隨著網絡基礎設施的不斷發(fā)展和電子政務比重的不斷增加，網絡規(guī)模逐漸擴大，安全數(shù)據(jù)日益增多，網絡安全問題也被提到了至關重要的位置。

　　在學校業(yè)務信息化、數(shù)字化的同時，網絡威脅手法也在不斷演變，網絡安全威脅也變得更加復雜，但是現(xiàn)有的安全產品，如防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、漏洞掃描系統(tǒng)和防毒系統(tǒng)等卻各自為政，并不能全面地、有機地發(fā)現(xiàn)網絡中存在的安全問題。

　　近年來，網絡安全態(tài)勢感知已經引起了研究人員以及各大廠商的廣泛關注。網絡安全態(tài)勢感知能夠融合所有可以獲取的信息，全面感知網絡威脅態(tài)勢，提高網絡監(jiān)控能力，可視化網絡安全狀態(tài)，為網絡安全管理者提供決策依據(jù)，提高應急響應能力［1］。因此，為解決北京大學醫(yī)學部網絡安全所面臨的問題，本文提出了主動防御模式的網絡安全態(tài)勢感知方案。

　　網絡安全面臨的問題

　　從1996年“211”校園網建設項目啟動，到2016年進行校園網絡建設改造，北京大學醫(yī)學部主干線速率從155Mbps升至萬兆，校園物理服務器增至24臺，校園虛擬服務器增至123臺，虛擬化存儲升至90TB。

　　隨著北京大學醫(yī)學部網絡規(guī)模的逐漸擴大，網絡管理人員的安全意識也逐步深入，并組織上架了各種安全防護產品，如防火墻、安全審計產品、入侵檢測產品和漏洞掃描系統(tǒng)等。但隨著大數(shù)據(jù)時代的來臨，網絡安全面臨著新的挑戰(zhàn)：

　　1.海量日志處理問題

　　北京大學醫(yī)學部信息化建設經過數(shù)十年的發(fā)展，網絡幾乎覆蓋校園的每一個角落。

　　一方面，學生與教職員工的各類電子設備，如手機、平板電腦、筆記本和科研服務器等，成為校園網絡日志數(shù)據(jù)的重要源頭，每天都會產生大量的上網行為日志；另一方面，隨著網絡規(guī)模的擴大，網絡設備本身也會產生大量的操作系統(tǒng)日志與設備日志。

　　如何從海量日志中挖掘有效信息是一項重要任務，而采用傳統(tǒng)的日志分析軟件卻無法高效、實時地分析處理海量日志。

　　2.傳統(tǒng)安全設備各自為政

　　在現(xiàn)在的網絡安全體系中，查殺病毒安裝防病毒軟件、防御外部普通的攻擊安裝防火墻、防入侵購買入侵檢測系統(tǒng)、防范Web攻擊采用漏洞掃描系統(tǒng)。

　　但是這些設備都是單一的、分散的，需要網絡管理人員逐一配置，并人工匯總分析這些設備產生的數(shù)據(jù)，缺乏綜合性、全局性和連續(xù)性的功能，只是設備的堆疊，不能實現(xiàn)安全設備之間的協(xié)同聯(lián)動。

　　3.高級持續(xù)性威脅（Advanced

　　Persistent Threat，APT）興起

　　隨著以APT為代表的新型攻擊的發(fā)展［2］，網絡安全形勢發(fā)生了巨大的改變，APT攻擊已經成為高危的網絡攻擊方式。

　　與傳統(tǒng)的數(shù)據(jù)庫注入、跨站腳本攻擊、病毒與木馬的威脅不同，APT攻擊具有破壞性更大、隱蔽性更強與持久性更高等特征。

　　而現(xiàn)有的網絡安全防御設備的告警信息都各自存放，沒有從全方位的整體視角來看待安全問題，因而難以實現(xiàn)從海量日志中發(fā)現(xiàn)APT。

