李鳳華，郭云川，耿 魁，房 梁，李 暉

(1．中國科學(xué)院信息工程研究所，北京 100195；2.中國科學(xué)院大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3.西安電子科技大學(xué) 網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071)

0 引言

天地一體化信息網(wǎng)絡(luò)將為航空、海洋、地面交通、偏遠(yuǎn)地區(qū)以及公眾市場等商業(yè)大眾應(yīng)用提供通信和互聯(lián)網(wǎng)服務(wù)。其安全性尤為重要，表現(xiàn)在兩方面：① 攻擊者可將天地一體化信息網(wǎng)絡(luò)作為目標(biāo)，癱瘓其提供服務(wù)的能力；2019年11月由美國Aerospace Corporation舉辦的全球衛(wèi)星網(wǎng)絡(luò)安全峰會(CYBERSAT SUMMIT)上，有專家認(rèn)為，網(wǎng)絡(luò)攻擊可劫持、摧毀或癱瘓衛(wèi)星。② 未來天地一體化信息網(wǎng)絡(luò)以地面網(wǎng)絡(luò)為基礎(chǔ)、空間網(wǎng)絡(luò)為延伸，這種互聯(lián)使得攻擊者能將該網(wǎng)絡(luò)作為攻擊加速器和攻擊放大器；相應(yīng)地，與天地一體化信息網(wǎng)絡(luò)融合的關(guān)鍵基礎(chǔ)設(shè)施將面臨更大安全威脅。因此保障天地一體化信息網(wǎng)絡(luò)的安全性尤為重要。

不同于傳統(tǒng)互聯(lián)網(wǎng)絡(luò)，天地一體化信息網(wǎng)絡(luò)具有如下特征。

① 技術(shù)體制不斷演進(jìn)：天地一體化信息網(wǎng)絡(luò)作為衛(wèi)星網(wǎng)絡(luò)，建設(shè)過程中邊出成果邊應(yīng)用，通信技術(shù)體制不斷演進(jìn)，相應(yīng)的安全防護(hù)技術(shù)必須要隨之調(diào)整，因此星載安全防護(hù)單元等安全防護(hù)設(shè)備、組件或模塊必須支持滾動建設(shè)，在接口、流程、性能以及功能等方面必須具備動態(tài)重構(gòu)能力，確保對未來功能和性能的支持。

② 安全需求不斷變化：隨著網(wǎng)絡(luò)規(guī)模和帶寬的不斷擴(kuò)大，安全設(shè)備類型和數(shù)量不斷增加，現(xiàn)有安全設(shè)備或分系統(tǒng)的安全防護(hù)性能難以滿足日益增長的安全需求。因此，通過已有可重構(gòu)軟件構(gòu)件與可線性擴(kuò)展硬件組件的靈活配置來達(dá)到性能線性增長的目的，實(shí)現(xiàn)性能迭代，確保網(wǎng)絡(luò)和安全服務(wù)的最佳提供，這意味著需要對安全服務(wù)能力按需動態(tài)編排。

③ 拓?fù)涓叨葎討B(tài)變化：天地一體化信息網(wǎng)絡(luò)中，新型設(shè)備不斷加入、安全設(shè)備部署位置不斷改變，加之衛(wèi)星高速運(yùn)轉(zhuǎn)、終端全球隨遇接入，使得天地一體化信息網(wǎng)絡(luò)的拓?fù)涫冀K高度動態(tài)變化。需要根據(jù)安全需求、設(shè)備能力等特征對安全防護(hù)資源進(jìn)行動態(tài)調(diào)配。

這些特征導(dǎo)致天地一體化信息網(wǎng)絡(luò)在測控、終端接入、無線信道通信、天基或地面網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)以及運(yùn)維管理等方面都將面臨前所未有的安全挑戰(zhàn)。相比傳統(tǒng)地面網(wǎng)絡(luò)，天地一體化信息網(wǎng)絡(luò)在網(wǎng)絡(luò)層更易遭受重放攻擊、跨網(wǎng)攻擊和DDoS攻擊等安全威脅；在無線鏈路層容易遭受數(shù)據(jù)竊聽、攔截或注入等安全威脅；在節(jié)點(diǎn)層容易遭受實(shí)體假冒等安全威脅；在應(yīng)用層容易遭受數(shù)據(jù)失竊和虛假信息惡意傳播等安全威脅。

靜態(tài)化安全防護(hù)功能不能很好地處置未來可能出現(xiàn)的威脅，其安全防護(hù)能力低、建設(shè)成本高，不適用于處于高度動態(tài)變化的天地一體化信息網(wǎng)絡(luò)。因此亟需設(shè)計(jì)可擴(kuò)展的安全動態(tài)賦能體系，實(shí)時(shí)準(zhǔn)確調(diào)配安全服務(wù)保障能力，對安全設(shè)備或安全系統(tǒng)的安全功能進(jìn)行編排；各個(gè)安全設(shè)備必須具備重構(gòu)能力，并且依據(jù)編排指令重構(gòu)系統(tǒng)。

雖然目前學(xué)術(shù)界和產(chǎn)業(yè)界在安全賦能方面展開了眾多研究，但由于天地一體化信息網(wǎng)絡(luò)中星載計(jì)算、存儲、傳輸或空間資源嚴(yán)重受限和設(shè)備高度移動等特征，現(xiàn)有安全賦能技術(shù)不適用于天地一體化信息網(wǎng)絡(luò)，亟需研究面向天地一體化信息網(wǎng)絡(luò)的安全動態(tài)賦能技術(shù)，確保安全防護(hù)功能具備自適應(yīng)能力。

針對上述問題，本文的貢獻(xiàn)如下：

① 提出了面向天地一體化信息網(wǎng)絡(luò)的安全動態(tài)賦能架構(gòu)。該架構(gòu)由安全服務(wù)能力編排、安全態(tài)勢分析和安全威脅處置指揮構(gòu)成，三者有機(jī)融合，支撐安全功能按需擴(kuò)展與柔性重構(gòu)。

