面向行為的內網空間安全態勢建模與分析

朱承，繆嘉嘉，毛捍東

（1. 國防科學技術大學信息系統工程重點實驗室，湖南 長沙410073；2. 解放軍理工大學指揮信息系統學院，江蘇 南京210007；3. 北京普世時代科技有限公司，北京 100083）

面向行為的內網空間安全態勢建模與分析

朱承1，繆嘉嘉2，毛捍東3

（1. 國防科學技術大學信息系統工程重點實驗室，湖南 長沙410073；2. 解放軍理工大學指揮信息系統學院，江蘇 南京210007；3. 北京普世時代科技有限公司，北京 100083）

依據態勢的一般理論，結合內網安全的特點，將內網空間劃分為物理域、信息域、社會域，提出了面向行為的內網安全態勢——PMDV模型。該模型抽象出內網空間物理域和信息域中人（P）、機（M）、數據（D）、虛擬實體（V）等4類行為主體，各類主體及其交互定義態勢中的核心要素——行為，為面向行為的內網空間安全態勢構建提供了依據。在此基礎上，進一步給出了面向行為的內網空間安全態勢分析平臺的結構設計及其實現途徑。

網絡空間；內網；安全；態勢；行為

與此同時，信息技術的飛速發展和越來越廣泛的應用使組織內部的網絡和信息系統每天都在快速產生大量的機器數據。大型企業的信息系統每天產生的日志事件數量可以達到100億到1 000億條［2］，中小規模的組織或企業內部產生的機器數據也達到可觀的規模。這些數據記錄了組織內部用戶各類活動和交互的完整行為，具有海量、高速、多樣、低價值密度等明顯的大數據特點，有巨大的分析和利用價值。如何有效利用這些數據成為新時期需要面對和解決的問題。

面對網絡安全中的新形勢、新問題，除了更嚴格的加密和更細粒度的認證與授權外［3］，數據驅動的動態綜合安全理念已成為網絡安全解決思路的趨勢和潮流［2,4］，基于大數據、行為分析的新型智能化安全管理工具大量涌現［5～7］。內網安全管理需要依靠對海量數據的深度挖掘與機器學習，高效、準確地發現異常、危險行為，才能有效地應對高級可持續性威脅（APT， advanced persistent threat）和來自內部人員的威脅，實現由“被動”到“主動”的信息安全防護。因此，如何針對內網特點和行為分析的需求，構建內網空間安全態勢模型，是個重要的問題。

2 面向行為的內網空間安全態勢模型

2.1 內網空間

為了刻畫人類生存的信息環境或信息空間，人們創造了 Cyberspace 一詞。2008年，美國“54號國家安全總統令”對Cyberspace的定義為［8］：Cyberspace 是信息環境中的一個整體域，由獨立且互相依存的信息基礎設施和網絡組成，包括互聯網、電信網、計算機系統、嵌入式處理器和控制器系統。Cyberspace對應的中文名稱有多種，如網絡空間、網電空間、賽博空間等，本文采用網絡空間這一名稱。網絡空間已成為由計算機、網絡構成的信息社會的代名詞。

