2023网络安全态势感知技术综述

网络安全态势感知技术综述目录1 网络安全态势感知的基本概念 31.1 态势感知 31.2 网络安全态势感知 4网络安全态势理解 6网络安全态势投射 62 网络安全态势觉察 62.1 基本任务 62.2 基于先验知识的方法 72.3 不基于先验知识的方法 82.4 存在的问题 8类别 93 网络安全态势理解 93.1 基本任务 93.2 攻击行为预测 93.3 攻击目的理解 103.4 存在的问题 104 网络安全态势投射 104.1 基本任务 104.2 基于知识推理的方法 114.3 统计方法 114.4 灰度理论方法 124.5 存在的问题 125 网络安全态势感知的研究方向 12(1) 海量异构测量数据的融合处理 12(2) 不完全信息条件下的活动辨识 13(3) 网络活动的语义计算 13(4) 网络态势的可视化 13(5) 网络安全态势感知的协同 13(6) 更为完善的态势投射方法 136 结 论 13互联网基础设施的不断发展和新应用的不断涌现使得网络规模逐渐扩大,拓扑结构日益复杂,网络安全管理的难度不断增加.为了应对日益复杂、隐蔽的网络威胁,各种检测技术相继出现,如脆弱性检测技术、恶意代码检测技术、入侵检测技术等.这些技术试图从不同的角度发现网络中可能存在的安全问题,但在适时且全面地找出网络系统中存在的真实威胁方面不够理想和有效,限制了网络安全管理员做出最佳响应决策的能力.近年来,网络安全态势感知的概念逐渐引起研究人员的兴趣,希望利用其从大量且存在噪声的数据中辨识出网络中的攻击活动,宏观地把握整个网络的安全状况,并合理、有效地进行响应,以尽可能地降低因攻击造成的损失.这对于提高网络系统的监控能力和应急响应能力具有积极的作用.然而,目前人们对网络安全态势感知的研究仍处于探索阶段,还未形成一致的认识.鉴于网络安全态势感知对网络安全管理的积极作用,且目前该领域的研究尚在起步阶段,本文试图对网络安全态势感知的基本概念、研究内容与难点、意见及目前的研究热点进行综述,具体贡献如下.(1) 对网络安全态势感知的概念进行了重新表述,进一步明确了它的研究目标.(2) 依据本文给出的网络安全态势感知定义对已有的概念模型进行分析,并在此基础上给出了一个更为准确、合理的概念模型.(3) 对相关的研究内容进行了分类讨论,分析存在的问题.(4) 探讨了网络安全态势感知目前的热点问题,进一步指出网络安全态势感知下一步的研究重点.本文第 1 节主要阐述态势感知的概念及起源,重新表述网络安全态势感知的概念.第 2 节~第 4 节分别从网络安全态势觉察、网络安全态势理解、网络安全态势觉察投射这 3 个层面阐述网络安全态势感知的研究内容和存在的问题.第 5 节基于网络安全态势感知的目标探讨这一领域的研究重点.最后是全文总结.1 网络安全态势感知的基本概念本节主要阐述态势感知的概念,重新表述网络安全态势感知的概念,并对态势感知与网络安全态势感知之间的关系加以分析.1.1 态势感知状态是指一个物质系统中各个对象所处的状况,由一组测度来表征.顾名思义,态势是系统中各个对象状态的综合,是一个整体和全局的概念.任何单一的情况和状态均不能成为态势,它强调系统及系统中的对象之间的关系[1].微观而言,表征状态的测度取值依赖于对应系统的要素内容,这些要素之间的关系如图 1 所示,其中,· 原始数据是指传感器产生的未经处理的数据,它反映的是原始数据的观测结果;· 信息是指对原始数据进行有效性处理后得到的数据记录;· 知识是指采用相关技术所识别出的系统中的活动内容;· 理解是指针对各个活动,分析得到的其意图和特征;· 状态评估是指预测这些活动对系统中各个对象所产生的作用.原始数据知识信息状态评估(当前、未来)理解Fig.1 Situation awareness cognitive mapping process[2]图 1 态势感知的认知映射[2]从图 1 可以看到,感知是一种“认知映射”.所谓认知映射是指决策者采用数据融合、风险评估及可视化等相关技术对不同地点获得的不同格式的信息去噪、整合,从而得到更准确、更全面的信息,然后不断地对这些信息进行语义提取,识别出需要关注的要素及其意图,决策者可以实时、有效地评估其对系统产生的影响.态势感知是指在一定的时间和空间范围内提取系统中的要素,理解这些要素的含义,并且预测其可能的效果[3].Endsley 将其概括为 3 个层面:态势觉察(situation perception)、态势理解(situation comprehension)及态势投射(situation projection).根据这个定义,态势感知可以理解为一个认知过程[4],通过使用过去的经验和知识,识别、分析和理解当前的系统状况.分析人员对当前的态势进行感知,更新“状态知识”,然后再进行感知以最终构成一个循环的映射过程.这个映射过程不是简单的数据变换而是一种语义提取[5],因此,感知的过程表现为不断地作认知映射以获取更多、更详细的语义.态势感知是一个动态变化的过程,不同的人由于经验、知识等有所不同,得到的态势感知不尽相同.态势感知最早来源于美国军方在军事对抗中的研究.在军事术语中,态势感知的目标是使指挥官了解双方的情况,包括敌我的所在位置、当前状态和作战能力,以便能做出快速而正确的决策,达到知己知彼、百战不殆的目的[5].态势感知方法在战场指挥[6]、人机交互系统[7,8]、战场指挥[5]和医疗应急调度[9]等领域均有应用.Bass于 1999 年提出网络态势感知这个概念[10],次年将该技术应用于多个 NIDS 检测结果的数据融合分析[2],主要是解决单一入侵检测系统无法有效识别出当前系统中存在的所有攻击活动及整个网络系统的安全态势的问题.