2.3　典型的网络安全态势感知系统案例

2.3.1“龙虾计划”系统

龙虾计划（Lobster Program）［27］的全称是Large-scale Monitoring of Broadband Internet Infrastructures，即大规模宽带Internet基础设施监测。该计划是由希腊研究与技术基金会承担，联合阿尔卡特、赛门铁克、希腊电信、捷克国家教育科研网、欧洲研究与教育网络协会、阿姆斯特丹自由大学等公司和机构及学校，旨在欧洲建立一套互联网流量被动监测基础设施，提高对基础互联网的监测能力，为安全事件提供早期预警，并提供准确和有意义的性能测量方法，提高互联网的性能和处理安全问题的能力。龙虾计划自2004年1月到2007年6月持续了三年多时间，虽然该计划已阶段性结束，但最初的相关参与方和后期服务受益方仍在基于这个计划持续各自的研究与应用工作。该计划的本质目的就是为了感知网络的态势，尤其是感知安全态势。

龙虾计划不是专门针对网络安全而发起和推进的，它的功能包括了对网络性能与可用性的监测，例如，监测流量分布、统计（应用层）流量、度量应用性能、度量Internet服务质量等。这些功能可以直接或作为核心支撑技术应用到网络安全态势感知中，例如，精确识别使用动态端口的应用（如P2P应用），对零日蠕虫的扩散进行早期预警分析，度量可用性能，检测与跟踪DDoS攻击等。龙虾计划提供的具体服务包括：

（1）在欧洲部署一个试点互联网流量监控基础设施。利用在历史项目中获得的经验，在欧洲部署一个独一无二的、基于被动监测的互联网流量监控基础设施。该基础设施安装在NRN（国家无线电网）和可能的ISP（互联网服务提供商）平台以及项目合作伙伴网络平台上。

（2）组织和协调互联网流量相关领域的利益相关者。龙虾计划构建的流量监测虚拟网络将由该领域的主要利益相关者组建，包括NRN、ISP、研究机构和网络设备制造商。该虚拟网络将能够：①监测基础设施的运行；②通过纳入新成员节点来扩展基础设施；③通过转让专有技术支持新成员节点；④对监测技术人员进行培训；⑤制定必要的政策来共享和协作使用监测基础设施等。

（3）提供数据匿名工具以防止未经授权的对原始流量数据进行篡改的行为。为了避免产生未经授权使用网络流量数据的情况，龙虾计划实现并提供了一套用于加密和匿名监控流量中原始信息的工具。龙虾计划实现的基础设施在最底层提供了数据包捕获软/硬件，在数据到达主机之前对其进行加密和安全检测。在更高的层次上，这套工具可以通过某种脚本语言提供独立于应用程序的数据匿名化功能，在保护用户匿名性的同时仍可满足监控程序的要求。

（4）提供对已有应用业务的流量监测服务。这些服务包括：①精确描述使用动态端口的程序的流量特性；②零日蠕虫检测、预警和跟踪；③欧洲互联网的测量服务，涉及网络的服务种类、网络安全信息、服务质量、社会文化和行为信息以及加密通道的使用等；④提供以天为单位的匿名的流量数据摘要，以检测网络整体变化趋势、校准网络模型等。

（5）在不同层次宣传和推广该计划的作用和成果，包括：①向感兴趣的网络研究人员推送匿名流量数据；②向ISP和ASP提供功能服务；③使安全专家能够利用这一基础设施发现并遏制蠕虫和各种形式的网络攻击。

2.3.2　YHSAS网络安全态势分析系统

YHSAS是2006年由国防科技大学启动研究的网络安全态势分析系统。2009年，“网络安全态势分析系统YHSAS1.0”被正式推出［28］。该系统结合基础安全组件的告警、系统日志和网络流量数据，进行多通道数据的关联分析和挖掘，实现了对全网重大网络安全事件的检测。该系统建立了多维度、多层次和多粒度的网络安全指标体系，实现了网络安全态势的实时量化计算。2012年，该系统的升级版“网络安全态势分析系统YHSAS2.0”被正式推出［29］，基于“网络安全知识大脑”技术实现了对已知安全知识的有效管理和利用，实现了对深度攻击（APT攻击）的检测，实现了从微观到宏观的多层次、多粒度的网络安全态势实时量化评估，突破性地实现了网络安全事件预测技术，在很多行业获得成功应用。

