張玲翠，許瑤冰，李鳳華，房梁，郭云川，李子孚

（1.中國(guó)科學(xué)院信息工程研究所，北京 100195；2.中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049）

1 引言

天地一體化信息網(wǎng)絡(luò)由天基骨干網(wǎng)、天基接入網(wǎng)、地基節(jié)點(diǎn)網(wǎng)、地面網(wǎng)絡(luò)組成，是由多種網(wǎng)絡(luò)互聯(lián)和融合形成的異構(gòu)網(wǎng)絡(luò)[1]，其結(jié)構(gòu)如圖1 所示。其中，天基骨干網(wǎng)由地球靜止軌道（GEO,geostationary earth orbit）上的骨干衛(wèi)星節(jié)點(diǎn)互聯(lián)組成，并與天基接入網(wǎng)實(shí)現(xiàn)高低軌組網(wǎng)；天基接入網(wǎng)由若干低軌衛(wèi)星組成，實(shí)現(xiàn)星間組網(wǎng)、高低軌組網(wǎng)；地基節(jié)點(diǎn)網(wǎng)利用星間鏈路實(shí)現(xiàn)數(shù)據(jù)的回傳落地。天基網(wǎng)絡(luò)能夠很好地彌補(bǔ)地面網(wǎng)絡(luò)覆蓋性的不足，為陸、海、空、天等場(chǎng)景提供通信和網(wǎng)絡(luò)服務(wù)，因此，許多國(guó)家和相關(guān)商業(yè)公司都在積極地探索天基網(wǎng)絡(luò)和地面網(wǎng)絡(luò)的融合建設(shè)方式。

圖1 天地一體化信息網(wǎng)絡(luò)結(jié)構(gòu)

2015 年，美國(guó)太空探索技術(shù)公司提出了星鏈互聯(lián)網(wǎng)衛(wèi)星項(xiàng)目，計(jì)劃通過(guò)部署1.2 萬(wàn)顆衛(wèi)星來(lái)提供覆蓋全美和全球的網(wǎng)絡(luò)服務(wù)，截止到2020 年9 月4 日，入軌衛(wèi)星總數(shù)為715 顆。當(dāng)前OneWeb 公司的在軌衛(wèi)星已有74 顆。我國(guó)在科技創(chuàng)新2030—重大項(xiàng)目也啟動(dòng)了天地一體化信息網(wǎng)絡(luò)的建設(shè)，該網(wǎng)絡(luò)將為陸、海、空、天等商業(yè)大眾應(yīng)用提供通信和互聯(lián)網(wǎng)服務(wù)。天地一體化信息網(wǎng)絡(luò)具有如下特征。

1) 安全需求動(dòng)態(tài)變化。天地一體化信息網(wǎng)絡(luò)中存在大量不同類型用戶，不同用戶（甚至同一用戶）在不同時(shí)刻不同位置的安全防護(hù)需求具有差異性和動(dòng)態(tài)性[2]。例如，用戶在高風(fēng)險(xiǎn)級(jí)的區(qū)域/時(shí)刻需開啟重量級(jí)保護(hù)，在低風(fēng)險(xiǎn)級(jí)的區(qū)域/時(shí)刻則只需開啟輕量級(jí)保護(hù)。此外，隨著天地一體化信息網(wǎng)絡(luò)的逐步建設(shè)，其安全需求也不斷變化。

2) 威脅動(dòng)態(tài)變化性。天基網(wǎng)絡(luò)中衛(wèi)星節(jié)點(diǎn)位置的實(shí)時(shí)改變導(dǎo)致網(wǎng)絡(luò)拓?fù)涓叨葎?dòng)態(tài)變化，具有不同防護(hù)能力的安全設(shè)備在安全域中相對(duì)位置的改變及其頻繁的接入接出，使整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)呈現(xiàn)動(dòng)態(tài)性。

3) 防護(hù)技術(shù)動(dòng)態(tài)變化。安全防護(hù)技術(shù)屬于伴生技術(shù)，安全防護(hù)能力隨信息技術(shù)的發(fā)展而發(fā)展。在天地一體化信息網(wǎng)絡(luò)演進(jìn)過(guò)程中，其防護(hù)技術(shù)也必將動(dòng)態(tài)變化。

上述特征導(dǎo)致靜態(tài)化的安全防護(hù)技術(shù)不再適用于天地網(wǎng)絡(luò)，必須從宏觀全局上洞悉網(wǎng)絡(luò)的整體安全風(fēng)險(xiǎn)，分析全局安全威脅和局部安全威脅，動(dòng)態(tài)調(diào)配差異化的安全防護(hù)資源處置威脅，從而避免威脅“躍出局部，延至全網(wǎng)”，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓的后果。

針對(duì)上述需求，業(yè)界分別提出了安全態(tài)勢(shì)分析、安全服務(wù)能力編排、威脅處置指揮等技術(shù)，其中，安全態(tài)勢(shì)分析技術(shù)從宏觀上評(píng)估并預(yù)測(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，安全服務(wù)能力編排技術(shù)對(duì)安全服務(wù)保障能力進(jìn)行調(diào)配，威脅處置指揮技術(shù)對(duì)威脅進(jìn)行響應(yīng)。但當(dāng)前的安全態(tài)勢(shì)分析技術(shù)、安全服務(wù)能力編排技術(shù)、威脅處置指揮技術(shù)相互獨(dú)立、缺乏協(xié)同，未能形成閉環(huán)，不能成為有機(jī)整體，不能按需動(dòng)態(tài)賦能天地一體化信息網(wǎng)絡(luò)安全。

