態(tài)勢感知:網(wǎng)絡風險可視化

文/龔儉

態(tài)勢感知是指在特定的時間和空間下，對環(huán)境中各元素或對象的覺察、理解以及對未來狀態(tài)的預測。它包含覺察：數(shù)據(jù)收集；理解：對象行為及相互影響，以及預測：基于規(guī)則的信息映射等不同的內(nèi)容和環(huán)節(jié)。初期，這一概念主要被應用于工業(yè)控制領域，美國空軍通信與信息中心的Tim Bass在1999年首次提出將態(tài)勢感知技術應用于多個NIDS檢測結果的數(shù)據(jù)融合分析。在互聯(lián)網(wǎng)領域，其應用也是一樣。網(wǎng)絡架構中接入的大量網(wǎng)絡測量設備，相當于部署了很多雷達，這些設備實時檢測網(wǎng)絡系統(tǒng)的狀態(tài)和可能出現(xiàn)的風險。通過識別后將相關安全問題的數(shù)據(jù)收集、融合，再將融合后的數(shù)據(jù)進行分辨，以確認攻擊行為。然后對這些攻擊行為進行監(jiān)測和排序，以確定哪個攻擊行為的威脅度最強，從而對其作出反應。

where A is the sinusoidal test signal;a1is F.S.1.5%of the actuator;f is the test frequency of the system.

網(wǎng)絡安全態(tài)勢感知包括三個級別，第一是能夠感知攻擊的存在；第二是能夠識別攻擊者，或攻擊的意圖；最高級別是風險評估，通過對攻擊者行為的分析，評估該行為（包括預期的后續(xù)動作）對網(wǎng)絡系統(tǒng)有什么危害，從而為決策提供重要的依據(jù)。

目前的網(wǎng)絡安全檢測通常包括兩步，一步是異常檢測，另一步是冗余消除。異常檢測是基于攻擊的特征和網(wǎng)絡行為的基本規(guī)律來辨識異常網(wǎng)絡行為的存在。異常檢測大多數(shù)情況下是通過提取特征的方式進行攻擊的識別，然后通過對網(wǎng)管系統(tǒng)獲取的原始運行數(shù)據(jù)，IDS檢測到的安全事件、原始攻擊報文等相關數(shù)據(jù)進行處理，通過格式轉化、冗余消除等細節(jié)操作，進行數(shù)據(jù)融合。在此基礎上，通過某種數(shù)據(jù)挖掘或集群分類的算法，獲得相關的檢測結果。

網(wǎng)絡安全態(tài)勢感知的對象行為是指被管網(wǎng)絡中IP地址和域名的行為語義，包括對象的行為模型：從時間、空間的角度；對象的行為分類：基于語義的異常判斷；對象的行為關聯(lián)性：發(fā)現(xiàn)活動的語義等。基于對對象和行為的分類和整理，可以形成對態(tài)勢的認知，既對被管網(wǎng)絡的威脅評估。

除了標準協(xié)議之外，赫優(yōu)訊網(wǎng)關NT100-RE-EN還支持在netSCRIPT的幫助下創(chuàng)建串行協(xié)議，netSCRIPT基于Lua腳本語言。施耐德電氣項目團隊能夠使用功能齊全的開發(fā)環(huán)境作為該軟件包的標準功能，可對任何專有串行協(xié)議進行簡單快速的編程，并可以在轉換為另一個總線協(xié)議期間對IO數(shù)據(jù)進行預處理。

對于網(wǎng)絡安全態(tài)勢感知而言，對象狀態(tài)的辨識是基礎性的。例如，對被管網(wǎng)絡相關IP地址和域名的辨識要包括其管理歸屬信息、使用位置信息、承載服務的角色信息等。在實際的操作中態(tài)勢感知的實現(xiàn)需要對大量的數(shù)據(jù)進行收集融合和整理，對相關數(shù)據(jù)的獲取與管理需要考慮兩類不同的問題。鑒于這些數(shù)據(jù)在規(guī)模、結構和處理時限方面的特征，這是一個類大數(shù)據(jù)問題，需要確定收集什么，保存多久，抽樣方法以及這些數(shù)據(jù)的隱私與安全等問題。另一類是相應的高性能問題，如面對萬兆網(wǎng)絡環(huán)境，依托多處理器環(huán)境和非標準內(nèi)存數(shù)據(jù)庫等。

過去對網(wǎng)絡安全態(tài)勢感知技術的研究主要集中在對網(wǎng)絡攻擊行為的檢測和對這些檢測結果的歸納，而這種歸納通常基于某種特定的理論模型。然而態(tài)勢感知是一個認知過程，對其建立普適的模型仍然是一個未解決的問題。認知是一個反饋的學習過程，預設的模型會表現(xiàn)出對這個過程的限制，因此現(xiàn)有的這類系統(tǒng)都存在局限性和不準確性。可視化分析技術的興起給網(wǎng)絡安全態(tài)勢感知的研究帶來新的方向，即系統(tǒng)完成信息收集功能，而將認知工作交給人來做，系統(tǒng)應該提供表達能力和通用分析功能，既支持數(shù)據(jù)的探索，使得分析人員可以快速獲得嘗試性結果。例如，對于惡意服務和威脅的可視化，可考慮在知覺能力的限制基礎上實現(xiàn)大規(guī)模的圖形可視化，以便于網(wǎng)管人員通過圖形更加容易地發(fā)現(xiàn)問題。