網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究

劉強(qiáng)

【摘要】 安全態(tài)勢感知是形成網(wǎng)絡(luò)空間安全狀態(tài)“全局視圖”的過程。本文重點講述了安全態(tài)勢感知技術(shù)的發(fā)展，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的思路以及涉及的各項關(guān)鍵技術(shù)。

【關(guān)鍵詞】 安全態(tài)勢感知 數(shù)據(jù)融合 態(tài)勢可視化

引言

隨著信息和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計算機(jī)網(wǎng)絡(luò)的重要性及其對社會的影響越來越大，網(wǎng)絡(luò)安全問題也越來越突出，并逐漸成為Internet及各項網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問題。此外，隨著網(wǎng)絡(luò)入侵和攻擊行為正向著分布化、規(guī)?；?fù)雜化、間接化等趨勢發(fā)展，對安全產(chǎn)品技術(shù)提出了更高的要求。網(wǎng)絡(luò)安全態(tài)勢感知的研究就是在這種背景下產(chǎn)生的，旨在對網(wǎng)絡(luò)態(tài)勢狀況進(jìn)行實時監(jiān)控，并對潛在的、惡意的網(wǎng)絡(luò)行為變得無法控制之前進(jìn)行識別，給出相應(yīng)的應(yīng)對策略。

一、網(wǎng)絡(luò)安全態(tài)勢感知概述

網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢。態(tài)勢是一種狀態(tài)，一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。

網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。

基于網(wǎng)絡(luò)安全態(tài)勢感知的功能，將其研究內(nèi)容歸結(jié)為3個方面：網(wǎng)絡(luò)態(tài)勢感知、網(wǎng)絡(luò)威脅評估和網(wǎng)絡(luò)態(tài)勢評估。

態(tài)勢評估和威脅評估分別是態(tài)勢感知過程的一個環(huán)節(jié)，威脅評估是建立在態(tài)勢評估的基礎(chǔ)之上的。態(tài)勢評估包括態(tài)勢元素提取、當(dāng)前態(tài)勢分析和態(tài)勢預(yù)測。威脅評估是關(guān)于惡意攻擊的破壞能力和對整個網(wǎng)絡(luò)威脅程度的估計，是建立在態(tài)勢評估的基礎(chǔ)之上的。威脅評估的任務(wù)是評估攻擊事件出現(xiàn)的頻度和對網(wǎng)絡(luò)威脅程度。態(tài)勢評估著重事件的出現(xiàn)，威脅評估則更著重事件和態(tài)勢的效果。

2 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知作為未來保證信息優(yōu)勢的兩大關(guān)鍵技術(shù)之一，眾多學(xué)者、研究機(jī)構(gòu)紛紛在此領(lǐng)域展開了廣泛的研究，提出了各種各樣的分析模型，其中影響最大，也最被普遍接受的是基于數(shù)據(jù)融合理念的JDL模型。該模型通用框架主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)與目標(biāo)識別、態(tài)勢評估、威脅評估、響應(yīng)與預(yù)警、態(tài)勢可視化顯示以及過程優(yōu)化控制與管理等7個部分。

大規(guī)模網(wǎng)絡(luò)節(jié)點眾多，分支復(fù)雜，數(shù)據(jù)流量大，并且包含多個網(wǎng)段，存在多種異構(gòu)網(wǎng)絡(luò)環(huán)境和應(yīng)用平臺。隨著網(wǎng)絡(luò)入侵和攻擊正在向分布化、規(guī)?；?、復(fù)雜化、間接化的趨勢發(fā)展，為了實時、準(zhǔn)確地顯示整個網(wǎng)絡(luò)態(tài)勢狀況，檢測出潛在、惡意的攻擊行為，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)必須解決相應(yīng)的技術(shù)問題。

2.1 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中挖掘出有用的信息，即從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的實際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、人們事先未知的，但又有潛在用處的并且最終可理解的信息和知識的非平凡過程。所提取的知識可表示為概念、規(guī)則規(guī)律、模式等形式。數(shù)據(jù)挖掘是知識發(fā)現(xiàn)的核心環(huán)節(jié)。

