網絡安全態勢感知研究

◆王前

（湖南有線電視網絡（集團）股份有限公司 湖南 410003）

1 引言

單一的安全性措施不能充分考慮安全性措施之間的關系，也不能從宏觀角度滿足網絡安全性需求。從宏觀角度評估實時網絡安全狀況，并預測特定條件下網絡安全狀況的發展趨勢，以及旨在提高網絡安全狀況意識的技術是該領域的主要發展目標。

美國為首的發達國家在這一領域投入了大量資源，制定了合理的總體戰略計劃，經過多年的發展和建設，已逐漸掌握了當前的網絡空間安全狀況，并獲得了網絡空間的戰略利益，隨著我國信息技術的飛速發展，家庭網絡的安全性已從信息系統的安全性迅速提升到網絡的安全性。態勢感知可以使網絡安全更加活躍，并已成為近年來網絡安全的熱門話題，越來越多的組織參與了這些研究。

2 網絡安全態勢感知概念

2.1 態勢感知

現在，人們普遍認為，態勢感知的概念源于恩德斯利在1988年首次提出的動態環境中的情境意識的一般定義。同時，他還創建了一個包含基本情境意識的概念模型，從人類意識的角度來看，影響情境意識的感知和因素如圖1所示。其中，核心態勢感知最重要的要素包括：環境要素，了解當前狀況，預測未來狀態及不斷完善后續研究。

圖1 恩德斯利態勢感知概念模型

2.2 網絡安全態勢感知

隨后，態勢感知已逐漸引入信息安全領域，網絡態勢感知對于網絡管理具有著重要地位，因此，網絡安全態勢感知的概念更加成熟，并衍生出許多改進的模型。網絡安全態勢感知技術是利用各種網絡安全技術對數據進行探索，分析和處理，然后提供當前的示意圖。網絡安全性，使網絡安全管理員可以清楚地了解網絡安全性的當前狀態，并通過對目前狀態的了解進行分析，以便采取相應的保護方法來達到網絡安全性的保護效果，圖2所示為網絡安全態勢感知模型。

圖2 網絡安全態勢感知模型

3 網絡安全態勢感知關鍵技術

3.1 網絡安全要素提取

網絡安全元素的提取涉及收集有關網絡環境中相關元素的狀態、屬性和動態的信息，并將信息的提取和合并組合為各種表示形式。從單個項目中提取數據主要用于特定數據。使用工具和軟件從單一角度提取數據僅限于本地或特定的分析需求，并且無法分析全局。因此，許多研究人員開始從多個角度和維度收集數據，以減少在提取和合并多源信息過程中的不確定性。

從安全的角度來看，識別完整的入侵攻擊網絡包括身份驗證，應用程序訪問權限，終端行為檢測，惡意代碼檢測以及記錄攻擊網絡的所有信息，因此，它應該覆蓋每個節點、連接、網絡元素和各種監視數據，例如流量，行為監視，日志，惡意代碼，環境資產等，必須收集包括但不限于環境數據設施，監視靜態和動態數據行為以確保其完整性。

當前，數據收集的主要來源是設備網絡系統配置信息，網絡設備維護日志信息，警報信息和安全工具日志信息，并且通過有效地集成這些信息，可以為高層次、抽象的理解這些信息提供依據。在現階段，冗余數據或情報等檢測結果的準確性仍然存在差距，影響了攻擊的重建，檢測效率不高。例如，許多離線方法用于相關性分析和攻擊過程的重構，不能滿足快速響應的需求。

3.2 網絡安全態勢評估

全面掌握網絡安全的前提是及時識別網絡攻擊活動及其特征，然后通過對這些特征的區別與聯系進行分析，評估攻擊的目的和意圖，大多數研究都分析了攻擊本身和攻擊目的。

常用的有基于數學模型的態勢評估方法，其常用方法包括層次分析法，熵值法、集對分析法等，其中，層次分析法相對簡單，但各層次因素受人的因數影響較大。熵值法比層次分析法更可靠，更準確，但是熵法的缺點是不能降低目標層次的權重，由于無法比較它們之間的級別，因此評估工具的規模很大。集對集分析方法利用關聯度來處理由于偶然性，模糊性和不完整信息而引起許多不確定性，但是在同級分析中構建相同程度的逆向關聯仍然沒有科學依據和公認的方法。