綜上，現(xiàn)有防護(hù)手段未做到防護(hù)資源按需配置，這將浪費(fèi)有限的防護(hù)資源、降低安全防護(hù)效果。針對(duì)上述問(wèn)題，本文提出了天地一體化信息網(wǎng)絡(luò)安全動(dòng)態(tài)賦能架構(gòu)，其主要貢獻(xiàn)如下。

1) 提出了融合安全服務(wù)能力編排、安全態(tài)勢(shì)分析、安全威脅處置指揮等于一體的天地一體化信息網(wǎng)絡(luò)安全動(dòng)態(tài)賦能架構(gòu)。通過(guò)結(jié)合包括安全需求、態(tài)勢(shì)信息在內(nèi)的多種安全要素進(jìn)行編排，以協(xié)調(diào)不同的安全防護(hù)資源，并利用反饋信息實(shí)現(xiàn)閉環(huán)自適應(yīng)的天地一體化信息網(wǎng)絡(luò)安全動(dòng)態(tài)協(xié)同賦能，為威脅安全防護(hù)提供統(tǒng)一框架。

2) 安全服務(wù)能力編排單元對(duì)安全態(tài)勢(shì)分析單元、安全管理與處置指揮單元生成的綜合分析結(jié)果、威脅處置結(jié)果和處置研判結(jié)果執(zhí)行雙重判定。利用信息論從理論上分析雙重判定優(yōu)于單重判定的先決條件；在實(shí)踐中很容易滿足該先決條件，因此，雙重判定的可信度高于單重判定。

2 相關(guān)工作

本節(jié)從威脅處置指揮、安全態(tài)勢(shì)感知和安全服務(wù)能力編排分析國(guó)內(nèi)外研究現(xiàn)狀。

2.1 威脅處置指揮

威脅處置方面，如何快速發(fā)現(xiàn)和響應(yīng)各類威脅是一個(gè)難點(diǎn)[3-4]。文獻(xiàn)[5]針對(duì)嵌入式設(shè)備中的惡意軟件，提出了一個(gè)運(yùn)行時(shí)基于硬件的惡意行為檢測(cè)方法，該方法通過(guò)提取系統(tǒng)調(diào)用并分析惡意行為，基于惡意行為的高級(jí)語(yǔ)義構(gòu)造惡意軟件特征，最后構(gòu)造多層感知器，在運(yùn)行時(shí)對(duì)軟件的惡意行為進(jìn)行檢測(cè)。文獻(xiàn)[6]針對(duì)網(wǎng)絡(luò)流量中難以準(zhǔn)確發(fā)現(xiàn)威脅的問(wèn)題，提出了基于互信息的網(wǎng)絡(luò)流量特征選擇算法，通過(guò)有監(jiān)督的信息過(guò)濾算法對(duì)線性和非線性相關(guān)的數(shù)據(jù)特征進(jìn)行去冗處理，最終實(shí)現(xiàn)了基于最小二乘支持向量機(jī)的威脅檢測(cè)系統(tǒng)。文獻(xiàn)[7]針對(duì)現(xiàn)有的靜態(tài)威脅處置策略具有部署成本高、影響服務(wù)質(zhì)量等局限性，提出了動(dòng)態(tài)最優(yōu)策略動(dòng)態(tài)選擇與部署框架，框架通過(guò)對(duì)服務(wù)間的依賴關(guān)系進(jìn)行建模，度量安全防護(hù)成本與攻擊損失成本，采用多目標(biāo)優(yōu)化的方法實(shí)現(xiàn)了對(duì)威脅的動(dòng)態(tài)處置。威脅檢測(cè)與處置技術(shù)能夠有效檢測(cè)系統(tǒng)的內(nèi)部攻擊和外部威脅，并響應(yīng)這些攻擊和威脅[8]，但其是在攻擊發(fā)生之后才進(jìn)行響應(yīng)，存在一定的滯后性，這影響了系統(tǒng)的資產(chǎn)安全。由于上述2 種技術(shù)存在局限，網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)被提出，并被廣泛研究。

2.2 安全態(tài)勢(shì)感知

安全態(tài)勢(shì)感知[9]在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示，以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè)，進(jìn)而進(jìn)行決策與行動(dòng)[10]。文獻(xiàn)[6]針對(duì)大多數(shù)現(xiàn)有的系統(tǒng)風(fēng)險(xiǎn)評(píng)估框架都需要大量與威脅相關(guān)的數(shù)據(jù)和知識(shí)，而這些信息往往存在難以獲得或不適用的問(wèn)題，因此提出了輕量級(jí)的框架（LiSRA,lightweight security risk assessment）來(lái)支持中小型企業(yè)的安全決策。該框架接收用戶已有的安全數(shù)據(jù)或安全活動(dòng)信息，并將其作為輸入，評(píng)估網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，同時(shí)通過(guò)對(duì)防護(hù)有效性和防護(hù)成本進(jìn)行權(quán)衡，實(shí)現(xiàn)在對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)和態(tài)勢(shì)評(píng)估的同時(shí)選取最優(yōu)的防護(hù)建議。針對(duì)基于風(fēng)險(xiǎn)因子分析的方法在實(shí)際場(chǎng)景中準(zhǔn)確度低的問(wèn)題，文獻(xiàn)[12]將貝葉斯網(wǎng)絡(luò)引入風(fēng)險(xiǎn)分析和計(jì)算方法中，得到了更高的風(fēng)險(xiǎn)評(píng)估效率和準(zhǔn)確度。文獻(xiàn)[13]通過(guò)對(duì)工業(yè)系統(tǒng)中的系統(tǒng)日志進(jìn)行關(guān)聯(lián)分析，篩選出可疑事件并跟進(jìn)，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估提供更準(zhǔn)確的安全事件源。研究主要采用了大量非結(jié)構(gòu)化的日志，采用熵加權(quán)的方法對(duì)事件進(jìn)行打分和篩選，減少了對(duì)日志格式的依賴。

