态势感知技术在企业网络中的研究及应用实践.pdf

1、酒钢科技 2023 年第 4 期-38-态势感知技术在企业网络中的研究及应用实践尹文江,石金年(酒钢集团信息自动化分公司,甘肃，嘉峪关，735100)摘要：本文将以企业现有的网络架构及安全防护体系为基础，通过部署数据采集探针、搭建智能大数据分析平台，并结合安全厂商的威胁情报系统，形成网络入侵态势、横向威胁感知、应用安全监测、攻击者追踪溯源、资产威胁溯源、资产监控感知等方面的决策数据，对企业网络安全态势进行实时的动态感知，使企业网络安全从被动防御转向主动防御。关键词：骨干网络；态势感知；关联分析；主动防御Research and Application Practice of Situation

2、 Awareness Technology in Enterprise NetworksYin Wenjiang,Shi Jinnian(Information Automation Branch of Jiuquan Iron and Steel(Group)Corporation,Jiayuguan,Gansu,735100)Abstract:Based on the enterprise current network architecture and security protection system,by deploying data collection probes,build

3、ing intelligent big data analysis platform,and combining with the threat intelligence system of security manufacturers,the decision data on network intrusion situation,horizontal threat perception,application security monitoring,attacker tracing,asset threat tracing,asset monitoring perception and o

4、ther aspects are formed,the enterprise network security situation is dynamically perceived in real-time,and the enterprise network security is transformed from passive defense to active defense.Key words:backbone network;situation awareness;correlation analysis;active defense1 前 言近年来，以网络安全态势感知为基础的主动

5、防御系统开始出现1，其主要通过采集网络内各主机、网络设备、安全防护设备的流量和日志，结合安全厂商的互联网威胁情报系统，通过大数酒钢科技 2023 年第 4 期-39-据智能分析平台，对数据进行实时分析，使在安全威胁出现初期，就能及时发现，并自动给出防护措施建议，可极大提升网络安全防护效率，提升网络安全防护水平。2 面临问题本企业现已形成了网络边界、网络终端、数据中心等多维度的防护架构，建成了较为完善的网络安全防护体系，但目前的网络安全防护体系基本上属于被动防护，即当网络安全事件爆发时，主要靠人工来对各防护系统的数据进行分析、溯源，提出防护手段，效率差，响应不及时，当遇到像“勒索病毒”这样传播速

6、度快、影响范围广的网络威胁时，由于无法做到及时响应，有可能造成危害迅速扩大，无法遏制。尤其近年来，“0 日攻击”、“APT 攻击”等高级网络攻击手段层出不穷，单纯依靠传统的被动网络安全防护体系，已难以对这些威胁形成有效防护。2018 年 6 月 27 日，公安部发布了网络安全等级保护条例，确定了网络安全等级保护 2.0 框架，在原等级保护 1.0 的基础上，增加了安全检测、通报预警、应急处置、态势感知、能力建设的要求。条例中还明确规定：“落实网络安全态势感知监测预警措施，建设网络安全防护管理平台，对网络运行状态、网络流量、用户行为、网络安全事件等进行动态监测分析，并与同级公安机关对接”，但是本

7、企业未部署态势感知平台，导致缺乏对企业网络进行实时检测、分析、预警及应急处置的技术手段，因此无法实时掌握和了解企业网络的安全态势。3 设计部署原则3.1 独立性原则系统架构具有独立性，与本企业现有网络系统、安全防护系统、数据中心等不存在强耦合关系，即系统实施时，不需对现有体系架构进行变更，未来，对现有体系架构进行变更时，也不会影响系统的正常运行。3.2 扩展性原则系统具有良好的扩展以及与其它应用系统的接口能力。产品具有良好的扩展性，能够快速响应需求的扩展，满足企业用户的进一步需要。3.3 开放性、兼容性原则各种设计规范、技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支持能力2。系统中

