基于多业务系统互联的网络安全态势感知技术研究

徐 枫，邱 黎，林 红

（武汉广播电视台，湖北 武汉 430022）

0 引言

随着互联网应用的高速发展，社会各行业的网上业务越来越多，用户对数据交互、资源共享的需求不断提高。信息化平台的互联互通方便实现数据交换，有利于提高工作效率和管理效能。但在系统开放互联的同时，各类网络安全隐患也随之而来，网络钓鱼、勒索软件、高级可持续威胁（Advanced Persistent Threat，APT）以及加密货币劫持等各种新形式的网络攻击也愈演愈烈。在这样的新型网络环境下，实现业务系统网络高效、安全的互联互通，统筹应用内容资源、平台资源及网络资源，实现数据的高效交互使用，实现资源的统一存储和管理，是技术人员不断探寻的目标[1]。

面对越来越专业的恶意攻击，人们已经不能再用传统的方式进行抗衡，网络安全态势感知应时而生。网络安全态势感知是2018 年全国科学技术名词审定委员会公布的计算机科学技术名词，被业界公认为是解决网络安全问题的一种新的方法。它可以综合分析各网络部件对安全事件的检测，让网络安全工作更具主动性[2]。网络安全态势感知能够及时感知网络安全风险，已成为国际上的一个热门研究领域。

1 多业务系统互联互通的意义和安全挑战

当前，新一轮科技革命和产业变革加速推进，数字技术创新实现多点突破，传统经济产业模式数字化转型加速。互联网作为互联互通的重要信息平台，在社会经济中发挥着重要作用。多业务系统互联互通是通过整体规划，对数据进行有效利用和深层次挖掘，对不同功能网络、不同业务应用、不同厂商设备实现安全互联，消除信息孤岛，实现多网络、多平台、多业务系统数据的全面共享和全程管理。在网络安全方面，人们通过在各系统部署安全接入平台保障数据安全交互，同时各分区之间设置有效隔离，根据业务访问要求实施安全访问策略，让系统的硬件、软件及数据受到保护，避免遭到损坏、篡改和泄密，保障网络服务不中断，使系统可以连续、正常地运行[3]。

多业务系统互联互通给人们带来信息资源共享、管理便捷高效的同时，也对网络安全提出了更高的技术要求。为有效应对网络威胁，保护系统运行的整体安全，技术工作者应统筹考虑整体布局，网络安全防御措施应全面覆盖各业务系统的各个层次，包括网络、业务应用及数据等。

2 传统网络安全策略的局限性

传统网络安全主要通过防火墙、入侵防御系统（Intrusion Prevention System，IPS）以及病毒查杀等技术、设备，重点在于边界防护，在不同的区域间通过安全设备构建隔离的安全防护体系[4]。各安全设备彼此之间各自为战，缺乏信息共享和防护协同，因此面对新型安全威胁存在先天缺陷，这些新型安全威胁主要有：

（1）对还没有补丁的漏洞进行的攻击——0-day；

（2）对攻击时间长、隐蔽性高的高级可持续威胁攻击（APT）的防御能力不足；

（3）与受害者进行交互式行为的社会工程学攻击。

究其原因，主要由以下先天不足导致，且很难通过升级方式克服。

2.1 以合规性评测为主，无法有效检测已知威胁

目前，对进口的网络信息技术和产品监测分析以合规性评测为主，较少监测软件核心技术，综合漏洞分析评估能力较低，对安全漏洞“后门”的监测能力较差。同时，在大数据、云计算、安全智能联动等重点领域的技术实力不够，难以对新兴信息技术行业的相关产品进行安全监测[5]。

2.2 没有数据智能，缺乏整体安全感知能力

传统的安全防护设备是通过一个个文件、数据流进行检测，具有局限性。例如，防火墙可以分析过滤由外至内的数据流，但对于内部的横向攻击无法防止；防病毒软件通过已有的病毒库数据对比识别病毒攻击，但新型网络攻击往往具有多样性、高隐蔽性，通过组合多种网络攻击手段，且通过伪装、变形来躲避安全防御检测，最终完成入侵。