2.3 安全服務(wù)能力編排

靜態(tài)網(wǎng)絡(luò)的安全防護(hù)技術(shù)實(shí)現(xiàn)了對(duì)威脅的主動(dòng)檢測(cè)、分析、預(yù)警與響應(yīng)[14]，但隨著云計(jì)算、軟件定義網(wǎng)絡(luò)（SDN,software defined network）/網(wǎng)絡(luò)功能虛擬化（NFV,network function virtualization）等服務(wù)與功能動(dòng)態(tài)變化的虛擬化網(wǎng)絡(luò)架構(gòu)的出現(xiàn)，上述防護(hù)技術(shù)獨(dú)立應(yīng)用于這類架構(gòu)中時(shí)并不能對(duì)威脅進(jìn)行有效的處置與響應(yīng)，即上述技術(shù)難以對(duì)動(dòng)態(tài)變化的防護(hù)服務(wù)與資源進(jìn)行部署與調(diào)配[15]。因此，面向虛擬化網(wǎng)絡(luò)架構(gòu)，基于編排技術(shù)的安全動(dòng)態(tài)賦能技術(shù)被提出并得到廣泛研究。

面向動(dòng)態(tài)的虛擬化網(wǎng)絡(luò)，其網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究主要著眼于安全動(dòng)態(tài)賦能技術(shù)[9,11]。安全動(dòng)態(tài)賦能技術(shù)以服務(wù)功能編排為核心，根據(jù)其網(wǎng)絡(luò)架構(gòu)和應(yīng)用場(chǎng)景，可將現(xiàn)有研究分為面向云計(jì)算的安全功能編排和基于SDN/NFV 的安全服務(wù)功能鏈編排[12-13]。具體來(lái)說(shuō)，面向云計(jì)算的服務(wù)編排技術(shù)主要研究云環(huán)境下的設(shè)備、資源和服務(wù)的按需配置與部署。文獻(xiàn)[9]針對(duì)現(xiàn)有云服務(wù)提供商的編排框架大多與平臺(tái)綁定、可拓展性差、不直觀等問(wèn)題，提出了云資源描述模型（cRDM,cloud resource description model），該模型采用狀態(tài)機(jī)的方法，獨(dú)立于服務(wù)提供商和編排工具之外，降低了編排系統(tǒng)的復(fù)雜性，可應(yīng)用于分布在多個(gè)云服務(wù)提供商之間的不同云資源，并使用不同的編排工具進(jìn)行管理。文獻(xiàn)[11]針對(duì)云環(huán)境下的多種無(wú)服務(wù)器計(jì)算需求，提出了編排框架GlobalFlow，該框架采用基于副本或基于連接器的策略，自動(dòng)觸發(fā)工作流中每個(gè)計(jì)算服務(wù)的執(zhí)行，并根據(jù)它們的依賴關(guān)系同步其行為和狀態(tài)，實(shí)現(xiàn)各類邏輯相關(guān)的無(wú)服務(wù)器計(jì)算的協(xié)調(diào)工作。

基于SDN/NFV 的安全賦能技術(shù)主要研究軟件定義網(wǎng)絡(luò)/虛擬網(wǎng)絡(luò)架構(gòu)下，對(duì)虛擬網(wǎng)絡(luò)中的安全資源進(jìn)行調(diào)度的問(wèn)題。文獻(xiàn)[12]針對(duì)SDN 架構(gòu)中OpenFlow 協(xié)議存在的可拓展性低、時(shí)延高的問(wèn)題，提出了動(dòng)態(tài)賦能框架AG（avant-guard），該框架引入了驅(qū)動(dòng)觸發(fā)器，當(dāng)針對(duì)網(wǎng)絡(luò)的威脅出現(xiàn)時(shí)，觸發(fā)器會(huì)為網(wǎng)絡(luò)插入相應(yīng)的流規(guī)則來(lái)應(yīng)對(duì)威脅。AG 提高了OpenFlow 標(biāo)準(zhǔn)網(wǎng)絡(luò)的可拓展性和網(wǎng)絡(luò)彈性，降低了網(wǎng)絡(luò)時(shí)延，在支持增量部署的同時(shí)保證了對(duì)運(yùn)行在終端主機(jī)上的軟件的透明。文獻(xiàn)[13]實(shí)現(xiàn)了SDN 環(huán)境下可組合的安全服務(wù)原型系統(tǒng)。該研究基于 OpenFlow 標(biāo)準(zhǔn)，構(gòu)建了信息流編排系統(tǒng)FRESCO，該系統(tǒng)強(qiáng)調(diào)可組合安全性，包含多種安全功能，如地址過(guò)濾、網(wǎng)絡(luò)流重定向等。若FRESCO的檢測(cè)到模塊報(bào)告的威脅，則生成流規(guī)則，并將其轉(zhuǎn)換為安全指令，同時(shí)FRESCO 還會(huì)檢測(cè)規(guī)則更新產(chǎn)生的規(guī)則間的沖突和規(guī)則與安全策略間的沖突。

