01網絡安全態勢感知模型研究現狀

隨著信息技術的快速發展，各種網絡及應用越來越多涉入社會和人們的生活，云計算、大數據、物聯網技術的興起，網絡的結構、規模、數據、應用也越來越復雜，網絡安全問題日益成為關注的焦點。為了解決各種各樣的安全問題，網絡安全態勢感知作為網絡安全主動防御的新技術，逐漸成為目前研究熱點之一。
       1.1 國外網絡安全態勢感知模型研究
網絡安全態勢感知模型是開展網絡安全態勢感知研究的前提和基礎，國外研究的網絡安全態勢感知模型主要有 JDL 模型 、Endsley 模型 和 Tim Bass 模型 等。
       1.1.1 JDL 模型
       JDL(Joint Directors of Laboratories) 模 型 是 面向數據融合的模型。JDL 模型包括五級處理，首先是對來自信息源的數據預處理，包括操作系統及應用程序日志、防火墻日志、入侵檢測警報、弱點掃描結果等；然后是一級處理，主要是對數據進行分類、校準、關聯、融合，并對精煉后的數據進行規范；數據精煉后進入二級處理，主要是對融合后的數據信息進行態勢評估，評估當前的安全狀況；三級處理是對威脅進行評估，評估當前威脅，包括未來可能發生的攻擊等，以及威脅演變趨勢；四級處理是對過程進行精煉，通過動態監控信息的反饋不斷優化過程；五級處理是對認知精煉，根據監控結果不斷改善人機交互方式，提高交互能力和交互效率 。
       1.1.2 Endsley 模型
       Endsley 模型包括態勢覺察、態勢理解、態勢預測 3 個層次級別。第 1 級為態勢要素提取，主要從海量數據信息中提取網絡安全態勢信息，并轉化為統一的數據格式，為網絡安全態勢理解做準備；第 2 級為網絡安全態勢理解，通過對網絡安全態勢提取的特征要素分析，確定要素之間的關系，并根據分析對象所受到的威脅程度理解 / 評估當前網絡安全狀態；第 3 層為網絡安全態勢預測，主要依據歷史網絡安全態勢信息和當前網絡安全態勢信息預測未來網絡安全態勢的發展趨勢，并根據系統目標和任務，結合專家的知識、能力、經驗制定決策，實施安全控制措施。
       1.1.3 Tim Bass 模型
       Tim Bass 模型是針對分布式入侵檢測提出的融合模型。Tim Bass 模型基于入侵檢測的多傳感器數據包括四級，第 0 級為數據精煉，主要負責提取、過濾和校準入侵檢測的多傳感器原始數據；第 1 級為對象精煉，將數據規范化，統一格式后，進行關聯分析，提煉分析對象，按相對重要性賦予權重；第 2 級為態勢評估，根據提煉的分析對象和賦予的權重評估系統的安全狀況；第 3 級為威脅評估，主要是基于網絡安全態勢庫和對象庫狀況評估可能產生的威脅及其影響；第 4 級為資源管理，主要負責整個態勢感知過程的資源管理，優化態勢感知過程和評估預測結果。
此外，諸如加拿大國防部、美國 CERT 組織、美國圣地亞國家實驗室、 美國哈佛大學、美國空軍實驗室等諸多知名大學和組織也都參與到了網絡安全態勢感知模型的研究中 。
       1.2 國內網絡安全態勢感知模型研究
       1.2.1 基于 Netflow 的網絡安全態勢感知模型
       賴積保、王慧強等提出了一個由流數據采集、數據預處理、事件關聯與目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示、過程優化控制與管理以及數據庫管理系統等部分構成的基于 Netflow 的網絡安全態勢感知模型。流數據采集按一定時間間隔實現數據采集；事件關聯與目標識別從時間、空間、協議等多個方面采用數據融合技術對多源流數據進行關聯和識別。態勢評估主要形成態勢分析報告，包括特征提取、當前態勢分析和態勢預測等過程。威脅評估是對整個網絡威脅程度的估計。態勢可視化主要提供當前態勢、未來態勢、威脅評估結果等信息的顯示。過程優化控制與管理負責從流數據采集到態勢可視化的全過程的優化控制與管理。數據庫管理系統負責包括原始數據、特征庫、態勢庫等的管理。
