网络安全态势感知研究综述
在2006年之后,有关网络态势感知的模型已经比较完善,相关研究也没有新的显著的进展,态势理解和态势预测作为网络态势感知的重要环节,许多人对这些方面进行更深入的研究。基于模式识别的方法是通过机器学习建立态势模板,经过模式匹配完成对态势的划分,主要有灰色关联分析、粗集理论、神经网络和支持向量机等为代表,利用训练的方法建立模型,然后基于模式的分类来对网络安全态势进行评估。新的技术仍在不断发展。首先分别对
摘要:随着物联网、云计算和数字化的迅速发展,传统网络安全防护技术无法应对复杂的网络威胁。网络安全态势感知能够全面的对网络中各种活动进行辨识、理解和预测。首先分别对态势感知和网络安全态势感知的定义进行了归纳整理,介绍了网络安全态势感知的发展历程和关键技术,最后进行了总结。
1引言
今年来,随着物联网、云计算、大数据和数字化等的迅速发展。各企业都部署了网络设施,网络规模日益扩大,拓扑结构日益复杂,网络安全管理的复杂性日益提高,难度也不断增大。各种检测技术也相继出现,如入侵检测技术、恶意代码检测技术等,然而这些技术都是从某一个角度去发现网络中的问题,没有考虑关联性,无法全面且及时的找到网络中的威胁并能预测到可能受到的威胁。网络安全态势感知(Cyberspace Security Situation Awareness)研究成为近几年来的一个热门的研究领域,它对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及对未来短期的发展趋势的预测。
2 研究目的
新型网络面临多层次的安全威胁
随着信息化和数字化的发展,网络安全形势越来越严峻。从网络设备、传感节点、移动终端、工控设备等基础设施到应用层面临各种各样的威胁。在网络控制层,面临IP地址欺骗、DDoS攻击、控制与数据平面分离以及后门和隐蔽通道。 在应用层,面临木马、蠕虫、病毒等威胁,系统面临APT攻击等。由于政府和大型企业的关键信息基础设施和重要数字系统具有高价值的、大量的数据,往往被黑客组织采用高级持续性威胁(Advanced Persistent Threat,APT)技术攻击。APT攻击针对特定的目标,进行长期的有计划有组织地窃取数据和信息,通常攻击方式隐蔽,且攻击周期可能长达数年,网络安全人员很难发现。
传统安全技术不适用新型威胁
传统的安全防护仅仅依靠部署于边界或特殊节点的防火墙、入侵检测系统(intrusion detection system,IDS)、入侵防御系统(intrusionprevention system, IPS)等安全设备的进行的静态检测。被动式防御已不再适用于高级持续性威胁、0day攻击等新型网络威胁的防护。从目前的技术来看,现有的安全防御措施无法有效解决网络安全问题,亟需对传统的安全防御方法进行优化和改进,形成全面的,能应对多样化和持续化威胁的安全体系。
本文从网络态势感知的定义、主要技术和应用领域进行归纳总结,为安全领域相关研究人员提供参考。本文主要工作如下:
对网络安全态势感知相关定义和模型进行梳理。
对网络安全态势感知的研究进展进行了归纳总结。
对网络安全态势感知关键技术进行了分析。
展望未来的研究趋势。
3 网络安全态势感知的相关概念
态势感知的概念首先由美国空军为了分析空战环境信息、快速判断当前及未来形势,以作出正确反应进而提升空战能力而进行的研究。1988年,Endsley提出态势感知的基本概念,即“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测”[1],提出三层模型(如图1所示):态势要素提取、态势理解和态势预测。1999年,Bass首次提出网络安全态势感知的概念,并且指出“基于融合的网络态势感知”必将成为网络管理的发展方向[2]。网络态势是指由各种网络设备的运行状况、网络行为已经应用软件行为等因素所构成的整个网络的当前状态和变化趋势。
与态势感知一样,网络安全态势感知同样包括三个层次:网络态势要素提取,网络态势理解和网络态势预测。网络态势要素提取通过采集各种网络设备、传感节点等的数据及网络要素,为后续态势分析和预测提供数据基础。网络态势理解主要利用提取的数据,对其进行分析评估当前的网络安全状况。网络态势预测则研判网络安全状态在未来的变化趋势,做到提前应对。
图1 Endsley态势感知模型
4 研究进展