　　網絡安全態(tài)勢感知方案

　　自從1999年美國空軍通信與信息中心的T.Bass提出網絡空間態(tài)勢感知（Cyberspace Situation Awareness，CSA）的概念［3］以來，各專家學者基于此概念提出了不同的改進模型。綜合多種不同的模型得出，網絡安全態(tài)勢感知指的是

　　“采集導致網絡狀態(tài)產生變化的安全態(tài)勢要素，并使用相關數(shù)學理論和數(shù)據(jù)處理技術，呈現(xiàn)和預警網絡系統(tǒng)的安全狀態(tài)和趨勢”［4］。

　　從概念中可以看出網絡安全態(tài)勢感知包含三個層次：網絡態(tài)勢要素提取、網絡態(tài)勢數(shù)據(jù)融合和網絡態(tài)勢預測，如圖1所示。

　　針對網絡安全面臨的三個問題，結合態(tài)勢感知概念設計了網絡安全態(tài)勢感知方案，如圖2所示。

　　圖2 網絡安全態(tài)勢感知框架

　　該方案分為三個層次：

　　1.要素提取。要素提取是網絡安全態(tài)勢感知的基礎。同時，它也是網絡安全態(tài)勢感知平臺搭建的第一步。全面的態(tài)勢要素提取對于平臺的效果十分重要，不同來源、不同類型的日志是態(tài)勢感知平臺的信息源。

　　2.數(shù)據(jù)融合。數(shù)據(jù)融合是網絡安全態(tài)勢感知的保障。它是把孤立的、各自存儲的數(shù)據(jù)融合到一起，形成協(xié)同聯(lián)動的數(shù)據(jù)。這不僅為網絡安全的態(tài)勢感知提供了數(shù)據(jù)接口，也為日志治理提供了通道。

　　3.態(tài)勢預測。態(tài)勢預測是網絡安全態(tài)勢感知的關鍵。態(tài)勢感知平臺的效果很大程度上取決于態(tài)勢預測的準確性。利用態(tài)勢預測結果，可以提高突發(fā)事件的應急響應能力與網絡系統(tǒng)的監(jiān)控能力?？梢暬瘎t是網絡安全態(tài)勢感知的一種表達方式。

　　下面詳細介紹網絡安全態(tài)勢感知每一部分的具體情況。

　　要素提取

　　要素提取是從網絡架構中提取影響網絡態(tài)勢產生變化的要素，是建立網絡安全態(tài)勢感知的第一步。

　　首先，要素提取需具有全面性，包括WEB日志、操作系統(tǒng)日志、網絡及安全設備日志。全面的數(shù)據(jù)采集是態(tài)勢感知的具有整體性、全局性的重要保障。同時，也可以形成對設備的全方面監(jiān)控。

　　其次，要素采集方式多樣化。不同的產品有不同的日志輸出方式，多樣化的數(shù)據(jù)要素采集方法是保證要素提取全面性的重要手段。常用的數(shù)據(jù)采集方式有：探針、爬蟲、FileBeat采集與SDK接口等。

　　最后，對提取的要素進行規(guī)范化處理。不同產品的日志格式往往大不相同，甚至相同產品不同類型的日志格式也不相同。因此對于下一步數(shù)據(jù)融合而言，對數(shù)據(jù)進行規(guī)范化處理不可或缺。常用的規(guī)范化處理方法包括按照需求正則化處理與使用Logstash、Kafka、ETL等工具處理。

　　數(shù)據(jù)融合

　　數(shù)據(jù)融合是通過采集與匯聚不同種類、不同來源的數(shù)據(jù)，依次通過數(shù)據(jù)描述、數(shù)據(jù)組織和數(shù)據(jù)交換三個過程實現(xiàn)數(shù)據(jù)融合的功能，并且最終通過數(shù)據(jù)服務對外提供數(shù)據(jù)檢索和展示功能。

