杨丽丽，刘 果，李长连（中讯邮电咨询设计院有限公司，北京 100048）

0 前言

随着云计算、虚拟化等新技术的大力推广，云网融合作为一个战略性的、网络型的基础设施被大力推进，基于云网融合的安全生态也随之蓬勃发展。从IT基础架构走向云网融合的过程中，安全不再是简单的安全设备叠加的攻击防护，而需要形成基于云网端一体化协同防护的安全方案。

当前各大安全厂商与云网运营商都参与到安全生态的建设中，发挥各自的优势。行业内的很多安全设备厂商也在转型升级，提出基于云上的各种安全威胁防护方案。从实际应用场景来看，一些云服务商会利用一定数量的安全设备搭建防护资源池，过滤一些攻击流量，为云上企业提供安全加固，但是针对超大攻击（上千Gbit∕s 甚至更多的反射攻击），云服务商通过扩大防护资源池已经无法满足安全需求，云上网络带宽已成为其防御瓶颈。对于企业客户来说，一般会部署一些防护设备，比如IDS、IPS、防火墙、云WAF等，但由于运维人员对安全专业知识的欠缺和对安全设备日志的分析能力不足，在应对攻击时的防御效果和时效性较差。对于网络运营商来说，除了具备丰富的网络数据资源和网络策略配置条件外，随着云计算的发展，也需要在云上部署一些安全防护资源应对大网的安全威胁。

从以上应用场景看，企业甚至云服务商都无法针对传统应用、资产或云化平台等所有可能面临的安全威胁部署全方位、全维度的安全防护能力。如果网络运营商、云服务商和企业端的安全能力形成联合调度和统一管控，就可以充分发挥网络、云端安全服务和企业安全设备的优势，从而灵活地应对未知的安全威胁。从该角度出发，作者提出基于安全态势感知的智能决策与联动防护方案。

1 整体方案

本方案是以运营商的基础网络为支撑，实现运营商云安全服务、企业公有云和私有云安全资源池、企业安全设备的统一接入，通过安全态势对异源数据的动态分析实现攻击预警，针对攻击预警进行智能决策形成防护建议，基于防护建议结合底层安全能力属性下发安全防护策略，根据防护效果动态调整策略，以便达到预期效果，从而满足企业云环境和网络环境的定制化安全防护需求。整体方案目标如图1所示。

图1 整体方案示意图

其中企业通常会在公有云、私有云上部署一些扩展性强、防护效果优的云安全防护服务，比如云WAF、云扫描、云高防、云探针等，随着对环境的适应，这些服务可以为企业的安全需求提供一定的定制化功能。部分未上云的企业则会在企业网络上部署一些针对性的安全设备，比如安全检测和防御设备IDS、IPS、防火墙等，这些设备主要解决“最后一公里”的安全问题，此类设备的防护日志以及告警数据的精准度较高，针对性也更强。运营商在骨干网边缘节点部署大量的分布式云安全防护节点，网络广度比企业更广泛，防护能力也更全面。运营商除了安全能力最重要的就是网络流量数据，骨干网或城域网上能够收集到流量的诸多属性（as 号、流量路径、攻击ip、攻击协议、流量大小、国别），而这些属性为攻击预测的准确性提供更高的贡献度。

方案的设计思路如图2所示。

图2 方案设计思路图

a）安全态势感知对骨干网流量数据和骨干网边缘云端安全服务、企业公有云、私有云安全资源池和安全设备的日志等异源数据采用实时分布式节点数据采集，对实时流入的多维数据进行流式数据处理，形成关键特征。根据流量特征进行动态提取和聚合，形成一系列不同安全级别的攻击预警，随着日志维度的增加，安全事件逐步显性化，告警预测精准度逐步提高。

b）对安全态势感知产生的一系列的攻击预警数据进行智能决策，智能决策主要对安全威胁属性、用户风险偏好、安全设备和服务属性等形成威胁的因素进行多维度的预估判断，结合当前管控的安全能力形成可操作的防护建议。在此过程中需要不断沉淀安全设备和云服务攻防对抗的实践经验，通过在真实的攻击场景下优化攻防技术以及发掘新的技术方向，丰富智能决策的防护建议。