動(dòng)態(tài)賦能技術(shù)實(shí)現(xiàn)了虛擬化網(wǎng)絡(luò)中安全設(shè)備、資源與服務(wù)的按需調(diào)度與部署。但由于天地一體化信息網(wǎng)絡(luò)具有威脅復(fù)雜多樣、安全需求不斷演進(jìn)、網(wǎng)絡(luò)環(huán)境多域異構(gòu)的特點(diǎn)，需要將動(dòng)態(tài)賦能技術(shù)與網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)、安全威脅處置指揮技術(shù)協(xié)同聯(lián)動(dòng)，共同組成面向天地一體化信息網(wǎng)絡(luò)的安全動(dòng)態(tài)賦能架構(gòu)，即以網(wǎng)絡(luò)安全防護(hù)為目的，對(duì)安全編排、網(wǎng)絡(luò)安全態(tài)勢(shì)分析、威脅處置功能協(xié)同聯(lián)動(dòng)，通過(guò)對(duì)安全防護(hù)資源進(jìn)行按需調(diào)配，確保安全防護(hù)功能的自適應(yīng)能力，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅的及時(shí)發(fā)現(xiàn)與處置[16]。

3 問(wèn)題陳述與安全防護(hù)需求

1) 防護(hù)資源針對(duì)性弱，缺乏多要素協(xié)同自適應(yīng)編排。當(dāng)前安全服務(wù)編排系統(tǒng)的安全需求僅來(lái)自人為輸入，忽略了威脅處置結(jié)果；更重要的是，安全服務(wù)編排主體僅知道其轄域內(nèi)安全威脅，不能有效準(zhǔn)確獲取全網(wǎng)范圍內(nèi)的安全態(tài)勢(shì)和威脅趨勢(shì)；同時(shí)，安全服務(wù)編排主體不能從安全態(tài)勢(shì)分析系統(tǒng)和威脅處置指揮系統(tǒng)獲取對(duì)威脅處置效果，從而不能對(duì)安全編排策略進(jìn)行自適應(yīng)矯正。上述3 種原因?qū)е掳踩?wù)編排策略只能做到局部?jī)?yōu)化，不能從根本上實(shí)現(xiàn)防護(hù)資源全局按需優(yōu)化配置。

2) 威脅處置獨(dú)立運(yùn)行，與態(tài)勢(shì)有限聯(lián)動(dòng)，與編排沒有關(guān)聯(lián)。由于威脅處置指揮系統(tǒng)和安全態(tài)勢(shì)分析系統(tǒng)間相互獨(dú)立，威脅處置指揮系統(tǒng)不能直接獲取安全態(tài)勢(shì)分析系統(tǒng)的安全態(tài)勢(shì)結(jié)果，只有人工發(fā)現(xiàn)威脅后，才能啟動(dòng)對(duì)威脅進(jìn)行處置；由于人工分析難以獲得全局信息，導(dǎo)致不能準(zhǔn)確獲取威脅發(fā)生的根源，從而不能針對(duì)威脅根源執(zhí)行恰當(dāng)?shù)奶幹?，而且人工發(fā)現(xiàn)威脅時(shí)延長(zhǎng)。上述2 種原因?qū)е峦{處置時(shí)效性低、效果差。

3) 威脅處置效果判定方式單一。當(dāng)前主要由威脅響應(yīng)系統(tǒng)或威脅處置指揮系統(tǒng)對(duì)威脅處置效果進(jìn)行單源判定，其判定主體和判定方式單一，缺乏雙系統(tǒng)雙重判定機(jī)制，不能保障效果判定的準(zhǔn)確性和客觀性，從而不能從根源上確保威脅處置措施的準(zhǔn)確性。

4 安全動(dòng)態(tài)賦能框架

4.1 框架概述

針對(duì)安全需求變化、設(shè)備防護(hù)能力差異、威脅動(dòng)態(tài)變化等特征與需求，本文提出融安全服務(wù)能力編排、安全管理與處置指揮、安全態(tài)勢(shì)分析等于一體的天地網(wǎng)絡(luò)安全動(dòng)態(tài)賦能架構(gòu)，如圖2 所示。其中，安全服務(wù)能力編排單元基于安全防護(hù)需求、融合分析結(jié)果、安全服務(wù)編排預(yù)案等生成安全編排結(jié)果；安全管理與處置指揮單元將安全編排結(jié)果細(xì)化為安全編排指令，并分析編排指令的執(zhí)行結(jié)果；安全態(tài)勢(shì)分析單元在主動(dòng)或被動(dòng)采集到安全數(shù)據(jù)或威脅處置結(jié)果后，分析威脅處置前后的安全狀態(tài)變化，生成安全態(tài)勢(shì)等信息。其交互過(guò)程主要包含4 類信息流：安全編排信息流、威脅處置與研判信息流、安全服務(wù)能力編排指令執(zhí)行信息流、威脅與安全態(tài)勢(shì)分析信息流。

