毛軍禮，汲錫林

(1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；2.中國(guó)電子設(shè)備系統(tǒng)工程公司研究所，北京 100141)

0　引言

網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace situational Awareness，CSA)的概念[1]在1999年首次提出。網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶(hù)行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢(shì)。態(tài)勢(shì)強(qiáng)調(diào)環(huán)境、動(dòng)態(tài)性以及實(shí)體間的關(guān)系，是一種狀態(tài)、一種趨勢(shì)、一個(gè)整體和宏觀的概念，任何單一的情況或狀態(tài)都不能稱(chēng)其為態(tài)勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的要素進(jìn)行獲取、理解、評(píng)估、顯示以及對(duì)未來(lái)發(fā)展趨勢(shì)的預(yù)測(cè)。態(tài)勢(shì)感知能力是網(wǎng)絡(luò)化信息服務(wù)能力的重要組成部分。

網(wǎng)絡(luò)態(tài)勢(shì)感知的目標(biāo)是將態(tài)勢(shì)感知的成熟理論和技術(shù)應(yīng)用于網(wǎng)絡(luò)管理，在急劇動(dòng)態(tài)變化的復(fù)雜環(huán)境中，高效組織各種信息，將已有的表示網(wǎng)絡(luò)局部特征的指標(biāo)綜合化，使其能夠表示網(wǎng)絡(luò)的宏觀、整體狀態(tài)，加強(qiáng)管理員對(duì)網(wǎng)絡(luò)的理解能力，為高層指揮人員提供決策支持。隨著信息化技術(shù)的深入發(fā)展，網(wǎng)絡(luò)空間產(chǎn)生的數(shù)據(jù)數(shù)量級(jí)迅速加大、數(shù)據(jù)類(lèi)型更為復(fù)雜、數(shù)據(jù)的來(lái)源愈加多樣、病毒和攻擊事件更加隱蔽，亟需研究大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)。

1　網(wǎng)絡(luò)態(tài)勢(shì)感知研究框架

網(wǎng)絡(luò)態(tài)勢(shì)感知作為數(shù)據(jù)融合的一部分，向下從Level 1融合獲取各類(lèi)感知數(shù)據(jù)，向上為L(zhǎng)evel 3融合提供態(tài)勢(shì)信息，用于威脅分析和決策支持。網(wǎng)絡(luò)態(tài)勢(shì)感知研究包括多方面內(nèi)容，其總體研究框架[2]如圖1所示。

圖1　網(wǎng)絡(luò)態(tài)勢(shì)感知研究框架

網(wǎng)絡(luò)態(tài)勢(shì)感知包括態(tài)勢(shì)元素提取、當(dāng)前態(tài)勢(shì)分析和未來(lái)態(tài)勢(shì)預(yù)測(cè)幾個(gè)部分,主要涵蓋以下幾個(gè)方面:

① 在一定的網(wǎng)絡(luò)環(huán)境下,利用數(shù)據(jù)挖掘和數(shù)據(jù)融合技術(shù)提取進(jìn)行態(tài)勢(shì)評(píng)估要考慮的各要素,為態(tài)勢(shì)推理做準(zhǔn)備。

② 通過(guò)特征分析、態(tài)勢(shì)因子的提取等技術(shù)確定事件發(fā)生的深層次原因,確立態(tài)勢(shì)評(píng)價(jià)指標(biāo),給出對(duì)所監(jiān)控網(wǎng)絡(luò)當(dāng)前態(tài)勢(shì)的綜合評(píng)價(jià)。

③ 已知T時(shí)刻發(fā)生的事件,運(yùn)用預(yù)測(cè)技術(shù)確定T+1,T+2,...,T+n時(shí)刻可能發(fā)生的事件,進(jìn)而確定網(wǎng)絡(luò)態(tài)勢(shì)的發(fā)展趨勢(shì)。

④ 形成態(tài)勢(shì)圖,以不同圖標(biāo)表示不同網(wǎng)絡(luò)狀態(tài),運(yùn)用可視化技術(shù)使管理員能直觀地了解網(wǎng)絡(luò)安全狀況。態(tài)勢(shì)感知的結(jié)果是形成態(tài)勢(shì)分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖,為網(wǎng)絡(luò)管理員提供輔助決策信息。

2　網(wǎng)絡(luò)態(tài)勢(shì)感知模型

多年過(guò)去，研究者提出了幾十種數(shù)據(jù)融合模型，被引用最多是美國(guó)國(guó)防部的實(shí)驗(yàn)室聯(lián)合會(huì)(Joint Directors of Laboratories，JDL)模型[3-4]。JDL模型是由美國(guó)國(guó)防部提出的信息融合模型，在軍事領(lǐng)域被廣泛使用，信息融合模型主要包括信息的采集、信息的處理和精煉、態(tài)勢(shì)評(píng)估、威脅評(píng)估、過(guò)程精煉、數(shù)據(jù)的存儲(chǔ)和管理，以及人機(jī)接口，其結(jié)構(gòu)如圖2所示。