從數(shù)據(jù)挖掘應(yīng)用到入侵檢測領(lǐng)域的角度來講，目前主要有4種分析方法：關(guān)聯(lián)分析、序列模式分析、分類分析和聚類分析。關(guān)聯(lián)分析用于挖掘數(shù)據(jù)之間的聯(lián)系，即在給定的數(shù)據(jù)集中，挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關(guān)聯(lián)規(guī)則，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關(guān)聯(lián)分析相似，但側(cè)重于分析數(shù)據(jù)間的前后（因果） 關(guān)系，即在給定的數(shù)據(jù)集中，從用戶指定最小支持度的序列中找出最大序列，常用算法有DynamicSome算法、AprioriSome算法等。分類分析就是通過分析訓(xùn)練集中的數(shù)據(jù)為每個類別建立分析模型，然后對其它數(shù)據(jù)庫中的記錄進(jìn)行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型等。與分類分析不同，聚類分析不依賴預(yù)先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動態(tài)聚類法、基于密度的方法等。關(guān)聯(lián)分析和序列模式分析主要用于模式發(fā)現(xiàn)和特征構(gòu)造，而分類分析和聚類分析主要用于最后的檢測模型。

2.2 數(shù)據(jù)融合

通過數(shù)據(jù)融合方法的引入，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)才能做到對攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時發(fā)現(xiàn)與檢測，實現(xiàn)對網(wǎng)絡(luò)整體安全狀況的掌握。而網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中的數(shù)據(jù)融合正是通過如下幾項關(guān)鍵技術(shù)得以體現(xiàn)的。

（1）特征提取。特征提取是在盡量不降低分類精度同時又減小特征空間維數(shù)的前提下，為了避免融合大量數(shù)據(jù)可能造成系統(tǒng)檢測率不能滿足高速網(wǎng)絡(luò)實時檢測需求而提出的。目前有許多特征提取算法，如基于主成分分析的方法，基于信息增益的決策樹學(xué)習(xí)方法和流形學(xué)習(xí)方法。主成分分析基于方差最大、偏差最小的思想來發(fā)現(xiàn)數(shù)據(jù)集的主要方向，從而實現(xiàn)約簡?；谛畔⒃鲆娴臎Q策樹學(xué)習(xí)方法，則引入熵和信息增益的概念，分別作為衡量訓(xùn)練樣例集合純度的標(biāo)準(zhǔn)和用來定義屬性分類訓(xùn)練數(shù)據(jù)的能力。典型的決策樹學(xué)習(xí)算法，如ID3算法就是根據(jù)信息增益標(biāo)準(zhǔn)從候選的屬性中選擇能更好區(qū)分訓(xùn)練樣例的屬性。流形學(xué)習(xí)是一種新的降維方法，可以有效地發(fā)現(xiàn)高維非線性數(shù)據(jù)集的內(nèi)在維數(shù)。

（2）事件聚類。聚類是將物理或抽象的數(shù)據(jù)對象，按照對象間的相似性進(jìn)行分組或分類的過程。聚類是一種無監(jiān)督學(xué)習(xí)的過程。不同的數(shù)據(jù)類型，相應(yīng)的聚類處理方法也有所不同。目前聚類方法大體上可以分為基于層次的方法、基于劃分的方法、基于密度的方法、基于網(wǎng)格的方法以及其他類型的聚類算法?；趯哟蔚木垲愃惴ㄖ饕詷颖局g的相似度（或距離）為基礎(chǔ)，根據(jù)類間相似度的大小對不同類進(jìn)行合并或分裂，從而逐步完成對數(shù)據(jù)集的聚類。典型的層次聚類方法分為凝聚的方法和分裂的方法。常見算法有COBWEB，BIRCH，ROCK和Chameleon等?；趧澐值木垲愃惴ㄒ詷颖九c類（原型）之間的距離為基礎(chǔ)，且通常將聚類結(jié)果的評判標(biāo)準(zhǔn)定義為一個目標(biāo)函數(shù)。典型算法有k一均值法，k一中心點法，CLARANS等。除了層次和劃分聚類方法外，比較有影響力的算法還有DENCLUE，CLIQUE等基于密度的方法，以及STING，WaveCluster等基于網(wǎng)格的方法。另外還可以借助其他領(lǐng)域的方法，如神經(jīng)網(wǎng)絡(luò)方法，SOM，演化計算法，遺傳算法，模擬退火法等。