8、所采用的所有产品都满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。3.4 安全性原则系统开发、建设及维护的全过程中，在代码安全、数据保密、系统安全防护措施上采取较严格的措施，进行缜密的权限、身份、帐号与信息加密管理，接受其他安全系统如统一身份认证系统、安全监控管理系统的管理，以保证系统和数据的安全。3.5 管理、操作、易维护性原则贯彻面向用户的原则，安装简便快捷，具有了友好的用户界面，操作简单、直观、灵活，易于学习和掌握，支持在线功能帮助。4 态势感知平台部署设计在现有本企业网络基础上，部署有流量探针、日志采集探针、漏洞扫描探针以及态势感知平台，新部

9、署的设备均采用旁挂方式，不影响现有网络的运行。态势感知平台部署框架图见图 1。酒钢科技 2023 年第 4 期-40-图 1 态势感知平台部署框架图4.1 流量探针部署设计根据现有骨干网网络架构、流量统计情况及现网骨干网带宽情况，系统部署有 5 个流量探针，分部部署在指挥中心机房 3 个、榆钢汇聚机房 1个、镜铁山矿汇聚机房 1 个。通过流量镜像方式将企业骨干网所有汇聚层交换机下行端口流量进行汇总，然后通过裸光纤汇聚到不同的流量采集设备上。4.2 日志采集探针部署设计在数据中心部署 1 台日志采集探针，通过主动和被动方式采集服务器日志、安全设备日志，然后对多类型、多厂商的安全设备、操作系统、安

10、全系统日志适配分析，对多源日志进行递归关联、时序关联、统计关联等方式关联分析，最后按照日志类型对日志进行分类筛选和汇总，并将异常日志信息上传至态势感知平台。4.3 漏洞扫描探针部署设计在数据中心部署 1 台漏洞扫描探针，过立即执行、定时执行、周期执行三种方式，对操作系统、（windows、Linux 及红旗、麒麟等国产操作系统）、WEB 应用、中间件、数据库、虚拟化平台、大数据平台、物联网设备、DNS、FTP、Telnet、SSH 等协议、办公软件及浏览器漏洞进行主动扫描，然后对漏洞信息进行汇总和关联，并将最终分析和汇总结果上传至态势感知平台。4.4 态势感知平台在数据中心部署态势感知平台 1

11、 套，态势感知平台通过分析流量探针、日志采集探针、漏洞扫描探针的上传数据，并结合态势感知平台自身的数据分析模块以及威胁情报，通过信息自动化公司调度监控大屏全面展示本企业内部网络安全状况，为网络安全运维人员提供分析和决策数据，辅助网络安全运维人员进行网络安全事件的处置。5 应用效果与效益酒钢科技 2023 年第 4 期-41-5.1 全流量采集及分析功能通过流量镜像方式将骨干网所有汇聚层交换机下行端口流量进行汇总，然后通过裸光纤汇聚到不同的流量采集设备上，流量采集设备通过协议审计、流量审计、应用协议识别、网络协议识别、应用日志分析、行为分析、入侵威胁检测等维度对流量进行实时分析和展示。5.2 异

12、构日志接入及分析功能通过主动和被动方式采集安全设备日志，然后对多类型、多厂商的安全设备、操作系统、安全系统日志适配分析，对多源日志进行递归关联、时序关联、统计关联等方式关联分析，并按照日志类型对日志进行分类筛选和汇总。5.3 漏洞信息采集及分析功能通过立即执行、定时执行、周期执行三种方式，对操作系统（windows、Linux 及红旗、麒麟等国产操作系统）、WEB 应用、中间件、数据库、虚拟化平台、大数据平台、物联网设备、DNS、FTP、Telnet、SSH 等协议、办公软件及浏览器漏洞进行主动扫描，并对漏洞信息进行汇总和关联分析。5.4 大数据关联分析功能对采集的流量信息、日志信息、漏洞信息

