隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷發(fā)展和電子政務(wù)比重的不斷增加，網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，安全數(shù)據(jù)日益增多，網(wǎng)絡(luò)安全問題也被提到了至關(guān)重要的位置。

　　在學(xué)校業(yè)務(wù)信息化、數(shù)字化的同時(shí)，網(wǎng)絡(luò)威脅手法也在不斷演變，網(wǎng)絡(luò)安全威脅也變得更加復(fù)雜，但是現(xiàn)有的安全產(chǎn)品，如防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、漏洞掃描系統(tǒng)和防毒系統(tǒng)等卻各自為政，并不能全面地、有機(jī)地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題。

　　近年來，網(wǎng)絡(luò)安全態(tài)勢(shì)感知已經(jīng)引起了研究人員以及各大廠商的廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢(shì)感知能夠融合所有可以獲取的信息，全面感知網(wǎng)絡(luò)威脅態(tài)勢(shì)，提高網(wǎng)絡(luò)監(jiān)控能力，可視化網(wǎng)絡(luò)安全狀態(tài)，為網(wǎng)絡(luò)安全管理者提供決策依據(jù)，提高應(yīng)急響應(yīng)能力［1］。因此，為解決北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)安全所面臨的問題，本文提出了主動(dòng)防御模式的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案。

　　網(wǎng)絡(luò)安全面臨的問題

　　從1996年“211”校園網(wǎng)建設(shè)項(xiàng)目啟動(dòng)，到2016年進(jìn)行校園網(wǎng)絡(luò)建設(shè)改造，北京大學(xué)醫(yī)學(xué)部主干線速率從155Mbps升至萬兆，校園物理服務(wù)器增至24臺(tái)，校園虛擬服務(wù)器增至123臺(tái)，虛擬化存儲(chǔ)升至90TB。

　　隨著北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)規(guī)模的逐漸擴(kuò)大，網(wǎng)絡(luò)管理人員的安全意識(shí)也逐步深入，并組織上架了各種安全防護(hù)產(chǎn)品，如防火墻、安全審計(jì)產(chǎn)品、入侵檢測(cè)產(chǎn)品和漏洞掃描系統(tǒng)等。但隨著大數(shù)據(jù)時(shí)代的來臨，網(wǎng)絡(luò)安全面臨著新的挑戰(zhàn)：

　　1.海量日志處理問題

　　北京大學(xué)醫(yī)學(xué)部信息化建設(shè)經(jīng)過數(shù)十年的發(fā)展，網(wǎng)絡(luò)幾乎覆蓋校園的每一個(gè)角落。

　　一方面，學(xué)生與教職員工的各類電子設(shè)備，如手機(jī)、平板電腦、筆記本和科研服務(wù)器等，成為校園網(wǎng)絡(luò)日志數(shù)據(jù)的重要源頭，每天都會(huì)產(chǎn)生大量的上網(wǎng)行為日志；另一方面，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備本身也會(huì)產(chǎn)生大量的操作系統(tǒng)日志與設(shè)備日志。

　　如何從海量日志中挖掘有效信息是一項(xiàng)重要任務(wù)，而采用傳統(tǒng)的日志分析軟件卻無法高效、實(shí)時(shí)地分析處理海量日志。

　　2.傳統(tǒng)安全設(shè)備各自為政

　　在現(xiàn)在的網(wǎng)絡(luò)安全體系中，查殺病毒安裝防病毒軟件、防御外部普通的攻擊安裝防火墻、防入侵購買入侵檢測(cè)系統(tǒng)、防范Web攻擊采用漏洞掃描系統(tǒng)。

　　但是這些設(shè)備都是單一的、分散的，需要網(wǎng)絡(luò)管理人員逐一配置，并人工匯總分析這些設(shè)備產(chǎn)生的數(shù)據(jù)，缺乏綜合性、全局性和連續(xù)性的功能，只是設(shè)備的堆疊，不能實(shí)現(xiàn)安全設(shè)備之間的協(xié)同聯(lián)動(dòng)。

　　3.高級(jí)持續(xù)性威脅（Advanced

　　Persistent Threat，APT）興起

　　隨著以APT為代表的新型攻擊的發(fā)展［2］，網(wǎng)絡(luò)安全形勢(shì)發(fā)生了巨大的改變，APT攻擊已經(jīng)成為高危的網(wǎng)絡(luò)攻擊方式。

　　與傳統(tǒng)的數(shù)據(jù)庫注入、跨站腳本攻擊、病毒與木馬的威脅不同，APT攻擊具有破壞性更大、隱蔽性更強(qiáng)與持久性更高等特征。

　　而現(xiàn)有的網(wǎng)絡(luò)安全防御設(shè)備的告警信息都各自存放，沒有從全方位的整體視角來看待安全問題，因而難以實(shí)現(xiàn)從海量日志中發(fā)現(xiàn)APT。