YHSAS网络安全态势分析系统体系结构如图2-3所示。

目前，YHSAS的核心功能包括：①安全信息采集，可对全网全数据类型的信息进行采集，包括网络流、数据包、注册表、文件等内容数据，以及内存信息、地址信息、协议信息、服务信息等监测数据，数据存储规模达到10PB，可集成180多种网络安全设备；②安全攻击检测，可检测网络扫描攻击、口令攻击、木马攻击、缓冲区溢出攻击、篡改信息攻击、伪造信息攻击、拒绝服务攻击、电子邮件攻击等常规攻击和APT攻击，检测的覆盖率超过90%；③态势量化计算，具有可量化的多维度、层次化安全指标体系，能够多角度描述网络的整体安全态势；④安全态势分析，通过对网络安全事件的多角度、多线索时空分析，提供多模式、多维度的可视化输出；⑤安全态势预测，可以准确预测某时段内的安全趋势，对木马攻击、DDoS攻击、病毒态势、僵尸网络、APT攻击进行行为预测，而且能实现良好的预测符合度。

YHSAS在硬件平台、数据采集、知识管理、多维评估、多模预测等部分中采用了以下关键技术：

（1）网络空间安全大数据实时分析计算平台技术。网络空间安全数据是典型的大数据，阻碍大数据实时计算和分析的核心问题是磁盘I/O瓶颈。针对这一核心问题，YHSAS采用基于“分布式数据处理中间件+已有数据管理技术”的体系架构，并在此基础上插接内存计算、“划分-规约”计算和流计算的数据分析加速模块，支持大数据在线计算和分析，具有高可扩展和在线插拔等特性。

（2）面向网络安全要素的信息采集与高维向量空间分析技术。针对传统的安全设备和产品通常根据自己局部目标进行数据采集，缺乏对全局、未知及复杂安全事件分析的问题，YHSAS提出了面向网络安全的全要素信息采集模型，通过对多维度、多层次的高维向量全信息进行安全特征的提炼和分析，大幅提高了对复杂安全事件的准确和实时检测的能力。

（3）支持超大规模网络安全知识表示和管理的知识图谱技术。针对网络安全知识的大规模、在线演化和时空相关等特性，YHSAS采用网络安全知识表示和管理的超级知识图谱模型，突破了多模态知识图谱的自动/半自动的构建方法，以及在线演化和快速匹配等核心关键技术，构建了一个大规模网络安全知识图谱，实现了网络安全事件的准确、实时检测技术，在标准测试集上，系统去重率为99.8%，误报率为0.01%，漏报率为0.2%。

（4）多层次、多粒度和多维度网络安全指标体系的构建方法。影响大规模网络安全态势分析的因素多种多样，各种因素的重要性也不尽相同。针对这种情况，YHSAS给出构建多层次、多粒度和多维度网络安全指标体系的方法，实现了指数可配置、实时计算和在线演化的方法，能够准确描述和量化大规模网络宏观与微观的网络安全态势。

（5）基于自适应预测模型的多模式、多粒度网络安全事件预测技术。针对已有技术难以实现对网络安全发展趋势进行预测的问题，YHSAS提出了基于自适应预测模型多模式、多粒度的网络安全态势预测技术，包括多种预测方式有机结合的网络安全态势预测技术、基于特征事件序列频繁情节的预测技术、基于小波分解及ARMA模型的预测技术、基于改进型支持向量回归预测的多维熵值异常检测方法，实现了对网络安全态势的准确预测。

