李馥娟，王 群

（江苏警官学院 计算机信息与网络安全系，江苏 南京 210031）

网络安全态势感知（network security situation awareness，NSSA）[1-3]是在传统网络安全管理的基础上，通过对分布式环境中信息的动态获取，经数据融合、语义提取、模式识别等综合分析处理后，对当前网络的安全态势进行实时评估，从中发现攻击行为和攻击意图，为安全决策提供相应的依据，以提高网络安全的动态响应能力，尽可能降低因攻击而造成的损失。

作为专门人才培养主阵地的高等院校，需要将一些典型的应用、成熟的技术和创新的方法及时纳入到人才培养过程中，真正做到理论与实践、书本知识与实际应用之间的结合，培养出符合社会需求的专门人才[4]。NSSA作为信息安全领域一项热门技术和应用，在具体的教学过程中由于缺乏真实可信的实验实训环境，使得教学效果远远达不到预期的要求。与其他类型的实验室或实训平台不同的是，NSSA实验必须建立在能够提供有效信息的真实网络环境中。作者所在的团队根据教学需要，通过合理调用和整合学校网络资源，设计了基于学校校园网络（同时通过电信、移动和教育网接口接入互联网）的NSSA实训平台，一方面用于校园网络的安全管理，另一方面用于教学，取得了较好的效果。

1 网络安全态势感知

1.1 网络安全态势感知的概念

（1）态势。态势是系统中各个要素（如指向某个节点的分布式拒绝服务（DdoS）攻击流量、发往某个特定主机指定端口的探测报文等）从当前状态到下一个状态的变化趋势。网络安全中的态势不仅仅指某一特定要素的变化情况，还包括特定网络环境中相关联的不同要素之间的变化情况。

（2）态势感知。态势感知是指在一定时空范围内，采取一系列技术手段，对从不同位置获取的不同格式、代表不同意图的信息进行分析处理，从而获得更全面准确的状态信息，再将这些状态信息与系统中建立的知识库（专家数据库）进行比对，进而得出当前网络的安全运行状况。态势感知以时间轴为主线，形成针对特定要素以及不同要素之间的变化趋势，是一个基于经验知识的动态学习和更新过程[5]，其中知识库所提供的经验知识的质量影响着态势感知的实际效果。从实现过程看，态势感知可分为观察（observe）、导向（orient）、决策（decision）和行动（act）4个阶段[6]，构成了一个动态环，如图1所示。其中，观察过程实现了对网络信息的获取，导向的功能是将获取到的信息与经验知识库中的信息进行比对，决策的作用是根据比对和评估结果为即将采取的安全响应决策提供依据，行动是根据决策所采取的应急响应行为。

图1 态势感知的4个阶段

（3）网络安全态势感知。在上世纪末，态势感知技术就已经应用到网络入侵检测系统（network intrusion detection system，NIDS）中，用于融合来自不同入侵检测系统（IDS）的异构数据，识别出攻击者的身份，确定攻击频率和受威胁程度[7]。NSSA是态势感知技术和方法在信息安全领域的具体应用，具体是指在能够提供足够可用信息的大规模网络中，实时获取引起网络态势发生变化的安全要素，使安全管理人员能够以直观的方式从宏观上掌握网络的安全态势，以及该安全态势对网络正常运行的影响。NSSA的任务主要表现为：通过对测量到的被检测设备与系统产生的原始异构数据的融合与语义提取，辨识出网络活动的意图，判断活动意图产生的安全威胁[8]。为便于观察，NSSA还需要将网络安全状况以可视化方式展现出来。

1.2 网络安全态势感知相关教学的重要性

高校信息安全、网络空间安全、网络安全与执法等专业人才培养的方案制订和具体实施，都必须体现专业的学科背景、课程（群）的理论基础和技术应用现状与发展趋势[9]。NSSA作为近年来信息安全领域出现的一个较新的概念和应用[10]，相关教学在信息安全相关专业人才培养中的重要性可归纳为以下几个方面：

（1）安全知识间的关联性。解决了原来各类单一信息安全技术和产品之间相互孤立的现状，实现了对传统安全技术之间的关联，更容易培养学生综合运用不同技术解决具体安全问题的能力。

（2）安全意识培养的系统性。NSSA的思想是从宏观视角分析和解决网络安全问题，这有益于培养学生从系统的角度分析解决问题的意识和能力。

（3）安全内容的完整性。NSSA从分布式环境中动态发现和收集相关节点的实时信息，经信息融合、语义分析、大数据分析与可视化等处理后，对可能发生的安全问题和威胁进行预测，这一功能的实现主要涉及到模式识别、机器学习、大数据技术等多方面的知识，有利于拓展学生的知识面，引导学生的学习。

