[[315730]]

 引言

為應(yīng)對日益突出的網(wǎng)絡(luò)安全問題，多種安全防護(hù)設(shè)備被用來監(jiān)測大量的風(fēng)險(xiǎn)事件，對網(wǎng)絡(luò)進(jìn)行安全防護(hù)，包括入侵檢測系統(tǒng)、防火墻和漏洞檢測系統(tǒng)等。這些設(shè)備僅限于對攻擊行為采取局部的檢測和防護(hù)措施，設(shè)備之間缺乏有效協(xié)作，使得網(wǎng)絡(luò)管理員不能準(zhǔn)確地定位網(wǎng)絡(luò)脆弱點(diǎn)，無法及時(shí)地發(fā)現(xiàn)惡意攻擊以及不能全面地把握網(wǎng)絡(luò)安全狀態(tài)。為彌補(bǔ)安全防護(hù)設(shè)備的不足，學(xué)術(shù)界提出網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，目的是對網(wǎng)絡(luò)入侵行為進(jìn)行主動(dòng)防御，預(yù)先實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)。本文將從網(wǎng)絡(luò)安全態(tài)勢感知的定義、模型以及意義三個(gè)方面對網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行概述。

什么是網(wǎng)絡(luò)安全態(tài)勢感知

已有文獻(xiàn)從不同的角度來定義網(wǎng)絡(luò)安全態(tài)勢感知。

第一、從網(wǎng)絡(luò)系統(tǒng)的角度，Bode等[5]定義網(wǎng)絡(luò)安全態(tài)勢是感知網(wǎng)絡(luò)系統(tǒng)受到隨機(jī)的、有組織的入侵行為，分析網(wǎng)絡(luò)系統(tǒng)過去的、現(xiàn)在的安全事件，評估網(wǎng)絡(luò)安全狀態(tài)以及預(yù)測將來的安全趨勢。

第二、從網(wǎng)絡(luò)信息資產(chǎn)的角度，Masduki等[6]定義網(wǎng)絡(luò)安全態(tài)勢感知能夠分析網(wǎng)絡(luò)信息，識(shí)別網(wǎng)絡(luò)攻擊并評估其對網(wǎng)絡(luò)系統(tǒng)造成的影響，衡量安全風(fēng)險(xiǎn)，幫助網(wǎng)絡(luò)管理員制定決策，得出保護(hù)資產(chǎn)的最佳方法。

第三、從網(wǎng)絡(luò)管理員的角度，Adenusi等[7]指出網(wǎng)絡(luò)安全態(tài)勢感知是處理網(wǎng)絡(luò)系統(tǒng)不確定性的主動(dòng)手段，幫助網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)安全狀態(tài)。

第四、從網(wǎng)絡(luò)信息的角度，Carrega等[8]指出網(wǎng)絡(luò)安全態(tài)勢感知可以在計(jì)算機(jī)操作活動(dòng)中實(shí)現(xiàn)，該操作活動(dòng)集成了與網(wǎng)絡(luò)相關(guān)的所有信息，在識(shí)別攻擊及制定響應(yīng)決策的過程中，這些信息是不可或缺的。

以上定義側(cè)重系統(tǒng)或信息一個(gè)角度來描述網(wǎng)絡(luò)安全態(tài)勢感知，但沒有說明感知的過程和信息的內(nèi)容，也沒有全面涉及網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)數(shù)據(jù)。因此，我們認(rèn)為：網(wǎng)絡(luò)安全態(tài)勢感知是感知網(wǎng)絡(luò)環(huán)境并提取網(wǎng)絡(luò)數(shù)據(jù)，獲取影響網(wǎng)絡(luò)安全態(tài)勢的因素，分析網(wǎng)絡(luò)數(shù)據(jù)和影響因素的相關(guān)性，得到強(qiáng)相關(guān)的影響因素，然后理解這些影響因素，評估網(wǎng)絡(luò)安全狀態(tài)并預(yù)測其發(fā)展趨勢，制定決策，執(zhí)行主動(dòng)防御，實(shí)現(xiàn)安全防護(hù)。

網(wǎng)絡(luò)安全態(tài)勢感知對于網(wǎng)絡(luò)安全防護(hù)具有重要的意義，通過全面把握網(wǎng)絡(luò)安全狀態(tài)及發(fā)展趨勢，能夠有效評估安全事件發(fā)生的可能性，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)攻擊以緩解其造成的危害，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)與傳統(tǒng)安全設(shè)備檢測方式結(jié)合，發(fā)現(xiàn)潛在的惡意入侵行為，提高網(wǎng)絡(luò)系統(tǒng)的反擊能力和應(yīng)急響應(yīng)能力。