2.3.3　其他典型系统

美国国防信息系统局（DISA）于2000年启动了半人马座系统（CENTAUR）［30］。这个系统是全球第一个国家级的针对特定域网络的态势感知系统。该系统基于网络安全数据挖掘和模式发现技术，检测并发现攻击、预测发展趋势、确定影响范围及计划采取的对抗手段。美国国家安全局（NSA）于2011年部署了深度网络监控计划（又称藏宝图计划）［31］。这个计划的研究目标是将整个网络的所有设备在任何地点、任何时间都动态地纳入监控中，实现一个准实时、交互式的全球互联网地图。美国国家安全局（NSA）部署实施了一个名为怪兽心灵（Monstermind）［32］的系统，其核心是实时态势感知和自动反击，即在美国重要目标受到攻击后能立刻识别敌人，封锁攻击并且对敌方进行自动反击。美国国防部高级研究计划局（DARPA）部署实施的慧眼系统（Insight）［33］是一个新一代的多情报（multi-INT）分析系统。该系统的建设开始于2014年，2018年正式部署运行。慧眼系统通过综合分析来自图像和非图像传感器及其他来源的信息实现对网络威胁的检测。该系统集成了网络威胁分析工具，强调利用基于模型的关联和分析技术进行检测，建立了一体化的数据管理计算环境，实现了一组新颖的算法和工具。美国政府部署实施的美国综合网络分析系统（ICAS）［34］开始于2014年，2016年部署使用。该系统实现了全网络多通路数据源的融合分析，且利用融合分析技术实现了对网络安全事件的深度检测。美国国防部高级研究计划局（DARPA）部署的多规模网络安全异态检测系统（ADAMS）［35］开始于2012年，2014年正式上线运行。该系统主要针对网络异常行为进行检测和预警，支持以小时、天、月和年为时间段，发现系统、个体、群体或组织乃至国家级别的网络安全事件和威胁。欧盟袋熊计划（WOMBAT）［36］的全称是Worldwide Observatory of Malicious Behaviors and Attack Threats（世界范围恶意行为与攻击威胁观测工程），其目标是构建一个能够在世界范围内的网络中分析恶意软件与恶意活动，实现早期预警的网络平台。该系统利用密罐、爬虫、外部数据源等技术手段，采集、分析网络中已经存在的和新出现的威胁（尤指恶意代码）并进行信息共享。

英国国防科学技术实验室（Defence Science and Technology Laboratory，DSTL）与英国MooD公司联合开展了“网络态势感知、显示及预测”项目［37］。该项目通过网络数据采集、分析和安全态势感知，利用因果建模方法来支持军队指挥员采取适当主动行动来应对敌方网络攻击。由英国国家安全局（军情五处）和英国CISP组织（网络安全信息共享合作伙伴关系）共同研制、运行“共享网络安全信息的可信平台”［38］，其目的是为政府、企业和组织提供一个共享网络安全信息的可信平台，使他们可获得网络安全攻击威胁早期预警和解决方案等服务，提高网络安全防护能力。因CISP组织的价值获得认可，所以CISP组织的成员数量逐年增长，截至2017年12月，已吸纳4000多家企业、组织和机构。

国外其他典型网络安全态势感知系统见表2-1。

我国也开展了很多有关网络安全态势感知的研究。四川大学于2015年开始建设“网络业务及安全态势大数据分析平台”［39］，其目的是及时掌握四川大学网络的安全态势，发现大规模和重大攻击，发现异常网络情况，有效地提升了四川大学的网络安全管控能力。该系统处于第二个阶段（基本能力构建阶段）。

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称CNCERT/CC）于2003年开发建设了“公共互联网网络安全监测平台”。该平台包含网络安全态势感知系统中安全事件监测和信息共享功能，可对基础信息网络、金融证券等重要信息系统、移动互联网服务提供商等安全事件进行实时监测，还通过与国内外合作伙伴进行数据和信息共享，并通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告。

国内的网络安全行业还有很多企业，如绿盟科技、启明星辰、奇安信、天融信、新华三、安天等。这些企业推出了一些网络安全态势感知系统。这些系统大多以开源大数据分析管理软件为基础，或者在开源大数据分析管理软件基础上进行改造，实现对特定域网络的流量、日志、资产等信息进行采集和管理；利用关联分析、机器学习等方法，实现对单步简单安全事件和威胁的检测，并对包括APT攻击在内的复合攻击检测进行积极的探索；通过半静态方法对整体网络安全态势或资产、脆弱、威胁等单维度进行态势评估；目前还未见有效的安全事件预测和溯源方面的功能；采用基于流量的、基于拓扑的和基于行为的混合模式，从资产、流量、业务、行为等维度实现网络安全态势的可视化。