随后,学术界开始致力于网络安全态势感知的研究,并提出了多种相关的模型和技术.目前,人们对网络安全态势感知的研究存在 3 种观点:一种认为 NSSA 是网络安全事件应用大数据处理和可视化技术的汇总结果,如传统的安全服务提供商(McAfee,Symantec)及新出现的重点关心 APT 攻击的企业 (FireEye,Mandiant)等,通过公开一些技术报告记录 APT 的攻击实例[11,12];一种认为 NSSA 是基于网络安全事件融合计算的网络安全状态量化表达[13,14];还有观点认为 NSSA 作为一种网络安全管理工具,是网络安全监测的一种实现形式,并提出了诸多模型[3,15-18].态势感知常被应用在由观察(observe)、导向(orient)、决策(decision)和行动(act)这 4 阶段构成的一个控制过程环中(如图 2 所示).这类控制模型过去有很多研究成果,如 Boyd 控制循环模型[15]、JDL 数据融合模型[15]、 Endsley 在 1995 年提出的模型[3]、龚正虎等人提出的网络态势感知模型[16]、Tadda 提出的将 JDL 与 Endsley的 3 层模型相结合的模型[17]以及刘效武提出的认知融合感控模型[18]等.认知域 决策(D)导向(O)信息域行动(A)观察(O)物理域Fig.2 OODA decision making model[15]图 2 OODA 决策模型[15]OODA 环的概念直接来自Boyd 控制循环模型,它描述了目的与活动的感知过程,并将感知循环过程分为观察、判断、决策、行动这 4 个阶段.其中,观察实现了从物理域跨越到信息域;判断和决策属于认知域;而行动实现信息域到物理域的闭合,完成循环.前 3 个阶段类似于 JDL 数据融合模型;而行动阶段考虑了决策对真实世界中的影响来闭合循环,更适用于需要进行主动干预的环境中.Lenders 等人将 OODA 应用到企业网中,解决了之前 OODA 模型中将判断、决策的任务留给人们进行手动处理的问题[5].需要强调的是:这些研究得到的并不是态势感知模型,而是态势感知应用模型,态势感知的工作只涉及图 2中认知域的活动,不涉及信息域和物理域的活动.因此,基于这些模型来直接代表态势感知的概念是不合适的.1.2 网络安全态势感知美国空军通信与信息中心的 Bass 在 1999 年首次提出将态势感知技术应用于多个 NIDS 检测结果的数据融合分析,认为“多传感器数据融合技术为下一代入侵检测系统和网络态势感知系统提供了一个重要的功能框架,它可以融合多源异构 IDS 的数据,识别出入侵者身份、攻击频率及威胁程度等”[2].文献[2]没有给出网络安全态势感知概念的明确定义,只是强调数据融合是态势感知的核心手段.之后的研究中也很少有人直接对网络安全态势感知的概念进行直接的定义,而是使用意会的方式,这是导致这个领域研究中概念不统一的重要原因.文献[1]探讨了网络安全态势感知的概念,认为它是指“在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势”.这个定义基本上属于 Endsley 定义[3]的翻译,并且缺乏对网络安全态势感知中网络安全态势投射层面的内容,对网络安全态势感知目标的理解是不完整的.文献[4]将“网络安全态势感知视为态势感知的一个子集,其主要关注的是网络安全领域,数据源主要是 IDS的警报、脆弱性信息等”.这个定义过于模糊,没有明确子集的含义是针对功能还是针对数据,也没有明确网络安全态势感知是态势感知结果的一部分还是功能的一部分.网络安全态势感知与态势感知实质上是类型和实例的关系而不是子集的问题,态势感知既包括安全态势感知,也包括工业控制态势感知等,是使用同一种方法应用在不同的领域.我们认为:网络安全态势感知的目的应当是将态势感知的理论和方法应用到网络安全领域中,能够使网络安全人员在动态变化的网络环境中宏观把握整个网络的安全状态,为高层管理人员提供决策支持.鉴于态势感知是一种认知过程,且网络安全态势感知是态势感知方法在网络安全领域的应用,因此,我们可以将网络安全态势感知的概念定义如下.定义 1. 网络安全态势感知 NSSA 是对网络系统安全状态的认知过程,包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取,识别出存在的各类网络活动以及其中异常活动的意图,从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解.定义中需要解释的是:网络系统是对各种形态网络的抽象,包括计算机互联网、物联网以及其他采用不同通信方式和终端类型的网络.这意味着不同类型的网络在网络安全态势感知的概念和方法上是具有共性的.测量是对各种网络检测功能的抽象,包括网络管理数据和网络安全监测数据.其中,测量数据的生成不是 NSSA 的任务,而这些数据的获取则是 NSSA 的任务.这意味着网络安全态势感知的研究目标与研究内容与网络管理和网络入侵检测等这些传统的研究领域之间有着区分和不同的侧重点.背景状态是系统当前所处的运行状态,这是动态变化的,与系统之前的部署和定义可能是不一致的.“安全”只有在动态的系统中才有意义,因此,攻击活动及安全缺陷对系统的影响效果,应当基于系统当前的状态进行判定.活动语义是系统中的主体作用于客体的动作所构成的序列,要进行安全态势察觉,管理人员应当了解系统中存在的所有活动,不能仅止于辨识攻击活动,即,要辨清敌我.响应决策本身不是NSSA 的任务,因为态势感知只是OODA 的支撑技术.这意味着安全响应技术和安全策略管理技术等传统上属于网络安全管理领域的内容,不属于网络安全态势感知的研究范畴.根据上述定义,NSSA 的任务包括网络安。