導(dǎo)語(yǔ)：網(wǎng)絡(luò)安全態(tài)勢(shì)感知層次化建模研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著移動(dòng)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模越來(lái)越大，網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜，國(guó)內(nèi)的網(wǎng)民數(shù)量迅猛增加，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出，從分析網(wǎng)絡(luò)整體安全狀況入手的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究也越來(lái)越受重視。安全態(tài)勢(shì)感知是指在一定時(shí)間和空間下的大規(guī)模網(wǎng)絡(luò)環(huán)境中，采用綜合防御機(jī)制，將網(wǎng)絡(luò)中傳感器收集并記載在各個(gè)安全設(shè)備上的各類(lèi)網(wǎng)絡(luò)狀況信息加以融合，并快速提取從而識(shí)別分辨出威脅、攻擊等破壞網(wǎng)絡(luò)安全的行為，進(jìn)而整合分析各個(gè)安全要素，得到網(wǎng)絡(luò)安全狀況的評(píng)估值。在評(píng)估網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，感知網(wǎng)絡(luò)安全的狀態(tài)和發(fā)展趨勢(shì)與變化規(guī)律并做出相應(yīng)的應(yīng)對(duì)策略，也就是嚴(yán)謹(jǐn)預(yù)測(cè)未來(lái)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)變化走勢(shì)。整個(gè)安全態(tài)勢(shì)感知過(guò)程中依次包括覺(jué)察、理解、評(píng)估、預(yù)測(cè)和決策等五個(gè)因素。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一種主動(dòng)的安全防御機(jī)制，可以有效地實(shí)現(xiàn)深度防御[1]。態(tài)勢(shì)感知的目標(biāo)是采用改進(jìn)的態(tài)勢(shì)感知算法，實(shí)現(xiàn)態(tài)勢(shì)感知的自動(dòng)化，自動(dòng)獲得自我感知，并開(kāi)展自我保護(hù)。