　　圖2 網絡安全態(tài)勢感知框架

　　如圖2所示，在經過要素提取對數(shù)據(jù)進行規(guī)范化處理之后，使用不同的大數(shù)據(jù)分布式存儲相結合的方式分類別存儲日志數(shù)據(jù)。一部分要素，如防火墻日志，使用ElasticSearch及對應的組件存儲和檢索數(shù)據(jù)，其他要素使用Hive及對應的組件存儲和檢索數(shù)據(jù)。

　　ElasticSearch具有強大的聚合統(tǒng)計和全文檢索功能，但不能關聯(lián)查詢。Hive具有關聯(lián)檢索和數(shù)據(jù)轉換能力，但實時性能不足。二者相互補充，相互協(xié)作，可以對不同來源的數(shù)據(jù)進行聯(lián)合查詢。

　　數(shù)據(jù)融合橫向打通了多源異構數(shù)據(jù)，并且原業(yè)務系統(tǒng)任意數(shù)據(jù)的變動通過數(shù)據(jù)融合都可以進行實時捕獲。因此，針對威脅事件可以及時地檢索出某段時間執(zhí)行威脅動作的源IP地址與目的IP地址，然后挖掘出更多有效信息。

　　態(tài)勢預測

　　根據(jù)數(shù)據(jù)融合提供的數(shù)據(jù)接口，利用機器學習算法進行態(tài)勢預測，識別出各類網絡活動以及異常網絡活動的意圖，從而獲得網絡的安全態(tài)勢。

　　北京大學醫(yī)學部采用機器學習算法進行態(tài)勢預測。機器學習在描述非線性的復雜系統(tǒng)方面具有良好的表現(xiàn)，且自適應、自組織和無限逼近能力表現(xiàn)優(yōu)異，因此使用機器學習算法來進行態(tài)勢預測。

　　網絡安全管理人員根據(jù)呈現(xiàn)的攻擊、威脅、風險提示，及時作出預判與干預，快速、精準地消除或降低安全威脅隱患。

　　態(tài)勢預測將威脅響應時間從以往的數(shù)天縮短至數(shù)十分鐘，進一步降低了病毒橫向傳播的幾率。可視化是態(tài)勢感知平臺的重要組成部分，通過可視化可以清晰有效地傳達態(tài)勢預測信息。

　　網絡安全態(tài)勢預測是一種主動防御機制，其首先對現(xiàn)在及以往的網絡態(tài)勢要素進行分析和理解，然后對將來的網絡態(tài)勢進行推測，因而是建立動態(tài)響應機制的重要保障。

　　結語

　　本文針對北京大學醫(yī)學部網絡安全面臨的海量日志處理問題、高級持續(xù)威脅興起與傳統(tǒng)安全設備弱關聯(lián)性的三方面問題，提出了網絡安全態(tài)勢感知方案。

　　該方案采用多種措施，實現(xiàn)了安全要素數(shù)據(jù)的提取，并利用了兩種分布式數(shù)據(jù)存儲相結合的方式進行數(shù)據(jù)融合，最后利用機器學習算法對網絡未來態(tài)勢進行預測。該方案提高了學校對海量數(shù)據(jù)的治理能力，增強了網絡安全的防御能力，同時也增加了安全狀態(tài)的可視性。

　　參考文獻

　?。?］石樂義， 劉佳， 劉祎豪，等。 網絡安全態(tài)勢感知研究綜述［J］。 計算機工程與應用， 2019， 55（24）：9.

　?。?］董剛， 余偉， 玄光哲。 高級持續(xù)性威脅中攻擊特征的分析與檢測［J］。 吉林大學學報：理學版， 2019， 57（2）：6.

　　［3］ Tadda G ， Salerno J J ， Boulware D ， et al. Realizing situation awareness within a cyber environment［C］// SPIE. SPIE， 2006:624204-624204-8.

　?。?］胡浩?；诠魣D的網絡安全態(tài)勢感知方法研究［D］。戰(zhàn)略支援部隊信息工程大學，2018.

　　作者：耿慧玲（北京大學醫(yī)學部網絡安全與信息化技術中心）