文/龔儉

態(tài)勢(shì)感知是指在特定的時(shí)間和空間下，對(duì)環(huán)境中各元素或?qū)ο蟮挠X(jué)察、理解以及對(duì)未來(lái)狀態(tài)的預(yù)測(cè)。它包含覺(jué)察：數(shù)據(jù)收集；理解：對(duì)象行為及相互影響，以及預(yù)測(cè)：基于規(guī)則的信息映射等不同的內(nèi)容和環(huán)節(jié)。初期，這一概念主要被應(yīng)用于工業(yè)控制領(lǐng)域，美國(guó)空軍通信與信息中心的Tim Bass在1999年首次提出將態(tài)勢(shì)感知技術(shù)應(yīng)用于多個(gè)NIDS檢測(cè)結(jié)果的數(shù)據(jù)融合分析。在互聯(lián)網(wǎng)領(lǐng)域，其應(yīng)用也是一樣。網(wǎng)絡(luò)架構(gòu)中接入的大量網(wǎng)絡(luò)測(cè)量設(shè)備，相當(dāng)于部署了很多雷達(dá)，這些設(shè)備實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的狀態(tài)和可能出現(xiàn)的風(fēng)險(xiǎn)。通過(guò)識(shí)別后將相關(guān)安全問(wèn)題的數(shù)據(jù)收集、融合，再將融合后的數(shù)據(jù)進(jìn)行分辨，以確認(rèn)攻擊行為。然后對(duì)這些攻擊行為進(jìn)行監(jiān)測(cè)和排序，以確定哪個(gè)攻擊行為的威脅度最強(qiáng)，從而對(duì)其作出反應(yīng)。

where A is the sinusoidal test signal;a1is F.S.1.5%of the actuator;f is the test frequency of the system.

網(wǎng)絡(luò)安全態(tài)勢(shì)感知包括三個(gè)級(jí)別，第一是能夠感知攻擊的存在；第二是能夠識(shí)別攻擊者，或攻擊的意圖；最高級(jí)別是風(fēng)險(xiǎn)評(píng)估，通過(guò)對(duì)攻擊者行為的分析，評(píng)估該行為（包括預(yù)期的后續(xù)動(dòng)作）對(duì)網(wǎng)絡(luò)系統(tǒng)有什么危害，從而為決策提供重要的依據(jù)。

目前的網(wǎng)絡(luò)安全檢測(cè)通常包括兩步，一步是異常檢測(cè)，另一步是冗余消除。異常檢測(cè)是基于攻擊的特征和網(wǎng)絡(luò)行為的基本規(guī)律來(lái)辨識(shí)異常網(wǎng)絡(luò)行為的存在。異常檢測(cè)大多數(shù)情況下是通過(guò)提取特征的方式進(jìn)行攻擊的識(shí)別，然后通過(guò)對(duì)網(wǎng)管系統(tǒng)獲取的原始運(yùn)行數(shù)據(jù)，IDS檢測(cè)到的安全事件、原始攻擊報(bào)文等相關(guān)數(shù)據(jù)進(jìn)行處理，通過(guò)格式轉(zhuǎn)化、冗余消除等細(xì)節(jié)操作，進(jìn)行數(shù)據(jù)融合。在此基礎(chǔ)上，通過(guò)某種數(shù)據(jù)挖掘或集群分類的算法，獲得相關(guān)的檢測(cè)結(jié)果。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的對(duì)象行為是指被管網(wǎng)絡(luò)中IP地址和域名的行為語(yǔ)義，包括對(duì)象的行為模型：從時(shí)間、空間的角度；對(duì)象的行為分類：基于語(yǔ)義的異常判斷；對(duì)象的行為關(guān)聯(lián)性：發(fā)現(xiàn)活動(dòng)的語(yǔ)義等?；趯?duì)對(duì)象和行為的分類和整理，可以形成對(duì)態(tài)勢(shì)的認(rèn)知，既對(duì)被管網(wǎng)絡(luò)的威脅評(píng)估。

除了標(biāo)準(zhǔn)協(xié)議之外，赫優(yōu)訊網(wǎng)關(guān)NT100-RE-EN還支持在netSCRIPT的幫助下創(chuàng)建串行協(xié)議，netSCRIPT基于Lua腳本語(yǔ)言。施耐德電氣項(xiàng)目團(tuán)隊(duì)能夠使用功能齊全的開(kāi)發(fā)環(huán)境作為該軟件包的標(biāo)準(zhǔn)功能，可對(duì)任何專有串行協(xié)議進(jìn)行簡(jiǎn)單快速的編程，并可以在轉(zhuǎn)換為另一個(gè)總線協(xié)議期間對(duì)IO數(shù)據(jù)進(jìn)行預(yù)處理。

對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知而言，對(duì)象狀態(tài)的辨識(shí)是基礎(chǔ)性的。例如，對(duì)被管網(wǎng)絡(luò)相關(guān)IP地址和域名的辨識(shí)要包括其管理歸屬信息、使用位置信息、承載服務(wù)的角色信息等。在實(shí)際的操作中態(tài)勢(shì)感知的實(shí)現(xiàn)需要對(duì)大量的數(shù)據(jù)進(jìn)行收集融合和整理，對(duì)相關(guān)數(shù)據(jù)的獲取與管理需要考慮兩類不同的問(wèn)題。鑒于這些數(shù)據(jù)在規(guī)模、結(jié)構(gòu)和處理時(shí)限方面的特征，這是一個(gè)類大數(shù)據(jù)問(wèn)題，需要確定收集什么，保存多久，抽樣方法以及這些數(shù)據(jù)的隱私與安全等問(wèn)題。另一類是相應(yīng)的高性能問(wèn)題，如面對(duì)萬(wàn)兆網(wǎng)絡(luò)環(huán)境，依托多處理器環(huán)境和非標(biāo)準(zhǔn)內(nèi)存數(shù)據(jù)庫(kù)等。

過(guò)去對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的研究主要集中在對(duì)網(wǎng)絡(luò)攻擊行為的檢測(cè)和對(duì)這些檢測(cè)結(jié)果的歸納，而這種歸納通常基于某種特定的理論模型。然而態(tài)勢(shì)感知是一個(gè)認(rèn)知過(guò)程，對(duì)其建立普適的模型仍然是一個(gè)未解決的問(wèn)題。認(rèn)知是一個(gè)反饋的學(xué)習(xí)過(guò)程，預(yù)設(shè)的模型會(huì)表現(xiàn)出對(duì)這個(gè)過(guò)程的限制，因此現(xiàn)有的這類系統(tǒng)都存在局限性和不準(zhǔn)確性?？梢暬治黾夹g(shù)的興起給網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究帶來(lái)新的方向，即系統(tǒng)完成信息收集功能，而將認(rèn)知工作交給人來(lái)做，系統(tǒng)應(yīng)該提供表達(dá)能力和通用分析功能，既支持?jǐn)?shù)據(jù)的探索，使得分析人員可以快速獲得嘗試性結(jié)果。例如，對(duì)于惡意服務(wù)和威脅的可視化，可考慮在知覺(jué)能力的限制基礎(chǔ)上實(shí)現(xiàn)大規(guī)模的圖形可視化，以便于網(wǎng)管人員通過(guò)圖形更加容易地發(fā)現(xiàn)問(wèn)題。