       1.2.2 基于信息融合的網絡安全態勢評估模型
       韋勇等 提出基于信息融合的網絡安全態勢感知模型，分為量化評估和預測兩部分。量化評估部分主要根據多個相關檢測設備的檢測日志、攻擊依賴漏洞信息和主機節點漏洞信息、已知攻擊信息等，計算攻擊發生支持概率、攻擊成功支持概率、攻擊威脅等，并通過態勢要素融合推斷主機節點安全態勢，然后，利用服務信息判斷各主機節點權重，經過節點態勢融合，得到網絡安全態勢。預測部分是根據安全態勢評估結果，引入時間序列分析方法，對網絡安全態勢進行趨勢預測。
       1.2.3 面向大規模網絡的安全態勢感知模型
       針對大規模網絡中數據的海量、多模式、多粒度的特點 , 賈焰等 [8] 提出一個由數據集成、關聯分析、指標體系與態勢展示、態勢預測等四個部分組成的面向大規模網絡的安全態勢感知模型。數據集成主要是不同數據源對網絡安全事件的定義通常具有不同的格式 , 由態勢感知系統通過向數據源部署 Agent 的方式將數據集成為統一格式 , 并去除冗余及噪聲數據，進行預處理；關聯分析是對不同的告警信息采用網絡安全知識庫中的關聯規則進行逐級關聯 , 匹配告警事件；指標體系及態勢展示是該模型提出一套網絡安全量化指標體系 , 基于知識庫中的指標模型和關聯分析的結果計算網絡安全指標 , 并對網絡安全態勢進行可視化；態勢預測主要根據歷史數據學習的預測模型 , 預測網絡安全事件。
      此外，Linqiang Ge 等 提出一個基于目標防御的網絡框架可以有效地提高網絡安全態勢感知的有效性和靈活性；Xu, Guangquan 等提出了一種基于語義本體和用戶自定義規則的態勢推理方法的物聯網網絡安全態勢感知模型；Fang Lan 等 提出了一種基于知識發現的網絡安全態勢感知框架；Alcaraz 等  提出了一種保護關鍵信息基礎設施廣域態勢感知框架；Zhang,Haoliang 等闡述了國家安全態勢感知的概念，提出一個態勢感知多層次分析框架，這些都對網絡安全態勢感知模型進行了研究。

02網絡安全態勢感知的關鍵技術

2.1 網絡安全態勢特征要素提取技術
       網絡安全態勢特征要素提取是網絡安全態勢評估和預測的基礎，在整個的網絡安全態勢感知系統中，安全事件的預處理與態勢要素的提取處于網絡安全態勢感知底層，網絡的安全態勢要素主要包括網絡的拓撲信息、脆弱性信息和狀態信息等靜態的配置信息和各種防護措施的日志采集和分析技術獲取的威脅信息等動態的運行信息等 。
        目前針對網絡安全態勢特征要素提取已經開展了許多研究工作。其中特征抽取方法包括主 成 分 分 析 (Principal Component Analysis，PCA或稱K-L變 換 )、 獨 立 成 分 分 析 (Independent Component Analysis，ICA) 和聚類分析方法等。梁百川采用事件提取和分群技術實現態勢要素的提取算法；陳佩研究了主成分分析法研究及其在特征提取中的應用；吳遜等研究了基于獨立成分分析的特征提取方法；李文瑾研究了網絡蠕蟲特征自動提取技術；H Wu等基于復雜網絡理論研究了入侵檢測特征提取方法；CH Tsang 等研究了基于蟻群的聚類方法與無監督特征提取算法；聶小波 研究了基于蜜罐技術的攻擊特征提取方法；翟光群等 研究了用無監督聚類算法分析入侵數據提取新的攻擊特征；趙會鋒等針對蜜網捕獲的數據采用改進的無監督聚類算法進行分類處理和特征提取；C Torrano-Gimenez等研究了結合專家知識和自動特征提取的 Web 攻擊檢測。