因此，NSSA实训平台的建设，不仅仅是满足信息安全领域相关专业人才培养的需要，更是立足信息网络安全人才培养、提升学生创新创业能力的要求。

2 网络安全态势感知实训平台

2.1 实训平台设计

本文设计了基于校园网络的NSSA实训平台，网络拓扑如图2所示。该实训平台搭建在校园网环境中，实时获取校园网中真实的流量以及设备与应用系统的日志信息，结合云端的威胁情报大数据以及平台自身的安全大数据分析能力，实现校园网的安全态势感知。该平台为校园网络提供必要的安全态势感知能力，同时可通过在管理控制平台创建多个账号，提供给相关专业老师及学生利用真实的校园网数据进行安全大数据的态势感知实验。

2.2 实训平台功能

图2 基于校园网的NSSA实训平台拓扑

NSSA实训平台包含网络安全监测、态势感知、通报处置等系统，通过大数据技术，建设针对网络空间安全的分析平台，相关操作过程和结果都以可视化方式呈现。该实训平台包含了网络空间中攻击与防御、安全大数据分析应用、可视化等技术，能够将安全知识、操作技能、处置流程系统生动地传授给学生，从而使学生掌握全面协同的安全知识和真实网络空间对抗中的安全技能，获得真正的安全实战能力。

NSSA实训平台可实现对网络安全的态势觉察、跟踪、预测和预警，全面、实时掌握网络安全态势，及时发现网络安全事件线索，预警通报重大网络安全威胁和处置安全事件。NSSA实训平台集“看、防、管、控”于一体，以实时态势感知、准确安全监测、及时应急处置、实际教学实验为目的。主要包括以下的功能：

（1）实现安全区域内重要网站、应用系统和网络安全事件的集中管理、批量处理、自动化安全监测，全面汇总它们的安全风险，实现对信息基础设施的安全管理。

（2）整合现有网络安全监测预警资源，建设全面覆盖网络内部相关信息系统、网站和数据的综合性态势感知实训平台。

（3）基于监测、检查和报送的基础数据，进行大数据挖掘和分析，对安全事件进行趋势分析、可视化展现，对可能发生的安全事件及时进行预警、通报和处置。

2.3 实训平台的设计特点

本实训平台涉及的态势感知对象主要包括校园网环境中对外和对内提供服务的网站、应用系统、网络设备等信息基础设施。通过采集整个网络的流量和日志信息，以及安全设备、网络设备、操作系统、中间件、数据库等各种系统的事件信息，动态实现威胁感知功能。同时，可对整个过程进行安全大数据分析和建模，实时掌握涵盖整个网络的安全态势。

本平台除为信息安全相关专业的人才培养提供教学实训外，还可以为师生科研和学生创新创业项目的开展提供平台支撑，同时为学校的网络安全管理提供完整的解决方案，并且使学校的信息化建设和应用成果服务于教学和科研。

3 网络安全态势感知实训平台提供的实验内容

基于本实训平台，结合本单位教学实际，目前主要开发了以下几个方面的实验。

3.1 基础实验

（1）资产管理。网络中的主机（包括接入的计算机和服务器）、网络设备、安全设备、应用系统等对象是实现态势感知的基础，详细的资产清单为安全威胁的定位和排查提供最基本的保障。为便于实验的开展，需要建立完整的资产档案信息。

（2）可视化。可视化技术在分析和研究海量多维异构数据集中是非常重要的[11]。在实验过程中，为了应对不断变化的威胁事件，需要及时调整监控维度和监控重点，NSSA必须能够为实验人员提供实时的多维度持续监控能力。另外，根据教学需要，还能够通过可视化建模工具制作符合用户使用习惯的统计分析图表。

（3）威胁告警。威胁告警可通过规则类型快速过滤相关类型的告警信息，也可通过搜索条件来过滤告警列表范围。同时，通过告警柱状图能够直观感受到威胁告警的趋势和状态。

（4）报表管理。报表是态势感知系统中非常重要的数据分析方式，高质量的报表内容能够有效帮助用户进行决策分析。实验中，利用报表管理功能，可按照时间和空间维度持续地反馈当前网络所存在的安全威胁。

（5）日志搜索。日志检索为调查取证提供有力支撑，日志信息的全量存储能够有效地帮助实验人员进行追根溯源，绘制完整的事件画像。NSSA实训平台采用分布式数据存储和全文检索方式，对不同格式的源数据提供自动识别和格式化处理功能。

3.2 风险管理实验

（1）风险评估。风险管理能够有效地反映当前网络的安全风险状态，通过风险数值的量化给出具体的评分指标，宏观地了解整个网络的安全态势，给管理员提供可靠的辅助决策依据。风险评估主要包括量化风险数值和宏观态势展现两部分内容。