2.3 没有数据支撑，无法对已知攻击进行溯源分析

目前，人们对于海量的网络数据缺少有效的分析手段，对APT 等新型网络攻击的监测技术不完善，由于回溯手段不足，很难找到攻击的源头。传统的网络防护着重于IP 访问和应用安全方面，对于业务与数据流的安全保护缺乏相关防护措施。如果攻击者越过边界，获取管理或使用权限，就能对生产业务系统实施信息窃取、数据删除等行为。由于这些访问或者会话通常都只具备数据流向特征，传统的安全设备无法防御。

3 基于多业务系统互联的网络安全态势感知防护方案

面对新的网络安全形势，针对传统网络安全防御体系的不足，基于多业务系统互联的网络安全态势感知防护方案利用其智能感知技术，实现对上网用户流量、日志、漏洞消息及告警消息等各种数据的收集，对网络安全活动及使用者活动等各种因素形成的信息安全状况和趋势的深度剖析，对可能引发网络安全状态变化的信息安全基本要素的收集、整理、回溯和可视化展示，对网络安全发展态势的及时检测和预告，并在此基础上，针对多业务系统互联的特点，强化网络安全设备、资源及人员管理，探索安全资源集约共享的路径[6]。态势感知防护可以理解为在网络安全中引入了“人工智能”，赋予了多业务系统对抗新型威胁的强大智慧。

3.1 系统架构

基于多业务系统互联的网络安全态势感知防护方案的总体架构主要分为安全信息数据源、网络安全态势感知内核、多业务系统互联网络安全管理基本要素（包括安全信息数据共享、整体安全运维、安全资源动态调节）三部分。其中，安全态势感知的内核是实现安全数据挖掘、融合、分析、感知的关键核心技术，主要由数据融合、统计分析、数据监测及可视化态势四个模块组成[7]。具体架构如图1所示。

图1 总体架构

3.2 功能模块

数据融合模块是态势感知的基础。数据融合模块包含数据信息收集、深度融合以及统一存储三个部分。数据信息收集是通过文件传输协议（File Transfer Protocol，FTP）、FTPS、超文本传输协议（Hyper Text Transfer Protocol，HTTP）、HTTPS、安全外壳协议（Secure Shell，SSH）、简单网络管理协议（Simple Network Management Protocol，SNMP）等多种数据采集协议从前端数据信息源的各个目标和对象收集不同类别的数据信息，包括上网用户流量、信息系统消息、日志、漏洞消息、使用者情况、预警消息以及威胁消息等各种数据消息。深度融合指对安全信息数据源采集的信息进行初步筛选，将不完整、重复、错误的信息剔除，然后采用统一的格式进行归类存放。同时，还要将不完整的原始数据补充完整，包括相关网络设备的属性、关联设备的信息等。统一存储是将采集到的海量安全信息数据分为业务类、管理类、信息类进行统一、分类存储。

统计分析模块是态势感知的核心。统计分析模块包括攻击行为分析、系统风险分析以及异常风险分析三个部分。攻击行为分析是指对攻击行为的类型、属性、内容进行分析。攻击行为的类型包括漏洞、分布式拒绝服务攻击（Distributed Denial of Service attack，DDoS）、邮件诈骗及钓鱼网站等，攻击行为的属性包括发生时间、持续时间、对象、产生的影响及攻击手段等，攻击行为的内容包括范围、次数及程度等。通过大数据关联，分析各种类的特征，从多个维度构建攻击行为全貌，并且实现对未来变化情况和影响程度的预测。系统风险分析结合系统功能、类型、地理位置及强壮性等分析系统风险，定义系统的风险级别，识别系统的潜在威胁，预测未来变化情况。异常风险分析通过关注业务流程、大数据关联等技术，识别网络系统中的异常行为，如登录位置异常、流量访问大小异常以及动作执行频率异常等。

可视化展示模块是态势感知的关键。可视化展示模块分为整体态势可视化、分类态势可视化以及数据汇总报告。整体态势可视化是针对整个监测网络在一段时间或者某个时间点的安全状态和发展趋势，用标准量化的形式进行测评，并且以可视化的图表进行展示。分类态势可视化是对某一类的安全信息数据的态势进行展示，分为系统信息态势、数据流量态势、设备状态态势、系统脆弱性态势、网络攻击态势、网络异常行为态势以及安全事件态势。数据汇总报告包括数据查询、数据统计以及分析汇总报告。数据查询可以根据自定义的时间点、时间段、IP 地址信息、设备信息等字段或相互组合进行查询，帮助针对性分析网络安全状态，合理调配安全设备资源。数据统计报告根据安全态势监测、安全信息数据汇总分析，实现自定义时间段或者月度、季度、年度的安全信息态势汇总报表，可以为制定下一阶段的安全建设计划提供依据。分析汇总报告是对一段指定时间内的网络安全数据进行汇总，或者两个时间段的安全数据汇总对比，分析相关行业、相关区域或相关业务的整体网络安全情况。

