本站小編為你精心準備了小議網絡安全態勢感知體制建設參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1積極主動的安全態勢感知體系

1.1概述

構建積極主動的網絡安全態勢感知體系，目的是實現更主動、能力更強的網絡威脅感知。在安全態勢感知的三個層次上，態勢理解和態勢預測除了因威脅數據種類和數量更多所帶來的集成、融合與關聯分析壓力以及評估內容的增多，在關鍵方法與技術上沒有太大變化，最大的區別來自于態勢察覺層次即傳感器網絡的不同。由于要進行有目標、有針對性的數據獲取，需要在理想狀態下實現對網絡攻擊行為的全程感知，因而建立主動探測與被動監測相結合的傳感器網絡非常關鍵。

1.2體系結構

積極主動的網絡安全態勢感知體系由主動探測與被動監測相結合的數據采集、面向網絡攻防對抗的安全態勢評估、基于網絡威脅的安全態勢預測三部分構成。

1）數據采集

傳感器網絡通過主動探測與被動監測相結合的態勢要素采集數據，針對以下五種類型的數據：一是來自網絡安全防護系統的數據，例如防火墻、IDS、漏洞掃描與流量審計等設備的日志或告警數據；二是來自重要服務器與主機的數據，例如服務器安全日志、進程調用和文件訪問等信息，基于網絡與基于主機的協同能夠大大提升網絡威脅感知能力；三是網絡骨干節點的數據，例如電信運營商管理的骨干路由器的原始網絡數據，網絡節點數據采集的越多，追蹤、確認網絡攻擊路徑的可能性就越大；四是直接的威脅感知數據，例如Honeynet誘捕的網絡攻擊數據，對網絡攻擊源及攻擊路徑的追蹤探測數據；五是協同合作數據，包括權威部門的病毒蠕蟲爆發的預警數據，網絡安全公司或研究機構提供的攻擊行為分析報告等。除了第一、第二種類型數據的采集，后面三種類型的數據采集都可以體現積極主動的安全態勢感知。如果通過某種方式擁有骨干網絡設備的控制權，借助設備的鏡像等功能，就能夠獲取流經網絡設備的特定數據。最近斯諾登披露的美國國家安全局“棱鏡”計劃中就有利用思科路由器的“后門”，獲取境外骨干網絡節點數據的內容；而且，該計劃通過要求一些公司提供有關數據，來完善其監控信息。

2）安全態勢評估

評估分為數據預處理、數據集成、脆弱性評估、威脅評估和安全評估五個步驟。對異源異構的傳感器數據，需在數據分類的基礎上進行格式歸一化處理，然后在相關知識庫與技術手段的支撐下，根據威脅、脆弱性或安全事件等的標識，進行數據去重、集成和關聯，再依次進行面向脆弱性、威脅和安全性的專項評估。由于當前數據集成與融合的相關技術尚不完善，這里側重于以威脅識別為牽引，來評估因為威脅變化而引發的安全狀態變化，即面向網絡攻防對抗的安全態勢評估。為此，需解決三個基礎問題：

（1）對網絡威脅主動探測數據的利用。這些數據雖然可能不完整、不系統，但指向性很強，能夠明確作為威脅存在的證據，可用于確認安全事件、新威脅發現和攻擊路徑還原。

（2）將宏觀的骨干網絡節點數據與具體的涉及某個信息系統的數據進行關聯。從具體的數據中提取關鍵字段，比如IP地址或攻擊特征，然后基于這些字段在宏觀網絡數據中找出相關的數據，解決宏觀與微觀數據的關聯問題。

（3）從海量網絡數據中提取可疑的網絡攻擊行為數據。以特征匹配技術為支撐，深化攻擊模式與數據流特征提取，以0Day漏洞的研究與利用為基礎，提升對新威脅的監測能力。

3）安全態勢預測相對于脆弱性的出現與安全策略的調整，網絡威脅的變化頻率要高很多。因此，在全面獲取網絡威脅相關狀態數據的情況下，想定不同的場景和條件，根據網絡安全的歷史和當前狀態信息，基于網絡威脅來進行態勢預測，就能夠較好地反映網絡安全在未來一段時間內的發展趨勢。態勢預測的目標不是產生準確的預警信息，而是要將預測結果用于決策分析與支持，特別是要上升到支持網絡攻防對抗的層次上。

