[[316435]]

摘 要

上篇文章《網(wǎng)絡安全態(tài)勢感知綜述(一)》對網(wǎng)絡安全態(tài)勢感知的定義、模型構成、意義進行了闡述，本篇則主要對構建網(wǎng)絡安全態(tài)勢感知模型的網(wǎng)絡環(huán)境感知、態(tài)勢理解和態(tài)勢預測三個部分的建模過程和常用方法進行了分析，并對網(wǎng)絡安全態(tài)勢感知進行總結與展望。

如何構建網(wǎng)絡環(huán)境感知模型?

網(wǎng)絡環(huán)境感知是網(wǎng)絡安全態(tài)勢感知的基礎，網(wǎng)絡環(huán)境感知的過程包括數(shù)據(jù)采集、數(shù)據(jù)預處理和感知結果三部分。數(shù)據(jù)采集是基于網(wǎng)絡分析師的需求或者基于網(wǎng)絡安全態(tài)勢指標(脆弱性、容災性、威脅性和穩(wěn)定性)對感知的網(wǎng)絡環(huán)境數(shù)據(jù)進行采集，為數(shù)據(jù)預處理提供原始數(shù)據(jù)。數(shù)據(jù)預處理是通過數(shù)據(jù)處理算法對原始數(shù)據(jù)進行標準化和分類處理，產(chǎn)生規(guī)范化數(shù)據(jù)，從中提取特征數(shù)據(jù)或態(tài)勢因子，保證數(shù)據(jù)的全面性和精確性，為態(tài)勢理解奠定基礎。

網(wǎng)絡環(huán)境數(shù)據(jù)復雜多樣，為了全面地提取特征數(shù)據(jù)或態(tài)勢因子，研究者針對數(shù)據(jù)的不同特征，提出多種數(shù)據(jù)處理算法并得到規(guī)范化數(shù)據(jù)，實時保存感知到的網(wǎng)絡數(shù)據(jù)，從而提高網(wǎng)絡環(huán)境感知的速度和效率。常用的算法有條件隨機場和進化神經(jīng)網(wǎng)絡的態(tài)勢因子提取方法。

• 條件隨機場是判別式概率模型，通過標注或分析信息對數(shù)據(jù)進行預處理，獲取特征數(shù)據(jù)。
• 基于進化神經(jīng)網(wǎng)絡的態(tài)勢因子提取方法是以神經(jīng)網(wǎng)絡算法為基礎，采用進化策略優(yōu)化神經(jīng)網(wǎng)絡參數(shù)，建立進化神經(jīng)網(wǎng)絡模型，提取態(tài)勢因子，實現(xiàn)網(wǎng)絡安全態(tài)勢感知量化，解決信息不全面的問題。

除此之外，其他研究者還采用了聚類分析和可擴展的分層數(shù)據(jù)模型等方法。

如何構建態(tài)勢理解模型?

態(tài)勢理解是網(wǎng)絡安全態(tài)勢感知的核心，通過分析特征數(shù)據(jù)或態(tài)勢因子之間的相關性得到影響網(wǎng)絡安全態(tài)勢的強相關因素，依據(jù)這些強相關因素，識別網(wǎng)絡攻擊，定位網(wǎng)絡脆弱點，檢測網(wǎng)絡威脅。在此之后，評估已有攻擊造成的損失和危害，并同時通過計算網(wǎng)絡威脅的頻率和分析網(wǎng)絡脆弱的程度來評估安全事件發(fā)生的可能性，得到評估數(shù)據(jù)。依據(jù)這些評估數(shù)據(jù)來制定決策，執(zhí)行主動防御反饋到網(wǎng)絡環(huán)境，從而提高網(wǎng)絡環(huán)境的防御能力，實現(xiàn)安全防護。

為了實現(xiàn)網(wǎng)絡安全防護，研究者常用的方法有自適應共振理論模型、貝葉斯網(wǎng)絡分類器和博弈模型。

• 自適應共振理論模型能夠自適應網(wǎng)絡動態(tài)環(huán)境，識別網(wǎng)絡攻擊，定位網(wǎng)絡脆弱點。
• 貝葉斯網(wǎng)絡分類器解決特征數(shù)據(jù)不確定性問題，分析網(wǎng)絡流量，檢測網(wǎng)絡威脅，對網(wǎng)絡攻擊的不同特征進行分類以評估其造成的損失。
• 博弈模型用來評估攻擊、防御雙方產(chǎn)生的風險，刻畫動態(tài)攻防過程，主動尋找最優(yōu)防御策略，實現(xiàn)安全防護，降低風險損失。

除此之外，其他研究者還采用網(wǎng)絡流量分析技術和基于深度學習的多級彈性檢測框架等方法。研究人員將自適應共振理論、貝葉斯網(wǎng)絡分類器及博弈模型等方法應用于網(wǎng)絡安全領域，可以處理網(wǎng)絡事件、降低人工成本、檢測網(wǎng)絡攻擊、分類網(wǎng)絡流量、檢測實時消息、開展態(tài)勢評估及實施主動防御。

如何構建態(tài)勢預測模型?