圖2　JDL模型

JDL模型將數(shù)據(jù)融合過(guò)程分為：信息預(yù)處理、對(duì)象精煉、態(tài)勢(shì)評(píng)估、威脅評(píng)估和過(guò)程精煉5個(gè)層次。信息預(yù)處理執(zhí)行數(shù)據(jù)預(yù)篩選的最初過(guò)程，分配數(shù)據(jù)到適合的層次。對(duì)象精煉通過(guò)結(jié)合位置、參數(shù)和身份信息實(shí)現(xiàn)精確的個(gè)體對(duì)象的表達(dá)。態(tài)勢(shì)評(píng)估確定態(tài)勢(shì)中的對(duì)象與事件之間的關(guān)聯(lián)。威脅評(píng)估是根據(jù)目前的狀況預(yù)測(cè)未來(lái)。過(guò)程精煉被看作一個(gè)元過(guò)程，關(guān)注其他過(guò)程的進(jìn)行。

2000年，Tim Bass提出了應(yīng)用數(shù)據(jù)融合技術(shù)建立網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的框架，指出“下一代的網(wǎng)絡(luò)管理和入侵檢測(cè)系統(tǒng)將在統(tǒng)一的模型下交互，把數(shù)據(jù)融合成信息和知識(shí)，這樣網(wǎng)絡(luò)操作員就能夠?qū)ψ陨砭W(wǎng)絡(luò)的系統(tǒng)健康和實(shí)時(shí)安全狀況做出有根據(jù)的決策”。BASS模型[5]整體共分5層，如圖3所示，分別為數(shù)據(jù)精煉、攻擊對(duì)象識(shí)別、態(tài)勢(shì)評(píng)估、威脅評(píng)估和資源管理，整體思路體現(xiàn)了由數(shù)據(jù)到信息，最后到知識(shí)的處理過(guò)程。受BASS模型的啟發(fā)，網(wǎng)絡(luò)態(tài)勢(shì)感知的研究領(lǐng)域出現(xiàn)了諸多基于多源異構(gòu)信息的模型。

圖3　BASS模型

3　基于大數(shù)據(jù)的網(wǎng)絡(luò)態(tài)勢(shì)感知體系架構(gòu)設(shè)想

為了保障網(wǎng)絡(luò)信息體系的安全運(yùn)行，開(kāi)展大規(guī)模網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)研究十分必要，網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)作為一項(xiàng)新技術(shù)，有很大的發(fā)展空間。能對(duì)大規(guī)模網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)或者近實(shí)時(shí)的態(tài)勢(shì)感知，快速準(zhǔn)確地判斷出網(wǎng)絡(luò)安全狀態(tài)，實(shí)現(xiàn)實(shí)時(shí)的態(tài)勢(shì)可視化顯示，利用網(wǎng)絡(luò)安全事件的歷史記錄，為用戶(hù)提供一個(gè)比較準(zhǔn)確的網(wǎng)絡(luò)安全演變趨勢(shì)。

大規(guī)模網(wǎng)絡(luò)條件下態(tài)勢(shì)感知涉及的信息，不僅來(lái)源豐富，信息量巨大，信息種類(lèi)多，結(jié)構(gòu)復(fù)雜，信息的元結(jié)構(gòu)和多維特性更加突出，而且更新動(dòng)態(tài)性、處理實(shí)時(shí)性要求十分強(qiáng)烈，態(tài)勢(shì)感知信息已經(jīng)具備了大數(shù)據(jù)典型的“4V”特征[6-7]。大數(shù)據(jù)自身?yè)碛械腣ariety支持多類(lèi)型數(shù)據(jù)格式、Volume大數(shù)據(jù)量存儲(chǔ)、Velocity快速處理、Value價(jià)值密度低的4大特征，符合網(wǎng)絡(luò)態(tài)勢(shì)感知對(duì)于海量數(shù)據(jù)處理的實(shí)時(shí)性、準(zhǔn)確性、高效率的要求。利用大數(shù)據(jù)所提供的基礎(chǔ)平臺(tái)和海量數(shù)據(jù)處理技術(shù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的分析處理勢(shì)在必行。

把大數(shù)據(jù)技術(shù)應(yīng)用到態(tài)勢(shì)感知領(lǐng)域，解決態(tài)勢(shì)感知在大數(shù)據(jù)時(shí)代可能面臨的諸多問(wèn)題，是值得深入研究的技術(shù)方向。當(dāng)前，傳感器網(wǎng)絡(luò)的快速發(fā)展帶來(lái)了強(qiáng)大的數(shù)據(jù)獲取優(yōu)勢(shì)，獲取原始數(shù)據(jù)已不是難題，但是對(duì)數(shù)據(jù)的處理能力卻極大制約著有效、有用信息的快速提??；“數(shù)據(jù)總量大，價(jià)值密度低”問(wèn)題十分突出，數(shù)據(jù)處理現(xiàn)狀難以應(yīng)對(duì)大數(shù)據(jù)時(shí)代諸如“垃圾數(shù)據(jù)多”“數(shù)據(jù)污染嚴(yán)重”和“數(shù)據(jù)利用難”等困境。