本文的內網空間是指一個組織內部的網絡空間。與網絡空間相比，內網空間的特點主要體現在以下3個方面。

1） 內網有對應的組織結構以及相對明確的物理邊界。

2） 內網，特別是有保密需要的內網，往往存在多套不同密級網絡。多個網絡之間物理隔離或者通過安全交換設備（單向）連接。

3） 物理空間是內網安全中的重要方面。

參考網絡空間的定義并結合內網特點，本文將內網空間劃分為以下3個域。

1） 物理域

物理域由內網對應的物理邊界中的人、機器設備等實體構成，是內網中物理實體所存在的物理空間。

2） 信息域

信息域是信息獲取、傳輸、加工、處理、存儲、顯示和共享的空間，是內網中信息駐留、流動、被加工、被使用的“生態環境”。

3） 社會域

社會域包括內網所對應組織中的組織結構、交互關系、業務關系等。

內網空間域層次模型如圖1所示。

圖1 內網空間域層次模型

2.2 PMDV態勢模型

網絡空間安全［8］包括以下幾個方面。

1） 設備安全：信息系統的設備安全是信息系統安全的物質基礎。

2） 數據安全：確保數據免受未授權的泄露、篡改和毀壞。

3） 內容安全：指信息內容在政治、法律、道德層次上的要求，如政治健康、符合法律等。

4） 行為安全：行為的過程和結果不能危害數據的完整性，當行為的過程出現偏離預期時，能夠發現、控制或糾正。

由內網的特點可知，內網空間安全的核心是數據安全，數據安全實現的支撐是行為安全。

“態勢”一詞來源于作戰指揮，是指揮控制的核心要素，與決策密切相關。態勢指狀態與形勢，包括人或事表現出的形態、環境或事物的發展狀況和情形等［9］。

安全態勢建模對于安全至關重要。已有的網絡空間安全態勢建模的研究，借鑒了態勢感知的一般理論，對于態勢本身的建模，則主要從靜態合規性檢查、漏洞評估等角度研究態勢評估的指標體系。例如，文獻［10，11］從信息資產、脆弱性指數、威脅性指數、風險程度等方面歸納了安全態勢指標體系。但是，這一類基于指標的安全態勢建模方法缺乏動態角度的行為刻畫，對于理解網絡空間中的實體及其交互關系缺乏指導意義。在內部威脅的研究中，不少文獻從概念、過程建模等角度提出了相應的模型。例如，文獻［12］提出內部威脅的形式化定義和分類，文獻［13］提出內部人在事件觸發下的惡意行為過程模型。這些模型主要面向概念理解和過程解釋，不涉及態勢要素本身的建模與抽象。有些研究給出了與行為相關的態勢要素，如文獻［14］從文件訪問記錄、USB設備使用記錄等方面給出內部人與安全相關的行為要素，但缺乏建模的整體依據和框架。針對以上問題，本文從動態行為分析的角度，提出內網安全態勢建模框架，為安全態勢的抽象提供依據。

在態勢模型中，態勢元素被抽象為環境、實體、事件、組及行為5個方面［15］。在一定環境中存在的某事物（實體），當其性質或狀態發生改變時，就產生了事件。每個實體所發生的事件在時間和空間上都存在某種聯系，多個實體和事件按照某種關系組合在一起構成組。在特定環境中，組或單個實體會產生某種行為，態勢則被建模為這一過程的描述。因此，態勢2個最活躍的元素是實體和行為。

要建立面向行為分析的態勢模型，首先要明確行為的主體。基于第2.1節中對內網空間的域劃分，本文通過抽象物理域、信息域中的實體類型，將內網行為主體分為以下4類，簡稱PMDV。

1） 人（P）

人是內網中最關鍵的行為主體。這類實體包括個人、特征人群、組織等。

2） 機（M）

機指內網中的各類機器設備，包括主機、服務器、交換機、網絡設備、移動載體等硬件設備。

3） 數據（D）

數據指內網中的各類數據，是防泄密的核心對象。如用戶數據（文本、圖片、視頻）、系統數據、網絡數據等。

4） 虛擬實體（V）

虛擬實體指網絡空間中的各類虛擬實體，如各類系統進程、服務進程、惡意進程（病毒、木馬）等。

在PMDV中，人、機屬于物理域的實體；數據、虛擬實體則屬于信息域的實體。PMDV行為主體如圖2所示。

圖2 內網空間行為主體

圖3 內網空間安全態勢元素及關系

根據態勢模型中對環境、實體、事件、組及行為等態勢元素的抽象，本文構建面向行為的PMDV內網空間安全態勢模型，如圖3所示。其中，行為主體以及對應的行為由PMDV 4類主體及其相互之間的交互關系定義：PMDV中某一類型的實體或者多類實體形成的組在網絡運行環境中的活動構成了內網空間中的行為，網絡運行環境指網絡拓撲、參數等網絡運行狀態。

PMDV模型提供了內網空間安全態勢中行為建模的依據。圖4給出了PMDV模型中實體及兩兩交互所定義的行為示例（由于不區分交互關系中的序，圖4中PMDV交互矩陣為對稱陣，左下角矩陣留空），其中，“/”表示無交互實體。

圖4 PMDV模型中各類實體及兩兩交互所定義的行為示例

3 面向行為的內網安全態勢生成與分析平臺

面向行為的態勢生成與分析必須基于行為相關數據，并依托相應的技術平臺。數據的多源異構性、規模以及分析需求決定了采用大數據技術構建分析平臺的合理性，即以大數據技術為支撐，構建態勢生成和分析平臺，實現行為數據采集、存儲、關聯與融合；安全態勢的感知和可視化；基于機器學習、數據挖掘等技術實現智能化安全態勢分析能力；實現行為畫像和異常檢測，為發現未知危險、APT攻擊、內部人員的惡意行為等提供基礎。