態(tài)勢預測是網(wǎng)絡安全態(tài)勢感知的目的，依據(jù)態(tài)勢理解輸出的評估數(shù)據(jù)，找出網(wǎng)絡攻擊的潛在規(guī)律，確定潛在的網(wǎng)絡威脅，以此為基礎來預測網(wǎng)絡安全狀況，包括預測網(wǎng)絡攻擊者的下一步行動、網(wǎng)絡攻擊的次數(shù)和網(wǎng)絡安全狀態(tài)的發(fā)展趨勢，得到預測數(shù)據(jù)，再通過分析這些預測數(shù)據(jù)來制定決策，執(zhí)行主動防御反饋到網(wǎng)絡環(huán)境，從而提高網(wǎng)絡環(huán)境的防御能力，實現(xiàn)安全防護。

為了在網(wǎng)絡攻擊發(fā)生之前主動采取防御措施，加強網(wǎng)絡安全防護。研究者常用自回歸整合移動平均預測模型、隱馬爾可夫模型和灰色預測模型。

• 自回歸整合移動平均預測模型分析歷史網(wǎng)絡數(shù)據(jù)，預測網(wǎng)絡攻擊次數(shù)和攻擊者下一步行動。
• 隱馬爾可夫模型在網(wǎng)絡攻擊數(shù)據(jù)不確定情況下，克服對網(wǎng)絡數(shù)據(jù)完整性的依賴，預測網(wǎng)絡安全發(fā)展趨勢，采取預防措施執(zhí)行主動防御。
• 灰色預測模型對既有已知信息，又有未知或不確定信息的網(wǎng)絡系統(tǒng)進行預測，不僅可以提高模型的預測精度，還能準確地預測網(wǎng)絡安全發(fā)展趨勢。

除此之外，其他研究者還采用遞歸神經(jīng)網(wǎng)絡的新型惡意軟件預測模型、信念規(guī)則庫模型和RiskTeller風險預測模型等方法。研究人員將自回歸整合移動平均預測模型、隱馬爾可夫模型及灰色預測模型等方法應用于網(wǎng)絡安全領域，可以處理預測攻擊次數(shù)、預測攻擊者下一步行動、預測網(wǎng)絡安全發(fā)展趨勢、處理不確定信息、縮短預測時間、預測網(wǎng)絡事件的風險、提高預測精度及實施主動防御。

總結與未來展望

網(wǎng)絡安全態(tài)勢感知作為一種實現(xiàn)安全防護的新興技術，得到學術界和企業(yè)界的廣泛關注，已有一系列研究成果。本文梳理了網(wǎng)絡安全態(tài)勢感知基本概念并提出了網(wǎng)絡安全態(tài)勢感知的定義;依據(jù)網(wǎng)絡安全態(tài)勢感知過程構建了網(wǎng)絡安全態(tài)勢感知模型，并將其分為網(wǎng)絡環(huán)境感知、態(tài)勢理解和態(tài)勢預測三個部分，介紹了各部分的研究過程、研究方法以及研究目的;描述了網(wǎng)絡安全態(tài)勢感知意義;對模型的各部分建立網(wǎng)絡環(huán)境感知模型、態(tài)勢理解模型和態(tài)勢預測模型，并描述各部分的建模過程、常用方法及其能夠?qū)崿F(xiàn)的功能。

未來展望：

• 現(xiàn)有網(wǎng)絡安全態(tài)勢感知技術沒有固定且統(tǒng)一的模型，研究人員根據(jù)網(wǎng)絡安全需求的變化建立不同的模型。
• 已有工作側重于對網(wǎng)絡環(huán)境感知、態(tài)勢理解和態(tài)勢預測某個部分的研究，沒有整體的研究方法與通用的標準模型。
• 與傳統(tǒng)的安全設備檢測方式相比，網(wǎng)絡安全態(tài)勢感知技術需要在網(wǎng)絡攻擊發(fā)生之前阻止攻擊行為，這就要求與網(wǎng)絡環(huán)境狀態(tài)保持高度一致。
• 現(xiàn)有的網(wǎng)絡安全態(tài)勢感知技術在根據(jù)網(wǎng)絡環(huán)境進行實時動態(tài)調(diào)整的能力上還有所欠缺，已有的網(wǎng)絡安全態(tài)勢感知框架與網(wǎng)絡環(huán)境契合度有待完善。