② 分析了天地一體化信息網(wǎng)絡(luò)安全動態(tài)賦能在安全服務(wù)能力編排、安全態(tài)勢分析以及安全威脅處置指揮等方面所需要突破的關(guān)鍵技術(shù)，包括安全服務(wù)能力動態(tài)編排架構(gòu)、聯(lián)動精準(zhǔn)采集與安全需匯聚、安全態(tài)勢融合分析、威脅處置與反饋研判等，以支撐面向天地一體化信息網(wǎng)絡(luò)的安全動態(tài)賦能系統(tǒng)的建設(shè)。

1 相關(guān)工作

天地一體化網(wǎng)絡(luò)安全服務(wù)動態(tài)賦能技術(shù)以網(wǎng)絡(luò)安全防護(hù)為目的，通過協(xié)調(diào)不同的安全防護(hù)資源，實(shí)現(xiàn)服務(wù)功能自動化安排和組織。

當(dāng)前安全動態(tài)賦能相關(guān)研究主要聚焦在云計(jì)算[1]、軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)以及網(wǎng)絡(luò)功能虛擬化(Network Functions Virtualization,NFV)[2]等新型網(wǎng)絡(luò)架構(gòu)中的服務(wù)功能鏈編排，其中面向云計(jì)算的服務(wù)功能編排是云環(huán)境中計(jì)算機(jī)、中間件以及服務(wù)的自動化部署過程，基于SDN/NFV的服務(wù)功能鏈編排是對網(wǎng)絡(luò)環(huán)境中資源進(jìn)行調(diào)度，生成滿足用戶需求的服務(wù)并自動化部署的過程。產(chǎn)業(yè)界也研發(fā)了面向云的編排系統(tǒng)和基于SDN/NFV的編排系統(tǒng)，其中典型面向云的編排系統(tǒng)包括Vmware vCloud[3]，Microsoft Azure[4]，NASA，Rackspace合作發(fā)起的OpenStack[5]和Apache CloudStack[6]?；赟DN和NFV典型的編排系統(tǒng)包括Cisco ACI(Application Centric Infrastructure)策略引擎[7]、Huawei Netmatrix[8]、HP NFV Director[9]、Oracle NSO&AO[10]、OSM(Open Source Mano)[11]、Open-Baton[12]、Sonata[13]、ECOMP(Enhanced Control,Orchestration,Management and Policy)[14]、ONAP(Open Network Automation Platform)[15]等。

在面向云計(jì)算的服務(wù)編排方面，文獻(xiàn)[16]針對云計(jì)算應(yīng)用中多種無服務(wù)器計(jì)算編排需求，提出了基于副本或基于連接器策略的編排服務(wù)方案——GlobalFlow，實(shí)現(xiàn)對分布于不同地理位置但邏輯相關(guān)的無服務(wù)器計(jì)算的協(xié)調(diào)工作。文獻(xiàn)[17]針對云服務(wù)編排中TOSCA標(biāo)準(zhǔn)與DevOps間僅能通過編碼方式進(jìn)行臨時(shí)連接的問題，提出了模型驅(qū)動的云資源編排方法，該方法通過協(xié)助TOSCA和DevOps工具之間的無縫連接，增強(qiáng)了DevOps的生產(chǎn)力和可重用性。文獻(xiàn)[18]針對云應(yīng)用中底層資源可擴(kuò)展性描述需求，基于狀態(tài)機(jī)理論提出了云資源描述模型cRDM，該模型可動態(tài)調(diào)整資源以適應(yīng)不斷變化的工作負(fù)載，同時(shí)保證服務(wù)質(zhì)量。文獻(xiàn)[19]針對物聯(lián)網(wǎng)工作流程中所涉及的云資源和服務(wù)編排問題，提出了全面的體系結(jié)構(gòu)來支持端到端的工作流管理流程，包括聲明性規(guī)范與組成、配置部署、業(yè)務(wù)流程、改編和質(zhì)量確保等，該體系結(jié)構(gòu)實(shí)現(xiàn)了云資源編排的動態(tài)監(jiān)視和自動化分析，并能準(zhǔn)確預(yù)測云資源利用率。文獻(xiàn)[20]針對現(xiàn)有云平臺中管理接口和管理機(jī)制的差異性問題，提出一種基于運(yùn)行時(shí)模型的混合云編排管理方法。該方法在構(gòu)建單一云平臺運(yùn)行時(shí)模型和云平臺軟件系統(tǒng)結(jié)構(gòu)的統(tǒng)一模型基礎(chǔ)上，通過模型轉(zhuǎn)換實(shí)現(xiàn)云平臺統(tǒng)一模型到運(yùn)行時(shí)模型的映射，降低了混合云管理系統(tǒng)開發(fā)難度和復(fù)雜度。文獻(xiàn)[21]針對云計(jì)算資源利用率問題，以最小化用戶任務(wù)完成時(shí)間為云計(jì)算資源負(fù)載調(diào)度優(yōu)化目標(biāo)，通過構(gòu)建相關(guān)約束條件并利用螢火蟲算法找到目標(biāo)函數(shù)值的最優(yōu)資源調(diào)度策略，減少了云計(jì)算任務(wù)完成時(shí)間，均衡了云計(jì)算資源負(fù)載。趙碩等在文獻(xiàn)[22]中研究了云計(jì)算環(huán)境下虛擬機(jī)動態(tài)遷移方法，針對虛擬機(jī)動態(tài)遷移過程中存在的時(shí)間長、開銷大問題，提出了一種基于安全等級的虛擬機(jī)動態(tài)遷移方法。該方法通過對虛擬機(jī)進(jìn)行安全等級劃分和共享物理主機(jī)資源約束降低虛擬機(jī)遷移頻率，進(jìn)而減少虛擬機(jī)遷移時(shí)間和遷移開銷。