圖2 安全動(dòng)態(tài)賦能架構(gòu)

1) 安全編排信息流。安全服務(wù)能力動(dòng)態(tài)編排單元接收到安全防護(hù)需求和來(lái)自安全態(tài)勢(shì)分析單元的安全態(tài)勢(shì)信息后生成安全服務(wù)能力編排結(jié)果，并將其發(fā)送給安全管理與處置指揮單元。

2) 威脅處置與研判信息流。安全管理與處置指揮單元接收到來(lái)自安全服務(wù)能力編排單元的編排結(jié)果后，生成安全服務(wù)能力編排指令，并將其下發(fā)至網(wǎng)絡(luò)安全對(duì)象；在接收到網(wǎng)絡(luò)安全對(duì)象的執(zhí)行指令和來(lái)自安全態(tài)勢(shì)分析單元的威脅處置結(jié)果、威脅報(bào)警/預(yù)警信息和態(tài)勢(shì)綜合分析結(jié)果后，向安全管理與處置指揮單元反饋執(zhí)行結(jié)果；安全管理與處置指揮單元接收到該結(jié)果后向安全服務(wù)能力動(dòng)態(tài)編排反饋編排執(zhí)行結(jié)果和融合分析結(jié)果。

3) 安全服務(wù)能力編排指令執(zhí)行信息流。網(wǎng)絡(luò)安全對(duì)象接收并執(zhí)行來(lái)自安全管理與處置指揮單元的安全服務(wù)能力編排指令后，向安全管理與處置指揮單元反饋指令執(zhí)行結(jié)果，并將指令執(zhí)行后產(chǎn)生的安全數(shù)據(jù)和威脅處置結(jié)果發(fā)送給安全態(tài)勢(shì)分析單元。

4) 威脅與安全態(tài)勢(shì)分析信息流。安全態(tài)勢(shì)分析單元主動(dòng)采集網(wǎng)絡(luò)安全對(duì)象的安全數(shù)據(jù)（如運(yùn)行狀態(tài)、運(yùn)行日志、關(guān)鍵流量等）和威脅處置結(jié)果，對(duì)各類安全數(shù)據(jù)進(jìn)行安全融合分析，得到威脅報(bào)警/預(yù)警、態(tài)勢(shì)綜合分析結(jié)果、安全態(tài)勢(shì)信息，并將安全態(tài)勢(shì)信息發(fā)送至安全服務(wù)能力動(dòng)態(tài)編排單元，將威脅處置結(jié)果、威脅報(bào)警/預(yù)警信息和態(tài)勢(shì)綜合分析結(jié)果發(fā)送或轉(zhuǎn)發(fā)至安全管理與處置指揮單元。

4.2 框架形式定義

定義1安全防護(hù)對(duì)象（SPO,security protection object）。安全防護(hù)對(duì)象集SPO={spo1,spo2,…,spon}是一系列需實(shí)施安全保護(hù)的設(shè)備與系統(tǒng)集，其中，spoi表示第i（1≤i≤n）個(gè)需實(shí)施安全保護(hù)的設(shè)備與系統(tǒng)，如星載設(shè)備、地基節(jié)點(diǎn)網(wǎng)中的數(shù)據(jù)庫(kù)系統(tǒng)、移動(dòng)用戶。

定義2安全防護(hù)目標(biāo)（SPG,security protection goal）。安全防護(hù)目標(biāo)集SPG={spg1,spg2,…,spgm}是用戶為安全保護(hù)對(duì)象所指定的需要達(dá)到的安全目標(biāo)，其中，spgi表示第i（1≤i≤m）個(gè)安全防護(hù)目標(biāo)。安全防護(hù)目標(biāo)可由安全保障屬性（如機(jī)密性、完整性、可控性和可用性）、安全保障層次（如物理層、運(yùn)行層、數(shù)據(jù)層和應(yīng)用層）和阻止攻擊（如阻止DDoS 攻擊、阻止洪泛攻擊、阻止特洛伊木馬）等描述。

定義3安全執(zhí)行主體（SES,security execution subject）。安全執(zhí)行主體是指執(zhí)行安全操作的主體，包括安全保護(hù)代理、安全保護(hù)設(shè)備和安全保護(hù)系統(tǒng)，如防火墻設(shè)備、安全網(wǎng)關(guān).安全執(zhí)行主體集合SES={ses1,ses2,…,sesm}；安全執(zhí)行主體ses 可以是單個(gè)不可分割的原子主體a_ses（如ID 為001 的防火墻），也可以是可分解的抽象主體c_ses（如A區(qū)域內(nèi)的所有防火墻）。

定義4安全資源約束（SRC,security resource constrain）。安全資源約束是指可用來(lái)實(shí)施安全防護(hù)的資源，可用向量z表示，其中每個(gè)分量表示可用的計(jì)算資源、存儲(chǔ)資源和傳輸資源等。

定義5服務(wù)需求（SeR,service requirement）。服務(wù)需求用于描述應(yīng)給安全服務(wù)所支撐的業(yè)務(wù)系統(tǒng)提供的功能與性能需求，包括網(wǎng)絡(luò)服務(wù)需求、并發(fā)服務(wù)需求和業(yè)務(wù)需求等。服務(wù)需求集SeR={ser1,ser2,…,serk}，每個(gè)服務(wù)需求ser 可用多維向量＜netReq,currentReq,…＞表示，其中netReq 為網(wǎng)絡(luò)服務(wù)需求，包括傳輸帶寬需求、傳輸時(shí)延需求、串行化時(shí)延需求、處理時(shí)延需求和隊(duì)列時(shí)延需求等；currentReq 為并發(fā)服務(wù)需求，包括在線服務(wù)并發(fā)數(shù)和并發(fā)切換性能等。