c）根据防护建议提供的防护类型、攻击属性、预期效果等形成具体的防护策略，策略包括设备和服务的调度类型和调度范围，相同设备可采用不同的策略。此环节通过与骨干网边缘节点部署的云安全服务联动应对通用特征攻击和较大攻击；与公有云和私有云的资源池安全能力联动应对较小攻击和精细化的安全过滤策略；与企业端点处的防护设备联动对企业网络进行精准防护。

d）收集与防护效果相关的日志，如策略下发后产生的防护日志以及网络数据监控的反馈，通过对日志的分析，完成对防护效果的回归分析。

以上4个环节在应对安全威胁时能够形成有效闭环，通过对防护效果的分析，加强对态势感知、智能决策和联动防护模型的改进，防护效果将越来越好。

2 详细设计

2.1 态势感知

安全态势感知的优势在于对网络、云环境、端点等多维度要素的感知、理解和预测，相对于传统的专注于某一维度的安全防护，安全态势感知从总体上对安全要素进行采集与理解，形成更高维度的对安全的认识，从而形成准确性、实时性高的攻击预警数据，态势感知数据收集途径如图3所示。

图3 态势感知数据收集途径

2.1.1 目标

安全态势感知通过采集数百万设备的日志以及骨干网的流量数据，为安全态势感知提供丰富的数据维度支撑。但由于数据源收集的时效性、数据解析的清洗效率、数据源对事件判断的贡献度不同，态势感知需要分布式的流式处理机制，以对数据源进行就近采集、就近处理，适应这种“无边界”的数据集的持续输入。态势感知最后要达到以下3个方面的目标。

a）形成基于多维度的网络空间安全态势，比如威胁情报、域名访问、网络流量、网络攻击、网站安全等，为整体的安全研发重心提供方向。

b）形成基于单端点（单个IP、单个网站）的目标安全态势，向目标群体展现端点受到威胁的情况。

c）形成端点的预警数据，包括预警攻击类型、攻击目标、主要攻击源、威胁风险值、预警级别、攻击流量大小等属性，可随着数据的不断积累优胜劣汰数据维度。

2.1.2 设计方法

态势感知对数据的具体处理流程大致总结为以下5个步骤（见图4）。

图4 态势感知数据处理流程

a）通过安全态势对多源异构数据进行网络、协议适配，搭建分布式的数据采集点，采用流处理机制对接入日志进行范式化处理。

b）梳理不同安全设备、服务的日志格式及关键信息，对日志中安全威胁以及风险特征的相关因素进行清洗，提取有价值的基础信息。

c）通过对不同提取源的数据进行聚合分析，分离出风险性较高的特征，同时根据特征的危险系数、出现频次、相关性等形成不同层级的特征库，从不同的目标IP 或者网站为聚合颗粒度与特征库形成关联关系。

d）对目标IP或者网站的关联特征进行多维画像，通过画像的多值运算或加权运算，得到基于某个目标IP或网站的网络安全态势预警。

e）由于部分预警的结果可能会受到多源数据收集的时差、特征分析的快慢、特征之间关联关系、防护动作等多方面因素的影响，需要经过多次运算，形成精准度高的预警数据。

2.2 智能决策

2.2.1 目标

通过态势感知评估出的预警数据，需要基于攻击威胁程度、威胁类型等威胁属性，目标端点误伤的接收程度、目标端点策略偏好等用户的属性，系统内可调度的防护设备、设备防护容量等设备属性进行以下2 个方面的决策：其一，进行当前攻击预警的预判（忽略、暂缓、处置）；其二，进行预警处置的防护方法决策，形成防护建议，具体的设计思路如图5所示。

2.2.2 设计方法

a）识别预警数据及其属性（预警攻击类型、攻击目标、攻击源、威胁风险值、预警级别、攻击流量大小、最近一次预判结果），将单一目标端点当前预警属性与最近一次预警进行比对，通过比对模型形成当前预警数据的预判结果。

b）根据预判结果决定是否进入防护建议决策环节，预判为“处置”的预警数据进入防护建议决策环节，预判为“暂缓”的预警数据参与下一次的预判分析，预判为“忽略”的预警数据则进行预警丢弃。

c）防护手段决策主要基于预警属性、用户的属性、设备属性等多个维度进行决策。除了一些客观属性（预警、设备）外，客户的主观属性在某些特定环境下也是重点考虑的因素，比如客户接受的业务损失程度。不同安全策略的处理效果存在较大差异，比如针对常见的DDoS 攻击，可以采用流量清洗或者流量封堵手段应对，应对较大攻击时流量封堵虽然高效，但是对业务的损伤较大，流量清洗虽然可能会出现清洗不彻底的情况，但对业务的损伤较小，所以用户的一些主观要求也是决策的主要因素。

d）根据决策结果形成防护建议，防护建议包括防护类型、攻击属性、预期防护效果以及备选方案等属性。

e）分别对预警预判和防护决策2 个环节进行建模，考虑采用决策数算法对属性进行归纳学习。通过实践数据的训练来调整模型中影响属性对结果的贡献度以及异常边界的数据的处理。