       網絡安全態勢特征要素提取技術方法中主成分分析方法的優點是從 2 階上消除了樣本之間的相關性，實現了原始樣本的維數壓縮。獨立成分分析方法是主成分分析方法在高階上的推廣，也在特征提取中發揮著重要的作用，主成分分析和獨立成分分析特征提取方法有其優點，但得到的低維特征數據缺少鑒別信息，并不是最有助于分類的數據，近年來聚類分析特征提取方法在入侵檢測方面也得到廣泛研究，通過將數據集劃分為不同的類別，由此分辨出正常和異常行為。
       2.2 網絡安全態勢評估技術
網絡安全態勢評估是網絡安全態勢感知系統實現的重要環節，網絡安全態勢評估主要是在大規模網絡環境中 , 融合獲取各類網絡監測數據，根據網絡安全特征屬性的領域知識和歷史數據 , 借助數學模型綜合評估網絡安全狀態，使網絡管理者能夠有目標地進行決策和做好防護準備。
       目前，網絡安全態勢評估方法研究得比較多的包括基于數學模型的態勢評估方法，基于知識推理的態勢評估方法，基于模式識別的態勢評估方法等 。基于數學模型的態勢評估方法常見的有層次分析法、熵值法、集對分析法等；基于知識推理的態勢評估方法充分利用經驗知識建立態勢評估模型 , 借鑒模糊集、概率論、證據理論等處理不確定性信息 , 常見的方法有模糊邏輯推理、貝葉斯推理、證據理論等；基于模式識別的態勢評估方法通過機器學習建立態勢模板 , 常用的網絡安全態勢模式識別方法有灰關聯分析、粗糙集理論、貝葉斯分類法等。
       網絡安全態勢評估技術方法中層次分析法相對比較簡單，但對每一層次因素的相對重要性是基于人對客觀現實的判斷給出定量表示，再運用數學的方法確定每一層所有因素相對重要性次序的權值。熵值法比層次分析法具有較高的可信度和精確度，但熵值法的缺點是缺乏各指標之間的橫向比較，無法減少評價指標的維數。集對分析方法的優點在于使用聯系度統一處理隨機、模糊和信息不完全所致的多種不確定性，但集對分析中如何構造同異反聯系度 ,仍然缺少科學的依據和公認的方法。
       基于知識推理的態勢評估方法主要借鑒概率論、模糊集、證據理論等處理不確定性信息 , 利用經驗知識建立態勢評估模型 , 通過邏輯推理判斷網絡態勢完成評估。基于知識推理的態勢評估方法中模糊邏輯推理方法，包括直覺模糊集、L- 模糊集、區間值模糊集、Vague 集等，在網絡安全態勢評估中應用比較廣泛；貝葉斯推理是在經典的統計歸納推理、估計和假設檢驗的基礎上發展起來的，根據網絡安全態勢評估動態、不確定性的特點，許多學者研究中相繼提出動態貝葉斯網絡、加權貝葉斯推理、層次貝葉斯推理等，但在利用貝葉斯理論進行網絡安全態勢評估的過程中，存在的難點為情況復雜時，先驗似然函數的獲得十分困難，需要大量統計工作，而且貝葉斯推理要求各證據之間相互獨立，這使得事件相關度比較高時復雜性迅速增加；證據理論中需要的先驗數據比較直觀，容易獲得，且可以綜合不同專家或數據源的知識或數據，這使得證據  理論在網絡安全態勢評估中得到了廣泛應用，證據理論對于解決非沖突的評價合成問題是非常有效的，但對于證據間存在沖突的情況下，計算復雜度高。
       基于模式識別的態勢評估方法是通過機器學習建立態勢模版 , 經過模式匹配 , 完成對態勢的劃分，其目標是不過分依賴專家和經驗。目前常用的網絡安全態勢模式識別方法有灰關聯分析、粗糙集理論、貝葉斯分類法等。基于粗集理論的態勢評估 , 兼具表達、學習與分類能力 ,突出的特點在于粗集學習能力強，具有從海量歷史數據或者案例中發現隱含知識、揭示潛在規律并轉化為邏輯規則的優勢。