針對(duì)大規(guī)模網(wǎng)絡(luò)空間中數(shù)據(jù)的海量、多模式、多粒度的特點(diǎn)，滿(mǎn)足并行性、實(shí)時(shí)性數(shù)據(jù)處理的要求，將大數(shù)據(jù)技術(shù)引進(jìn)網(wǎng)絡(luò)態(tài)勢(shì)感知領(lǐng)域，并融合網(wǎng)絡(luò)安全態(tài)勢(shì)經(jīng)典模型和演進(jìn)模型，提出基于大數(shù)據(jù)的網(wǎng)絡(luò)態(tài)勢(shì)感知體系架構(gòu)，如圖4所示，包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、態(tài)勢(shì)理解、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)展示6層。

圖4　基于大數(shù)據(jù)的網(wǎng)絡(luò)態(tài)勢(shì)分析感知體系結(jié)構(gòu)

3.1　數(shù)據(jù)采集

態(tài)勢(shì)感知系統(tǒng)的輸入來(lái)自不同數(shù)據(jù)源。系統(tǒng)通過(guò)多類(lèi)傳感器和探測(cè)設(shè)備觀測(cè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況，采集網(wǎng)絡(luò)系統(tǒng)的各種信息。網(wǎng)絡(luò)態(tài)勢(shì)的評(píng)估和預(yù)測(cè)需要結(jié)合網(wǎng)絡(luò)特征，進(jìn)行從物理層、鏈路層直到行為層的多層次全方位的信息探測(cè)與獲取?；诰W(wǎng)絡(luò)特征的層次化信息探測(cè)技術(shù)，是獲取網(wǎng)絡(luò)態(tài)勢(shì)感知大數(shù)據(jù)的重要技術(shù)途徑，沒(méi)有這些大數(shù)據(jù)的支撐，網(wǎng)絡(luò)態(tài)勢(shì)感知的結(jié)果必定是不全面和不準(zhǔn)確的。

大規(guī)模網(wǎng)絡(luò)中的安全工具復(fù)雜多樣，既有部署的網(wǎng)絡(luò)安全探針，又有運(yùn)營(yíng)商、網(wǎng)絡(luò)安全監(jiān)管部門(mén)等的上報(bào)數(shù)據(jù)。因此數(shù)據(jù)具備不同的模式和粒度，同時(shí)數(shù)量巨大。這些特征要求大數(shù)據(jù)計(jì)算系統(tǒng)具備高性能、實(shí)時(shí)性、分布式、易用性、可擴(kuò)展性等特征。系統(tǒng)無(wú)法確定數(shù)據(jù)的到來(lái)時(shí)刻和到來(lái)順序，也無(wú)法將全部數(shù)據(jù)存儲(chǔ)起來(lái)，并且對(duì)數(shù)據(jù)實(shí)時(shí)性要求高。因此，不再進(jìn)行流式數(shù)據(jù)的存儲(chǔ)，而是當(dāng)流動(dòng)的數(shù)據(jù)到來(lái)后在內(nèi)存中直接進(jìn)行數(shù)據(jù)的實(shí)時(shí)計(jì)算，將大數(shù)據(jù)技術(shù)的流式計(jì)算技術(shù)[8]應(yīng)用到數(shù)據(jù)采集處理過(guò)程。

3.2　數(shù)據(jù)預(yù)處理

由于網(wǎng)絡(luò)態(tài)勢(shì)感知的數(shù)據(jù)來(lái)自眾多的網(wǎng)絡(luò)設(shè)備，其數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容、數(shù)據(jù)質(zhì)量千差萬(wàn)別，存儲(chǔ)形式各異，表達(dá)的語(yǔ)義也不盡相同。如果能夠?qū)⑦@些使用不同途徑、來(lái)源于不同網(wǎng)絡(luò)位置、具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理，并在此基礎(chǔ)上進(jìn)行歸一化融合操作，就可以為網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供更為全面、精準(zhǔn)的數(shù)據(jù)源，從而得到更為準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢(shì)。數(shù)據(jù)預(yù)處理包括數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)歸并。數(shù)據(jù)預(yù)處理應(yīng)用大數(shù)據(jù)所提供的Hadoop[9-10]基礎(chǔ)平臺(tái)和MapReduce[11-12]分布式并行計(jì)算技術(shù)。

