態勢感知技術在網絡安全中的應用

文 /劉尚東 龔儉 楊望 Ahmad

“態勢感知”（SA，Situation Awareness）概念起源于20世紀80年代的美國空軍：分析空戰環境信息，快速判斷當前及未來形勢并做出正確反應。無疑這對取得勝利具有決定性的作用，而信息到態勢的轉換并非易事，這正是SA產生的背景。20世紀90年代，SA進入“人為因素”（Human Factors）研究領域，成為研究熱點。目前SA已廣泛應用于軍事、航空、工業生產、安全防控等領域，對輔助決策起到重要作用。

公認的SA概念是：在特定時空下，對動態環境中各元素或對象的覺察、理解以及對未來狀態的預測。或者，SA是經過某種信息的處理過程達到的知識狀態，這種處理過程稱為“態勢評估”（Situation Assessment）。態勢感知中的“覺察”又稱為一級SA，本質上是“數據收集”；“理解”稱為二級SA，本質上是掌握數據中的知識（數據中的對象及其行為和對象間的相互關系）；“預測”稱為三級SA，本質上是知識的應用。

近年來，SA研究面臨環境的全局性、復雜性、動態性、高負荷性，催生新的功能需求或研究：具有多源數據融合與可視化、異質性、自動化、實時處理特點的風險評估、決策、預測系統，其中具有代表性的研究熱點是數據融合與可視化，數據融合技術是指利用計算機對按時序獲得的若干觀測信息，在一定準則下加以自動分析、綜合，以完成所需的決策和評估任務而進行的信息處理技術。

“態勢感知”：分析空戰環境信息，快速判斷當前及未來形勢并做出正確反應。

圖1 態勢感知技術分類

態勢感知技術分類

一些研究者出于解決行業領域內具體問題這一目的，從信息收集、感知方法及過程等角度研究態勢感知。如討論軍事與國土安全決策支持及知識管理，從信息獲取、存儲、解釋等角度分析態勢感知技術。又如討論網絡安全態勢感知，將態勢預測方法分為基于事件、環境兩類。而專門討論可視化技術，從可視化的需求、目的、內容等角度進行分類。本文不局限于某一具體的應用領域或角度，而從更高層面進行分類，以期更全面地探究態勢感知技術，分類概貌如圖1所示。

表1 環境類型及特點

1. 環境類型

環境類型分為封閉式環境和開放式環境，封閉環境或閉合系統，指不與外界有任何物質交換，不受任何外力控制或影響的系統。如一個核電廠的整個運行監控系統，其特點是：觀察對象固定，對象的特征與對象間關系穩定且可枚舉，此類環境的態勢感知相對容易。

開放式環境如戰場、互聯網等，其特點是：環境中的對象類型、特征均可能發生變化，環境無邊界或者邊界模糊。為了簡化，這類環境的感知模型會將對象進行粗略的分類，從而使對象類型固定。信息時代，這類環境更為常見，由于環境復雜度高，對態勢感知技術的需求也更為迫切。

2. 應用類型

應用類型主要有3個：環境管理、安全監測與工業控制，不同類型間的區別在于感知的目的不同，而這主要體現在感知過程的不同。

環境管理，如觀察某一區域的車輛通行情況，觀察記錄某地氣象走勢等。通過記錄、統計、分析，為將來的設計提供決策等。

安全監測，這包括對環境中異常的檢測，攻擊的識別，威脅的評估，主要目的是宏觀的安全管理。

工業控制包括對工業生產環境的過程控制，主要目的是確保工業生產活動的安全、質量、效率等。

以上應用類型的不同主要體現在態勢感知過程的不同上，總結如表2所示。

3. 方法類型

方法類型主要有：因果關聯分析、事件統計及本體模型3類。

表2 應用類型與態勢感知過程

表3 各種態勢感知技術比較

因果關聯分析是通過分析環境中發生事件的因果關系，來理解、確定或預測環境的狀態。具體來說，環境信息通過基于因果關系的感知模型，映射為環境的狀態，這類方法適用于環境中的對象及其行為之間存在因果關系的場合。

事件統計是指按照事件發生的統計結果來評估環境狀態，這類技術通常需要使用基于訓練數據的機器學習方法，學習的目標是建立特定事件模式與環境知識狀態之間的映射關系，新的事件通過這種映射關系的映射形成對環境態勢的感知，這類方法適用于具備質量較高的環境事件統計數據的場合。

本體模型是通過對環境本身時空特性的分析，歸納并推斷當前及未來的態勢。例如，通過分析一個網絡中服務的漏洞情況來判斷未來網絡的安全態勢，通過分析一個區域的安保設施維護情況來推斷這個區域的安全風險等。