       其次 , 借助信息系統這一形式化模型 , 將知識的表達、學習和分析納入統一的框架之中，而且無須提供所需處理數據集合之外的任何先驗信息 , 科學、客觀 , 避免了主觀因素帶來的影響，其難點在于決策表核的確定和屬性約簡算法 ( 求核與約簡 )，其計算量大 , 在非實時環境中有很好的效果 , 但在實時環境中可能無法滿足要求 。
貝葉斯分類法先構造先驗概率，之后使用新的證據改善對事件的先驗假設，從而得到后驗概率，其難點在于先驗概率是在大量數據統計的基礎上得出的，當情況比較復雜時，先驗似然函數的獲得比較困難，對于“不確定”和“不知道”兩個概念，貝葉斯理論并沒有直接的表示方法。
      2.3 網絡安全態勢預測技術
      網絡安全態勢預測是在大規模網絡環境中基于對當前網絡安全態勢評估和已有的歷史評估數據，對未來一段時間內的網絡安全態勢變化趨勢進行預測，其是網絡安全態勢感知的一個重要組成部分。網絡安全態勢預測常用的方法有時間序列預測方法、馬爾科夫鏈預測方法、集成學習預測方法、神經網絡預測方法、深度學習預測方法等。
卓瑩等人 提出了網絡態勢預測的廣義回歸神經網絡模型，給出了模型的網絡設計原則以及網絡態勢預測方法，并驗證了模型的準確性和時效性；王宇飛等針對網絡安全態勢精確預測 , 提出一種基于改進廣義回歸神經網絡的預測方法 , 以改善網絡安全態勢預測精度；YicunWang提出了一種基于模糊馬爾可夫的預測方法預測網絡安全威脅值；黃同慶等設計了基于隱馬爾可夫模型的實時網絡安全態勢預測模型；王笑等 提出適用于實時風險概率預測的馬爾科夫時變模型。劉杰等 提出基于 BP 神經網絡的非線性網絡流量預測方法，范九倫等基于徑向基函數 (radial basis function,RBF) 神經網絡 , 給出一種網絡安全態勢預測方法；孟錦等使用混合遞階遺傳算法 (HHGA) 對 RBF 神經網絡進行訓練，提高RBF神經網絡的預測精度；S. Chatterjeedeng 等研究了基于 NARX 神經網絡的非線性自回歸軟件故障預測；王宇飛 使用集成學習的方法對網絡安全態勢進行評估和預測研究；魏彬等研究了基于集成學習算法的網絡安全防御模型，并通過集成學習算法提高了模型的預測精度、泛化能力和穩定性 ；夏玉明等對基于卷積神經網絡的網絡攻擊檢測方法進行了研究；Kang H W 等 使用基于上下文和目標信息基于雙列卷積神經網絡對城市安全進行預測；周長建等 研究了基于深度學習的網絡態勢感知建模方法。
       網絡安全態勢預測技術方法中時間序列預測法簡單、直觀、易于掌握，但對于預測精度有較高要求的需要有合適的模型階數和最佳的模型參數估計，而且建模過程也比較復雜。此外，時間序列預測法對于有拐點的長期預測和有不規則、混沌等非線性特征的時間序列也不太適用。馬爾科夫鏈預測對于非平穩隨機過程有較好的預測效果，但如何合理確定模糊狀態或隱狀態數目及狀態轉移步數，進一步提高預測精度還有待繼續探討。
       集成學習預測方法在機器學習算法中具有較高的準確率，因此也被用于網絡安全態勢預測。集成學習預測方法包括隨機森林 (RandomForest，RF)、 梯 度 提 升 樹     (Gradient Boosting Decision Tree，GBDT)、極 端 梯 度 提 升 (eXtreme Gradient Boosting，XGBoost) 等 。