3.3 網絡安全態勢預測

態勢預測技術是指對網絡安全信息進行分析，結合過去經驗和當前理論的綜合和分析，以預測網絡安全的未來趨勢。網絡安全狀況的變化是不確定的，其性質，范圍和目的也不確定，根據網絡安全預測的屬性，可以將常用的網絡安全預測方分為有因果預測法和定性預測法。根據兩者之間的不同關系，由系統變量確定某些因素的可能結果，通過建立正確的數學模型，經過數學模型的計算，推測出網絡安全的發展趨向。定性預測方法是先將前期所收集到的網絡安全要素歸納整理到一起后，依據預先制定好的判斷邏輯和思維，對各種網絡安全信息進行判斷后，預測各個信息的關聯和發展趨勢。

4 網絡安全態勢感知建設思路與發展趨勢

4.1 網絡安全態勢感知建設思路

（1）自主建設態勢感知平臺

此平臺適用于大型組織或特定行業。在操作過程中，可以根據統一的計劃和位置逐步進行操作。在初始階段，應特別注意基礎的建立，主要平臺包括數據捕獲，數據處理，數據分析，監視和財富管理，安全管理系統可以開發各種安全管理子系統，完成響應，安全監視，態勢感知以及諸如預警之類的其他問題，以快速解決子系統質量監控問題；通過建立基本系統和管理配置，具備分析和預測的人工智能，逐步了解自動化管理并提高系統動態性和網絡安全性。

在開發網絡信息安全項目時，我們應著重于建立安全信息中心和威脅中心，建立本地安全信息中心應包括所有業務網絡和交易系統中的所有類型的軟件、硬件和通信，收集相關數據、安全狀態、流量數據、威脅和警報，經過數據處理后，將其存儲在安全的信息中心。威脅信息中心可以查找到對法律的威脅以及本地安全數據，并進行網絡通信和預測安全狀況，提高了網絡安全發展的整體水平以及預測的準確性和完整性。

（2）加強網絡安全運營管理

態勢感知平臺的建設完成后，要充分發揮其作用，就需要加強網絡安全運行管理，建立網絡安全管理機構，建立適當的網絡和規章制度。安全管理組織應當負責信息安全管理，建立信息安全管理體系，完善技術保護措施。因此，需要更清楚地定義管理組織的管理級別，角色，職責，權限和技能要求。在建立規章制度時，可以將數據管理、漏洞管理、運維管理和備份與制定安全管理系統和操作程序的通訊員相結合，并要求有關人員嚴格遵守這些規定，同意加強風險管理，定期評估網絡和業務系統的安全性，并糾正指出的問題和弱點。

（3）加強安全人員建設

為了有效地提高網絡保護能力，有必要將態勢感知與響應相結合，面對網絡安全威脅，必須由人員實施安全策略的調整，有效及時的響應和處理需要高水平的安全人員。因此，在樹立網絡態勢的意識中，安全人員的建設和平臺的建設同等重要：一方面，應加強安全防護，加強對安全人員的教育，加強職業培訓和團隊建設，提高網絡安全工作能力；另一方面，進一步擴大和深化安全人員的專業資格，從而不斷提高網絡安全意識，積累大數據技術等傳統知識。

4.2 網絡安全態勢感知發展趨勢

如今，大多數情境感知系統都提供數據和整個網絡安全風險狀況的分析結果，幫助管理人員做出戰略性安全決策，并根據最終結果調整情境感知模型。大數據分析技術與情境感知并沒有緊密地聯系，許多建立網絡安全態勢感知系統的單位不能全面了解網絡空間的安全狀況，能力有限，無法及時發現安全威脅，無法及早發現攻擊，無法在單位之間共享信息并一致行動，實施應急響應和威懾措施，網絡安全狀況的預測尚未成熟，需要進一步加強。可以預見，未來幾年內，大數據技術將在許多領域迅速發展。因此，態勢感知系統的發展趨勢如下：（1）深度融合大數據和人工智能技術。（2）可以提供精準預測和防御處置建議。（3）研究基于新一代人工智能科學技術的網絡安全態勢預測技術。

5 總結與展望

網絡安全態勢感知包括網絡安全態勢要素提取、網絡安全態勢評估和網絡安全態勢預測這3 個層面，是一個完整的感知過程。不可將其簡單地理解為網絡安全要素的收集、歸納和整理，在不同的網絡環境下，分析的方法和方向是有很大區別的，特殊情況特殊分析，是一個復雜而重要的過程。雖然已經得到了很多研究，以成為網絡安全領域研究的熱點，但長期以來一直沒有引起人們的廣泛關注，也沒有一個清晰的，一致的目標。并且還有很多諸如與之相關的物聯網技術和云計算技術沒有能夠與之有效的結合，技術層面還有許多需要完善和提升的地方，這一技術領域的發展還任重而道遠。