在基于SDN/NFV的編排方面，主要涉及服務(wù)功能鏈(Service Function Chaining,SFC)的編排。文獻(xiàn)[23]提出了基于SDN/NFV構(gòu)建安全服務(wù)鏈的技術(shù)思想，通過編排部署在Open Flow 網(wǎng)絡(luò)中的軟件安全模塊，并利用 SDN 控制器，引導(dǎo)網(wǎng)絡(luò)流量流經(jīng)安全防護(hù)模塊，以此進(jìn)行安全檢測與威脅處置，滿足潛在的網(wǎng)絡(luò)安全業(yè)務(wù)需求，但該工作所提出的方法缺少具體的安全服務(wù)構(gòu)建策略。Faizul Bari已經(jīng)證明以最小資源消耗為目標(biāo)的SFC編排數(shù)據(jù)NP難問題[24]。文獻(xiàn)[25]針對網(wǎng)絡(luò)虛擬化功能動態(tài)編排過程中過度部署導(dǎo)致網(wǎng)絡(luò)效率低的問題，采用整數(shù)線性規(guī)劃對問題進(jìn)行建模，并通過基于貪心算法的啟發(fā)式方法進(jìn)行求解。文獻(xiàn)[26]設(shè)計(jì)的SFC編排算法，綜合考慮了VNF開銷、服務(wù)器能耗開銷以及服務(wù)器間帶寬資源開銷，同時(shí)考慮了業(yè)務(wù)的服務(wù)等級需求。將滿足上述諸多限制的SFC編排問題轉(zhuǎn)化成整數(shù)線性規(guī)劃問題，并使用商用求解器進(jìn)行求解。馬丁等[27]針對現(xiàn)有NFV映射方法僅考慮開銷和時(shí)延等單一目標(biāo)優(yōu)化的問題，提出一種綜合考慮多目標(biāo)的服務(wù)功能鏈映射算法。該算法通過加權(quán)求和的方式將多個(gè)優(yōu)化目標(biāo)進(jìn)行整合，并在優(yōu)化粒子初始位置和更新策略的基礎(chǔ)上，采用粒子群算法對目標(biāo)進(jìn)行求解，有效地提高了服務(wù)功能鏈構(gòu)建成功率和服務(wù)質(zhì)量。魏亮等[28]針對動態(tài)場景下服務(wù)功能鏈資源智能調(diào)度問題，基于強(qiáng)化學(xué)習(xí)方法提出一種服務(wù)功能鏈映射算法。該算法采用Q-learning機(jī)制，依據(jù)系統(tǒng)狀態(tài)、部署后的獎懲反饋來優(yōu)化服務(wù)功能鏈中各VNF的位置，有效降低了業(yè)務(wù)的平均傳輸時(shí)延，提升了系統(tǒng)負(fù)載均衡情況。劉光遠(yuǎn)等[29]針對可生存虛擬網(wǎng)絡(luò)多層映射問題，建立了整數(shù)規(guī)劃求解數(shù)學(xué)模型，并針對大規(guī)模問題提出一種啟發(fā)式算法對模型進(jìn)行求解。該算法首先為虛擬網(wǎng)絡(luò)中的每條鏈路尋找和分配最優(yōu)保護(hù)帶寬，以確定不相交映射約束，然后按照約束進(jìn)行多層網(wǎng)絡(luò)映射，實(shí)現(xiàn)映射過程開銷最小化。文獻(xiàn)[30]研究了SDN/NFV環(huán)境下服務(wù)功能鏈跨域映射問題，提出一種區(qū)域集中管理、全局協(xié)調(diào)調(diào)度的資源管控架構(gòu)，并在此基礎(chǔ)上將跨域服務(wù)功能鏈映射問題建模為以最小開銷為目標(biāo)的整數(shù)線性規(guī)劃問題，并基于Q-learnging機(jī)制構(gòu)建請求分割算法對問題進(jìn)行優(yōu)化求解。

國內(nèi)相關(guān)研究單位提出了可重構(gòu)高性能密碼計(jì)算方案，突破了網(wǎng)絡(luò)中安全資源的虛擬化、安全服務(wù)能力動態(tài)組合、高并發(fā)密碼服務(wù)狀態(tài)管理、密碼資源動態(tài)重構(gòu)、加解密吞吐率線性增長以及作業(yè)按需透明遷移等關(guān)鍵技術(shù)。

2 安全動態(tài)賦能架構(gòu)

針對天地一體化信息網(wǎng)絡(luò)異構(gòu)網(wǎng)絡(luò)多域互聯(lián)、安全防護(hù)能力差異、安全服務(wù)需求多樣、應(yīng)用場景復(fù)雜以及分級管理分層部署等特點(diǎn)和應(yīng)用需求，提出融合安全服務(wù)能力編排、安全態(tài)勢分析和安全威脅處置指揮等于一體的安全動態(tài)賦能架構(gòu)，如圖1所示。在安全動態(tài)賦能需求驅(qū)動下，安全服務(wù)能力編排、安全威脅處置指揮、安全態(tài)勢分析相互合作，實(shí)現(xiàn)星上安全載荷、終端安全防護(hù)模塊、地基節(jié)點(diǎn)網(wǎng)安全防護(hù)等設(shè)備或系統(tǒng)中的安全服務(wù)柔性重構(gòu)和服務(wù)資源的按需供給，支撐天地一體化信息網(wǎng)絡(luò)安全按需服務(wù)與透明管控。

