導(dǎo)語：網(wǎng)絡(luò)安全態(tài)勢感知層次化建模研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著移動網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，國內(nèi)的網(wǎng)民數(shù)量迅猛增加，網(wǎng)絡(luò)安全問題也越來越突出，從分析網(wǎng)絡(luò)整體安全狀況入手的網(wǎng)絡(luò)安全態(tài)勢感知研究也越來越受重視。安全態(tài)勢感知是指在一定時間和空間下的大規(guī)模網(wǎng)絡(luò)環(huán)境中，采用綜合防御機制，將網(wǎng)絡(luò)中傳感器收集并記載在各個安全設(shè)備上的各類網(wǎng)絡(luò)狀況信息加以融合，并快速提取從而識別分辨出威脅、攻擊等破壞網(wǎng)絡(luò)安全的行為，進而整合分析各個安全要素，得到網(wǎng)絡(luò)安全狀況的評估值。在評估網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，感知網(wǎng)絡(luò)安全的狀態(tài)和發(fā)展趨勢與變化規(guī)律并做出相應(yīng)的應(yīng)對策略，也就是嚴謹預(yù)測未來一段時間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢變化走勢。整個安全態(tài)勢感知過程中依次包括覺察、理解、評估、預(yù)測和決策等五個因素。網(wǎng)絡(luò)安全態(tài)勢感知是一種主動的安全防御機制，可以有效地實現(xiàn)深度防御[1]。態(tài)勢感知的目標(biāo)是采用改進的態(tài)勢感知算法，實現(xiàn)態(tài)勢感知的自動化，自動獲得自我感知，并開展自我保護。

1網(wǎng)絡(luò)安全態(tài)勢感知模型研究

在研究網(wǎng)絡(luò)安全態(tài)勢感知的過程中，先要構(gòu)建出合適的網(wǎng)絡(luò)安全態(tài)勢感知模型，研究者們在過去的三十多年中先后提出了大約有三十多個適合的態(tài)勢感知模型。在這些模型中，應(yīng)用最廣泛的是1984年美國國防部提出的融合模型JDL模型[2]、1988年Endsley提出的EndsleySA模型[3]和1999年TimBass針對分布式人侵檢測提出的融合模型TimBass模型[4]，后來提出的感知模型都是在這三個模型上的升華和改進。網(wǎng)絡(luò)安全態(tài)勢感知的具體實施過程首先是通過傳感器采集網(wǎng)絡(luò)安全設(shè)備上記載的監(jiān)測、過濾、防護等信息，再提取態(tài)勢要素，進行態(tài)勢理解與安全態(tài)勢評估，最后再對當(dāng)前網(wǎng)絡(luò)環(huán)境未來可能出現(xiàn)的變化趨勢進行預(yù)測。網(wǎng)絡(luò)安全態(tài)勢感知過程如圖1所示。文獻[5]在經(jīng)過對態(tài)勢感知的研究之后將網(wǎng)絡(luò)安全態(tài)勢感知分為三個部分，即網(wǎng)絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解以及網(wǎng)絡(luò)安全態(tài)勢投射三個層次。這其中，態(tài)勢覺察主要完成對初始數(shù)據(jù)的提取并分辨初始數(shù)據(jù)中的關(guān)聯(lián)信息，即對源數(shù)據(jù)進行降噪、規(guī)范化處理，得到具體有效的信息，其主要目的是辨識出系統(tǒng)中的活動。態(tài)勢理解主要是實施對分辨出的關(guān)聯(lián)信息進行理解的工作，在有關(guān)的基礎(chǔ)上分析當(dāng)前的安全形勢，有無安全攻擊行為的發(fā)生以及對安全等級的評定。態(tài)勢投射主要完成這些活動意圖是否會產(chǎn)生攻擊的判斷任務(wù)，即在前兩步的基礎(chǔ)上分析并評估各個活動對當(dāng)前系統(tǒng)環(huán)境的影響，并進一步判斷是否會對系統(tǒng)環(huán)境造成威脅，包括發(fā)現(xiàn)已經(jīng)產(chǎn)生的威脅和預(yù)測可能產(chǎn)生的威脅。基于此概念，本文將對源數(shù)據(jù)的預(yù)處理、數(shù)據(jù)信息的建模、以及模型信息的采集作為態(tài)勢覺察層進行分類，而將與信息理解有關(guān)的機器學(xué)習(xí)模塊以及要素提取作為態(tài)勢理解層進行分類。需要注意的是，對模型信息的處理和對機器學(xué)習(xí)的評判這兩者之間需要持續(xù)不斷的進行反饋以修正最終的態(tài)勢評級，將態(tài)勢指標(biāo)可視化和態(tài)勢指標(biāo)評級作為態(tài)勢投射層進行分類，所建立的層次化模型如圖2所示。通常情況下網(wǎng)絡(luò)態(tài)勢數(shù)據(jù)中心收集到的安全態(tài)勢數(shù)據(jù)本身并不符合規(guī)范，如果直接輸人安全態(tài)勢感知源數(shù)據(jù)會導(dǎo)致計算量過大、數(shù)據(jù)維數(shù)過高而難以處理，因此必須對源數(shù)據(jù)進行前期處理，提取數(shù)據(jù)的顯著性特征，將有代表性的樣本態(tài)勢感知關(guān)鍵字提取為顯著性特征，這樣才能體現(xiàn)出不同情況下不同的網(wǎng)絡(luò)狀態(tài)特征，由此得到網(wǎng)絡(luò)安全態(tài)勢感知流程如圖3所示。