態勢生成與分析平臺分為采集層、存儲與集成層、生成與分析層、展現與交互層，架構如圖5所示。

1） 采集層

采集層從內網空間采集與安全態勢相關的海量異構數據，主要分為2大類型數據。一類為內網中各類實體及其行為相關數據，以海量、高速、異構為特征，數據源主要包括終端/服務器日志、業務系統日志、網絡流日志、跨網交換日志、門禁、監控視頻等；另一類為網絡基礎環境數據，包括網絡拓撲信息、配置信息、漏洞信息、用戶目錄等。在線數據采集可使用LogStash［16］等數據采集系統，實現對數據的采集和預處理。對于隔離網絡中的數據源，可采用離線方式進行批量導入。

2） 存儲與集成層

存儲與集成層基于大數據技術實現對采集數據的預處理和存儲。采集的各類數據，先進入消息中間件（如Kafka［17］），以解決數據的緩存和容錯問題。數據存儲系統從消息中間件獲取采集數據進行存儲，并綜合利用各類NoSQL技術［18］提供的高擴展性實現海量數據的存儲和管理。例如，日志等半結構化信息可以使用Elastic Search［16］等分布式文檔數據庫進行存儲，實現字段解析和全文檢索；圖像、視頻等非結構化數據可基于HDF［19］分布式文件系統進行存儲和管理。數據集成可采用Hive［20］等數據引擎，實現對多源數據的統一訪問和查詢。需要實時處理的數據可以直接從消息中間件進入基于內存的緩存系統，供在線分析和計算。

3） 生成與分析層

生成與分析層基于PMDV模型實現對內網空間安全態勢的計算與生成，并支持對態勢及態勢相關數據進行實時和歷史分析。對態勢的分析包括統計分析、行為規律分析、關聯分析、合規性分析、異常檢測、風險分析等。態勢生成與分析可以基于Hadoop、Spark等開源大數據社區提供的多種大數據分析模式和大量常用的機器學習模型實現。例如，Spark［21］以容錯分布式內存數據結構RDD［22］為基礎，同時支持MapReduce方式的數據批處理分析、迭代式圖分析和在線流分析等多種分析模式，并提供MLlib機器學習算法庫。

4） 展現與交互層

展現與交互層對態勢進行可視化展現，并實現用戶與態勢的交互。用戶可以從PMDV各維度以及維度的組合觀察、感知內網空間行為，并可進行ad hoc方式的數據查詢與交互。主流的大數據可視化工具，如Kibana［16］等，均支持數據分析指標及展現方式的定制與交互，可以作為實現的基礎。

5 結束語

PMDV模型抽象出了內網空間物理域和信息域中人、機、數據、虛擬實體等4類行為主體，通過各類主體及其交互定義了態勢核心要素——行為，為面向行為的內網空間安全態勢構建提供了依據。PMDV態勢模型的后續研究包括進一步考慮內網空間的電磁環境，以及態勢分析平臺的實現與實驗等。

［1］ IBM security. IBM 2015 cyber security intelligence index［R］. IBM，2015.

［2］ CARDENAS A A， MANADHATA P K， RAJAN S. Big data analytics for security［J］. IEEE Security & Privacy， 2013， （11/12）： 74-76.

［3］ RORY W， BETSY B. BeyondCorp： a new approach to enterprise security［J］. Login， 2014， 39（6）：6-11.

［4］ JAY J. Data driven security： analysis， visualization and dashboards［M］. Indianapolis： John Wiley and Sons， 2014.

［5］ Splunk Inc. Using splunk user behavior analytics［R］. Splunk， 2015.

［6］ 啟明星辰. 基于大數據分析的安全管理平臺技術研究及應用［EB/OL］. http：//www.venustech.com.cn/NewsInfo/531/25566.Html. 2014. Venustech. Study and application of information security management platform based on big data［EB/OL］. http：//www.venustech. com.cn/NewsInfo/531/25566.Html.2014.

［7］ 瀚思. 數據驅動安全［EB/OL］. http：//www.hansight.com/ Han-Sight_Intro_2015V2.pdf.2015. Hansight. Data driven security［EB/OL］. http：//www.hansight.com/ HanSight_Intro_2015V2.pdf. 2015.

［8］ 張煥國， 韓文報， 來學嘉， 等. 網絡空間安全綜述［J］. 中國科學，2016， 46（2）：125-164. ZHANG H G， HAN W B， LAI X J. Survey on cyberspace security［J］. Science China， 2016， 46（2）： 125-164

［9］ ENDSLEY M R. Toward a theory of situation awareness in dynamic systems［J］. Human Factors，1995， 37（1）： 32-64.

［10］ 尤馬彥. 網絡安全態勢評估技術的研究與實現［D］， 廣東工業大學， 2012.YOU M Y. Research and implementation of network security situation assessment technology［D］. Guangzhou： Guangdong University of Technology， 2012.