定義 6安全報(bào)警/預(yù)警（SAW,security alarm/warning）。安全報(bào)警/預(yù)警集SAW={saw1,saw2,…,sawn}是指可危害網(wǎng)絡(luò)安全的報(bào)警或預(yù)警的集合，其中，安全報(bào)警/預(yù)警 saw 可用向量＜securityEvent,occTime,riskDegree,ConfDegree,…＞表示，其分量分別為安全事件、發(fā)生時(shí)間、安全事件的風(fēng)險(xiǎn)度和安全報(bào)警/預(yù)警的置信度等，表示在報(bào)警或預(yù)警中安全事件發(fā)生時(shí)間、風(fēng)險(xiǎn)度，安全報(bào)警/預(yù)警的置信度。

定義7安全反措施（SC,security countermeasure）。安全反措施集SC={sc1,sc2,…,scn}是指對(duì)安全事件采取的反制手段的集合，其中，安全反措施sc 可用向量＜es,op,para＞描述，向量中的分量分別為執(zhí)行主體、所執(zhí)行的操作、操作參數(shù)，表示執(zhí)行該反措施的安全執(zhí)行主體以給定操作參數(shù)執(zhí)行操作，操作參數(shù)para 包括操作執(zhí)行時(shí)間、執(zhí)行次序、執(zhí)行頻率等。安全反措施包括更新防火墻配置、數(shù)據(jù)遷移、數(shù)據(jù)恢復(fù)和病毒查殺等。

定義8安全服務(wù)編排預(yù)案（OPSS,orchestration plan of security service）。安全服務(wù)編排預(yù)案是一組安全防護(hù)規(guī)則的集合，用于描述對(duì)于給定安全防護(hù)對(duì)象和安全防護(hù)目標(biāo)，當(dāng)觸發(fā)安全報(bào)警/預(yù)警時(shí)，在安全資源約束下，防護(hù)主體為確保安全防護(hù)對(duì)象滿足安全防護(hù)目標(biāo)在給定時(shí)間內(nèi)采取的措施以及措施執(zhí)行順序，可表示為

定義9安全編排（SO,security orchestration）。安全編排描述給定安全服務(wù)編排預(yù)案、安全防護(hù)對(duì)象、安全防護(hù)目標(biāo)和安全資源約束，當(dāng)觸發(fā)安全報(bào)警/預(yù)警時(shí)，從安全服務(wù)編排預(yù)案中確定防護(hù)主體在給定時(shí)間內(nèi)采取的措施以及措施執(zhí)行順序，可用描述為

其中，so(spo,spg,src,ser,saw)={sc|＜ spo,spg,src,ser,saw,scet,sc＞∈OPSS}。

定義10安全編排指令（SOI,security orchestration instruction）。安全編排指令集是指可在原子執(zhí)行主體上可直接執(zhí)行的指令的集合，可用SOI={soi1,soi2,…,soin}表示，其中指令soi 可用向量＜a_ses,a_op,para＞表示，表示原子執(zhí)行主體a_ses以參數(shù)para 執(zhí)行原子操作a_op。

定義11安全編排指令生成（SOIG,SOI generation）。安全編排指令生成是由安全管理與處置指揮單元將安全編排結(jié)果細(xì)化為安全編排指令的過(guò)程，定義為

定義12編排執(zhí)行的分析（OEA,orchestration execution analyses）。安全管理與處置指揮單元依據(jù)威脅處置結(jié)果、安全態(tài)勢(shì)綜合分析結(jié)果，對(duì)編排指令的執(zhí)行結(jié)果進(jìn)行分析，獲得處置研判結(jié)果和安全管理融合分析結(jié)果。威脅處置結(jié)果（TRR,threat response result）描述安全執(zhí)行主體是否正確執(zhí)行威脅處置指令以及執(zhí)行參數(shù)，可用向量trr=＜ses,soi,true or false,parameters＞表示；態(tài)勢(shì)綜合分析結(jié)果用于描述在威脅處置前或后安全保障對(duì)象在各安全指標(biāo)上的指標(biāo)值，可用向量scar=＜spo,＜secMetric1,secValue1＞,…,＜secMetricn,secValuen＞＞表示，secValuei表示安全指標(biāo)secMetrici對(duì)應(yīng)的指標(biāo)值；融合分析結(jié)果用于描述對(duì)安全防護(hù)對(duì)象spo 執(zhí)行安全指令 soi 后的威脅處置執(zhí)行效果，可用向量car=＜spo,soi,tre＞表示，tre 表示威脅處置執(zhí)行效果；處置研判結(jié)果用于描述對(duì)安全防護(hù)對(duì)象spo 執(zhí)行安全指令 soi 后威脅處置效果的結(jié)論，可用向量rjr=＜spo,soi,trrc＞表示，trrc 表示威脅處置效果的結(jié)論，如優(yōu)、良、中、差。