　　網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案

　　自從1999年美國空軍通信與信息中心的T.Bass提出網(wǎng)絡(luò)空間態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA）的概念［3］以來，各專家學(xué)者基于此概念提出了不同的改進(jìn)模型。綜合多種不同的模型得出，網(wǎng)絡(luò)安全態(tài)勢(shì)感知指的是

　　“采集導(dǎo)致網(wǎng)絡(luò)狀態(tài)產(chǎn)生變化的安全態(tài)勢(shì)要素，并使用相關(guān)數(shù)學(xué)理論和數(shù)據(jù)處理技術(shù)，呈現(xiàn)和預(yù)警網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)和趨勢(shì)”［4］。

　　從概念中可以看出網(wǎng)絡(luò)安全態(tài)勢(shì)感知包含三個(gè)層次：網(wǎng)絡(luò)態(tài)勢(shì)要素提取、網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)融合和網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)，如圖1所示。

　　針對(duì)網(wǎng)絡(luò)安全面臨的三個(gè)問題，結(jié)合態(tài)勢(shì)感知概念設(shè)計(jì)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案，如圖2所示。

　　圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架

　　該方案分為三個(gè)層次：

　　1.要素提取。要素提取是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基礎(chǔ)。同時(shí)，它也是網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)搭建的第一步。全面的態(tài)勢(shì)要素提取對(duì)于平臺(tái)的效果十分重要，不同來源、不同類型的日志是態(tài)勢(shì)感知平臺(tái)的信息源。

　　2.數(shù)據(jù)融合。數(shù)據(jù)融合是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的保障。它是把孤立的、各自存儲(chǔ)的數(shù)據(jù)融合到一起，形成協(xié)同聯(lián)動(dòng)的數(shù)據(jù)。這不僅為網(wǎng)絡(luò)安全的態(tài)勢(shì)感知提供了數(shù)據(jù)接口，也為日志治理提供了通道。

　　3.態(tài)勢(shì)預(yù)測(cè)。態(tài)勢(shì)預(yù)測(cè)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的關(guān)鍵。態(tài)勢(shì)感知平臺(tái)的效果很大程度上取決于態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性。利用態(tài)勢(shì)預(yù)測(cè)結(jié)果，可以提高突發(fā)事件的應(yīng)急響應(yīng)能力與網(wǎng)絡(luò)系統(tǒng)的監(jiān)控能力。可視化則是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一種表達(dá)方式。

　　下面詳細(xì)介紹網(wǎng)絡(luò)安全態(tài)勢(shì)感知每一部分的具體情況。

　　要素提取

　　要素提取是從網(wǎng)絡(luò)架構(gòu)中提取影響網(wǎng)絡(luò)態(tài)勢(shì)產(chǎn)生變化的要素，是建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知的第一步。

　　首先，要素提取需具有全面性，包括WEB日志、操作系統(tǒng)日志、網(wǎng)絡(luò)及安全設(shè)備日志。全面的數(shù)據(jù)采集是態(tài)勢(shì)感知的具有整體性、全局性的重要保障。同時(shí)，也可以形成對(duì)設(shè)備的全方面監(jiān)控。

　　其次，要素采集方式多樣化。不同的產(chǎn)品有不同的日志輸出方式，多樣化的數(shù)據(jù)要素采集方法是保證要素提取全面性的重要手段。常用的數(shù)據(jù)采集方式有：探針、爬蟲、FileBeat采集與SDK接口等。

　　最后，對(duì)提取的要素進(jìn)行規(guī)范化處理。不同產(chǎn)品的日志格式往往大不相同，甚至相同產(chǎn)品不同類型的日志格式也不相同。因此對(duì)于下一步數(shù)據(jù)融合而言，對(duì)數(shù)據(jù)進(jìn)行規(guī)范化處理不可或缺。常用的規(guī)范化處理方法包括按照需求正則化處理與使用Logstash、Kafka、ETL等工具處理。

　　數(shù)據(jù)融合

　　數(shù)據(jù)融合是通過采集與匯聚不同種類、不同來源的數(shù)據(jù)，依次通過數(shù)據(jù)描述、數(shù)據(jù)組織和數(shù)據(jù)交換三個(gè)過程實(shí)現(xiàn)數(shù)據(jù)融合的功能，并且最終通過數(shù)據(jù)服務(wù)對(duì)外提供數(shù)據(jù)檢索和展示功能。

　　圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架

　　如圖2所示，在經(jīng)過要素提取對(duì)數(shù)據(jù)進(jìn)行規(guī)范化處理之后，使用不同的大數(shù)據(jù)分布式存儲(chǔ)相結(jié)合的方式分類別存儲(chǔ)日志數(shù)據(jù)。一部分要素，如防火墻日志，使用ElasticSearch及對(duì)應(yīng)的組件存儲(chǔ)和檢索數(shù)據(jù)，其他要素使用Hive及對(duì)應(yīng)的組件存儲(chǔ)和檢索數(shù)據(jù)。

