網(wǎng)絡(luò)安全態(tài)勢感知國內(nèi)外研究現(xiàn)狀

張展翔　鐘成琦　陳鈞

摘 要 隨著網(wǎng)絡(luò)的迅速發(fā)展，新的網(wǎng)絡(luò)安全態(tài)勢評估方法被不斷提出，其作用已然在網(wǎng)絡(luò)安全領(lǐng)域顯得尤為重要。網(wǎng)絡(luò)安全態(tài)勢評估方法由于人們研究側(cè)重點的不同而變得紛繁復(fù)雜，因此本文對網(wǎng)絡(luò)安全態(tài)勢評估進行了簡要介紹，并指出了各類評估方法的優(yōu)缺點。

關(guān)鍵詞 網(wǎng)絡(luò)安全 態(tài)勢評估 性能分析

中圖分類號：TP393 文獻標(biāo)識碼：A

作為網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situation Awareness，NSSA）研究的核心內(nèi)容，網(wǎng)絡(luò)安全態(tài)勢評估已經(jīng)得到了國內(nèi)外的廣泛關(guān)注。

Time Bass于1999年在文獻中首次提出網(wǎng)絡(luò)安全態(tài)勢感知的概念，其目的是關(guān)聯(lián)相互獨立的IDS以融合攻擊信息用于評估網(wǎng)絡(luò)安全。同年，Andrew Blyth在文獻中提出了通過觀察黑客的攻擊足跡從而進一步定性地評估網(wǎng)絡(luò)受到的安全威脅。但是他們僅限于理論上的研究，并未對理論模型進行實現(xiàn)。2001年，Information Extraction & Transport在研究攻擊的檢測方法和攻擊對網(wǎng)絡(luò)安全的影響時，為了檢測廣域計算機的攻擊和評估態(tài)勢響應(yīng)，開發(fā)了一種SSARE工具，將理論方法付諸應(yīng)用，但是由于該工具所用方法過于依賴專家主觀經(jīng)驗，因此為了解決這個問題。

2005年，Jajdia等人以檢測網(wǎng)絡(luò)系統(tǒng)弱點為目的，設(shè)計了一種拓?fù)淙觞c分析工具TVA，該工具可以通過分析拓?fù)淙觞c來評估網(wǎng)絡(luò)的安全狀況。2011年，Gabreil Jakobson等人在文獻中提出了影響依賴圖的概念，設(shè)計了基于影響依賴圖的網(wǎng)絡(luò)安全態(tài)勢評估方法，加強了對復(fù)合攻擊的評估。2012年，Stephen E.Smith在文獻中提出綜合利用現(xiàn)有網(wǎng)絡(luò)安全工具，包括流量分析工具、脆弱性掃描工具和入侵檢測系統(tǒng)等，以便于全面評估和保護網(wǎng)絡(luò)安全，并以現(xiàn)有工具的集成為目的對系統(tǒng)進行了設(shè)計。

國內(nèi)學(xué)者對網(wǎng)絡(luò)安全態(tài)勢評估方法的研究相對較晚，理論及應(yīng)用研究均亟需進一步提高與完善。

為了綜合考慮攻擊和脆弱性對網(wǎng)絡(luò)安全的影響，考慮到攻擊和脆弱性之間存在對應(yīng)關(guān)系，韋勇于在2009年提出了通過匹配攻擊所依賴的脆弱性信息與目標(biāo)節(jié)點的脆弱性信息來獲取攻擊成功支持概率?；趯艉痛嗳跣灾g、脆弱性和脆弱性之間的關(guān)聯(lián)關(guān)系的考慮，劉剛于2012年針對網(wǎng)絡(luò)中節(jié)點的漏洞和攻擊層面的風(fēng)險分析需求，提出了漏洞信度和攻擊信度的概念，做到了將網(wǎng)絡(luò)中的漏洞信息和攻擊信息進行關(guān)聯(lián)。王坤等于2016年通過對已有網(wǎng)絡(luò)安全態(tài)勢評估方法的分析與比較，提出了一種基于攻擊模式識別的網(wǎng)絡(luò)安全態(tài)勢評估方法。首先，對網(wǎng)絡(luò)中的報警數(shù)據(jù)進行因果分析，識別出攻擊意圖與當(dāng)前的攻擊階段；然后，以攻擊階段為要素進行態(tài)勢評估；最后，構(gòu)建攻擊階段狀態(tài)轉(zhuǎn)移圖（STG），結(jié)合主機的漏洞與配置信息，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的預(yù)測。

對以上研究現(xiàn)狀進行分析可知，國內(nèi)外研究者一般以網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)性能指標(biāo)變化以及它們的綜合影響為側(cè)重點來研究網(wǎng)絡(luò)安全態(tài)勢評估方法。因此，根據(jù)研究側(cè)重點的不同可以將網(wǎng)絡(luò)安全態(tài)勢評估方法分為三個基礎(chǔ)類：面向攻擊的網(wǎng)絡(luò)安全態(tài)勢評估方法、面向脆弱性的網(wǎng)絡(luò)安全態(tài)勢評估方法和面向服務(wù)的網(wǎng)絡(luò)安全態(tài)勢評估方法。對三類網(wǎng)絡(luò)安全態(tài)勢評估方法的介紹見下表。

參考文獻

[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion， 1999：24-27.

[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999，4（3）：43-53.

[3] DAmbrosio B，Takikawa M，Upper D，F(xiàn)itzgerald J，Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf，&Exposition II，Anaheim，California，USA，2001：387-394.

[4] Ahmed M， Al-Shaer E， Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway，NJ：IEEE，2008：1957-1965.

[5] Gorodetsky V，Karsaeyv O，Samoilov V.On-line update of situation assessment：a generic approach[J].International Journal of Knowledge-Based&Intelligent Engineering Systems，2005，9（4）：361-365.

[6] Stephen E.Smith.Tightening the net：Examining and Demonstrating Commonly Available Network Security Tools[D].Submitted to the Faculty of the Department of Computing and Mathematical Sciences Texas A&M University，Corpus Christi，Texas， 2012.

[7] 王坤，邱輝，楊豪璞.基于攻擊模式識別的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].計算機應(yīng)用，2016，36（1）：194-198.