從定義12 中可以看出，處置研判結(jié)果依賴于融合分析結(jié)果，融合分析結(jié)果依賴于態(tài)勢(shì)綜合分析結(jié)果。

定義13編排指令執(zhí)行（OIE,orchestration instruction execution）。安全編排指令執(zhí)行是部署在網(wǎng)絡(luò)安全對(duì)象上的，安全執(zhí)行主體接收到安全管理與處置指揮單元發(fā)送的編排指令后，執(zhí)行該指令，并生成安全數(shù)據(jù)和威脅處置結(jié)果，可用函數(shù)描述為

其中，SECDATA 表示所有安全數(shù)據(jù)集合，TRR 表示威脅處置結(jié)果集合。

定義14態(tài)勢(shì)分析（SA,situation analysis）。安全態(tài)勢(shì)分析單元在主動(dòng)或被動(dòng)采集到安全數(shù)據(jù)或威脅處置結(jié)果后，通過(guò)分析威脅處置前后的安全狀態(tài)變化，生成安全態(tài)勢(shì)信息、威脅報(bào)警信息、威脅預(yù)警信息、態(tài)勢(shì)綜合分析結(jié)果、態(tài)勢(shì)研判結(jié)果和融合分析結(jié)果。

安全態(tài)勢(shì)信息是指過(guò)去或現(xiàn)在某區(qū)域的安全狀態(tài)和未來(lái)安全趨勢(shì)，可用安全防護(hù)對(duì)象、時(shí)間區(qū)間、安全態(tài)勢(shì)指標(biāo)、安全態(tài)勢(shì)指數(shù)等描述，表示在時(shí)間區(qū)間內(nèi)安全防護(hù)對(duì)象在安全態(tài)勢(shì)指標(biāo)上的安全態(tài)勢(shì)指數(shù)。安全態(tài)勢(shì)指標(biāo)包括漏洞統(tǒng)計(jì)、漏洞分布、高危漏洞統(tǒng)計(jì)、高危漏洞分布、脆弱性、事件趨勢(shì)、告警統(tǒng)計(jì)、最新告警、熱點(diǎn)事件等。當(dāng)前一個(gè)或多個(gè)安全態(tài)勢(shì)指數(shù)全部滿足安全條件時(shí)，可觸發(fā)安全威脅報(bào)警；所預(yù)測(cè)的一個(gè)或多個(gè)安全態(tài)勢(shì)指數(shù)全部滿足或部分滿足安全條件時(shí)，或者當(dāng)前的一個(gè)或多個(gè)安全態(tài)勢(shì)指數(shù)部分滿足安全條件時(shí)，可觸發(fā)安全威脅預(yù)警。態(tài)勢(shì)研判結(jié)果描述安全態(tài)勢(shì)改變情況和威脅是否解決的結(jié)論。態(tài)勢(shì)綜合分析結(jié)果用于描述安全保障對(duì)象在各安全態(tài)勢(shì)指標(biāo)上的當(dāng)前指標(biāo)值，是安全態(tài)勢(shì)信息的子集。

定義15雙重判定（DJ,double judgment）。安全服務(wù)編排單元接收到來(lái)自安全態(tài)勢(shì)分析單元的安全態(tài)勢(shì)融合分析結(jié)果和安全管理與處置指揮單元的安全管理融合分析結(jié)果后，判定這2 個(gè)獨(dú)立單元根據(jù)各自的信息對(duì)同一事件的判斷的一致性，包括安全指標(biāo)值的一致性、融合分析結(jié)論的一致性。

安全服務(wù)編排單元不會(huì)無(wú)條件地全盤接收安全態(tài)勢(shì)分析單元的安全態(tài)勢(shì)融合分析結(jié)果和來(lái)自安全管理與處置指揮單元的安全管理融合分析結(jié)果；它會(huì)利用安全態(tài)勢(shì)融合分析結(jié)果和安全管理融合分析結(jié)果對(duì)威脅處置效果執(zhí)行雙重判定，來(lái)提升威脅處置結(jié)果的可信性，以協(xié)助生成下一次的編排結(jié)果。

5 基于信念熵的雙重判定可信性分析

安全服務(wù)編排單元在接收到安全態(tài)勢(shì)融合分析結(jié)果和安全管理融合分析結(jié)果信息之一后，依據(jù)從接收到的信息中獲得的信念更新威脅處置效果；然后，在接收到其他信息后，進(jìn)一步依據(jù)從接收到的信息中獲得的新信念更新威脅處置效果。為了分析雙重判定的可信性，本文采用信念熵度量單重判定和雙重判定后關(guān)于威脅處置效果的不確定性，并基于信念熵分析雙重判定的可信性。

定義16安全服務(wù)編排單元處置信念（belief）。信念是安全服務(wù)編排單元依據(jù)來(lái)自安全態(tài)勢(shì)分析單元的安全態(tài)勢(shì)融合分析結(jié)果或安全管理與處置指揮單元的安全管理融合分析結(jié)果，對(duì)威脅處置的效果的進(jìn)行判斷，用關(guān)于安全威脅特征信標(biāo)的條件概率分布pβ表示。