      隨機森林具有極高的準確率，能處理很高維度的數據，訓練速度快，缺點是在某些噪音較大的分類或回歸問題上會過擬合；GBDT 可以靈活處理各種類型的數據，對異常值的魯棒性非常強，由于弱學習器之間存在依賴關系，難以并行訓練數據，且不適合高維稀疏特征；XGBoost 適應各種回歸分類模型，泛化錯誤率低，缺點是數據不平衡易導致分類精度下降，訓練比較耗時，對離群點敏感。
       人工神經網絡（Artificial Neural Networks）按照網絡結構中有無反饋回路，又可以分為靜態神經網絡和動態神經網絡兩種。BP 神經網絡、RBF 神經網絡屬于靜態神經網絡，動態神經網絡如具有外部輸入的非線性回歸神經網絡（nonlinear autoregressive network with exogenous inputs，NARX）等，神經網絡在網絡安全態勢預測領域的應用取得了較多的良好的效果，但是由于確定神經網絡結構的方法還不完備，選擇何種網絡結構對預測性能有不同的影響，在態勢預測中存在訓練不足、過擬合、特征相似而期望輸出差異很大、難以消解樣本間的沖突等現象，這些使神經網絡訓練模型也有一定的局限性。
       深度學習是對具有深層結構的神經網絡進行有效訓練的方法，目前處于快速發展中，主要模型包括受限玻爾茲曼機（(Restricted Boltzmann  Machine, RBM)）、自編碼器（Autoencoder,AE）、卷積神經網絡 (Convolutional Neural Network，CNN)、深層堆砌網絡（Deep Stacking Network,DSN）、循環申請網絡（Recurrent Neural,RNN）、長短記憶（Long Short-Term Memory,LSTM）網絡等， 運 用 這 些 模型能夠從大量的復雜數據中學習到合適有效的特征，可以解決網絡安全態勢中的特征提取和預測問題。目前將深度學習方法應用于網絡安全主要需要解決的問題包括算法性能問題等 , 如可解釋性和可追溯性問題、自適應性和自學習性問題、存在誤報以及數據集不均衡的問題 。

03大數據環境下網絡安全態勢感知面臨的問題及未來研究方向

大數據環境是采集、存儲、分析計算、共享使用大數據的網絡環境，屬于一個龐大的非線性復雜系統，其復雜性主要表現在節點數目巨大、節點多樣性、連接多樣性、信息多樣性、動力學復雜性、網絡結構復雜多變、多重復雜性融合，因此大數據環境下網絡面臨更多的安全風險。 
       3.1 大數據環境下網絡安全態勢感知面臨的技術難點問題
       3.1.1 大數據環境下網絡安全態勢感知模型建立面臨的難點問題
       · 大數據環境下具有感知節點多、類型不同、連接多樣、信息動態多變等特點，以往的網絡安全態勢感知模型還多是單源或多源同質模型，缺乏對大數據環境下復雜網絡系統的網絡安全態勢感知模型進行建模。
       · 現有網絡安全態勢感知模型仍然存在負荷重、響應延遲大，完整性、穩定性和準確性差等缺點。
       3.1.2 大數據環境下網絡安全態勢特征要素提取面臨的難點問題
        · 大數據環境下數據來自多種數據，數據種類和格式豐富，海量歷史數據存在的大量錯誤和冗余，不適合直接作為網絡安全態勢感知的分析對象。
        · 大數據環境處理的數據量處理起來比較復雜，也會影響數據融合和事件關聯分析的實時性。
        · 大數據環境下影響網絡安全狀態的因素復雜多樣，各安全特征要素之間存在關聯關系，互相影響，實時變化，信息的融合處理存在很大難度。 