圖1 安全動態(tài)賦能架構(gòu)Fig.1 Dynamic security-empowered architecture

2.1 安全服務(wù)能力編排

安全服務(wù)能力編排主要包括安全功能多層次多維度統(tǒng)一描述、安全策略精化與安全服務(wù)能力編排等功能。其中，安全功能多層次多維度統(tǒng)一描述對天地一體化信息網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的設(shè)備類型、設(shè)備狀態(tài)以及網(wǎng)絡(luò)負(fù)載等基礎(chǔ)設(shè)施進(jìn)行統(tǒng)一資源描述；對安全設(shè)備的安全服務(wù)能力、安全策略配置和安全態(tài)勢狀態(tài)等進(jìn)行安全需求與策略統(tǒng)一定義，從而構(gòu)建統(tǒng)一的底層安全資源抽象層，實(shí)現(xiàn)安全資源的靈活接入、擴(kuò)展和統(tǒng)一管理。

安全策略精化與安全服務(wù)能力編排將用戶安全需求、用戶服務(wù)、安全態(tài)勢等抽象安全需求，細(xì)化為安全服務(wù)能力編排可識別的中間層策略。同時(shí)，對細(xì)化后策略與全局策略間的形式?jīng)_突和語義沖突進(jìn)行消解，將無沖突的策略交由安全服務(wù)能力編排執(zhí)行服務(wù)鏈編排工作，由安全服務(wù)鏈編排將網(wǎng)絡(luò)中的各種安全服務(wù)單元在邏輯上按照安全需求組合在一起，完成對底層安全資源的統(tǒng)一接入、管理和調(diào)度，提供滿足用戶安全需求的安全服務(wù)。

2.2 安全威脅與態(tài)勢分析

安全威脅與態(tài)勢分析主要包括態(tài)勢要素提取、融合分析、逐級關(guān)聯(lián)和威脅預(yù)警等功能。其中，態(tài)勢要素提取從威脅匯集系統(tǒng)中獲取天地一體化網(wǎng)絡(luò)的威脅情報(bào)信息，利用正則表達(dá)式等過濾方法從中提取出漏洞、資產(chǎn)、惡意軟件及安全事件等態(tài)勢要素，對重復(fù)的事件進(jìn)行合并，刪除誤報(bào)的事件，整理后供融合分析和逐級關(guān)聯(lián)使用。態(tài)勢關(guān)聯(lián)分析基于分布式流數(shù)據(jù)處理系統(tǒng)實(shí)現(xiàn)，從而支持多用戶并發(fā)和海量數(shù)據(jù)的在線計(jì)算。態(tài)勢關(guān)聯(lián)分析對數(shù)據(jù)集成采集的多源數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，利用網(wǎng)絡(luò)安全知識圖譜識別網(wǎng)絡(luò)安全事件，并依據(jù)關(guān)聯(lián)規(guī)則對系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析和預(yù)警。

2.3 安全威脅處置指揮

安全威脅處置指揮主要包括安全設(shè)備和拓?fù)洚嬒瘛⒃O(shè)備統(tǒng)一配置、威脅聯(lián)動處置與處置效果研判等功能。其中，安全設(shè)備和拓?fù)洚嬒袷菍Π踩O(shè)備與安全系統(tǒng)進(jìn)行統(tǒng)一管理的基礎(chǔ)，在設(shè)備入網(wǎng)時(shí)，需對設(shè)備的存活性、連接關(guān)系進(jìn)行發(fā)現(xiàn)，對設(shè)備的基本信息(如：設(shè)備類型、生產(chǎn)廠商)、安全能力、所部署的物理位置以及邏輯位置等進(jìn)行登記、提取或查詢，在此基礎(chǔ)上對網(wǎng)絡(luò)拓?fù)潢P(guān)系進(jìn)行構(gòu)建，從而支撐后續(xù)的安全管理。

設(shè)備統(tǒng)一配置是在安全策略統(tǒng)一描述基礎(chǔ)上實(shí)現(xiàn)對地基節(jié)點(diǎn)網(wǎng)的安全設(shè)備或安全系統(tǒng)、天基骨干節(jié)點(diǎn)星載綜合安全防護(hù)單元、天基接入節(jié)點(diǎn)星載綜合安全防護(hù)單元、用戶終端安全模塊的統(tǒng)一配置。

威脅聯(lián)動處置方面根據(jù)威脅報(bào)警信息對威脅聯(lián)動處置區(qū)域進(jìn)行確定，通過對策略的安全收益、部署成本等多屬性信息進(jìn)行評估確定威脅處置策略，并將其動態(tài)分解為處置指令，下發(fā)到相應(yīng)安全設(shè)備執(zhí)行，實(shí)現(xiàn)威脅的有效應(yīng)對。處置效果研判在對處置指令執(zhí)行結(jié)果進(jìn)行驗(yàn)證的基礎(chǔ)上，評估威脅處置效果，為威脅處置策略的優(yōu)化調(diào)整提供基礎(chǔ)信息。

3 安全動態(tài)賦能關(guān)鍵技術(shù)

3.1 安全服務(wù)能力動態(tài)編排架構(gòu)

安全服務(wù)能力動態(tài)編排系統(tǒng)的根本功能是根據(jù)安全需求，結(jié)合網(wǎng)絡(luò)拓?fù)洹⒃O(shè)備能力等要素對安全服務(wù)功能、安全策略等進(jìn)行動態(tài)編排，實(shí)現(xiàn)對安全防護(hù)設(shè)備或系統(tǒng)的安全功能、安全性能和安全服務(wù)等要素的重構(gòu)，提升安全防護(hù)收益，降低安全防護(hù)成本。

安全服務(wù)能力動態(tài)編排包括三層：編排服務(wù)需求獲取層、安全能力編排層以及安全編排策略執(zhí)行層，如圖2所示。

圖2 安全服務(wù)能力動態(tài)編排架構(gòu)Fig.2 Security service capability orchestration architecture

