[[315730]]

 引言

為應(yīng)對日益突出的網(wǎng)絡(luò)安全問題，多種安全防護設(shè)備被用來監(jiān)測大量的風險事件，對網(wǎng)絡(luò)進行安全防護，包括入侵檢測系統(tǒng)、防火墻和漏洞檢測系統(tǒng)等。這些設(shè)備僅限于對攻擊行為采取局部的檢測和防護措施，設(shè)備之間缺乏有效協(xié)作，使得網(wǎng)絡(luò)管理員不能準確地定位網(wǎng)絡(luò)脆弱點，無法及時地發(fā)現(xiàn)惡意攻擊以及不能全面地把握網(wǎng)絡(luò)安全狀態(tài)。為彌補安全防護設(shè)備的不足，學(xué)術(shù)界提出網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，目的是對網(wǎng)絡(luò)入侵行為進行主動防御，預(yù)先實現(xiàn)網(wǎng)絡(luò)安全防護。本文將從網(wǎng)絡(luò)安全態(tài)勢感知的定義、模型以及意義三個方面對網(wǎng)絡(luò)安全態(tài)勢感知進行概述。

什么是網(wǎng)絡(luò)安全態(tài)勢感知

已有文獻從不同的角度來定義網(wǎng)絡(luò)安全態(tài)勢感知。

第一、從網(wǎng)絡(luò)系統(tǒng)的角度，Bode等[5]定義網(wǎng)絡(luò)安全態(tài)勢是感知網(wǎng)絡(luò)系統(tǒng)受到隨機的、有組織的入侵行為，分析網(wǎng)絡(luò)系統(tǒng)過去的、現(xiàn)在的安全事件，評估網(wǎng)絡(luò)安全狀態(tài)以及預(yù)測將來的安全趨勢。

第二、從網(wǎng)絡(luò)信息資產(chǎn)的角度，Masduki等[6]定義網(wǎng)絡(luò)安全態(tài)勢感知能夠分析網(wǎng)絡(luò)信息，識別網(wǎng)絡(luò)攻擊并評估其對網(wǎng)絡(luò)系統(tǒng)造成的影響，衡量安全風險，幫助網(wǎng)絡(luò)管理員制定決策，得出保護資產(chǎn)的最佳方法。

第三、從網(wǎng)絡(luò)管理員的角度，Adenusi等[7]指出網(wǎng)絡(luò)安全態(tài)勢感知是處理網(wǎng)絡(luò)系統(tǒng)不確定性的主動手段，幫助網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)安全狀態(tài)。

第四、從網(wǎng)絡(luò)信息的角度，Carrega等[8]指出網(wǎng)絡(luò)安全態(tài)勢感知可以在計算機操作活動中實現(xiàn)，該操作活動集成了與網(wǎng)絡(luò)相關(guān)的所有信息，在識別攻擊及制定響應(yīng)決策的過程中，這些信息是不可或缺的。

以上定義側(cè)重系統(tǒng)或信息一個角度來描述網(wǎng)絡(luò)安全態(tài)勢感知，但沒有說明感知的過程和信息的內(nèi)容，也沒有全面涉及網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)數(shù)據(jù)。因此，我們認為：網(wǎng)絡(luò)安全態(tài)勢感知是感知網(wǎng)絡(luò)環(huán)境并提取網(wǎng)絡(luò)數(shù)據(jù)，獲取影響網(wǎng)絡(luò)安全態(tài)勢的因素，分析網(wǎng)絡(luò)數(shù)據(jù)和影響因素的相關(guān)性，得到強相關(guān)的影響因素，然后理解這些影響因素，評估網(wǎng)絡(luò)安全狀態(tài)并預(yù)測其發(fā)展趨勢，制定決策，執(zhí)行主動防御，實現(xiàn)安全防護。

網(wǎng)絡(luò)安全態(tài)勢感知對于網(wǎng)絡(luò)安全防護具有重要的意義，通過全面把握網(wǎng)絡(luò)安全狀態(tài)及發(fā)展趨勢，能夠有效評估安全事件發(fā)生的可能性，實時監(jiān)測網(wǎng)絡(luò)攻擊以緩解其造成的危害，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)與傳統(tǒng)安全設(shè)備檢測方式結(jié)合，發(fā)現(xiàn)潛在的惡意入侵行為，提高網(wǎng)絡(luò)系統(tǒng)的反擊能力和應(yīng)急響應(yīng)能力。

