面向威胁信息的网络安全态势感知研究.docx

? ? 面向威胁信息的网络安全态势感知研究 ? ? 谷晓鹏 （91001部队，北京 100841） 0 引言 计算机网络的日益普及和组网技术的快速发展，网络在深入社会、政治、经济、军事等各个领域，对社会治理、产业发展、个人生活、思想文化产生了巨大影响。网络在人类社会中的作用越来越大，同时入侵攻击带来的损失也日益增大，网络安全问题逐渐严重。网络攻防也日趋规模化、分布化、复杂化，攻击手段向着态势变化迅速、破坏性越来越大的方向发展。日益严峻的安全威胁迫使政府、社会、企业不得不加强网络系统安全防护。目前网络攻击向着高级持续威胁等有组织的攻击发展，传统的单点防御、各种独立的安全防御措施，在新的攻击技术、新形势下，已经完全无法满足需求。构建协同化、立体防御系统，核心在于有效生成和发布网络安全态势信息，使得防御方难于响应复杂网络攻击。在这种情况下，迫切需要一种新的网络安全态势系统，可协同各个网络防御单元实时掌握网络安全态势信息，并及时消除网络威胁，降低攻击造成的损失。网络安全态势信息是不同的安全厂商、网络运营单位之间进行安全情报共享、敌情我情评估的共性数据，而且具备机器可读信息。因此，开展网络安全态势感知研究至关重要。 本文首先参照国家相关标准，面向网络威胁信息设计安全态势感知模型，并在此基础上构建网络安全态势感知系统，为全面的网络安全防护体系构建提供前瞻且务实的指导思想。 1 国内外研究现状 态势感知（Situation Awareness,SA）最早用于研究飞行员对当前所处飞行状态的认识［1］。Endsley 等［2］认为态势是对抗双方或多方，在一定时空环境内的各方态势要素进行探测与信息收集，并对获得的信息进行理解，预测它们在不久将来的状态的方法。态势感知通常分为三个层次，分别为察觉、理解和预测。 1999 年，Bass［3］提出了网络空间态势感知（Cyberspace Situation Awareness，CSA）和网络态势感知（Network Situation Awareness，NSA）的概念，是首次将态势感知概念引入网络安全领域。本文基于Bass 对CSA 的定义，认为网络安全态势感知是在大规模网络环境中，对能够引起网络态势变化的安全要素进行获取、理解、可视化，并能够对未来发展趋势进行一定的顺延性预测的技术方法，其最终的目的是要获得网络安全防御的正确决策，采取正确行动。所以，网络空间安全态势既是一种状态，又是一种趋势，必须考虑整体、全局多个层级以及它们的关联性，用普遍联系的思维研究网络安全问题，因此任何单一的安全事件、局部的安全状态都不能称之为网络安全态势。 2007 年，美国在爱因斯坦计划［4］的基础上提出可信互联网连接（TIC）计划，提出网络出口管理。2010 年又通过《联邦信息安全管理法》要求各机构的网络信息安全方案中，必须包含对各类信息系统进行持续监测［5］。美国国家标准与技术研究院在2016 年发布了网络威胁信息共享指南，该指南中所涉及的信息源的选择、威胁情报类型、数据源的选择、威胁指标等内容可以作为态势感知系统的有效参考［6］。 国内对态势感知发展建设同样重视。2017年，中国移动通信集团公司业务支撑系统部制定了《中国移动业务支撑网升级安全威胁分析与预警平台技术规范》［7］，规定了中国移动业务支撑网省级安全威胁分析与预警平台对业务支撑系统、管理信息系统各类安全数据的采集、存储、安全威胁分析、安全告警和安全预警的功能要求。2019年5月，发布的国家标准《信息安全技术网络安全威胁信息格式规范》（GB/T36643-2018）［8］中，对网络安全威胁信息描述做出了标准规范，有助于整体的网络安全威胁态势感知能力的提升。目前态势感知已经逐步成为网络安全系统建设中越来越重要的组成部分。 2 安全态势感知模型 为确保构建的安全态势感知模型具备通用性、一致性和可移植性，本文在遵循GB/T36643-2018标准要求的基础上开展设计，首先介绍上述标准中的威胁信息模型。 2.1 威胁信息模型 为了能够实现不同组织间网络安全威胁信息的共享和利用，GB/T36643-2018 标准定义了威胁信息模型，从对象、方法和事件三个维度对各类威胁信息进行了划分。经典的威胁信息模型包括可观测数据（Observation）、攻击指标（Indicator）、安全事件（Incident）、攻击活动（Campaign）、威胁主体（Threat Actor）、攻击目标（Exploit Target）、攻击方法（TTP）、应对措施（Course Of Action）在内的八个威胁信息组件描述网络安全威胁信息。又可划分为对象域、方法域和事件域： （1）对象域：描述了网络安全行为的参与角色，核心就是攻防双方，包括“威胁主体”类角色（一般是攻击者）和“攻击目