网络安全态势感知体系探讨

　　3. 数据采集与数据分析

　　3.1 数据采集

　　安全态势的数据主要来自网络中的安全设备(如防火墙、IDS/IPS、蜜网等)、网络设备(如路由器、交换机)、服务和应用(数据库、应用程序)。不同规模和类型的网络，网络管理者对安全态势的关注也有不同的侧重。在城域网网的环境下，管理者最关注网络的可用性和可靠性。而企业网的环境下，最关注的是业务的可用性和数据的完整性和保密性。因此安全态势要采集的数据也因网络环境而不同，可根据实际情况有选择的采集。一般需要采集的数据包括：

　　* 网络流量数据(大小、流量成分信息)

　　* 网络性能数据(延迟、抖动)

　　* 关键网络设备性能数据(CPU利用率、端口利用率、路由稳定性数据等)

　　* 关键网络设备的配置及漏洞信息

　　* 关键网络设施的物理环境信息(温度、湿度、容灾能力

　　* 入侵事件的数量和严重等级

　　* 拒绝服务工具事件的数量和等级

　　* 僵尸网络的数量和规模

　　* 仿冒及挂马网站的数量和分布

　　* 垃圾邮件的数量

　　* 感染恶意程序的主机数量

　　* 安全预警信息(安全通告、安全事件、攻击情报)

　　3.2 数据分析

　　态势感知最初是航天领域研究的一个术语，后来被用于军事指挥领域方面战场攻防态势的研究。这些研究大都是基于多传感器大数据量采集的环境下的数据分析，研究者提出的数据分析算法有很多，多数都很复杂。但是在一般的网络环境下，采集的数据多数是事件信息，无论是数据源还是数据量都是相对有限的，不需要用特别复杂的算法进行分析。最常用也最有效的算法就是加权求和或加权平均、取集合的极值等。例如攻击烈度指数计算可以用公式3-1计算：

　　ATC=N*SRVR1+M*SRVR2+L*OTHR (3-1)

　　其中，ATC表示攻击烈度指数

　　N,M,L分别为不同严重等级事件的权重，

　　SRVR1是严重等级最高的攻击告警数量，

　　SRVR2是严重等级次高的攻击告警数量，

　　OTHR 是其它级别的攻击告警。

　　再例如DNS健康指数可以用公式3-2计算：

　　D=N*QL+M*ATC+L*V (3-2)

　　其中，D表示DNS健康指数

　　N,M,L分别为请求负载、攻击流量比率、漏洞和脆弱性的权重

　　QL为解析请求负载，

　　ATC为攻击流量占总流量的比例，

　　V表示DNS服务器漏洞，无漏洞时为0，有低等级漏洞为0.5，有严重漏洞为1

　　4. 网络安全态势的呈现

　　数据的可视化就是以简洁明了的图形方式将数据本身及其内涵(属性)呈现出来。一般来说，所有的数据都至少包含三部分内容：时间、地点、情形，即所谓3W(When, Where, What)属性。一个好的呈现方式，应该在一个相对简洁的图形中，尽可能多的同时呈现多种属性。传统的二维图示(如柱状图、饼图、折线图、堆叠图等)一般只能同时呈现数据的两种属性。表征网络安全态势的各个指标都是无量纲的数值，通常适合使用雷达图(见图5-1左)但是这种方法只能同时表示情形和时间两个属性，而且时间属性的呈现也不够充分，因为同时呈现多个时刻的数据时，不同时刻的图形会彼此遮挡。有人选择另一种类似雷达图的形式来呈现安全态势数据(见图5-1右)。这种图形是利用不同的扇区表示不同的时间片，用不同形状的图标以及离圆心的距离表示数据的情形属性。这种方式依然无法呈现数据的地域属性。

图5-1 两种雷达图示

图5-2 同心圆图示

　　为了更全面的展示数据的属性，有人发明了一种同心圆的图示方法(见图5-2)。这种方法用同心圆中间的空旷部分表示数据的地域属性，用不同半径的同心圆表示不同的时间片，即数据的时间属性。用不同位置的弧线，表示不同的指标，即数据的情形属性。每段弧长还可细分成更小的片段，表示下一级指标的情形。弧长的颜色用来表示数据的大小。直线将弧长与同心圆中空部分的图标相连，表示数据的地域对应关系。同心圆图示近乎完美的将3W属性同时清晰的呈现在一个图示中。

　　5. 结束语

　　对安全态势感知的研究已经开展很多年了，国内在这个领域的研究也进行了有3-4年的时间。多数研究的成果基本上都是复杂的分析算法或数据建模等。缺少简单易懂，容易实现的安全态势分析方法。本文希望以一种容易理解的分析模型和指标体系对来表征网络安全态势。尽管指标体系还不是很完善，还需要在具体的工作实践中进行验证，不断补充和调整。尤其是将具体的有单位的原始数据转换成无量纲的指数这一过程，还需要更完备的分析模型。

　　参考文献：

　　【1】 Endsley, 'Design and evaluation for situation awareness enhancement' 1988

　　【2】 Tim Bass, “Cyberspace Situational Awareness Demands Mimic Traditional Command Requirements” 1999

　　【3】 叶蓬, “深入SOC2.0系列(4)：具备安全态势感知能力”

　　【4】 Yarden Livnat, Jim Agutter, Shaun Moon, Stefano Foresti , “Visual Correlation for Situational Awareness” http://www./vc/project.cfm?id=251