（3）事件關(guān)聯(lián)。事件關(guān)聯(lián)是指將多個安全事件聯(lián)系在一起進(jìn)行綜合評判，重建攻擊過程并實現(xiàn)對整體網(wǎng)絡(luò)安全狀況的判定。對安全事件進(jìn)行關(guān)聯(lián)處理的方法大致可分為兩類：一類是借助于專家知識構(gòu)建安全事件關(guān)聯(lián)專家系統(tǒng)。典型的如：Valdes等提出的基于概率相似度的入侵告警關(guān)聯(lián)系統(tǒng)，Peng等基于邏輯謂詞的方法，將前提和目的吻合的入侵事件關(guān)聯(lián)形成入侵者攻擊軌跡等。另一類是借助于自動知識發(fā)現(xiàn)或者機(jī)器學(xué)習(xí)的辦法來發(fā)現(xiàn)事件間的隱含關(guān)系并實現(xiàn)入侵事件的關(guān)聯(lián)分析。典型例子有：Stefanos將關(guān)聯(lián)技術(shù)用于入侵檢測報警信息的頻繁模式提取，Klaus也將此思想用到了多個異類IDS報警信息的關(guān)聯(lián)中，穆成坡w提出用模糊綜合評判的方法進(jìn)行入侵檢測報警信息的關(guān)聯(lián)處理，集成不同的安全產(chǎn)品信息，以發(fā)現(xiàn)入侵者的行為序列。前者用專家系統(tǒng)的方式實現(xiàn)事件關(guān)聯(lián)，高效且直觀，但是關(guān)聯(lián)需要的知識依賴人工完成，效率低下；后者獲取知識比較容易，但沒有人工參與的情況下獲得的知識質(zhì)量不高，難以滿足要求。

2.3 態(tài)勢可視化

態(tài)勢可視化的目的是生成網(wǎng)絡(luò)安全綜合態(tài)勢圖，以多視圖、多角度、多尺度的方式與用戶進(jìn)行交互，使網(wǎng)絡(luò)安全產(chǎn)品分析處理能力在多個指標(biāo)有較大幅度的提高。

對數(shù)據(jù)進(jìn)行可視化是一個層層遞進(jìn)的過程，包括了數(shù)據(jù)轉(zhuǎn)化、圖像映射、視圖變換三個部分：數(shù)據(jù)轉(zhuǎn)化是把原始數(shù)據(jù)映射為數(shù)據(jù)表，將數(shù)據(jù)的相關(guān)性描述以關(guān)系表的形式存儲起來；圖像映射是把數(shù)據(jù)表轉(zhuǎn)換為對應(yīng)圖像的結(jié)構(gòu)，圖像由空間基及屬性進(jìn)行標(biāo)識；視圖變換則是通過對坐標(biāo)位置、縮放比例、圖形著色等方面來創(chuàng)建能夠可視化的視圖。此外，用戶與可視化系統(tǒng)的交互也是必不可少的，用戶通過調(diào)控參數(shù)，完成對可視化進(jìn)程的控制。

態(tài)勢可視化的方法有很多，根據(jù)顯示效果，可以分為動態(tài)可視化和靜態(tài)可視化。根據(jù)顯示數(shù)據(jù)緯度，可以分為二維、三緯以及多緯可視化。根據(jù)現(xiàn)實數(shù)據(jù)內(nèi)容，可以分為內(nèi)容可視化、行為可視化和結(jié)構(gòu)可視化。

三、結(jié)束語

為了保障網(wǎng)絡(luò)信息安全，開展大規(guī)模網(wǎng)絡(luò)態(tài)勢感知是十分必要的。網(wǎng)絡(luò)態(tài)勢感知對于提高網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力、緩解網(wǎng)絡(luò)攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義，對于軍事信息戰(zhàn)意義更為重大。網(wǎng)絡(luò)安全態(tài)勢感知研究剛剛起步，目前大量的研究工作還只處于對網(wǎng)絡(luò)安全態(tài)勢的定性分析階段，缺乏標(biāo)準(zhǔn)的概念描述和具體的定量解決方法，但它已經(jīng)毫無疑問的成為網(wǎng)絡(luò)安全領(lǐng)域一個新的研究方向。

參 考 文 獻(xiàn)

[1] 陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法.軟件學(xué)報.2006，17（4）.

[2] 北京理工大學(xué)信息安全與對抗技術(shù)研究中心.網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)技術(shù)白皮書.網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)技術(shù)白皮書，2005.

[3] 潘泉，于聽，程詠梅，張洪才.信息融合理論的基本方法與進(jìn)展.自動化·學(xué)報.2003，29（4）.

[4] 郁文賢，雍少為，郭桂蓉.多傳感器信息融合技術(shù)評述.國防科技大學(xué)學(xué)報.1994，16（3）.

[5] 管天云.多傳感器信息融合研究.浙江大學(xué)博士學(xué)位論文.1998.

[6] 唐菲.網(wǎng)絡(luò)安全態(tài)勢感知可視化的研究與實現(xiàn).電子科技大學(xué)碩士學(xué)位論文.2009.