1網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究

在研究網(wǎng)絡(luò)安全態(tài)勢(shì)感知的過(guò)程中，先要構(gòu)建出合適的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，研究者們?cè)谶^(guò)去的三十多年中先后提出了大約有三十多個(gè)適合的態(tài)勢(shì)感知模型。在這些模型中，應(yīng)用最廣泛的是1984年美國(guó)國(guó)防部提出的融合模型JDL模型[2]、1988年Endsley提出的EndsleySA模型[3]和1999年TimBass針對(duì)分布式人侵檢測(cè)提出的融合模型TimBass模型[4]，后來(lái)提出的感知模型都是在這三個(gè)模型上的升華和改進(jìn)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的具體實(shí)施過(guò)程首先是通過(guò)傳感器采集網(wǎng)絡(luò)安全設(shè)備上記載的監(jiān)測(cè)、過(guò)濾、防護(hù)等信息，再提取態(tài)勢(shì)要素，進(jìn)行態(tài)勢(shì)理解與安全態(tài)勢(shì)評(píng)估，最后再對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境未來(lái)可能出現(xiàn)的變化趨勢(shì)進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知過(guò)程如圖1所示。文獻(xiàn)[5]在經(jīng)過(guò)對(duì)態(tài)勢(shì)感知的研究之后將網(wǎng)絡(luò)安全態(tài)勢(shì)感知分為三個(gè)部分，即網(wǎng)絡(luò)安全態(tài)勢(shì)覺(jué)察、網(wǎng)絡(luò)安全態(tài)勢(shì)理解以及網(wǎng)絡(luò)安全態(tài)勢(shì)投射三個(gè)層次。這其中，態(tài)勢(shì)覺(jué)察主要完成對(duì)初始數(shù)據(jù)的提取并分辨初始數(shù)據(jù)中的關(guān)聯(lián)信息，即對(duì)源數(shù)據(jù)進(jìn)行降噪、規(guī)范化處理，得到具體有效的信息，其主要目的是辨識(shí)出系統(tǒng)中的活動(dòng)。態(tài)勢(shì)理解主要是實(shí)施對(duì)分辨出的關(guān)聯(lián)信息進(jìn)行理解的工作，在有關(guān)的基礎(chǔ)上分析當(dāng)前的安全形勢(shì)，有無(wú)安全攻擊行為的發(fā)生以及對(duì)安全等級(jí)的評(píng)定。態(tài)勢(shì)投射主要完成這些活動(dòng)意圖是否會(huì)產(chǎn)生攻擊的判斷任務(wù)，即在前兩步的基礎(chǔ)上分析并評(píng)估各個(gè)活動(dòng)對(duì)當(dāng)前系統(tǒng)環(huán)境的影響，并進(jìn)一步判斷是否會(huì)對(duì)系統(tǒng)環(huán)境造成威脅，包括發(fā)現(xiàn)已經(jīng)產(chǎn)生的威脅和預(yù)測(cè)可能產(chǎn)生的威脅。基于此概念，本文將對(duì)源數(shù)據(jù)的預(yù)處理、數(shù)據(jù)信息的建模、以及模型信息的采集作為態(tài)勢(shì)覺(jué)察層進(jìn)行分類(lèi)，而將與信息理解有關(guān)的機(jī)器學(xué)習(xí)模塊以及要素提取作為態(tài)勢(shì)理解層進(jìn)行分類(lèi)。需要注意的是，對(duì)模型信息的處理和對(duì)機(jī)器學(xué)習(xí)的評(píng)判這兩者之間需要持續(xù)不斷的進(jìn)行反饋以修正最終的態(tài)勢(shì)評(píng)級(jí)，將態(tài)勢(shì)指標(biāo)可視化和態(tài)勢(shì)指標(biāo)評(píng)級(jí)作為態(tài)勢(shì)投射層進(jìn)行分類(lèi)，所建立的層次化模型如圖2所示。通常情況下網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)中心收集到的安全態(tài)勢(shì)數(shù)據(jù)本身并不符合規(guī)范，如果直接輸人安全態(tài)勢(shì)感知源數(shù)據(jù)會(huì)導(dǎo)致計(jì)算量過(guò)大、數(shù)據(jù)維數(shù)過(guò)高而難以處理，因此必須對(duì)源數(shù)據(jù)進(jìn)行前期處理，提取數(shù)據(jù)的顯著性特征，將有代表性的樣本態(tài)勢(shì)感知關(guān)鍵字提取為顯著性特征，這樣才能體現(xiàn)出不同情況下不同的網(wǎng)絡(luò)狀態(tài)特征，由此得到網(wǎng)絡(luò)安全態(tài)勢(shì)感知流程如圖3所示。