3.3　態(tài)勢(shì)理解

態(tài)勢(shì)理解對(duì)獲取的數(shù)據(jù)進(jìn)行分析處理和篩選，為后續(xù)態(tài)勢(shì)評(píng)估和預(yù)測(cè)提供準(zhǔn)確、有效的數(shù)據(jù)源。態(tài)勢(shì)理解通常采用關(guān)聯(lián)規(guī)則分析方法，為了從海量的告警數(shù)據(jù)中提取出真正的風(fēng)險(xiǎn)事件，需要將來(lái)自不同數(shù)據(jù)源的各類(lèi)網(wǎng)絡(luò)安全事件進(jìn)行關(guān)聯(lián)分析。關(guān)聯(lián)分析是指對(duì)不同地點(diǎn)、不同時(shí)間、不同層次的網(wǎng)絡(luò)安全事件進(jìn)行綜合分析，從而挖掘出在時(shí)間和空間上分散的協(xié)同多步攻擊，識(shí)別真正的網(wǎng)絡(luò)風(fēng)險(xiǎn)，降低誤報(bào)和重復(fù)報(bào)警率。關(guān)聯(lián)規(guī)則分析融合原始數(shù)據(jù)，去除重復(fù)、錯(cuò)誤項(xiàng)，修改不一致項(xiàng)，統(tǒng)一數(shù)據(jù)格式，提供規(guī)范化的數(shù)據(jù)供態(tài)勢(shì)評(píng)估模塊使用，研究基于關(guān)聯(lián)規(guī)則的智能態(tài)勢(shì)理解技術(shù)是態(tài)勢(shì)感知的重要基礎(chǔ)。

3.4　態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是將采集到的大量網(wǎng)絡(luò)安全事件進(jìn)行分析處理，通過(guò)相應(yīng)的模型和算法計(jì)算出一組或幾組有意義的數(shù)值，并據(jù)此研究網(wǎng)絡(luò)的安全態(tài)勢(shì)。

因此，進(jìn)行態(tài)勢(shì)評(píng)估首先要建立一套態(tài)勢(shì)感知量化評(píng)估指標(biāo)體系，以指標(biāo)體系作為量化評(píng)估的基準(zhǔn)。指標(biāo)體系的建立，為數(shù)據(jù)融合、歸一化等數(shù)據(jù)處理工作提供參考標(biāo)準(zhǔn)，同時(shí)為網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估、趨勢(shì)預(yù)測(cè)、態(tài)勢(shì)可視化提供了比較豐富的經(jīng)過(guò)組織整理的有序的信息來(lái)源。

網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估的目的是為提高整個(gè)網(wǎng)絡(luò)和系統(tǒng)的安全性，其著眼點(diǎn)在于整體的狀況，與網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)業(yè)務(wù)緊密相關(guān)。D-S證據(jù)組合方法和模糊邏輯結(jié)合是目前研究熱點(diǎn)，首先模糊量化多源多屬性信息的不確定性，然后利用規(guī)則進(jìn)行邏輯推理，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估，其中涉及很多算法，要處理非線(xiàn)性問(wèn)題，使結(jié)果全面、準(zhǔn)確，還要避免緯度災(zāi)難。未來(lái)的研究方向主要是解決基于大數(shù)據(jù)的高維非線(xiàn)性網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)。

3.5　態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)就是根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料，運(yùn)用科學(xué)的理論、方法和各種經(jīng)驗(yàn)、判斷、知識(shí)去推測(cè)、估計(jì)、分析其在未來(lái)一定時(shí)期內(nèi)可能的變化情況，是網(wǎng)絡(luò)態(tài)勢(shì)感知的一個(gè)重要組成部分。

由于網(wǎng)絡(luò)攻擊的隨機(jī)性和不確定性，使得以此為基礎(chǔ)的安全態(tài)勢(shì)變化是一個(gè)復(fù)雜的非線(xiàn)性過(guò)程，限制了傳統(tǒng)預(yù)測(cè)模型的使用。而大數(shù)據(jù)技術(shù)具有自學(xué)習(xí)、自適應(yīng)性、非線(xiàn)性處理的優(yōu)點(diǎn)，因此大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)方面應(yīng)用十分廣泛?；谌斯ど窠?jīng)網(wǎng)絡(luò)的安全態(tài)勢(shì)預(yù)測(cè)技術(shù)采用人工智能的方法，該方法具有全局優(yōu)化、收斂速度快，自學(xué)習(xí)、自適應(yīng)、自組織和免疫記憶，未來(lái)研究的重點(diǎn)是如何避免維度災(zāi)難、降低計(jì)算復(fù)雜度以及降低空間和時(shí)間的預(yù)測(cè)代價(jià)。

3.6　態(tài)勢(shì)展示

態(tài)勢(shì)展示利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，通過(guò)將大量的、抽象的數(shù)據(jù)以圖形的方式表現(xiàn)，實(shí)現(xiàn)并行的圖形信息搜索，提高可視化系統(tǒng)信息處理的速度和效率。它涉及計(jì)算機(jī)圖形學(xué)、圖像處理、計(jì)算機(jī)視覺(jué)、計(jì)算機(jī)輔助設(shè)計(jì)等多個(gè)領(lǐng)域。目前已有很多研究將可視化技術(shù)和可視化工具應(yīng)用于態(tài)勢(shì)感知領(lǐng)域，在網(wǎng)絡(luò)態(tài)勢(shì)感知的每一個(gè)階段都充分利用可視化方法，將網(wǎng)絡(luò)安全態(tài)勢(shì)合并為連貫的網(wǎng)絡(luò)安全態(tài)勢(shì)圖，快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，直觀把握網(wǎng)絡(luò)安全狀況。