網(wǎng)絡(luò)安全態(tài)勢感知模型由哪些部分構(gòu)成

網(wǎng)絡(luò)安全態(tài)勢感知過程是通過感知網(wǎng)絡(luò)環(huán)境來提取網(wǎng)絡(luò)數(shù)據(jù)，并通過理解這些數(shù)據(jù)來評估網(wǎng)絡(luò)安全狀態(tài)和預(yù)測未來發(fā)展趨勢，得到評估和預(yù)測的數(shù)據(jù)用來制定決策，最后采取響應(yīng)措施進行主動防御，反饋給網(wǎng)絡(luò)環(huán)境實現(xiàn)安全防護，提高網(wǎng)絡(luò)防御能力。

網(wǎng)絡(luò)安全態(tài)勢感知模型的構(gòu)建分為網(wǎng)絡(luò)環(huán)境感知、態(tài)勢理解和態(tài)勢預(yù)測三部分。

網(wǎng)絡(luò)環(huán)境感知是感知網(wǎng)絡(luò)環(huán)境并提取網(wǎng)絡(luò)數(shù)據(jù)。對于復(fù)雜動態(tài)的網(wǎng)絡(luò)環(huán)境和繁多冗雜的數(shù)據(jù)，研究者采用防病毒軟件、漏洞掃描、滲透測試、網(wǎng)絡(luò)掃描、密碼破解工具、防火墻和入侵檢測系統(tǒng)等技術(shù)來收集網(wǎng)絡(luò)數(shù)據(jù)，或通過資產(chǎn)列表、風險識別、調(diào)查、事件響應(yīng)報告等方式來收集網(wǎng)絡(luò)數(shù)據(jù)。為了獲取全面且準確的網(wǎng)絡(luò)數(shù)據(jù)，研究者常用條件隨機場、進化神經(jīng)網(wǎng)絡(luò)和聚類分析等方法對原始數(shù)據(jù)進行預(yù)處理來提取網(wǎng)絡(luò)數(shù)據(jù)。

態(tài)勢理解是整合提取的網(wǎng)絡(luò)數(shù)據(jù)，分析數(shù)據(jù)之間的相關(guān)性，定位網(wǎng)絡(luò)脆弱點，評估安全事件發(fā)生的可能性，得到評估數(shù)據(jù)來制定決策，進行主動防御。這部分是網(wǎng)絡(luò)安全態(tài)勢感知的核心，研究人員對不同的數(shù)據(jù)采用不同的方法進行分析，其中有自適應(yīng)共振理論模型、貝葉斯網(wǎng)絡(luò)分類器和博弈模型等。

態(tài)勢預(yù)測是基于態(tài)勢理解輸出的網(wǎng)絡(luò)數(shù)據(jù)，預(yù)測網(wǎng)絡(luò)安全狀況，得到預(yù)測數(shù)據(jù)來制定決策，執(zhí)行主動防御。這部分是網(wǎng)絡(luò)安全態(tài)勢感知的目標，不僅要預(yù)測網(wǎng)絡(luò)威脅攻擊以及攻擊者的下一步行動，還要克服對數(shù)據(jù)完整性的依賴，預(yù)測網(wǎng)絡(luò)安全狀態(tài)的發(fā)展趨勢。

網(wǎng)絡(luò)安全態(tài)勢感知的意義

網(wǎng)絡(luò)面臨嚴峻的數(shù)據(jù)泄漏、惡意攻擊、系統(tǒng)漏洞和病毒入侵等安全問題，網(wǎng)絡(luò)安全防護技術(shù)引起政府和企業(yè)的廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢感知將網(wǎng)絡(luò)環(huán)境感知、態(tài)勢理解和態(tài)勢預(yù)測三個部分合為一體，提高了對網(wǎng)絡(luò)安全進行持續(xù)監(jiān)測的能力，使得安全人員及時發(fā)現(xiàn)網(wǎng)絡(luò)異常，對攻擊目的、攻擊手段、攻擊路徑以及威脅相關(guān)的影響范圍進行快速判斷，從而將網(wǎng)絡(luò)風險和損失降到最低。網(wǎng)絡(luò)安全態(tài)勢感知能夠從宏觀角度分析網(wǎng)絡(luò)安全狀態(tài)，預(yù)測未來趨勢，實時感知網(wǎng)絡(luò)威脅，響應(yīng)網(wǎng)絡(luò)攻擊，為決策提供可靠依據(jù)。網(wǎng)絡(luò)安全態(tài)勢感知與漏洞分析、損失評估和機器學(xué)習(xí)等方法相結(jié)合，幫助網(wǎng)絡(luò)分析師評估風險狀況以及預(yù)測未來發(fā)展趨勢。