13、等利用大数据分析技术及 AI 技术进行关联分析，最终以资产为基准，通过资产可以查看该资产受到的攻击、存在的漏洞、攻击的结果、攻击利用漏洞及攻击者 IP 地址等信息3。若内网发生网络攻击事件，通过态势感知平台可以快速定位到第一台被攻破的主机，清晰显示攻击利用漏洞及攻击者 IP 地址信息，以及整个主机在内网的横向传播途径，帮助网络维护人员快速定位处理攻击事件。5.5 安全数据追踪溯源功能从攻击者角度出发，实时记录攻击过程中前期扫描探查、渗透攻击、后期权限获取、资产破坏等各阶段的相关攻击数据，该攻击数据包括攻击行为分析、团伙分析、攻击取证信息、攻击趋势、攻击手段，攻击影响范围等信息，提供实时取证列表

14、，可对攻击全流程进行溯源。同时可生成详细的攻击者溯源报告，并能够一键导出报告。5.6 调查取证功能通过攻击流向图取证、攻击趋势取证、攻击链分布取证和实体信息取证等维度提供调查取证功能，展示攻击者和受害者的威胁情报与资产信息，可联动会话详情，可查看不同溯源维度的会话详情，通过请求头、payload 等详情字段定位攻击。5.7 资产管理功能以资产为核心视角，直观了解网络环境中存在的风险资产，实现全网资产探测感知。通过攻击链形式展示，剖析从扫描探查阶段到资产破坏阶段资产失陷过程4。感知失陷、异常资产，从海量的日志中提取有价值的资产溯源路线。支持一键全方面钻取。态势感知平台资产管理功能能够与企业网络管

15、理平台对接，实时同步平台用户信息，实现在态势感知平台中 IP 地址与用户信息的绑定，实现资产的实名制管理。5.8 丰富的可视化功能可与企业监控显示大屏对接，提供丰富的可视化呈现界面，通过综合概览、攻击入侵、异常流量、主机综合分析、网站综合分析、失陷主机分析、网络行为分析等多种维度呈现企业整个网络安全态势情况；提供企业网络安全威胁可视化的入口，通过历史安全数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估，来全面描述全网的安全情况、影响评估和态势演化。5.9 威胁情报功能通过威胁情报功能，帮助运维人员快速了解到敌对方对己方的威胁信息，从而提前做好威胁防范，更快速地进行攻击检测与响应，更

16、高效地进行事后攻击溯源。酒钢科技 2023 年第 4 期-42-6 结束语本文所提出的态势感知主动防御平台实现了企业骨干网络安全态势的全面感知和整体管理，为企业构建一个动态的网络安全态势感知体系，通过对企业骨干网络的安全风险和威胁进行全面感知、及时发现并处置，达到及时发现漏洞隐患、消除网络安全隐患的效果。同时，在企业骨干网络安全态势感知体系下，建立了相应的运行机制和管理制度，并将该体系融入到安全运维体系中，实现了从威胁发现、分析、响应处置到恢复演练等全流程闭环管理5。目前，该技术方案在多个企业开展了实际应用，并取得了良好效果。据统计，该技术方案可有效降低企业骨干网络的安全风险、提升整体安全防御

17、能力、提升网络安全应急响应处置效率。参考文献1 王慧强,赖积保,等.网络态势感知系统研究综述 J.计算机学,2006,16.2 朱建文.面向日志融合的数据预处理与行为分析预测 D.哈尔滨工业大学,2017.3 董超,刘雷.大数据网络安全态势感知中数据融合技术研究 J.网络安全技术与应用，2019,07.4 何力.计算机网络脆弱性分析与量化评估技术研究与实现 D.国防科学技术大学,2009.5 王斯梁,冯暄,等.等保 2.0 下的网络安全态势感知方案研究 J.信息安全研究,2019,09.作者简介:尹文江（1989-）男，汉，甘肃临洮人，工程师，2012 年毕业于内蒙古科技大学大学电气工程及其自动化专业，现在酒钢集团信息自动化分公司主要从事网络及网络安全相关工作，邮箱：。