其中，編排服務(wù)需求獲取主要是獲取來自用戶的安全編排需求，包括系統(tǒng)安全需求、網(wǎng)絡(luò)安全需求和數(shù)據(jù)安全需求等。針對同一威脅，不同安全防護(hù)設(shè)備或系統(tǒng)的資源消耗不同、處置能力不同。安全能力編排層主要基于設(shè)備服務(wù)能力，選取適用于當(dāng)前需求(如時(shí)間消耗需求、空間消耗需求)的編排算法，對安全防護(hù)資源進(jìn)行調(diào)度和優(yōu)化。安全編排策略執(zhí)行層主要負(fù)責(zé)按照安全編排主體制定的安全編排策略進(jìn)行功能、算法、硬件和服務(wù)系統(tǒng)重構(gòu)等工作，并評估和反饋編排效果。

3.2 安全服務(wù)能力描述

為了實(shí)現(xiàn)安全服務(wù)能力動態(tài)編排，需對涉及的各類對象的靜態(tài)屬性、動態(tài)屬性和服務(wù)能力進(jìn)行細(xì)粒度多層次描述。只有安全服務(wù)能力編排單元全局了解編排對象，才能對安全功能實(shí)現(xiàn)優(yōu)化編排。

根據(jù)抽象程度和表現(xiàn)粒度的不同，從抽象層、方法層、模式層和具象層四個(gè)層面對各類對象進(jìn)行描述。其中，抽象層將從宏觀上抽象天地一體化信息網(wǎng)絡(luò)的概念及關(guān)系，包括點(diǎn)和邊。對節(jié)點(diǎn)的描述包括節(jié)點(diǎn)標(biāo)識、固定屬性和可擴(kuò)展屬性等；對邊的描述包括邊標(biāo)識、源頂點(diǎn)、目的頂點(diǎn)以及邊屬性等。方法層在抽象層描述的基礎(chǔ)上對抽象層中的節(jié)點(diǎn)和邊進(jìn)一步細(xì)化，定義描述節(jié)點(diǎn)和邊類型。其中節(jié)點(diǎn)包括部件、設(shè)備、網(wǎng)絡(luò)、能力、原子能力、用戶服務(wù)、安全需求、安全態(tài)勢、編排策略、編排預(yù)案、配置指令、威脅報(bào)警、處置預(yù)案、處置策略、處置指令以及處置策略反饋等；邊是對這些頂點(diǎn)間關(guān)系的抽象，如具備、構(gòu)成、執(zhí)行、限制、出發(fā)、擁有、支持、分解以及實(shí)現(xiàn)等關(guān)系。模式層在方法層指導(dǎo)下，對各類型節(jié)點(diǎn)和邊的進(jìn)一步細(xì)化描述。具體規(guī)定描述某一類型節(jié)點(diǎn)或邊時(shí)所需的屬性及方式，包括對屬性名稱、類型、單位以及屬性間依賴關(guān)系等的描述。具象層受到模式層的約束，即根據(jù)模式層中所定義的對某類節(jié)點(diǎn)的各屬性的約束，將屬性內(nèi)容進(jìn)一步實(shí)例化，從而得到某一具體節(jié)點(diǎn)的描述。圖3給出了具象層安全服務(wù)能力描述的示例。

圖3 安全服務(wù)能力描述Fig.3 Description of security service capability

圖3中，虛線左側(cè)部分解釋如下：每個(gè)部件都具有原子能力，若干部件構(gòu)成一個(gè)設(shè)備，若干設(shè)備連接可構(gòu)成網(wǎng)絡(luò)，若干網(wǎng)絡(luò)的連接仍然構(gòu)成網(wǎng)絡(luò)。若干原子能力的組合構(gòu)成復(fù)合能力，每個(gè)設(shè)備具備若干能力。

3.3 編排策略全局沖突檢測

隨著天地一體化信息網(wǎng)絡(luò)大規(guī)?；ヂ?lián)和各類安全服務(wù)快速發(fā)展，各類安全設(shè)備和系統(tǒng)協(xié)同工作現(xiàn)象日益增加。安全服務(wù)能力動態(tài)編排系統(tǒng)根據(jù)不同安全意圖，對不同安全設(shè)備和系統(tǒng)的功能由不同編排主體執(zhí)行安全編排。不同編排主體的編排意圖和編排方式均不同，這導(dǎo)致編排策略在符號和語義上可能存在沖突；此外，新生成的編排策略與歷史編排策略集合間也會存在規(guī)則沖突。

人工檢測這些沖突低效且錯(cuò)誤率高，針對上述問題，需突破編排策略的統(tǒng)一描述、冗余策略快速合并以及編排策略查詢高效評估等關(guān)鍵技術(shù)，實(shí)現(xiàn)編排策略全局沖突快速準(zhǔn)確檢測。編排策略沖突檢測路線如圖4所示。

圖4 編排策略沖突檢測路線圖Fig.4 Roadmap of orchestration strategy conflict

3.4 設(shè)備存活性快速探測與網(wǎng)絡(luò)拓?fù)鋭討B(tài)構(gòu)建

設(shè)備存活性快速探測與網(wǎng)絡(luò)拓?fù)錅?zhǔn)確構(gòu)建是安全動態(tài)賦能的基礎(chǔ)，存活性探測與拓?fù)錁?gòu)建策略的優(yōu)劣關(guān)乎是否能夠正確賦能。在天地一體化信息網(wǎng)絡(luò)環(huán)境下，設(shè)備高度動態(tài)移動、網(wǎng)絡(luò)通信時(shí)延大且間歇連通，這使得現(xiàn)有互聯(lián)網(wǎng)中的存活性探測與拓?fù)錁?gòu)建技術(shù)直接應(yīng)用于天地一體化信息網(wǎng)絡(luò)時(shí)，存在探測時(shí)間長、設(shè)備發(fā)現(xiàn)準(zhǔn)確性低及設(shè)備屬性提取準(zhǔn)確性低等問題。