4　關(guān)鍵技術(shù)研究與初步解決方案

4.1　網(wǎng)絡(luò)態(tài)勢(shì)感知量化評(píng)估指標(biāo)體系

根據(jù)網(wǎng)絡(luò)系統(tǒng)組織結(jié)構(gòu)，網(wǎng)絡(luò)的安全狀態(tài)應(yīng)該分層描述，而且是自下而上、先局部后整體。參考已有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的一些成果，擬采用自下而上、先局部后整體的評(píng)估策略，以攻擊報(bào)警、掃描結(jié)果和網(wǎng)絡(luò)流量等信息為原始數(shù)據(jù)，發(fā)現(xiàn)各個(gè)主機(jī)系統(tǒng)所提供服務(wù)存在的漏洞情況，進(jìn)而評(píng)估各項(xiàng)服務(wù)的安全狀況。在此基礎(chǔ)上，綜合評(píng)估網(wǎng)絡(luò)系統(tǒng)中各關(guān)鍵設(shè)備的安全狀況，最后根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，評(píng)估多個(gè)局部范圍網(wǎng)絡(luò)的安全態(tài)勢(shì)，然后再綜合分析和統(tǒng)計(jì)整個(gè)宏觀網(wǎng)絡(luò)的安全態(tài)勢(shì)。因此，網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)的選取需綜合考慮不同層次(宏觀網(wǎng)絡(luò)、局部網(wǎng)絡(luò)、主機(jī)、服務(wù)、攻擊/漏洞)，不同信息來(lái)源(流量、報(bào)警、日志、靜態(tài)配置)和不同需求(普通用戶(hù)、管理者、維護(hù)者)。

網(wǎng)絡(luò)安全狀態(tài)是由多因素決定的，以上三方面為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的指標(biāo)體系建立提供了來(lái)源參考。根據(jù)指標(biāo)體系的構(gòu)建原則：相似相近原則、分層原則、動(dòng)靜結(jié)合原則，提煉出4個(gè)表征宏觀網(wǎng)絡(luò)性質(zhì)的二級(jí)綜合性指標(biāo)：脆弱性、容災(zāi)性、威脅性和穩(wěn)定性。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)體系如表1所示。

表 1網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)體系

二級(jí)指標(biāo)一級(jí)指標(biāo)脆弱性網(wǎng)絡(luò)漏洞數(shù)目及等級(jí)關(guān)鍵設(shè)備漏洞數(shù)據(jù)及等級(jí)子網(wǎng)內(nèi)安全設(shè)備數(shù)目子網(wǎng)內(nèi)各關(guān)鍵設(shè)備提供的服務(wù)種類(lèi)及其版本子網(wǎng)內(nèi)各關(guān)鍵設(shè)備的操作系統(tǒng)類(lèi)型及其版本子網(wǎng)內(nèi)各關(guān)鍵設(shè)備開(kāi)放端口的總量網(wǎng)絡(luò)拓?fù)淙轂?zāi)性網(wǎng)絡(luò)帶寬子網(wǎng)內(nèi)安全設(shè)備數(shù)目子網(wǎng)內(nèi)各關(guān)鍵設(shè)備的操作系統(tǒng)類(lèi)型及其版本子網(wǎng)內(nèi)各關(guān)鍵設(shè)備訪問(wèn)主流安全網(wǎng)站的頻率子網(wǎng)內(nèi)各關(guān)鍵設(shè)備提供的服務(wù)種類(lèi)及其版本網(wǎng)絡(luò)拓?fù)渥泳W(wǎng)內(nèi)主要服務(wù)器支持的并發(fā)線(xiàn)程數(shù)威脅性報(bào)警數(shù)目子網(wǎng)帶寬使用率子網(wǎng)內(nèi)安全事件歷史發(fā)生頻率子網(wǎng)內(nèi)各關(guān)鍵設(shè)備提供的服務(wù)種類(lèi)及其版本子網(wǎng)數(shù)據(jù)流入量子網(wǎng)流入量增長(zhǎng)率子網(wǎng)內(nèi)不同協(xié)議數(shù)據(jù)包的分布子網(wǎng)內(nèi)不同大小數(shù)據(jù)包的分布流入子網(wǎng)內(nèi)數(shù)據(jù)包源IP分布穩(wěn)定性子網(wǎng)內(nèi)關(guān)鍵設(shè)備平均存活時(shí)間子網(wǎng)流量變化率子網(wǎng)內(nèi)不同協(xié)議數(shù)據(jù)包分布比值的變化率子網(wǎng)內(nèi)不同大小數(shù)據(jù)包分布比值的變化率子網(wǎng)數(shù)據(jù)流總量流出子網(wǎng)數(shù)據(jù)包目的IP的分布子網(wǎng)內(nèi)存活關(guān)鍵設(shè)備數(shù)目子網(wǎng)平均無(wú)故障時(shí)間