网络安全态势感知首先要收集网络中的数据,进行数据融合,在此基础上建立网络态势感知模型。数据融合是将来自多个信息源的数据收集起来,进行关联、提取,组合和分析。从学者开始研究态势感知以来,经过几十年的发展,态势感知态势以数据融合为中心,提出了几十种网络态势感知模型。主要有Boyd控制模型即OODA控制循环模型[3]、JDL数据融合模型[3]等,后来一些学者在JDL数据融合模型的基础上进行改进,发展出新的一些改进型模型,如Tadda等人提出的Cyber SA模型[4] 、龚正虎等人提出的CSA研究模型[5]。其中有名的是Boyd控制模型(OODA模型),OODA控制循环模型由观察、导向、决策和行动这4个阶段构成一个控制过程环(如图2所示)。OODA模型完整地展示了态势感知的动态执行过程,该模型的循环结构和动态协作能适应复杂的网络空间的态势感知。影响范围最广的是JDL(Joint Directors of Laboratories)数据融合模型。JDL模型分为4个层次:目标细化、态势细化、风险细化、过程细化[3]。态势感知作为第二层次融合,向下从第一层次融合接收网络元素的数据,作为态势感知的信息来源;向上为第三层次提供态势信息,用于威胁分析和决策支持。Tadda等人提出的Cyber SA模型包含日志、配置、任务、攻击、入侵尝试等网络元素,体现出网络的特点。龚正虎等人提出的CSA模型突出动态循环、不断细化的本质,强调反馈的重要作用。
图2 OODA控制模型
在2006年之后,有关网络态势感知的模型已经比较完善,相关研究也没有新的显著的进展,态势理解和态势预测作为网络态势感知的重要环节,许多人对这些方面进行更深入的研究。而态势评估作为态势理解的核心,占有重要地位和作用。所谓态势评估,是指通过汇总、过滤和关联分析网络设备产生的安全事件,建立合适的模型,对网络系统整体上受到的威胁进行评估,从而分析出网络遭受攻击所处阶段,全面掌握网络整体的安全状况。评估方法分成三类:(1)基于数学模型的方法(2)基于知识推理的方法(3)基于模式识别的方法[5]。
基于数学模型的方法以层次分析法、集对分析法、模糊综合分析法、距离偏差法等方法为代表,建立安全指标集与安全态势的对应关系。其缺点是变量的定义涉及的主观因素较多,缺少客观统一的标准,得出的态势感知结果有差别。
基于知识推理的方法是以模糊推理、贝叶斯网络、马尔可夫过程、D-S证据理论[6]等为代表,通过逻辑推理方式对安全态势进行评估。贝叶斯网络时态势评估研究中使用最多的一种方法,迎合态势评估动态、不确定性等特点,引入动态贝叶斯网络进行关于时间的概率推理[7]。从实际应用来看,该类方法对知识的获取途径仍然比较单一,主要依靠专家知识库。专家知识库主要靠经验的累积,其缺点是大量的规则和知识占据了大量空间,而且推理过程也越来越复杂,很难应用到大规模网络中进行评估。
基于模式识别的方法是通过机器学习建立态势模板,经过模式匹配完成对态势的划分,主要有灰色关联分析、粗集理论、神经网络和支持向量机等为代表,利用训练的方法建立模型,然后基于模式的分类来对网络安全态势进行评估。该方法优点是学习能力好,模型建立较为准确,缺点是计算量大,建模时间长。随着芯片和计算技术的发展,计算能力越来越强,机器学习方法得到越来越多学者的关注。
5 网络安全态势感知的关键技术
5.1 基于大数据技术的态势感知
随着网络空间高速发展,数据量激增,安全的整体状况难以描述。而对大数据的处理技术也随之成熟,网络安全态势感知技术逐渐有了新的发展方向,大数据技术特有的海量存储、并行计算、高效查询等特点为大规模网络安全态势感知的关键技术创造了基础。实际的平台架构主要由威胁数据的采集与存储、大数据智能挖掘与分析等构成。文献[8-11]对基于大数据技术的网络安全态势感知进行了研究。另外,大数据技术应用到安全可视分析、用户行为分析中,形成大数据交互式可视分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支,以应对当前的网络安全挑战[8]。
5.2 基于机器学习的态势感知技术
随着机器学习技术的不断拓展和深入,机器学习技术变得越来越成熟,已经在各个领域中得到广泛应用。基于机器学习的态势感知技术也越来越得到人们的重视。机器学习的目的是通过数据训练计算机,使得计算机能够在未来做出改进的决策。机器学习分为有监督学习和无监督学习。在监督学习的数据集中,所有的训练和测试数据都被赋予一个标签值,通过机器学习算法来学习和预测未知数据的标签。在无监督学习中,数据没有标签,需要机器学习算法来找出数据的模式和预测未知数据。谢丽霞设计了一种基于BP(backpropagation)神经网络的网络安全态势评估方法,并且提出一种基于RBF(radical basis function)神经网络的网络安全态势预测方法[13]。刘延华提出一种结合 SMOTE-SVM 算法和 XGBoost 算法的数据分类模型[12]。白云鹏提出一种基于注意力机制卷积神经网的网络安全态势感知研究方法,利用卷积网络权值共享和局部连接特性,减少模型开销,卷积神经网络可以自动提取模型特征而无需人工[14]。文献[15-20]都从神经网络的角度对网络态势感知进行研究。
6 结论