為了解決上述問題，提出融合設(shè)備存活性探測、網(wǎng)絡(luò)拓?fù)鋭討B(tài)構(gòu)建和拓?fù)涔芾碛谝惑w的技術(shù)路線圖，如圖5所示。在設(shè)備存活性探測方面，針對設(shè)備發(fā)現(xiàn)準(zhǔn)確性低、探測時(shí)間長的問題，利用多個(gè)設(shè)備基于當(dāng)前環(huán)境(如資源剩余量)判斷是否進(jìn)行協(xié)作存活性探測，以優(yōu)化探測過程。針對設(shè)備基本屬性提取困難的問題，利用開放數(shù)據(jù)集和兩種網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)備基本信息的提取。在網(wǎng)絡(luò)拓?fù)錁?gòu)建方面，設(shè)計(jì)基于主動方式和協(xié)同方式進(jìn)行設(shè)備間連接關(guān)系構(gòu)建的解決方案，滿足不同網(wǎng)絡(luò)環(huán)境下的實(shí)際需求，并對主探測節(jié)點(diǎn)進(jìn)行分布式選舉，保證系統(tǒng)的穩(wěn)定運(yùn)行。在拓?fù)涔芾矸矫?，校?yàn)拓?fù)鋽?shù)據(jù)的完整性，并對外提供路徑查詢服務(wù)。

圖5 設(shè)備存活性探測與網(wǎng)絡(luò)拓?fù)錁?gòu)建路線圖Fig.5 Roadmap of device survivability detection and network topology construction

3.5 威脅驅(qū)動的數(shù)據(jù)精準(zhǔn)采集

天地一體化信息網(wǎng)絡(luò)安全動態(tài)賦能的必要條件之一是數(shù)據(jù)準(zhǔn)確采集。當(dāng)前的數(shù)據(jù)采集方案存在如下問題：① 內(nèi)容方面，缺少對采集數(shù)據(jù)有效性的考慮，不能用于精準(zhǔn)分析網(wǎng)絡(luò)威脅，且大多使用查找表的方式確定采集內(nèi)容，缺乏動態(tài)調(diào)整的特性；② 頻率方面，大多采用等時(shí)間隔、周期性的采集方式，沒有考慮重復(fù)采集數(shù)據(jù)的相似度；③ 資源消耗方面，未充分考慮采集設(shè)備當(dāng)前的資源水平，不適用于復(fù)雜網(wǎng)絡(luò)環(huán)境中設(shè)備計(jì)算和存儲資源受限的場景。由于星載資源和部分移動終端資源嚴(yán)重受限、威脅需及時(shí)發(fā)現(xiàn)等實(shí)際情況，使得現(xiàn)有的采集方式不適用于天地一體化信息網(wǎng)絡(luò)。

因此需要威脅驅(qū)動的數(shù)據(jù)精準(zhǔn)采集，包括采集策略生成和數(shù)據(jù)采集兩部分，如圖6所示。采集策略生成階段生成以威脅監(jiān)測為目標(biāo)的高層監(jiān)測需求，首先需要分析采集任務(wù)，解析采集任務(wù)參數(shù)、提取威脅特征；然后依據(jù)威脅特征，分析威脅源線索、計(jì)算風(fēng)險(xiǎn)指數(shù)；再依據(jù)威脅線索和風(fēng)險(xiǎn)指數(shù)，確定數(shù)據(jù)采集范圍(包括進(jìn)程級與底層驅(qū)動級的威脅數(shù)據(jù)，操作系統(tǒng)層、網(wǎng)絡(luò)層與應(yīng)用層的威脅數(shù)據(jù))；最后依據(jù)采集成本和數(shù)據(jù)有效性，確定感知項(xiàng)、感知頻率等采集參數(shù)，生成采集策略。

圖6 數(shù)據(jù)精準(zhǔn)采集路線圖Fig.6 Roadmap of accurate data collection

在采集方面，將采集器或采集代理有機(jī)融合到被采集對象內(nèi)部，其依據(jù)策略對進(jìn)程級或底層驅(qū)動級等數(shù)據(jù)進(jìn)行采集。當(dāng)發(fā)現(xiàn)新的威脅線索時(shí)，能依據(jù)新線索動態(tài)調(diào)整采集范圍。

3.6 數(shù)據(jù)按需匯聚

天地一體化信息網(wǎng)絡(luò)產(chǎn)生了海量數(shù)據(jù)。為了有效使用這些數(shù)據(jù)，需要將分布于各個(gè)設(shè)備的數(shù)據(jù)匯聚到數(shù)據(jù)中心。這些數(shù)據(jù)具有如下特征：① 安全性需求差異，如有些數(shù)據(jù)的完整性重于機(jī)密性，有些數(shù)據(jù)的機(jī)密性重于完整性；② 實(shí)時(shí)性需求差異，如應(yīng)急通信的數(shù)據(jù)實(shí)時(shí)性較遙感衛(wèi)星影像數(shù)據(jù)的實(shí)時(shí)性高；③ 能耗需求差異，如通過衛(wèi)星匯聚數(shù)據(jù)的能耗需求高。此外，這些網(wǎng)絡(luò)中數(shù)據(jù)匯聚所需要的計(jì)算資源、存儲資源和帶寬資源受限?，F(xiàn)有數(shù)據(jù)匯聚方式采用固定傳輸路徑，按照先來先發(fā)的方式匯聚數(shù)據(jù)，并在數(shù)據(jù)匯聚前對數(shù)據(jù)執(zhí)行無差異化的操作(如要么不壓縮，要么采用同一算法壓縮)，這種靜態(tài)無差異化匯聚不滿足大規(guī)模網(wǎng)絡(luò)中各類資源受限條件下差異化匯聚的需求，可能導(dǎo)致對數(shù)據(jù)安全性的保護(hù)過度或欠缺，難以保障時(shí)間敏感數(shù)據(jù)的實(shí)時(shí)性，還會消耗過多資源。綜上可知，現(xiàn)有的數(shù)據(jù)匯聚方式不具有普適性，不滿足天地一體化信息網(wǎng)絡(luò)中數(shù)據(jù)的匯聚需求。