4.2　基于網(wǎng)絡(luò)特征的層次化信息探測(cè)技術(shù)

態(tài)勢(shì)感知需要根據(jù)網(wǎng)絡(luò)特征進(jìn)行多層次(通常包括物理層、鏈路層、網(wǎng)絡(luò)傳輸層、信息層和行為層)信息的探測(cè)與融合，生成綜合態(tài)勢(shì)，引導(dǎo)網(wǎng)絡(luò)攻防，評(píng)估網(wǎng)絡(luò)效能，反饋業(yè)務(wù)質(zhì)量，如圖5所示。

圖5　信息探測(cè)和分層處理分析

物理層：提供信息傳輸?shù)幕A(chǔ)連接，實(shí)現(xiàn)波形信號(hào)或比特流收發(fā)，信號(hào)電磁頻譜截獲與時(shí)域、頻域、空域分析，信息比特流截獲。鏈路層：以數(shù)據(jù)幀為單位，實(shí)現(xiàn)具備鏈路資源分配與差錯(cuò)控制能力的信息傳輸，節(jié)點(diǎn)連接關(guān)系配對(duì)、鏈路復(fù)用體制識(shí)別、鏈路報(bào)文截獲與解釋。網(wǎng)絡(luò)傳輸層：以報(bào)文為單位，實(shí)現(xiàn)網(wǎng)絡(luò)接入、管理及維持功能，同時(shí)提供路由服務(wù)功能，實(shí)現(xiàn)多節(jié)點(diǎn)間信息傳輸管理，以及拓?fù)浣Y(jié)構(gòu)探測(cè)、網(wǎng)絡(luò)協(xié)議識(shí)別、網(wǎng)絡(luò)傳輸報(bào)文的截獲與解譯。信息層：實(shí)現(xiàn)傳輸信息的信源編碼、解碼及收發(fā)信息的加解密處理，以及信息加密方式識(shí)別及解密、網(wǎng)絡(luò)傳輸信息內(nèi)容挖掘與解譯。行為層：實(shí)現(xiàn)系統(tǒng)信息的使用以及信息系統(tǒng)的管理，以及目標(biāo)行為識(shí)別與預(yù)測(cè)、基于網(wǎng)絡(luò)態(tài)勢(shì)變化的攻防有效性分析等。

4.3　基于關(guān)聯(lián)規(guī)則的智能態(tài)勢(shì)理解技術(shù)

為了從海量的告警數(shù)據(jù)中提取出真正的風(fēng)險(xiǎn)事件，需要將來(lái)自不同數(shù)據(jù)源的各類(lèi)網(wǎng)絡(luò)安全事件進(jìn)行關(guān)聯(lián)分析。通過(guò)關(guān)聯(lián)規(guī)則分析實(shí)現(xiàn)智能化的態(tài)勢(shì)理解。關(guān)聯(lián)規(guī)則挖掘過(guò)程主要包含2個(gè)階段：第1階段必須先從資料集合中找出所有的高頻項(xiàng)目組，第2階段再由這些高頻項(xiàng)目組中產(chǎn)生關(guān)聯(lián)規(guī)則。需要選取合適的算法，來(lái)從大量數(shù)據(jù)中提取出高頻項(xiàng)目組并產(chǎn)生關(guān)聯(lián)規(guī)則。

事件關(guān)聯(lián)規(guī)則就是對(duì)采集到的大量數(shù)據(jù)進(jìn)行分析，從各種不同類(lèi)型的數(shù)據(jù)中找出它們的聯(lián)系，從而還原一個(gè)攻擊行為。事件關(guān)聯(lián)規(guī)則技術(shù)通過(guò)對(duì)收集到的大量的安全事件進(jìn)行處理，減少了事件的數(shù)量，并提高了事件的準(zhǔn)確性。

關(guān)聯(lián)分析主要完成2個(gè)過(guò)程：① 解析樹(shù)型關(guān)聯(lián)規(guī)則并存儲(chǔ)到內(nèi)存中；② 根據(jù)解析的規(guī)則與事件進(jìn)行層次化規(guī)則匹配，如果多條報(bào)警滿(mǎn)足了某條規(guī)則場(chǎng)景中的所有層次，就將其放入表中，在界面上可以調(diào)用該表的數(shù)據(jù)用于顯示場(chǎng)景分析，為用戶(hù)提供場(chǎng)景描述，關(guān)聯(lián)規(guī)則分析流程如圖6所示。

圖6　基于關(guān)聯(lián)規(guī)則的分析流程

4.4　基于大數(shù)據(jù)的高維非線(xiàn)性網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估技術(shù)