2網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取框架

網(wǎng)絡(luò)安全態(tài)勢(shì)理解與評(píng)估之后的態(tài)勢(shì)預(yù)測(cè)結(jié)果的準(zhǔn)確度，在很大程度上取決于安全態(tài)勢(shì)特征要素的提取。安全事件的預(yù)處理與態(tài)勢(shì)要素的提取定位于網(wǎng)絡(luò)安全態(tài)勢(shì)感知底層，其中態(tài)勢(shì)要素提取性能的優(yōu)劣在很大程度上決定著安全態(tài)勢(shì)感知結(jié)果的準(zhǔn)確度。網(wǎng)絡(luò)安全態(tài)勢(shì)特征要素提取網(wǎng)絡(luò)的安全態(tài)勢(shì)要素主要包括網(wǎng)絡(luò)的拓?fù)湫畔?、脆弱性信息和狀態(tài)信息等靜態(tài)的配置信息和各種防護(hù)措施的日志采集和分析技術(shù)獲取的威脅信息等動(dòng)態(tài)的運(yùn)行信息等[6]。網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取的核心就是準(zhǔn)確地分類(lèi)識(shí)別出網(wǎng)絡(luò)中記載的海量安全數(shù)據(jù)，了解把握網(wǎng)絡(luò)實(shí)時(shí)的受攻擊與被威脅的情況，為下一步評(píng)估網(wǎng)絡(luò)安全狀況提供數(shù)據(jù)支撐。因此，判斷態(tài)勢(shì)要素提取方法好壞的標(biāo)準(zhǔn)有兩個(gè)：一是識(shí)別攻擊數(shù)據(jù)的準(zhǔn)確度；二是消耗時(shí)間的收斂度。大多數(shù)規(guī)模大的網(wǎng)絡(luò)都會(huì)呈現(xiàn)出節(jié)點(diǎn)數(shù)量多、拓?fù)浣Y(jié)構(gòu)復(fù)雜、傳輸流量大、子網(wǎng)眾多等特點(diǎn)，并且網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，包括多種不同結(jié)構(gòu)的網(wǎng)絡(luò)和不同類(lèi)型的應(yīng)用平臺(tái)，因此適宜采用層次化態(tài)勢(shì)要素提取模型，其框架結(jié)構(gòu)如圖4所示。絡(luò)全局分析和局部分析組成，提取過(guò)程實(shí)施先局部后整體的原則，態(tài)勢(shì)要素的采集是通過(guò)融合傳感器傳輸?shù)母黝?lèi)網(wǎng)絡(luò)安全數(shù)據(jù)實(shí)現(xiàn)。通過(guò)學(xué)習(xí)輸入?yún)R總到分類(lèi)器中的歷史安全數(shù)據(jù)集和當(dāng)前安全數(shù)據(jù)集，生成一種學(xué)習(xí)規(guī)則，用這種學(xué)習(xí)規(guī)則來(lái)指導(dǎo)網(wǎng)絡(luò)局部模塊的數(shù)據(jù)分析，在局部模塊中經(jīng)過(guò)統(tǒng)計(jì)與分析后形成的數(shù)據(jù)再被反饋傳輸?shù)饺址治瞿K，通過(guò)這種數(shù)據(jù)分析機(jī)制可以將網(wǎng)絡(luò)中的局部態(tài)勢(shì)要素及全局態(tài)勢(shì)要素都提取到。目前分類(lèi)器分類(lèi)所采用的方法比較多，本文所采用的層次化安全態(tài)勢(shì)要素提取框架中分類(lèi)器采用近年來(lái)得到深入研究并推廣應(yīng)用的聚類(lèi)方法來(lái)進(jìn)行分類(lèi)特征提取，通過(guò)聚類(lèi)方法將態(tài)勢(shì)感知數(shù)據(jù)集分類(lèi)，從而分辨出正常網(wǎng)絡(luò)行為和異常網(wǎng)絡(luò)行為。

3網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

在態(tài)勢(shì)感知過(guò)程中，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是融合分析各種安全設(shè)備在網(wǎng)絡(luò)環(huán)境中采集到的各類(lèi)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)，結(jié)合歷史態(tài)勢(shì)數(shù)據(jù)及來(lái)自網(wǎng)絡(luò)安全特征屬性的相關(guān)領(lǐng)域知識(shí),借助數(shù)學(xué)模型對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)進(jìn)行綜合評(píng)估，得到安全級(jí)別劃分和安全分類(lèi)聚類(lèi)。人工制定安全級(jí)別和對(duì)相應(yīng)的威脅程度進(jìn)行級(jí)別劃分，同時(shí)采用聚類(lèi)的方法施以動(dòng)態(tài)調(diào)整進(jìn)行安全分類(lèi)，這通常是用概率值或權(quán)重值來(lái)表示，以便指導(dǎo)網(wǎng)絡(luò)安全管理人員有的放矢地作出決策和做好安全防護(hù)準(zhǔn)備。

4結(jié)語(yǔ)

本文采用層次化的機(jī)制來(lái)研究安全態(tài)勢(shì)感知的三層模型構(gòu)建和其技術(shù)路線，依據(jù)局部與整體相結(jié)合的原則來(lái)提取安全態(tài)勢(shì)要素，在此基礎(chǔ)上得出層次化安全態(tài)勢(shì)要素提取框架圖，進(jìn)而總結(jié)了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估過(guò)程。由于目前所采用的傳統(tǒng)評(píng)估與要素提取框架模型方法逐漸不能滿足需求，因此越來(lái)越多的研究正在朝智能化方向發(fā)展，也就是在全面準(zhǔn)確快速地評(píng)估安全態(tài)勢(shì)的基礎(chǔ)上，實(shí)現(xiàn)自動(dòng)感知與自我保護(hù)等智能化的安全態(tài)勢(shì)感知。

作者:陳宏 單位:湖南女子學(xué)院信息科學(xué)與工程學(xué)