為此，需要依據(jù)安全性、實(shí)時(shí)性和能耗需求來選擇傳輸數(shù)據(jù)、時(shí)機(jī)和路徑。在滿足安全約束下，降低資源消耗量，為低軌衛(wèi)星互聯(lián)網(wǎng)的內(nèi)生安全奠定基礎(chǔ)。依據(jù)匯聚需求、數(shù)據(jù)源特征、數(shù)據(jù)特征、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)傳輸特征以及數(shù)據(jù)匯聚目的節(jié)點(diǎn)，具體地選擇匯聚節(jié)點(diǎn)的部署位置；根據(jù)匯聚需求、數(shù)據(jù)特征、中繼傳輸節(jié)點(diǎn)傳輸能力等，確定目標(biāo)數(shù)據(jù)的傳輸路徑與時(shí)機(jī)；根據(jù)匯聚需求、數(shù)據(jù)特征、傳輸路徑、傳輸時(shí)機(jī)評估總時(shí)延、預(yù)期資源消耗(包括能耗資源、計(jì)算資源、存儲資源、帶寬資源等)，利用多目標(biāo)優(yōu)化方法，判斷是否對待匯聚數(shù)據(jù)進(jìn)行去冗余、壓縮、加密、簽名以及完整性校驗(yàn)碼生成等操作；將待傳輸數(shù)據(jù)執(zhí)行的執(zhí)行操作后放入發(fā)送緩沖區(qū)；對發(fā)送緩沖區(qū)中的數(shù)據(jù)依據(jù)傳輸路徑進(jìn)行封裝，在確定的傳輸時(shí)機(jī)內(nèi)進(jìn)行數(shù)據(jù)發(fā)送。

其中，傳輸路徑和傳輸時(shí)機(jī)確定方式如下：① 根據(jù)中繼節(jié)點(diǎn)傳輸能力、可用傳輸帶寬和安全保障能力，待匯聚數(shù)據(jù)的實(shí)時(shí)性需求、安全性需求、字節(jié)數(shù)及網(wǎng)絡(luò)可達(dá)性等因素，確定傳輸路徑；② 根據(jù)傳輸路徑的歷史狀態(tài)與當(dāng)前狀態(tài)，預(yù)測傳輸路徑空閑時(shí)間；③ 根據(jù)傳輸路徑空閑時(shí)間、可用傳輸帶寬，上級匯聚節(jié)點(diǎn)的實(shí)時(shí)性要求，待匯聚數(shù)據(jù)的實(shí)時(shí)性需求、字節(jié)數(shù)，確定傳輸時(shí)機(jī)。

3.7 安全態(tài)勢融合分析

為了確保各個(gè)安全設(shè)備各司其職、安全準(zhǔn)確地賦能，需從全局把握系統(tǒng)存在的威脅，獲取天地一體化信息網(wǎng)絡(luò)的安全宏觀態(tài)勢和未來安全趨勢。只有對天地一體化網(wǎng)絡(luò)面臨的威脅進(jìn)行宏觀了解，才能發(fā)現(xiàn)安全威脅的根源，從而在根本上阻斷威脅，避免“頭痛醫(yī)頭，腳痛醫(yī)腳”的現(xiàn)象。天地一體化網(wǎng)絡(luò)因其異構(gòu)網(wǎng)絡(luò)和數(shù)據(jù)傳輸方式的獨(dú)特性，會產(chǎn)生大量與傳統(tǒng)網(wǎng)絡(luò)攻擊不完全相同的未知威脅，現(xiàn)有的知識表示方法不足以支撐天地一體化網(wǎng)絡(luò)威脅的分析、研判及預(yù)警。

為此，需考慮天地一體化信息網(wǎng)絡(luò)具有安全防護(hù)資源受限、防護(hù)能力差異化、脆弱點(diǎn)分布廣、威脅類型多樣、安全事件時(shí)間關(guān)聯(lián)/空間關(guān)聯(lián)等特點(diǎn)，設(shè)計(jì)融合基于知識圖譜的安全態(tài)勢感知技術(shù)路線，如圖7所示。首先提出支持大規(guī)模天地一體化網(wǎng)絡(luò)安全知識表示和管理的超知識圖譜模型，形成天地一體化網(wǎng)絡(luò)特有的知識表示。針對威脅的多樣性，提出基于規(guī)則的知識推理方法。針對數(shù)據(jù)進(jìn)行實(shí)時(shí)的在線智能分析，提出流數(shù)據(jù)多維分析與網(wǎng)安知識圖譜相結(jié)合的重要網(wǎng)絡(luò)安全事件發(fā)現(xiàn)技術(shù)；針對難以預(yù)測網(wǎng)絡(luò)安全事件發(fā)展趨勢的問題，提出基于自適應(yīng)預(yù)測模型的多模式、多粒度的網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)；針對影響網(wǎng)絡(luò)安全態(tài)勢演化的因素多，只采用單一的預(yù)測技術(shù)難以預(yù)測的問題，提出多種預(yù)測方法相結(jié)合的網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)架構(gòu)，解決針對天地一體化網(wǎng)絡(luò)威脅的智能預(yù)測問題。

圖7 安全態(tài)勢感知技術(shù)路線Fig.7 Technology roadmap of security situation analysis

3.8 威脅處置與反饋研判

天地一體化網(wǎng)絡(luò)是典型的多域互聯(lián)網(wǎng)絡(luò)，單點(diǎn)防護(hù)難以抵御無處不在、種類繁多的安全威脅，若不及時(shí)處理局部威脅，可能導(dǎo)致攻擊“躍出局部，延至全網(wǎng)”的嚴(yán)重后果。為保證天地一體化網(wǎng)絡(luò)的安全性，對發(fā)現(xiàn)的安全威脅及時(shí)處置，避免威脅全網(wǎng)蔓延，需要生成威脅處置策略，并依據(jù)策略進(jìn)行處置，判研威脅處置效果，技術(shù)路線如圖8所示。