2傳感器網絡

2.1概述

主動探測與被動監測相結合的安全要素提取，分別由主動探測型和被動監測型兩種傳感器來完成。其中前者主要面向網絡威脅，后者則全面關注安全態勢要素數據。兩者在數據采集上都體現了積極主動的策略，例如，通過反制威脅獲得其服務器的控制權，進而采集其數據，或利用Honeynet來誘捕分析網絡攻擊。這種積極的策略體現了網絡攻防對抗，需考慮傳感器的安全性。

2.2主動探測型傳感器

主動探測型傳感器以主動探測網絡威脅相關信息的方式來進行數據獲取，在有效降低采集數據量的同時，大幅度提升威脅感知的準確性。這是目前安全態勢感知系統所欠缺的，可以有如下幾種方式：

1）重大威脅源公開信息收集：除了權威部門的威脅預警信息，對一些有名的黑客組織與非法團體，例如近期著名的“匿名者（Anonymous）”，還可收集其歷史行動、使用手段和公開言論等信息，來分析評判其可能采取的攻擊行動。

2）蜜網（Honeynet）或蜜罐（Honeypot）傳感器：在關鍵信息系統或基礎設施中部署蜜網或蜜罐系統，對網絡威脅進行誘捕和分析，可實現更深層次的威脅感知。

3）可疑目標主動探測：對曾經發起網絡攻擊的威脅源，依托網絡反制手段，對其開展具有針對性的網絡追蹤（例如攻擊路徑所涉及的IP地址、域名等）來獲得相關數據。如同有目標的高級攻擊，這能夠非常有針對性的對潛在的威脅進行感知。

2.3被動監測型傳感器

被動監測型傳感器以被動采集網絡流量或主機資源信息的方式來進行數據獲取，這是目前網絡安全態勢感知系統的主要數據采集方式，常用的技術有如下幾種：

1）網絡安全防護設備傳感器：防火墻、IDS、防病毒和終端安全管理系統等安全防護設備的日志與告警信息是基礎的態勢要素數據，基于這些數據能夠獲得一個網絡信息系統的基本安全狀態。

2）網絡設備傳感器：利用網絡設備如路由器、交換機的流量鏡像等功能，獲取流經這些設備的網絡數據，如果具有網絡關鍵節點或攻擊源網絡設備的控制權，對網絡威脅的感知信息就能夠更加完整。

3）服務器主機傳感器：在關鍵服務器與主機上部署主機，實現本機網絡流量與主機資源（內存使用、進程、日志、文件訪問等）信息的捕獲，這對安全事件確認和危害分析非常重要。

4）重點目標傳感器：針對APT攻擊與0Day漏洞利用等高級威脅，尤其是重點保護對象（如政府、金融、工業與能源等行業的信息系統與外部公共網絡的出入口）的安全威脅數據的捕獲。

3結束語

網絡安全態勢感知的根本目的在于掌握自身的安全狀態，識別潛在的、正在進行中的威脅，要對網絡攻防狀態了然于心。對網絡安全態勢感知關鍵技術展開研究的論文很多，由于篇幅限制，本文沒有進行過多的討論。對于從大數據中識別網絡攻擊，特征匹配仍然是最重要的、最有效的方法。在網絡攻防對抗日趨激烈的今天，安全防護總在明處，容易被規避，想要有效分析網絡攻擊行為并提取其特征正變得越來越困難。攻擊方想盡辦法隱藏自己的攻擊行為，防護方則千方百計地要展現攻擊行為，這種攻防對抗模式會直接反映到網絡安全態勢感知中。本文提出的主動探測與被動監測相結合的安全態勢感知體系，就是要強調網絡威脅感知的主動性，進行有目標的數據抓取，以實現對網絡空間威脅的全程感知，進而才能達到更高水平的網絡安全態勢感知。

作者：鐘力單位：解放軍信息安全測評認證中心