网络安全态势感知包括网络安全态势提取、网络安全态势理解和网络安全预测三个层面,是一个完整的认知过程。尽管该方向的研究已经得到较长时间的关注,但仍未形成完整的、明确一致的目标和体系。新的技术仍在不断发展。大数据技术和机器学习技术在快速发展,对网络安全态势感知的技术发展起到良好的作用。而基于神经网络的网络安全态势感知技术是目前最有前途的方法之一。
参考文献
[1] Endsley MR.Design and evaluation for situation awareness enhancement[C]//Proceedings ofthe Human Factors Society Annual Meeting.Los Angeles,CA:Sage Publications,1988:97-101
[2] Bass T,Gruber D.A glimpse into the future ofid[J].Magazine of Usenix & Sage,1999,24(4):40-45.
[3] Hall D L,Llinas J.An introduction to multisensordata fusion[J].Proceedings of the IEEE,1997,85(1):6-23.
[4] Tadda G,Salerno J, Boulwarea D, Hinmana M, Gorton S. Realizing situation awareness in acyber environment. In: Multisensor BV, ed. Proc. of the Multisource InformationFusion, SPIE Vol.6242. 2006. 1−8.
[5] 龚正虎,卓莹.网络态势感知研究.软件学报,2010,21(7):1605−1619.
[6] Shafer G. AMathematical Theory of Evidence. Princeton: Princeton University Press, 1976.
[7] Zhang Y, Ji Q,Loonet C. Active information fusion for decision making under uncertainty. In:Proc. of the ISIF. 2002. 643−650.
[8] 陈兴蜀, 曾雪梅, 王文贤, 等. 基于大数据的网络安全与情报分析[J/OL]. 工程科学与技术, 2017, 49(3): 1-12. DOI:10.15961/j.jsuese.201600352.
[9] 杨秉宇 . 基于大数据的网络安全态势感知关键技术研究[J]. 软件,2021,42(5):119-121.
[10] 王艳. 大数据技术的网络安全态势感知平台分析[J/OL]. 科技资讯, 2022, 20(17): 30-32. DOI:10.16661/j.cnki.1672-3791.2203-5042-6023.
[11] 叶青. 基于数据挖掘的网络安全态势感知研究[D/OL]. 南京邮电大学, 2019.
[12] 刘延华, 高晓玲, 朱敏琛, 等. 基于数据特征学习的网络安全数据分类方法研究[J]. 信息网络安全, 2019(10): 50-56.
[13] 谢丽霞, 王亚超, 于巾博. 基于神经网络的网络安全态势感知[J/OL]. 清华大学学报(自然科学版), 2013, 53(12): 1750-1760. DOI:10.16511/j.cnki.qhdxxb.2013.12.014.
[14] 白云鹏. 基于注意力机制卷积神经网络的网络安全态势感知研究[D/OL]. 河北师范大学, 2022.
[15] 孟锦,马驰,何加浪,张宏.基于 HHGA-RBF 神经网络的网络安全态势预测模型[J].计算机科学,2011,38(07):70-72.
[16] Lan W,XueL,Zhao Q.Prediction Method for Network Security Situation Based on GeneralizedRBF Neural Network[J].Command Information System andTechnology,2015,82(10):1329-1336.
[17] 陈维鹏,敖志刚,郭杰,等.基于改进的 BP 神经网络的网络空间态势感知系统安全评 估[J].计算机科学,2018,45(S2):335-337+351
[18] 任伟,蒋兴浩,孙锬锋.基于RBF神经网络的网络安全态势预测方法[J].计算机工程与应用,2006,(31): 136
[19] 王伟.基于深度学习的网络流量分类及异常检测方法研究[D].中国科学技术大学,2018
[20] 尤马彦,凌捷,郝彦军.基于Elman神经网络的网络安全态势预测方法[J].计算机科学,2012,第39卷(6): 61-63,76
更多推荐
所有评论(0)