各種態勢感知技術的特點總結如表3所示。

4. 模型分類

可以根據有無反饋，有無決策目標，有無人為因素來劃分。需要注意，有時這些因素之間是相關的，如有決策目標的模型，為了提高模型的準確度，往往需要通過評估決策的效果并通過反饋修正模型；而具有多元決策目標的評估模型，由于決策過程的復雜性，往往需要加入人為干涉來調整感知模型。

除此以外，模型分類還可以基于以下特征：數據源（單一、多源、多源異構）、模型特點（基礎模型、融合模型、領域模型）、所用方法（概率統計、關聯分析）等。

表4 模型分類

綜上所述，總結有代表性的模型如表4所示。

網絡安全態勢感知

從被保護和保護兩個角度來說，網絡安全問題的解決最終朝向兩個方向：1.對特定對象的保護，防火墻、IDS、IPS等技術均以此為目標；2.安全監測及威脅應對。如果將威脅定義為攻擊者基于同一目的的一系列安全事件的集合，則網絡安全監測主要包含威脅檢測及威脅評估兩方面內容，前者本質上是攻擊者檢測；而后者本質上是攻擊者意圖的估計。實現安全監測不但需要覺察環境下各元素和對象，而且需要理解其中的語義和相互關系，從而最終實現攻擊者及其威脅的推斷、評估，這一過程與態勢感知本質上是一致的，即網絡安全態勢感知模型或內容如圖2所示。

在三級網絡安全態勢感知中，一、二級感知，即攻擊事件的產生、誤報消除、關聯以及攻擊者的檢測已經有大量的研究成果，限于篇幅，這里僅介紹攻擊者意圖感知部分。“攻擊者意圖識別”的目標是找出攻擊者單一攻擊事件背后的邏輯關系，獲得更多的攻擊語義，合理推斷攻擊者的下一步行為，從而評估攻擊者的威脅，傳統的意圖識別方法包括基于文法分析的意圖識別，基于攻擊圖的警報關聯方法，基于因果關聯的警報關聯方法以及貝葉斯、隱馬爾科夫模型等，這些方法各有優缺點，最終可以形成攻擊場景或者“超警報”。但針對僵尸網絡或高級持續攻擊等復雜攻擊類型，仍須進一步提高感知級別，具有代表性的研究有結合提出的基于態勢感知方法的威脅檢測與評估方法，基本思想是IDS檢測結果進入相互獨立的攻擊識別系統和環境系統，攻擊識別系統負責識別各類型攻擊，環境系統負責分析被保護網絡暴露給攻擊者的弱點，兩系統分析結果融合后合理估計攻擊者意圖，并計算威脅值。

圖2 網絡安全態勢感知內容示意圖

表5 CHAIRS數據源

網絡安全態勢感知的應用

作為CERNET“十一五”211工程建設項目——CERNET主干網運行保障系統的一部分：CHAIRS（Cooperative Hybrid Aided Incidence Response System）大型分布式應急響應系統，其設計目標是為各節點的CERT提供應急響應服務管理功能，提高CERNET內安全事件響應的效率。同時由于各節點各自擁有不同的檢測能力，CHAIRS系統開放警報接口，支持不同安全檢測系統的擴展，形成對CERNET主干網的安全態勢監控能力。

CHAIRS系統通過分析收集到的各類安全檢測系統的警報（如表5所示），檢測出僵尸網絡、惡意網站等各類攻擊者及其攻擊活動，在此基礎上通過推測攻擊者類型、數量、位置、意圖等測度來評估攻擊者的威脅程度，從而最終實現態勢感知。

例如，通過關聯DNS、Monster、HoneyPot、NBOS四類警報，檢測僵尸網絡以及評估其威脅程度這一過程。

關聯分析各種入侵警報，本質上是明確攻擊者行為證據鏈，確定攻擊者并評估其威脅。

態勢感知技術的目的是幫助決策，所以傳統的態勢感知技術詳細討論系統、任務（決策目標）、人為因素三者對態勢感知所造成的影響以及應對方法。而信息時代下，信息源大大豐富，同時，態勢感知也變得更為復雜：1.信息系統往往是無邊界的，對象的諸多特征不可預知，對象之間的作用與影響也難以預測；2.決策目標更加多元、精細，對態勢感知亦提出了更高的要求；3.由于所處環境的復雜多變，人的判斷、決策亦隨之變化。以上因素導致傳統態勢感知技術面臨新的挑戰。

因果關聯分析、事件統計、本體模型等技術方法依然是有效的感知技術，然而由于系統的日益復雜，傳統的感知技術適用的感知級別具有降低的趨勢，傳統環境中，可以進行三級感知的技術現在可能僅適用于二級感知，而對未來的預測需要更為深入與廣泛的關聯平臺與技術。近來，云計算、大數據處理等技術帶來了新的機遇，同時也帶來了新的挑戰：1.資源位置不確定；2.用戶量大且多樣；3.日志審計隱私性更強；4.互操作接口一致性等。