2網(wǎng)絡(luò)安全態(tài)勢要素提取框架

網(wǎng)絡(luò)安全態(tài)勢理解與評估之后的態(tài)勢預(yù)測結(jié)果的準(zhǔn)確度，在很大程度上取決于安全態(tài)勢特征要素的提取。安全事件的預(yù)處理與態(tài)勢要素的提取定位于網(wǎng)絡(luò)安全態(tài)勢感知底層，其中態(tài)勢要素提取性能的優(yōu)劣在很大程度上決定著安全態(tài)勢感知結(jié)果的準(zhǔn)確度。網(wǎng)絡(luò)安全態(tài)勢特征要素提取網(wǎng)絡(luò)的安全態(tài)勢要素主要包括網(wǎng)絡(luò)的拓撲信息、脆弱性信息和狀態(tài)信息等靜態(tài)的配置信息和各種防護措施的日志采集和分析技術(shù)獲取的威脅信息等動態(tài)的運行信息等[6]。網(wǎng)絡(luò)安全態(tài)勢要素提取的核心就是準(zhǔn)確地分類識別出網(wǎng)絡(luò)中記載的海量安全數(shù)據(jù)，了解把握網(wǎng)絡(luò)實時的受攻擊與被威脅的情況，為下一步評估網(wǎng)絡(luò)安全狀況提供數(shù)據(jù)支撐。因此，判斷態(tài)勢要素提取方法好壞的標(biāo)準(zhǔn)有兩個：一是識別攻擊數(shù)據(jù)的準(zhǔn)確度；二是消耗時間的收斂度。大多數(shù)規(guī)模大的網(wǎng)絡(luò)都會呈現(xiàn)出節(jié)點數(shù)量多、拓撲結(jié)構(gòu)復(fù)雜、傳輸流量大、子網(wǎng)眾多等特點，并且網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，包括多種不同結(jié)構(gòu)的網(wǎng)絡(luò)和不同類型的應(yīng)用平臺，因此適宜采用層次化態(tài)勢要素提取模型，其框架結(jié)構(gòu)如圖4所示。絡(luò)全局分析和局部分析組成，提取過程實施先局部后整體的原則，態(tài)勢要素的采集是通過融合傳感器傳輸?shù)母黝惥W(wǎng)絡(luò)安全數(shù)據(jù)實現(xiàn)。通過學(xué)習(xí)輸入?yún)R總到分類器中的歷史安全數(shù)據(jù)集和當(dāng)前安全數(shù)據(jù)集，生成一種學(xué)習(xí)規(guī)則，用這種學(xué)習(xí)規(guī)則來指導(dǎo)網(wǎng)絡(luò)局部模塊的數(shù)據(jù)分析，在局部模塊中經(jīng)過統(tǒng)計與分析后形成的數(shù)據(jù)再被反饋傳輸?shù)饺址治瞿K，通過這種數(shù)據(jù)分析機制可以將網(wǎng)絡(luò)中的局部態(tài)勢要素及全局態(tài)勢要素都提取到。目前分類器分類所采用的方法比較多，本文所采用的層次化安全態(tài)勢要素提取框架中分類器采用近年來得到深入研究并推廣應(yīng)用的聚類方法來進行分類特征提取，通過聚類方法將態(tài)勢感知數(shù)據(jù)集分類，從而分辨出正常網(wǎng)絡(luò)行為和異常網(wǎng)絡(luò)行為。

3網(wǎng)絡(luò)安全態(tài)勢評估

在態(tài)勢感知過程中，網(wǎng)絡(luò)安全態(tài)勢評估是融合分析各種安全設(shè)備在網(wǎng)絡(luò)環(huán)境中采集到的各類網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)，結(jié)合歷史態(tài)勢數(shù)據(jù)及來自網(wǎng)絡(luò)安全特征屬性的相關(guān)領(lǐng)域知識,借助數(shù)學(xué)模型對網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)進行綜合評估，得到安全級別劃分和安全分類聚類。人工制定安全級別和對相應(yīng)的威脅程度進行級別劃分，同時采用聚類的方法施以動態(tài)調(diào)整進行安全分類，這通常是用概率值或權(quán)重值來表示，以便指導(dǎo)網(wǎng)絡(luò)安全管理人員有的放矢地作出決策和做好安全防護準(zhǔn)備。

4結(jié)語

本文采用層次化的機制來研究安全態(tài)勢感知的三層模型構(gòu)建和其技術(shù)路線，依據(jù)局部與整體相結(jié)合的原則來提取安全態(tài)勢要素，在此基礎(chǔ)上得出層次化安全態(tài)勢要素提取框架圖，進而總結(jié)了網(wǎng)絡(luò)安全態(tài)勢評估過程。由于目前所采用的傳統(tǒng)評估與要素提取框架模型方法逐漸不能滿足需求，因此越來越多的研究正在朝智能化方向發(fā)展，也就是在全面準(zhǔn)確快速地評估安全態(tài)勢的基礎(chǔ)上，實現(xiàn)自動感知與自我保護等智能化的安全態(tài)勢感知。

作者:陳宏 單位:湖南女子學(xué)院信息科學(xué)與工程學(xué)