        · 融合大數據量網絡安全特征數據時可能造成特征數據提取不完整，特征空間降維效果難以評價，最終可能導致從數據集中歸納出不準確的特征信息。
        · 大量的安全數據關聯分析處理流程比較復雜，基于云的分布式數據處理計算效率還需要提升。
         3.1.3 大數據環境下網絡安全態勢評估面臨的難點問題
         · 大數據環境下網絡安全感知的數據包含大量的不確定性信息，在一定程度上是不完整的、不精確的、矛盾的，需解決態勢評估過程的不確定信息問題。
         · 目前研究網絡安全態勢指標往往針對某一方面或某一應用場景，缺少刻畫大數據環境下全局網絡安全態勢評估的指標體系，沒有統一評價的標準。
         · 大數據環境諸多不確定因素的存在增加了網絡安全度量的復雜性 , 有些指標的度量無法進行直接量化，有些指標可以量化 , 但無法進行細粒度度量。因此 , 需要構建好指標度量的方法，滿足網絡安全態勢量化計算的可行性。
         · 對網絡安全態勢指標是否涵蓋了大數據安全評估的所有方面無法驗證，缺乏指標體系的有效性驗證。
         · 大數據環境下海量安全數據變化快，網絡安全評估方法的選取需及時、準確地反映網絡安全態勢。
         3.1.4 大數據環境下網絡安全態勢預測面臨的難點問題
         · 缺乏面向大數據環境的網絡安全態勢動態預測模型，無法實現對大數據環境下對全局網絡安全態勢實時、準確的預測。
         · 現有的網絡安全態勢預測強烈依賴數據預處理和人工介入，對歷史經驗知識學習還缺乏智能化。
         · 網絡安全預測方法在提高學習效率、收斂速度、預測準確度方面未來還有待進一步研究。
         · 現有網絡安全態勢預測方法難以預見到大數據環境下網絡攻擊發生的時間、節點位置和攻擊類型，無法有效支撐大數據環境下網絡安全主動防御的精準決策。
         3.2 大數據環境下網絡安全態勢感知技術未來研究的方向
         目前隨著大數據時代的到來，大數據環境下的網絡安全態勢感知研究已經受到高度重視，通過對大數據環境下網絡安全態勢感知技術的研究可以增強網絡安全態勢感知效率，提高網絡安全態勢評估和預測的及時性和準確性，更好地保障大數據環境下的網絡安全。未來，對大數據環境下網絡安全態勢感知技術可以從以下幾個方面進行研究：
    （1）研究面向大數據環境，系統化、標準化、適用不同應用場景的網絡安全態勢感知模型，研究自適應、高可擴展性、高穩定性的網絡安全態勢感知系統，突破大數據環境下網絡安全態勢提取、態勢評估、態勢預測關鍵技術。
    （2）建立一套標準化的大數據環境下有效、完備、可度量的網絡安全態勢評價指標體系，客觀、全面、準確刻畫大數據環境下的網絡安全態勢，為態勢評估和預測提供科學依據。（3）深入研究安全大數據的特征，分析安全大數據特征要素之間的關系，研究多源動態異構安全大數據特征要素提取和分析方法。
    （4）深入研究大數據環境下網絡安全的度量模型，針對測量的安全對象深入研究測量方法、測量函數、分析模型和決策準則，突破對大數據環境網絡安全細粒度度量系統、全面、深入的認知。
    （5）吸收借鑒各學科優勢，研究大數據環境下網絡安全態勢量化評估的新方法和新思路，針對大數據環境下海量安全數據特征，研究全面、高效、準確評估大數據環境下網絡安全態勢的方法。
    （6）研究基于新一代人工智能科學技術的網絡安全態勢預測技術，以適應數據量大、動態多變、實時性要求高、高度協同的大數據網絡環境安全保障需求，支撐網絡安全管理的精準決策，為網絡安全主動動態防御提供指導。

來源：信息安全與通信保密