2.3 联动防护

2.3.1 目标

根据防护建议形成具体的防护策略。联动的前提是需要对安全设备、云安全服务、骨干网络策略配置进行统一管理，以及不同的能力归属方对目标的认同，形成点对点的安全能力调度划分标准和规范，建立能力调度的连通性。随着对接入端能力的不断纳管，联动防护的调整策略也更加灵活，防护范围也更加全面。通过对防护指令下发后产生效果的分析，进行一定范围内策略的动态调整，以达到决策建议的预期效果，联动防护的整体目标如图6所示。

图6 联动防护目标

2.3.2 设计方法

a）建立兼容云网环境下不同厂家、不同安全设备的管理机制，同时纳管接口协议、网络位置、收集设备功能属性、设备归属、防护边界范围、触发条件等信息。通过插拔式的管理机制对安全能力进行统一管理，提高设备纳管效率。

b）考虑能力调度优先级、容量、网络带宽、能力互补以及安全能力的其他基本防护特点进行深度学习和大数据分析，形成安全策略的调度模型。对基础安全能力形成单一、替代、组合、叠加等形式的动态调度。安全策略有4 种形式：单一形式是通过防护建议中的多个因素，判断是否单一设备或服务能够满足防护要求，用最小范围的安全能力覆盖尽可能大范围的攻击，单能力调度主要基于经济和防护效率方面考虑；替代形式是通过相同安全能力的不同策略切换，尽可能兼顾攻击流量的识别效率与防护效果，达到相对较优；组合形式是通过不同类型的设备和服务的组合调度，应对不同攻击手段同时发起的风险；叠加是通过不同层级、不同厂家的设备的调度，解决应对攻击时防护设备的分工以及利用率的问题。比如在监测到攻击中存在DDoS 大流量带宽攻击和CC 攻击时，需要同时启用DDoS清洗设备和高防设备。

c）根据决策建议与策略调度模型匹配，形成具体的安全设备调度策略，如设备启用范围、策略、先后顺序，进行防护指令下发，根据安全的防护日志反馈以及新的防护建议动态调整防护策略。系统根据预期效果指标判定是否能够进行动态策略调整，设备的区域或者防御技术盲点，可能导致动态调整失效，此问题需要通过不断优化以及补充盲点来解决。

2.4 效果分析与改进

通过联动防护形成安全防护问题库，问题库收集的内容主要包括系统动态防护后效果不佳的预警任务、来自运营和运维人员实际监控过程中遇到的需要人工干预应对的紧急事件以及系统无法进行自动响应的攻击。系统的改进主要基于问题库的事件，从态势感知的预警数据、智能决策的防护建议、联动防护策略的下发与实施3 个环节查找原因，可通过基于模型以及算法的改进、安全设备的覆盖、热点地区的防护设备补充、安全防护技术的提升等方式进行系统改进。

通过智能决策预警以及防护建议形成全要素知识库，为安全态势应对攻击时采取的防护手段的效率、及时性奠定基础，同时也为安全运营、运维人员监控全网的安全态势提供帮助。

3 总结

本文从安全生态建设的角度阐述了云网端的安全生态链条的发展现状，以及生态圈中云网运营服务商、安全厂家、企业各自利害关系。提出基于云网端的一体化安全防护体系的建设思路，重点介绍了基于安全态势感知的智能决策与联动防护的具体目标和实现方法。

随着云网安全边界的模糊化、企业IT 资产的轻量化，企业对安全的需求越来越轻量化、定制化。安全的边界发生了显著的变化，从封闭、可预知慢慢地变为开放、没有边界。通过态势感知形成智能决策以及联动防护促进生态发展，生态圈伙伴可以通过资源共享、资源整合实现资源集约、互利共赢的远大目标。