數(shù)據(jù)融合技術(shù)是一個(gè)多級(jí)、多層面的數(shù)據(jù)處理過(guò)程，主要完成對(duì)來(lái)自網(wǎng)絡(luò)中具有相似或不同特征模式的多源信息進(jìn)行互補(bǔ)集成，完成對(duì)數(shù)據(jù)的自動(dòng)監(jiān)測(cè)、關(guān)聯(lián)、相關(guān)、估計(jì)及組合等處理，從而獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估摒棄了研究單一的安全事件，而是從宏觀角度去考慮網(wǎng)絡(luò)整體的安全狀態(tài)，以期獲得網(wǎng)絡(luò)安全的綜合評(píng)估，達(dá)到輔助決策的目的。目前應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的數(shù)據(jù)融合算法，大致分為以下幾類(lèi)：基于數(shù)學(xué)模型的融合算法、基于邏輯關(guān)系的融合算法、基于知識(shí)推理的融合算法和基于模式識(shí)別的融合算法[13]。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估未來(lái)的研究方向主要是解決基于大數(shù)據(jù)的高維非線(xiàn)性網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)。研究思路如下：

① 利用改進(jìn)的D-S理論[14-15]融合多個(gè)安全設(shè)備的日志，得到攻擊發(fā)生支持概率。

② 將攻擊發(fā)生支持概率、攻擊成功支持概率和攻擊威脅進(jìn)行融合，計(jì)算主機(jī)節(jié)點(diǎn)安全態(tài)勢(shì)。

③ 將各主機(jī)節(jié)點(diǎn)的安全態(tài)勢(shì)及其權(quán)重進(jìn)行融合，得到網(wǎng)絡(luò)的安全態(tài)勢(shì)指標(biāo)。

④ 將D-S理論與模糊集相結(jié)合的方法，能夠處理非線(xiàn)性問(wèn)題，使結(jié)果全面、準(zhǔn)確，還能避免緯度災(zāi)難。

目前，D-S理論與模糊集相結(jié)合的應(yīng)用研究較少，下一步研究重點(diǎn)放在如何將2種算法更好地融合并應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中。

4.5　基于人工神經(jīng)網(wǎng)絡(luò)的安全態(tài)勢(shì)預(yù)測(cè)技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)具有非線(xiàn)性時(shí)間序列的特點(diǎn)，基于RBF神經(jīng)網(wǎng)絡(luò)[16-17]借助神經(jīng)網(wǎng)絡(luò)處理混沌、非線(xiàn)性數(shù)據(jù)的優(yōu)勢(shì)可以進(jìn)行態(tài)勢(shì)預(yù)測(cè)。該方法通過(guò)訓(xùn)練RBF神經(jīng)網(wǎng)絡(luò)找出態(tài)勢(shì)值的前N個(gè)數(shù)據(jù)和隨后M個(gè)數(shù)據(jù)的非線(xiàn)性映射關(guān)系，進(jìn)而利用該關(guān)系進(jìn)行態(tài)勢(shì)值預(yù)測(cè)。利用該方法對(duì)獲得的數(shù)據(jù)進(jìn)行預(yù)測(cè)仿真，并對(duì)其預(yù)測(cè)的網(wǎng)絡(luò)安全態(tài)勢(shì)結(jié)果進(jìn)行預(yù)測(cè)誤差分析和針對(duì)性的網(wǎng)絡(luò)安全態(tài)勢(shì)分析。神經(jīng)網(wǎng)絡(luò)應(yīng)用于態(tài)勢(shì)評(píng)估的預(yù)測(cè)框架如圖7所示。

圖7　基于神經(jīng)網(wǎng)絡(luò)的態(tài)勢(shì)評(píng)估預(yù)測(cè)框架

基于人工神經(jīng)網(wǎng)絡(luò)的安全態(tài)勢(shì)預(yù)測(cè)方法，全局優(yōu)化、收斂速度快，自學(xué)習(xí)、自適應(yīng)、自組織和免疫記憶，是未來(lái)研究的重點(diǎn)，避免維度災(zāi)難，降低計(jì)算復(fù)雜度，降低空間和時(shí)間的預(yù)測(cè)代價(jià)。

神經(jīng)網(wǎng)絡(luò)算法具有非線(xiàn)性、分布式、并行計(jì)算、自適應(yīng)和自組織的優(yōu)點(diǎn)，但目前使用各種核函數(shù)的神經(jīng)網(wǎng)絡(luò)存在2個(gè)問(wèn)題。一是算法還存在經(jīng)常停止于局部最優(yōu)解，而不是全局最優(yōu)解。二是算法的培訓(xùn)時(shí)間過(guò)長(zhǎng)時(shí)，會(huì)出現(xiàn)過(guò)度擬合，把噪音當(dāng)作有效信號(hào)。下一步的研究重點(diǎn)是解決這2個(gè)問(wèn)題。

5　結(jié)束語(yǔ)