網(wǎng)絡(luò)安全態(tài)勢感知模型由哪些部分構(gòu)成

網(wǎng)絡(luò)安全態(tài)勢感知過程是通過感知網(wǎng)絡(luò)環(huán)境來提取網(wǎng)絡(luò)數(shù)據(jù)，并通過理解這些數(shù)據(jù)來評估網(wǎng)絡(luò)安全狀態(tài)和預(yù)測未來發(fā)展趨勢，得到評估和預(yù)測的數(shù)據(jù)用來制定決策，最后采取響應(yīng)措施進(jìn)行主動(dòng)防御，反饋給網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)安全防護(hù)，提高網(wǎng)絡(luò)防御能力。

網(wǎng)絡(luò)安全態(tài)勢感知模型的構(gòu)建分為網(wǎng)絡(luò)環(huán)境感知、態(tài)勢理解和態(tài)勢預(yù)測三部分。

網(wǎng)絡(luò)環(huán)境感知是感知網(wǎng)絡(luò)環(huán)境并提取網(wǎng)絡(luò)數(shù)據(jù)。對于復(fù)雜動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境和繁多冗雜的數(shù)據(jù)，研究者采用防病毒軟件、漏洞掃描、滲透測試、網(wǎng)絡(luò)掃描、密碼破解工具、防火墻和入侵檢測系統(tǒng)等技術(shù)來收集網(wǎng)絡(luò)數(shù)據(jù)，或通過資產(chǎn)列表、風(fēng)險(xiǎn)識(shí)別、調(diào)查、事件響應(yīng)報(bào)告等方式來收集網(wǎng)絡(luò)數(shù)據(jù)。為了獲取全面且準(zhǔn)確的網(wǎng)絡(luò)數(shù)據(jù)，研究者常用條件隨機(jī)場、進(jìn)化神經(jīng)網(wǎng)絡(luò)和聚類分析等方法對原始數(shù)據(jù)進(jìn)行預(yù)處理來提取網(wǎng)絡(luò)數(shù)據(jù)。

態(tài)勢理解是整合提取的網(wǎng)絡(luò)數(shù)據(jù)，分析數(shù)據(jù)之間的相關(guān)性，定位網(wǎng)絡(luò)脆弱點(diǎn)，評估安全事件發(fā)生的可能性，得到評估數(shù)據(jù)來制定決策，進(jìn)行主動(dòng)防御。這部分是網(wǎng)絡(luò)安全態(tài)勢感知的核心，研究人員對不同的數(shù)據(jù)采用不同的方法進(jìn)行分析，其中有自適應(yīng)共振理論模型、貝葉斯網(wǎng)絡(luò)分類器和博弈模型等。

態(tài)勢預(yù)測是基于態(tài)勢理解輸出的網(wǎng)絡(luò)數(shù)據(jù)，預(yù)測網(wǎng)絡(luò)安全狀況，得到預(yù)測數(shù)據(jù)來制定決策，執(zhí)行主動(dòng)防御。這部分是網(wǎng)絡(luò)安全態(tài)勢感知的目標(biāo)，不僅要預(yù)測網(wǎng)絡(luò)威脅攻擊以及攻擊者的下一步行動(dòng)，還要克服對數(shù)據(jù)完整性的依賴，預(yù)測網(wǎng)絡(luò)安全狀態(tài)的發(fā)展趨勢。

網(wǎng)絡(luò)安全態(tài)勢感知的意義

網(wǎng)絡(luò)面臨嚴(yán)峻的數(shù)據(jù)泄漏、惡意攻擊、系統(tǒng)漏洞和病毒入侵等安全問題，網(wǎng)絡(luò)安全防護(hù)技術(shù)引起政府和企業(yè)的廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢感知將網(wǎng)絡(luò)環(huán)境感知、態(tài)勢理解和態(tài)勢預(yù)測三個(gè)部分合為一體，提高了對網(wǎng)絡(luò)安全進(jìn)行持續(xù)監(jiān)測的能力，使得安全人員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常，對攻擊目的、攻擊手段、攻擊路徑以及威脅相關(guān)的影響范圍進(jìn)行快速判斷，從而將網(wǎng)絡(luò)風(fēng)險(xiǎn)和損失降到最低。網(wǎng)絡(luò)安全態(tài)勢感知能夠從宏觀角度分析網(wǎng)絡(luò)安全狀態(tài)，預(yù)測未來趨勢，實(shí)時(shí)感知網(wǎng)絡(luò)威脅，響應(yīng)網(wǎng)絡(luò)攻擊，為決策提供可靠依據(jù)。網(wǎng)絡(luò)安全態(tài)勢感知與漏洞分析、損失評估和機(jī)器學(xué)習(xí)等方法相結(jié)合，幫助網(wǎng)絡(luò)分析師評估風(fēng)險(xiǎn)狀況以及預(yù)測未來發(fā)展趨勢。