（2）漏洞管理。漏洞扫描是发现漏洞的主要手段[12]。网络中重要的主机系统、网络设备都会出现因漏洞引起的安全问题，漏洞成为潜在的最大安全风险。系统提供漏洞管理模块，可对重要主机系统和网络设备进行漏洞信息收集和管理，并将漏洞扫描结果自动同步到风险模块中，参与风险评估计算。漏洞管理主要支持漏洞扫描器联动、第三方报告导入、漏洞处置闭环、知识库关联等功能。

3.3 威胁分析与处置实验

（1）攻击链分析[13]。攻击链分析基于已经发生的事件和告警信息，并以此作为分析线索，从网络攻击的实施过程入手，追踪溯源网络攻击的目标、源头、方法、手段等重要信息。同时，还可从攻击者角度把攻击分为侦查跟踪、工具准备、载荷投递、漏洞利用、安装植入、命令控制、命令达成等阶段，形成完整的溯源攻击链，进行攻击画像，并以可视化的方式对攻击链中的整个过程进行描述，描述IP地址间的攻击关系以及攻击链中各阶段IP地址对象间的关系。描述的对象同时包括攻击者和受害者。攻击链分析主要包括：直观地呈现威胁关系、攻击过程、不同对象之间的关系；将分散的告警以攻击链的形式围绕资产对象进行组织，提供面向攻击过程的展示和分析方法。

（2）调查分析。调查分析实验模块根据产生的告警、日志、事件等信息创建调查任务，在调查任务中将多种告警、日志、孤立的线下事件等信息以时间维度串联成完整事件，并对任务进行级别标注、备注说明、历史操作记录，以便于分析。

（3）关联分析。关联分析功能基于大数据技术，通过对数据之间的关联性进行分析，从而实时发现复杂的、更具价值的威胁事件[14]。关联分析的实现需要提供多种类型和维度的数据，并能够对输出结果进行回注分析。关联分析通过规则模型来实现，规则建模提供了日志过滤、日志连接、聚类统计、阈值比较和序列分析等类型的计算单元，实验中可通过组合计算单元来配置自定义规则，让学生学习威胁事件的发现方法。

（4）威胁情报查询。威胁情报查询通过从云端获取威胁情报，并通过在本地系统创建分析规则，对本地网络中采集的数据进行实时比对分析，发现可疑的网络活动行为。在实验过程中，可对发现的可疑IP地址、域名、邮箱地址、文件MD5值、证书指纹（SHA1、SHA2值）等信息进行深入的情报判定，以此获得覆盖整个网络的安全数据。本实训平台中提供的威胁情报实验支持域名信誉查询、IP地址信誉查询、基于样本MD5情报查询等。

（5）威胁处置。威胁处置是一个需要多方协同的复杂过程，以工单的形式将多方对单个/多个告警和漏洞的判断进行跟踪和记录，以增强安全团队的联动协作能力，并为威胁跟踪提供详细的过程信息。

3.4 知识库管理实验

知识库管理主要是针对漏洞库、运行知识库和情报库的管理[15]，包括知识库的更新、录入、修改、删除等。

（1）漏洞库。漏洞库可根据漏洞名称、漏洞类型、CVE编号、CNNVD编号进行快速查询搜索，同时可对漏洞扫描结果进行关联查询。为了提高系统的应用性能，系统使用过程中需要对漏洞库进行不断丰富和完善。

（2）运行知识库。运行知识库主要包括检测和事件处置知识。其中，检测知识用于在威胁分析过程中根据场景指定检测规则，事件处置知识用于事件处置过程中对相同类型事件的处置。

（3）情报库。系统可收集不同来源的威胁情报数据，并完成格式标准化操作，然后通过单向传输设备或者数据交换平台推送到内部的威胁情报库中。实训平台中涉及的情报数据主要包括失陷检测情报、文件信誉情报、攻击成员档案库、安全预警通告等。

4 结语

本文介绍的NSSA实训平台是作者所在团队教学研究的创新性成果。与其他仿真教学环境不同的是，该平台基于校园网的真实环境建立，采集的数据均来自实际业务系统。实训平台通过流量日志采集、安全大数据建模、关联规则分析等技术手段提供基于网络空间安全的实战演练，并结合学校人才培养特色和要求，进行涉及网络安全的教科研活动。基于该实训平台，目前主要针对学生的创新创业训练，开发了内网安全分析、邮件安全分析、资产安全分析、漏洞风险管理、恶意软件分析等实验项目；针对信息网络安全相关课程的教学需要，开发了日志与流量采集、资产数据管理、威胁情报查询、关联分析与威胁检测、特定场景分析、事件管理、态势感知等实验。通过这些工作，能够将安全知识、操作技能、处置流程等内容系统生动地传授给学生，从而让学生学习全面协同的安全知识，掌握真实网络空间对抗中的安全知识和技能，提升网络安全实战能力。

致谢：在本实训平台建设过程中得到了奇安信科技集团股份有限公司董旭、梁江湖、陈逸等技术人员的支持，在此表示感谢！