將大數(shù)據(jù)技術(shù)應(yīng)用到態(tài)勢(shì)感知領(lǐng)域，解決態(tài)勢(shì)感知在大數(shù)據(jù)時(shí)代可能面臨的諸多問(wèn)題，是值得深入研究的課題。網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)能夠綜合網(wǎng)絡(luò)、安全和應(yīng)用系統(tǒng)等各方面因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)的安全狀況和運(yùn)行狀況，并對(duì)其發(fā)展趨勢(shì)進(jìn)行關(guān)聯(lián)分析和評(píng)估預(yù)測(cè)。大數(shù)據(jù)技術(shù)特有的海量存儲(chǔ)、并行計(jì)算、高效查詢(xún)等特點(diǎn)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的突破創(chuàng)造了機(jī)遇。通過(guò)研究大數(shù)據(jù)條件下的網(wǎng)絡(luò)態(tài)勢(shì)感知需求和技術(shù)框架，提出一種基于大數(shù)據(jù)的層次化網(wǎng)絡(luò)態(tài)勢(shì)感知體系架構(gòu)，對(duì)態(tài)勢(shì)感知各個(gè)層次和大數(shù)據(jù)技術(shù)的結(jié)合點(diǎn)進(jìn)行了研究，并提出了網(wǎng)絡(luò)態(tài)勢(shì)感知量化評(píng)估指標(biāo)體系、基于網(wǎng)絡(luò)特征的層次化信息探測(cè)等關(guān)鍵技術(shù)的初步方案和研究方向。對(duì)于大數(shù)據(jù)在網(wǎng)絡(luò)態(tài)勢(shì)感知領(lǐng)域的應(yīng)用研究具有重要探索價(jià)值。

[1]本刊編輯部.美國(guó):網(wǎng)絡(luò)態(tài)勢(shì)感知研究的進(jìn)展與趨勢(shì)[J].中國(guó)信息安全，2011(02):30-35.

[2]龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J].軟件學(xué)報(bào),2010,21(7)：1605-1619.

[3]Schreiber-Ehle S,Koch W.The JDL Model of Data Fusion Applied to Cyber-Defence——A Review Paper[C]∥Sensor Data Fusion: Trends,Solutions,Applications (SDF),2012 Workshop on,2012(9): 116-119.

[4]馮波.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型研究[D].成都：電子科技大學(xué)，2016.

[5]Bass T.Intrusion Detection Systems and Multisensor Data Fusion[J].Communications of the ACM,2000,43(4): 99-105.

[6]王壽彪,李新明.面向聯(lián)合態(tài)勢(shì)感知的大數(shù)據(jù)應(yīng)用模式研究[J].中國(guó)電子科學(xué)研究院學(xué)報(bào),2014,9(4):408-414.

[7]朱德君.基于大數(shù)據(jù)的分析技術(shù)[J].科技展望，2017,27(8):15.

[8]祝錫永,龐培培.大數(shù)據(jù)流式計(jì)算系統(tǒng)綜述[J].成組技術(shù)與生產(chǎn)現(xiàn)代化,2016,33(4):49-54.

[9]陳忠義.基于Hadoop的分布式文件系統(tǒng)[J].電子技術(shù)與軟件工程，2017(9)：175-175.

[10] Bu Y,Howe B,Balazinska M,et al.Erns.Ha Loop:Efficient Iterative Data Processing on Large Clusterspdf[J].Proceedings of the VLDB Endowment,2010,3(1-2):285-296.

[11] Dean J,Ghemawat S.MapReduce: Simplified Data Processing on Large Clusters[C]∥In: Proc.of Operating Systems Design and Implementation,San Francisco,CA,2004:137-150.

[12] Mavani M,Ragha L.Map Reduce Frame Work: Investigating Suitability for Faster Data Analytics[J].Communications in Computer & Information Science,2013,361:119-130.

[13] 樓巍.面向大數(shù)據(jù)的高維數(shù)據(jù)挖掘技術(shù)研究[D].上海:上海大學(xué),2013.

[14] 趙爭(zhēng)業(yè).面向網(wǎng)絡(luò)空間態(tài)勢(shì)的多源數(shù)據(jù)融合技術(shù)研究[D].長(zhǎng)沙：國(guó)防科技大學(xué)，2015.

[15] 劉煒,劉魯.基于模糊模式識(shí)別和D-S證據(jù)理論的安全態(tài)勢(shì)估計(jì)[J].計(jì)算機(jī)工程與應(yīng)用,2006,42(22):20-22.

[16] Palftta M,Herrero P.Foreseeing Cooperation Behaviors in Collaborative Grid Environments[C]∥ Springer: 7th International Conference on Practical Applications of Agents and Multi-Agent Systems (PAAMS 2009),Spain.Heidelberg: Springer,2009: 120-129.

[17] 薛麗敏,李忠,藍(lán)灣灣.基于在線(xiàn)學(xué)習(xí)RBFNN的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)研究[J].信息網(wǎng)絡(luò)安全， 2016(4):23-30.