一種基于流量特征的信息保障態勢察覺方法

◆張繼永

（91977部隊 北京 100841）

聯合作戰信息保障（IA）是一種作戰能力的體現，它包括感知、指揮、控制與響應能力。美國國防部早在2008年就已提出了信息保障戰略計劃，該計劃從技術、運行管理、過程和人員四個方面，確立了信息保障能力建設的具體目標，其中信息保障的感知能力、執行能力，標準化、規范化水平，體系建設能力，信息保障產品、技術的培訓能力，成為信息保障能力建設的核心；信息保障的感知能力作為體系建設的首要能力，對于其他能力的建設具有基礎性、決定性的重要作用，所以信息保障感知方法研究成了信息安全保密領域的一個熱點課題。

1 信息保障態勢

執行聯合作戰任務的指揮控制活動，可以分為掌握作戰態勢-籌劃推演方案-控制兵力行動-評估作戰效果四個階段。在作戰任務執行過程中，首先要掌握戰場態勢變化，以此為依據開展作戰方案的籌劃和推演，指揮控制參戰兵力，最后根據作戰效果判斷是否繼續實施指揮控制。信息保障態勢是戰場態勢的重要組成部分，包括網絡安全態勢和密碼應用態勢兩個方面。

1.1 聯合戰場態勢

態勢感知是協同作戰與聯合作戰的基礎，美軍已研制并裝備了數量眾多的戰場態勢感知系統，是其建設聯合作戰指揮系統（JC2）的重要任務[1]。

在聯合作戰體系中，各態勢感知系統提供原始數據和信息，為多方實現共同的態勢理解提供支持；其中包括對敵方、我方和中立方的作戰要素部署情況的掌握，對態勢和友方意圖的理解，以及實現在聯網的情報、監視、目標獲取、偵察（ISTAR）和打擊系統支持下指揮意圖實現的各種方案[2]。我方的作戰網絡態勢數據，是在作戰過程中，由各指揮控制席位實施指揮活動產生的，包括通信設施、偵察預警設施和安全保密設施等，其中安全保密設施負責網絡安全態勢的掌握，同時還可以察覺網絡中各類作戰數據流量的狀態。

1.2 網絡安全態勢

網絡安全態勢感知是指利用傳統的通用技術手段，在網絡環境中，采集網絡流量、計算環境、安全事件、運行狀況、威脅情報和審計日志等數據，分析用戶異常行為、網絡異常運行因素所構成的整個網絡實時狀態，獲取、理解和評估能夠引起網絡狀態發生變化的所有要素，預測網絡安全狀態的變化趨勢[3]。

戰場網絡安全態勢感知必須能夠融合可獲取的所有信息，并利用機器學習和大數據等技術，對網絡的安全態勢進行評估，為安全管理員和指揮員提供決策依據，將網絡風險和損失降到最低，在提高網絡的安全監控能力、優化能力、應急處置能力和預警監測能力等方面都具有重要的意義。

1.3 密碼應用態勢

文獻[4]提出密碼應用態勢概念，是指“聯合作戰”指揮系統中，察覺到的密碼技術、密碼設備、密碼系統和密碼服務等基礎數據和動態數據，并由此融合而形成的可供指揮員決策使用的狀態信息。

美軍非常重視聯合作戰指揮系統中的密碼技術研究與密碼產品研制，其基于信息安全技術與裝備的強軍優勢非常明顯[5]。美軍密碼現代化計劃于今年（2020年）完成，綜合集成現有信息處理系統，形成了多手段并用的，快速、大容量、標準化、抗干擾和安全保密一體化的陸海空天電新型密碼裝備保障體系，以滿足以網絡為中心的聯合作戰需要。

為此，我們也迫切需要構建聯合作戰指揮系統的密碼應用態勢感知與密碼應用監管能力，形成密碼應用的“可防護、可處置、可管理、可感知”的態勢察覺體系，對聯合作戰指揮系統的密碼應用進行全面有效監控；著力規避密碼應用可能出現的風險，努力提升戰場信息安全自主化的安全防護能力，對構建可管可控的聯合作戰網絡生態具有重要作用。

2 態勢察覺方法

2.1 聯合察覺

在戰場環境下，信息保障態勢需察覺的設備種類多樣，型譜繁雜，不僅包括各類網絡設備，同時也包括各類密碼設備；必須能夠及時感知作戰流量特征的各項指標并呈現給指揮員，態勢察覺才有實際用途。因此，需要進行通用網絡安全態勢和密碼應用態勢聯合察覺，其察覺架構如圖1所示。

圖1聯合察覺架構示意圖

聯合作戰網絡如今已經逐漸發展演變為一個基于密碼技術的軟件定義網絡（SDN），將通用的網絡安全設備嵌入密碼網絡中，發揮其固有的安全監控能力，從而就可以實現對明文和密文數據流量特征的聯合察覺、分析。聯合作戰指揮信息系統信息保障體系，由技術保障系統提供“支撐”[6]。技術保障系統由安全管理中心、密碼管理中心、數字認證中心、應急響應和恢復中心、審計中心分系統組成，可為聯合察覺提供了技術和裝備基礎，即由安全管理中心和密碼管理中心協同完成安全保密態勢察覺。

2.2 特征提取

網絡流量特征提取是網絡安全保密態勢察覺的前提，可為戰場態勢感知提供信息來源，又可為高層次融合提供態勢信息，最終可用于網絡優化決策支持。

（1）普通流量。相較于傳統網絡來說，對于SDN，則可以從數據平面、控制層面和應用層面全方位提取網絡流量特征值[7]。

（2）加密流量。通過加密流量實施察覺，能夠從協議、應用、服務、異常等方面逐層進行精細化識別，最終實現加密與非加密流量識別、加密協議識別、加密應用識別、加密服務識別和異常加密流量識別等[8]。

網絡流量特征識別的具體類型如表1所示。

表1網絡流量特征類型

2.3 態勢呈現

基于以上分析，結合經過智能化融合的聯合察覺數據，我們可以生成可視化的聯合作戰網絡實時作戰數據流量狀態，如圖2所示。

圖2聯合作戰網絡實時流量狀態示意圖

其中，小圓點表示作戰網絡節點；粗線條箭頭表示指揮控制信息流，細線條箭頭表示偵察情報信息流，中等粗細線條箭頭表示火力打擊信息流。由于在聯合作戰環境下，可能需要將海量戰場數據發送至網絡所有節點，因此，面臨如何優化信息流，從而將網絡高效運行所需的帶寬降到最低的挑戰。基于該流量態勢，運用網絡圖的鄰接矩陣、變分不等式等數學手段，可以將聯合作戰超網絡均衡化，從而完成網絡的優化重構。

3 結束語

在聯合態勢感知體系組織管理下，針對聯合作戰指揮所、軍種指揮所和任務部隊對數據鏈網絡的態勢感知需求，信息保障態勢監控部位根據情報需求及排序清單，基于本文提出的態勢察覺方法，可以有效實施信息安全和密碼應用態勢監控任務規劃，制定保障計劃，確定各態勢處理節點任務和態勢信源、態勢數據調配方案，以及分布式的態勢處理流程；按照制定的保障計劃開展態勢監控任務組織，監視任務執行情況并對情報保障效果進行評估，針對作戰進程和戰場態勢變化情況，及時調整態勢組織保障方案。戰場信息保障態勢的生成，為聯合作戰超網絡均衡研究提供了又一個契機。