相似度=[（的第一个特征值/的第一个特征值）+（的第二个特征值/的第二个特征值）+......+（的第个特征值/的第个特征值）]*配置类相似度均值，第三需要对数据包安全类型的态势系数进行把握；第四就是结合态势系数，对漏洞扫描报告中的信息和数据进行识别，从而实现漏洞的分析和汇总工作。该过程是方案中的重点，需要对多个信息进行把握，才能对识别工作的质量进行把握。主要分为以下几项重点工作：第一是设备特征的获取，在获取的过程中要充分发挥自身的主观能动性，对多种影响因素进行把握；第二对漏洞的安全类型进行明确，当然在这个过程中着重对安全类型进行把握以配置类为例，其态势系数：

1=配置类的数据包之间的粘合度*配置类的数据包丢包率；

第三是对漏洞误报规则的把握；第四将设备特征同误报规则进行对比工作；最后将设备特征同扫描结果进行对比，进行误报的判断工作，如果相同，就进行未误报工作的判断，否则就结合设备特征等多种影响因素进行下一步的判断工作。

对漏洞信息i中的漏洞描述进行语义分析，得到与各安全类型之间的匹配度，将匹配度最高的安全类型确定为该漏洞对应的安全类型。

A为漏洞信息与安全类型之间的匹配度。W为漏洞信息中的设备类型与安全类型之间的关联程度，风险等级的权重如表1所示。

表1 风险等级权重

整个过程需要对多种影响因素进行把握，不仅实现了漏洞误报工作的筛选，同时也解决了工作量大的问题，在很大程度上降低了行业工作人员的负担，对于优化行业的资源配置，促进行业的长远发展有很大的推动作用，但是其具体工作的复杂性，使得行业工作人员在推进工作的过程中，需要对多种内部因素和外部因素进行权衡，最后才能得出科学合理的结论。

5 安全态势感知研究工作的必要性

结合我国诸多行业的实际发展来看，推进安全态势感知研究工作很有必要，特别是在互联网行业等一些新型行业中，技术的更新虽然提高了信息和数据的处理效率，但是也使得技术内部构造更为复杂，推进安全态势的感知工作显得更为重要，主要来说，有以下几个必要性：

5.1 促进观念更新

一个正确的观念能为一个行业的发展起到重要的推动作用，在诸多行业中都是如此，但是结合我国的大部分行业来说，发展观念都比较保守，一方面无法满足行业发展的实际需求；另一方面也无法顺应时代的发展潮流，对于行业的长远发展非常不利，促进观念的更新成为行业发展的当务之急，安全态势感知研究就能为观念的更新和转变创造便利条件，当然观念的革新是一个长期的过程，需要行业管理部门充分发挥自身的主观能动性。

5.2 满足行业需求

随着我国经济的发展和人口基数的不断扩大，人民对于各行业的就业需求也在不断增长，这对于行业的发展来说是机遇，也是挑战，为了充分抓住机遇，促进行业的长远发展，在发展的过程中要充分发挥自身的主观能动性，这样才能结合市场的实际需求，实现行业新的发展，当然，对于需求的把握也是相关工作中的重点，行业的需求包含很多具体的影响因素，对于企业来说也是一项难题，克服这项难题需要企业诸多部门的群策群力。

5.3 降低企业风险

在企业和行业的发展过程中，存在很多的不稳定因素，如果无法实现对这些不稳定因素的把握，就无法为企业的长远发展提供保障，推进科学的安全态势感知工作，能够及时对企业发展过程中的不稳定因素进行把握，从而消除企业发展过程中的很多隐患，为企业的长远健康发展奠定稳定的基石。

6 结语

综上所述，安全态势感知研究工作是一项较为复杂的工作，为了保证整个工作的效率和质量，无论是企业管理层，还是企业工作人员，都需要发挥主观能动性，实现对多种影响因素的把握，为了促进相关研究工作的长远发展，有以下工作有待推进：一是国家要顺应企业和行业的发展潮流，为其制定完善的发展规章制度，营造稳定的大环境；二是企业要结合自身的实际发展情况，推进相关的研究工作，为自身后期的长远发展创造条件。安全态势感知工作事关诸多行业的发展，让我们携起手来一起努力。

[1]卢湛昌.大数据环境下网络安全态势感知研究进展[J].网络安全技术与应用，2017（01）：85-86.

[2]李炜键，金倩倩，郭靓.基于威胁情报共享的安全态势感知和入侵意图识别技术研究[J].计算机与现代化，2017（3）：65-70.

[3]郑艳芳.人工智能应用与分析技术在信息安全态势感知体系的研究和实践[J].数字通信世界，2018，160（04）：229.

[4]岳巍，张华熊.基于Arnold变换的网络安全态势感知扫描策略研究[J].浙江理工大学学报，2018.

[5]高薇，许浩，宁玉文，等.基于安全态势感知平台的高校网络SOC研究—以第四军医大学为例[J].计算机技术与发展，2018，28（1）.

[6]邓晓东，何庆，许敬伟，等.大数据网络安全态势感知中数据融合技术研究[J].网络安全技术与应用，2017（8）.

[7]王海涛.基于大数据和人工智能技术的信息安全态势感知系统研究[J].网络安全技术与应用，2018（7）.

[8]许敬伟，何庆，邓晓东，等.基于网络安全态势感知的高级持续性威胁检测和研究[J].电脑编程技巧与维护，2017（14）：83-86.