　　ElasticSearch具有強(qiáng)大的聚合統(tǒng)計(jì)和全文檢索功能，但不能關(guān)聯(lián)查詢。Hive具有關(guān)聯(lián)檢索和數(shù)據(jù)轉(zhuǎn)換能力，但實(shí)時(shí)性能不足。二者相互補(bǔ)充，相互協(xié)作，可以對(duì)不同來源的數(shù)據(jù)進(jìn)行聯(lián)合查詢。

　　數(shù)據(jù)融合橫向打通了多源異構(gòu)數(shù)據(jù)，并且原業(yè)務(wù)系統(tǒng)任意數(shù)據(jù)的變動(dòng)通過數(shù)據(jù)融合都可以進(jìn)行實(shí)時(shí)捕獲。因此，針對(duì)威脅事件可以及時(shí)地檢索出某段時(shí)間執(zhí)行威脅動(dòng)作的源IP地址與目的IP地址，然后挖掘出更多有效信息。

　　態(tài)勢(shì)預(yù)測(cè)

　　根據(jù)數(shù)據(jù)融合提供的數(shù)據(jù)接口，利用機(jī)器學(xué)習(xí)算法進(jìn)行態(tài)勢(shì)預(yù)測(cè)，識(shí)別出各類網(wǎng)絡(luò)活動(dòng)以及異常網(wǎng)絡(luò)活動(dòng)的意圖，從而獲得網(wǎng)絡(luò)的安全態(tài)勢(shì)。

　　北京大學(xué)醫(yī)學(xué)部采用機(jī)器學(xué)習(xí)算法進(jìn)行態(tài)勢(shì)預(yù)測(cè)。機(jī)器學(xué)習(xí)在描述非線性的復(fù)雜系統(tǒng)方面具有良好的表現(xiàn)，且自適應(yīng)、自組織和無限逼近能力表現(xiàn)優(yōu)異，因此使用機(jī)器學(xué)習(xí)算法來進(jìn)行態(tài)勢(shì)預(yù)測(cè)。

　　網(wǎng)絡(luò)安全管理人員根據(jù)呈現(xiàn)的攻擊、威脅、風(fēng)險(xiǎn)提示，及時(shí)作出預(yù)判與干預(yù)，快速、精準(zhǔn)地消除或降低安全威脅隱患。

　　態(tài)勢(shì)預(yù)測(cè)將威脅響應(yīng)時(shí)間從以往的數(shù)天縮短至數(shù)十分鐘，進(jìn)一步降低了病毒橫向傳播的幾率?？梢暬菓B(tài)勢(shì)感知平臺(tái)的重要組成部分，通過可視化可以清晰有效地傳達(dá)態(tài)勢(shì)預(yù)測(cè)信息。

　　網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是一種主動(dòng)防御機(jī)制，其首先對(duì)現(xiàn)在及以往的網(wǎng)絡(luò)態(tài)勢(shì)要素進(jìn)行分析和理解，然后對(duì)將來的網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行推測(cè)，因而是建立動(dòng)態(tài)響應(yīng)機(jī)制的重要保障。

　　結(jié)語

　　本文針對(duì)北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)安全面臨的海量日志處理問題、高級(jí)持續(xù)威脅興起與傳統(tǒng)安全設(shè)備弱關(guān)聯(lián)性的三方面問題，提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案。

　　該方案采用多種措施，實(shí)現(xiàn)了安全要素?cái)?shù)據(jù)的提取，并利用了兩種分布式數(shù)據(jù)存儲(chǔ)相結(jié)合的方式進(jìn)行數(shù)據(jù)融合，最后利用機(jī)器學(xué)習(xí)算法對(duì)網(wǎng)絡(luò)未來態(tài)勢(shì)進(jìn)行預(yù)測(cè)。該方案提高了學(xué)校對(duì)海量數(shù)據(jù)的治理能力，增強(qiáng)了網(wǎng)絡(luò)安全的防御能力，同時(shí)也增加了安全狀態(tài)的可視性。

　　參考文獻(xiàn)

　　［1］石樂義， 劉佳， 劉祎豪，等。 網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述［J］。 計(jì)算機(jī)工程與應(yīng)用， 2019， 55（24）：9.

　　［2］董剛， 余偉， 玄光哲。 高級(jí)持續(xù)性威脅中攻擊特征的分析與檢測(cè)［J］。 吉林大學(xué)學(xué)報(bào)：理學(xué)版， 2019， 57（2）：6.

　?。?］ Tadda G ， Salerno J J ， Boulware D ， et al. Realizing situation awareness within a cyber environment［C］// SPIE. SPIE， 2006:624204-624204-8.

　?。?］胡浩?；诠魣D的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法研究［D］。戰(zhàn)略支援部隊(duì)信息工程大學(xué)，2018.

　　作者：耿慧玲（北京大學(xué)醫(yī)學(xué)部網(wǎng)絡(luò)安全與信息化技術(shù)中心）