安全服務(wù)編排單元關(guān)于威脅處置效果單重判定信念的示例如表1 所示。表1 中pβ(trrc=優(yōu)|an=1)=0.60,pβ(trrc=良|an=1)=0.3,pβ(trrc=中|an=1)=0.05，其中，變量an表示在給定時(shí)間段內(nèi)觀測(cè)到的攻擊次數(shù)，an=1 表示安全威脅特征信標(biāo)集合中的一個(gè)元素。pβ(trrc=優(yōu)|an≤1)=0.60 表示安全服務(wù)編排單元在觀測(cè)到攻擊次數(shù)等于1 時(shí)，認(rèn)為當(dāng)前威脅處置效果為優(yōu)的概率為0.60。在實(shí)踐中，這些條件概率的值源自統(tǒng)計(jì)分析。

表1 威脅處置效果單重判定信念的示例

單重判定威脅處置效果依賴于威脅處置后的網(wǎng)絡(luò)狀態(tài)（如日志中記錄的攻擊數(shù)量），是隨概率分布的客觀事實(shí)。為了便于描述，用pσ表示威脅處置效果的實(shí)際概率分布。威脅處置效果示例如表2所示。

表2 威脅處置效果示例

定義17信念最小熵（BME,belief minientropy）。給定p(trrc)為變量威脅處置效果TRRC 的概率分布，安全服務(wù)編排單元關(guān)于TRRC 的額外認(rèn)知B（為安全威脅特征信標(biāo)集合）和信念pβ，安全服務(wù)編排單元關(guān)于pβ的信念最小熵定義為

若令表 1 中特征信標(biāo)an=1、2≤an≤3、4≤an≤6、7≤an發(fā)生的概率相同，即均為0.25，則由信念熵定義和表2 可知，表1 中單重判定的信念熵 為-log(0.5×1/4+0.43×1/4+0.40×1/4+0.7×1/4)=-log 0.507 5=0.295。為了證明雙重判定的可信性，下面給出信念支配概念。

定義18信念支配（BD,belief domination）。給定真實(shí)分布pσ和關(guān)于額外認(rèn)知B的信念分布和關(guān)于pσ支配當(dāng)且僅當(dāng)對(duì)于任意的b∈B，成立。

命題1令和分別表示安全服務(wù)編排單元接收到來(lái)自安全態(tài)勢(shì)分析單元的安全態(tài)勢(shì)信息和安全管理與處置指揮單元的融合分析結(jié)果之一和之二后的關(guān)于威脅處置效果的信念，若支配，則安全服務(wù)編排單元關(guān)于的信念最小熵大于的信念最小熵，即成立。

證明命題1 可由信念支配的定義直接獲得。

由命題1 可知，若雙重判定的信念支配單重判定的信念，則雙重判定后的信念最小熵低于單重判定的信念最小熵。由于最小熵是最混亂的信息程度的度量，其值越低意味著信息的混亂程度越低；而在實(shí)踐中雙重判定的信念總是支配單重判定的信念。因此，一般情況下雙重判定的可信度高于單重判定。下面給出一個(gè)例子。

若令特征信標(biāo)an=1、2≤an≤3、4≤an≤6、7≤an發(fā)生的概率相同，即均為1/4，則由信念熵定義可知，表2 的信念熵為-log(0.5×1/4+0.43×1/4+0.40×1/4+0.7×1/4)=-log 0.507 5=0.295；若雙重判定后信念等于真實(shí)分布，則由表2 可知，其信念熵為-log(0.5×1/4+0.47×1/4+0.40×1/4+0.7×1/4)=-log0.517 5=0.286，該信念熵小于單重判定的信念熵，由此可知雙重判定的可信度高于單重判定。

基于上述分析，容易得出威脅處置效果的雙重判定可信性度量如下：1) 利用歷史數(shù)據(jù)等評(píng)估特征信標(biāo)發(fā)生的概率；2) 采用專家系統(tǒng)或用戶評(píng)分等方式，評(píng)估在不同特征信標(biāo)下的威脅處置效果的概率分布；3) 基于特征信標(biāo)發(fā)生概率、不同特征信標(biāo)下的威脅處置效果的概率分布，利用信念最小熵計(jì)算，計(jì)算雙重判定可信性度量。需要說(shuō)明的是，信念最小熵越小，雙重判定可信性越高。

6 結(jié)束語(yǔ)

天地一體化信息網(wǎng)絡(luò)是由天基主干網(wǎng)、天基接入網(wǎng)、地基節(jié)點(diǎn)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等融合構(gòu)成的異構(gòu)網(wǎng)絡(luò)，該網(wǎng)絡(luò)具備全球持續(xù)高可靠安全通信等能力，為陸、海、空、天等場(chǎng)景的用戶提供區(qū)域大容量通信、高機(jī)動(dòng)全程信息傳輸。天地一體化信息網(wǎng)絡(luò)的安全需求動(dòng)態(tài)變化、威脅動(dòng)態(tài)變化性、防護(hù)技術(shù)動(dòng)態(tài)變化等特征，導(dǎo)致靜態(tài)化的安全防護(hù)技術(shù)不再適用于天地網(wǎng)絡(luò)，必須從宏觀全局上洞悉網(wǎng)絡(luò)的整體安全風(fēng)險(xiǎn)，動(dòng)態(tài)調(diào)配差異化的安全防護(hù)資源，以高效地處置威脅。針對(duì)上述需求，本文提出了融合安全服務(wù)能力編排、安全態(tài)勢(shì)分析、安全威脅處置指揮等于一體的天地一體化信息網(wǎng)絡(luò)安全動(dòng)態(tài)賦能架構(gòu)，從理論上證明了雙重判定的可信性。