数据监测模块是态势感知的保障。数据监测模块包括监测预报和安全预报两部分。监测预报是根据网络安全防护策略对监测的系统进行实时监测，根据不同的系统设备需求、设备的应用场景设置不同的监测信息，如安全权限、信息数据内容、流量阈值等。对相关的监测结果进行反馈并对应不同的警告级别，根据需求可以与网络安全设备联动，自动处理警告问题，如自动发送检测预报信息至有权限的安全管理人员的手机、电子邮件、短信、微信，联动平台等设备或终端。此外，还可以设备联动自动进行隔离、放行、记录等处置。安全预报采取分级预报的管理方式，根据事件的危害性、重要性、范围大小等划分级别进行管理，根据安全事件处置流程及相关设备的预报策略定义相关规则。

3.3 接口功能

基于多业务系统互联的网络安全态势感知防护方案中的接口是安全信息数据源设备采集和网络安全态势感知内核功能模块之间数据交互的接口，用于数据的传输。接口功能直接决定着安全信息数据源采集的多元化和全面性，决定着四个功能模块的数据交互的及时性和完整性。接口按照功能划分，可分为交互功能接口、关联分析接口以及系统联动接口。

交互功能接口负责安全信息数据源采集以及四个内核功能模块之间的数据传输。交互接口支持不同类型的数据，包括上网用户流量、系统信息、日志、漏洞消息、使用者情况、预警消息以及威胁消息等。关联分析接口为内核功能模块之间及其他外部信息数据通过接口进行关联分析，通过关联分析接口可实现信息汇聚、关联拓展、群体聚类等数据关联分析方式。

设备联动接口通过接口对内核模块设备、外部系统设备、安全设备进行联动，通过接口实现安全策略发送、漏洞防护的更新以及批量端口的扫描管理等功能。

3.4 多业务系统互联的网络安全管理

基于多业务系统互联的网络安全态势感知防护方案中，多业务系统互联的网络安全管理是指通过集约化的安全数据共享、整体安全运维、安全资源动态调节，实现网络安全资源的最大化利用，实现安全设备和安全信息数据集约共享，节约技术设备资金投入，节省人力资源配置。

安全信息数据共享通过对所有监测的信息系统和安全设备的相关数据信息的共享，打破传统的烟囱式和数据孤岛的信息壁垒，让安全信息数据联动分析，有助于更精准地定位网络安全隐患，通过发现单点问题，避免整体安全风险。

整体安全运维是对监测的系统按照区域、行业或功能划分，成立整体的网络安全维护团队，建设上遵循“统一管理、联动管理、整体服务”的原则，统一管理整体安全运维团队与分域安全团队，并建立网络安全联动机制，以局部安全防控为基础精准把控整体安全，有利于统筹部署针对各种攻击链、各个环节的安全防御措施。

安全资源动态调节采用虚拟化技术，对数据库审计、堡垒机、日志审计、漏洞扫描等安全设备采取分级或分域建设安全资源池的方式，可以随时根据监测系统需求分配安全设备资源，让安全防护能力更加快捷地实现落地，节省安全设备的运行、管理及维护成本。

4 结语

多业务系统互联互通解决了各系统建设分散所带来的数据不连通、系统使用不方便、传输不及时等问题，但同时也扩大了系统互联后带来的各种网络安全风险。针对此问题，基于多业务系统互联的网络安全态势感知防护方案，在实现数据融合汇聚、数据分析统计、数据监测警告及态势发展可视的基础上，进一步提出了增强多业务系统互联的集约化网络安全管理的思路，有效打通安全信息数据壁垒，推进安全设备集约共享，优化技术设备、资金和人员配置，是当前网络环境下一种安全、经济、实用的安全方案。