圖8 威脅處置與反饋研判技術(shù)路線Fig.8 Technology roadmap of collaborative threat response and effectiveness evaluation

在威脅處置策略生成與選取方面，綜合考慮威脅特征、管控策略的安全保障效果、管控策略內(nèi)各指令之間時(shí)序關(guān)系等要素，結(jié)合報(bào)警中指示的受攻擊對象信息及網(wǎng)絡(luò)拓?fù)洹⒎?wù)依賴關(guān)系、可訪問關(guān)系確定受威脅對象。然后，利用優(yōu)先匹配方式，根據(jù)安全保障目標(biāo)庫中被保護(hù)對象的安全保障目標(biāo)確定安全保障目標(biāo)，采用優(yōu)化算法，得到處置策略。針對威脅的擴(kuò)散性、攻擊的關(guān)聯(lián)性等問題，基于分析系統(tǒng)給出的當(dāng)前特定區(qū)域內(nèi)或多個(gè)相關(guān)區(qū)域的風(fēng)險(xiǎn)評估結(jié)果，根據(jù)攻擊特征、網(wǎng)絡(luò)拓?fù)洹①Y產(chǎn)特征、服務(wù)依賴關(guān)系以及攻擊路徑等動態(tài)確定攻擊區(qū)域、被攻擊區(qū)域和聯(lián)動區(qū)域，完成處置范圍最小最優(yōu)選取，實(shí)現(xiàn)聯(lián)動處置范圍優(yōu)化確定，為具體的處置命令制定與下發(fā)提供基礎(chǔ)。利用安全保障目標(biāo)分解映射關(guān)系、目標(biāo)優(yōu)先級、目標(biāo)達(dá)成度、目標(biāo)實(shí)現(xiàn)成本以及可用資源，對安全保障目標(biāo)進(jìn)行進(jìn)一步分解，得到威脅處置區(qū)域的安全保障子目標(biāo)。在此基礎(chǔ)上，利用成本敏感模型對威脅處置策略進(jìn)行分解，得到多條處置指令，同時(shí)確定指令執(zhí)行對象，在指令執(zhí)行后實(shí)現(xiàn)對安全威脅的實(shí)時(shí)阻斷。

在威脅處置效果研判方面，威脅處置效果研判的目的是對管控策略的執(zhí)行效果進(jìn)行量化，這是判斷管控策略對特定威脅的響應(yīng)效果和處置能力的重要依據(jù)，也是設(shè)計(jì)和及時(shí)調(diào)整處置指令參數(shù)的重要指標(biāo)。在處置策略執(zhí)行完畢后，首先根據(jù)網(wǎng)絡(luò)拓?fù)溥B接關(guān)系、被攻擊對象、攻擊路徑、處置指令執(zhí)行對象確定處置結(jié)果驗(yàn)證對象；然后根據(jù)用戶安全目標(biāo)、處置指令類型等確定處置結(jié)果驗(yàn)證方式并進(jìn)行驗(yàn)證；若前述處置結(jié)果驗(yàn)證對象中至少存在一個(gè)對象的處置驗(yàn)證結(jié)果為成功，則基于所述被攻擊對象特征、攻擊特征、攻擊對網(wǎng)絡(luò)系統(tǒng)的影響、處置指令類型等確定處置效果評估指標(biāo)和被評估對象；進(jìn)一步根據(jù)不同計(jì)算方法的時(shí)間復(fù)雜度、空間復(fù)雜度、有效性等指標(biāo)確定處置效果評估方法；獲取相關(guān)評估指標(biāo)數(shù)據(jù)，若數(shù)據(jù)存在缺失情況，則利用機(jī)器學(xué)習(xí)方法對缺失數(shù)據(jù)進(jìn)行補(bǔ)全，并對各被評估對象進(jìn)行相應(yīng)效果的評估；在此基礎(chǔ)上，綜合考慮不同被評估對象的資產(chǎn)重要性等對前述處置效果進(jìn)行綜合處理，得到最終的威脅處置效果，用于威脅處置手段的迭代更新與升級。

4 結(jié)束語

天地一體化信息網(wǎng)絡(luò)分階段滾動建設(shè)，其通信系統(tǒng)的技術(shù)體制不斷演化，安全防護(hù)需求不斷變化，安全防護(hù)技術(shù)也需要不斷迭代，為了提高安全防護(hù)效能，需要可擴(kuò)展的安全動態(tài)賦能保障模式。因此不能獨(dú)立設(shè)計(jì)單臺安全防護(hù)設(shè)備和系統(tǒng)的重構(gòu)，而需要在體系化關(guān)聯(lián)的柔性重構(gòu)思想指導(dǎo)下，單臺設(shè)備或系統(tǒng)按照體系化約定、標(biāo)準(zhǔn)規(guī)范、協(xié)議，進(jìn)行設(shè)計(jì)和聯(lián)動測試，通過軟件重新加載、動態(tài)更新的方式實(shí)現(xiàn)軟件升級和擴(kuò)展演進(jìn)，確保安全防護(hù)設(shè)備、組件和模塊必須支持安全動態(tài)賦能以及在接口、流程、性能和功能等方面的重構(gòu)。

針對該需求，本文提出了面向天地一體化信息網(wǎng)絡(luò)的安全動態(tài)賦能架構(gòu)，該架構(gòu)將安全服務(wù)能力編排、安全態(tài)勢分析、安全威脅處置等有機(jī)融合，分析了安全動態(tài)賦能所需突破關(guān)鍵技術(shù)和技術(shù)實(shí)現(xiàn)途徑。該架構(gòu)能有效支撐安全功能按需賦能，提升天地一體化信息網(wǎng)絡(luò)的安全防護(hù)能力，降低安全防護(hù)成本。