［11］ 王志平. 基于指標的網絡安全態勢評估研究［D］. 國防科學技術大學， 2010. WANG Z P. Network security situation assessment research based on the index［D］. Changsha： National University of Defense Technology， 2010.

［12］ 楊光， 馬建剛， 于愛民， 等. 內部威脅檢測研究［J］， 信息安全學報， 2016，1（3）： 21-36. YNAG G， MA J G， YU A M， et al. The internal threat detection study［J］. Journal of Information Security， 2016，1（3）： 21-36.

［13］ NURSE J R C， BUCKLEY O， LEGG P A， et al. Under-standing insider threat： a framework for characterising attacks［C］//IEEE Symposium on Workshop on Research for Insider Threat， IEEE Computer Society Security & Privacy. c2014 ：215-228.

［14］ AZARIA A， RICHARDSON A， KRAUS S， et al. Behavioral analysis of insider threat： a survey and boot- strapped prediction in imbalanced data［J］. IEEE Transactions on Computational Social Systems， 2014， 1（2）：135-155.

［15］ JAKOBSON G， BUFORD J， LEWIS L. A framework of cognitive situation modeling and recognition［C］// 2006 IEEE Military Communications Conference. c2006：1-7.

［16］ Elastic search site［EB/OL］. https：//www.elastic.co/.

［17］ Kafka site［EB/OL］. http：//kafka.apache.org/.

［18］ CATTELL R. Scalable SQL and NoSQL data stores［J］. Sigmod Rec，2011， 39（4）： 12-27.

［19］ HDF site［EB/OL］.https：//hadoop.apache.org/docs/r1.2.1/hdfs_design. html.

［20］ HIVE site［EB/OL］. https：//hive.apache.org/.

［21］ Spark site［EB/OL］. http：//spark.apache.org/.

［22］ ZAHARIA M， CHOWDHURY M， DAS T， et al. Resilient distributed datasets： a fault-tolerant abstraction for in-memory cluster computing［C］//The 9th USENIX Conference on Networked Systems Design and Implementation. c2012.

朱承（1976-），男，湖南長沙人，博士，國防科學技術大學研究員、碩士生導師，主要研究方向為指揮控制、智能決策、分布式系統。

繆嘉嘉（1980-），男，江蘇如皋人，博士，解放軍理工大學講師，主要研究方向為數據安全、安全大數據、人工智能。

毛捍東（1979-），男，湖南岳陽人，博士，北京普世時代科技有限公司高級工程師，主要研究方向為信息安全、云計算和系統仿真與決策技術。

Behavior-oriented inside network security situation modeling and analysis

ZHU Cheng1， MIAO Jia-jia2， MAO Han-dong3
（1. Science and Technology on Information Systems Engineering Laboratory， National University of Defense Technology， Changsha 410073， China；2. School of C4ISR， PLA University of Science and Technology， Nanjing 210007， China；3. Pushtime Science and Technology Inc.， Beijing 100083， China）

According to the situation awareness theory as well as the characteristics of the inside network security， a PMDV model for behavior-oriented inside network security situation modeling by dividing the inside network space into physical domain， information domain and social domain was proposed. A sound base for situation modeling of inside network security， which classified the entities inside the network space into the following 4 classes： person（P），machine（M）， data（D） and virtual agent（V）， was provided and the core element “behavior” in situation model with the interactions between different PMDV entities was defined. The structure and implementation guideline of the situation analysis platform based on PMDV model were also presented and studied.

cyberspace， inside network， security， situational awareness， behavior

1 引言

內網安全是網絡安全中的重要領域，對保密單位而言尤為重要。但是，隨著智能移動設備、物聯網和云計算的快速發展和不斷應用，傳統的以合規性檢查、漏洞封堵為主的靜態內網安全防護理念和技術在新條件下暴露出大量問題。例如，以特征匹配為主的安全手段、設備對0-day等未知漏洞或威脅無能為力；電磁、無線、電力等滲透手段層出不窮，物理隔離并不能保證網絡的封閉性；最大的危險仍然來自于組織內部人員無意或有意的泄密行為。IBM發布的2015年賽博安全情報表明，約55%的攻擊來自內部［1］。

The General Equipment Department Foundation （No.9140A15070414JB25224）

TP393

A

10.11959/j.issn.2096-109x.2016.00067

2016-06-08；

2016-07-02。通信作者：朱承，zhucheng@nudt.edu.cn

總裝預研基金資助項目（No.9140A15070414JB25224）