賽博空間態(tài)勢感知技術研究

1、 作者簡介：張勇（1984-），男，安徽，博士，主要研究方向：賽博空間、網(wǎng)絡安全、風險評估等；丁建林（1965-），男，山東，工程師，主要研究方向：網(wǎng)絡安全、賽博空間、數(shù)字圖形圖像處理等。張勇，丁建林（中國電子科技集團公司第三十八研究所數(shù)字技術部，安徽合肥 230088）摘要：文章從賽博空間的概念和態(tài)勢感知的流程出發(fā)，構建賽博空間態(tài)勢感知框架，以安全檢測和安全事件分析技術為支撐，提出多層次多角度的態(tài)勢評估模型，在此基礎上使用時間序列分析方法預測安全態(tài)勢的發(fā)展趨勢。關鍵詞：賽博空間；態(tài)勢感知；態(tài)勢評估；態(tài)勢預測中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-1122（2012）

2、03-0042-03Research on the Technology of Cyberspace Situation AwarenessZHANG Yong, DING Jian-lin( Department of Digital Technology, China Electronics Technology Group Corporation No.38 Research Institute,Hefei Anhui 230088, ChinaAbstract: This paper starts form the concept of cyberspace and the proce

3、ss situation awareness. Then, we build the framework of cyberspace situation awareness. Using security detection and security event analysis techniques, we propose multi-level and multi-angle situation evaluation model. Finally, using time series analysis we forecast the trends of the security situa

4、tion.Key words: cyberspace; situation awareness; situation evaluation; situation forecastingdoi ：10.3969/j.issn.1671-1122.2012.03.012賽博空間態(tài)勢感知技術研究0 引言賽博空間（Cyberspace）一詞最早出現(xiàn)在加拿大幻想小說作家吉布森在1981年所寫的小說燃燒的鉻合金，該詞隨著他1984年的出版的小說神經(jīng)漫游者廣為傳播，他將微芯片、電腦、網(wǎng)絡、黑客和機器人等組合成的空間稱為賽博空間1。20世紀90年代學術界對賽博空間的概念進行了的探討，當時形成的觀點認為賽博空間

5、基本上與互聯(lián)網(wǎng)同義，將其翻譯為網(wǎng)絡空間或電腦空間。進入21世紀，賽博空間得到了美國政府和軍方的重視，與其相關的研究逐步開展。目前，對賽博空間的認識還在發(fā)展中，其概念和內(nèi)涵在不斷拓展，尚處于邊摸索、邊研究、邊開發(fā)、邊利用階段。賽博空間是一個類似于陸、海、空、天的真實存在的可操作的域，由電磁頻譜、電子設備和系統(tǒng)、網(wǎng)絡化基礎設施等組成，以信息的創(chuàng)建、存儲、修改、交換和利用為目的，實現(xiàn)對信息系統(tǒng)的控制。賽博空間中的行動成為賽博戰(zhàn)（Cyberwar），包括進攻行動和防御行動兩個方面，進攻行動包括對敵方關鍵電子設備的動能打擊、電子戰(zhàn)、計算機網(wǎng)絡攻擊等，防御行動包括對己方關鍵設備的電磁防護、信息保障漏洞評估

6、、通信保密、敵方攻擊效果評估和攻擊定位等。實現(xiàn)并保持對賽博空間的控制，對于實施有效的作戰(zhàn)行動至關重要，是開展各級戰(zhàn)斗的基礎，可以使己方在戰(zhàn)場上達成預期效果，并降低和消除敵方進攻能力。態(tài)勢感知（Situation Awareness ）是在一定的時間和空間條件下，對環(huán)境因素的感知、理解以及對其發(fā)展趨勢的預測，態(tài)勢感知源于戰(zhàn)爭中敵我雙方攻防態(tài)勢的估計，態(tài)勢感知技術最早出現(xiàn)在航天飛行的人因（Human Factors ）研究。1988年，Endsley把態(tài)勢感知分成感知、理解和預測三個層次的信息處理2。態(tài)勢感知在軍事戰(zhàn)場、空中交通監(jiān)管及通信等領域被廣泛地研究。1999年，Tim Bass 首次提出了

7、網(wǎng)絡態(tài)勢感知的概念，將網(wǎng)絡態(tài)勢感知與ATC 態(tài)勢感知進行了對比，并將空中交通監(jiān)管中態(tài)勢感知的成熟理論和技術應用到網(wǎng)絡態(tài)勢感知中3。賽博空間的態(tài)勢感知（Cyberspace Situation Awareness ）是指由賽博空間中所有電子設備和電子系統(tǒng)的運行狀況、設備行為以及用戶行為等因素所構成的整體安全狀態(tài)和變化趨勢，通過多傳感器多手段協(xié)同偵察的方式，對能夠引起賽博空間態(tài)勢發(fā)生變化的所有環(huán)境要素，進行獲取、理解和評估，并預測其發(fā)展趨勢。1）對各種影響系統(tǒng)安全性的要素進行檢測獲取，安全要素包括電磁信號層、通信與網(wǎng)絡協(xié)議層、信息層和行為層的安全信息；2）對采集到的多源安全信息采用分類、歸并、關聯(lián)

8、分析等手段 43 進行融合，得到規(guī)范化的數(shù)據(jù)；3）對融合的數(shù)據(jù)進行綜合分析，提取有用的信息，評估賽博空間的安全態(tài)勢，并給出相應的應對措施；4）對賽博空間的安全態(tài)勢的發(fā)展趨勢進行預測，及時預警，預防大規(guī)模安全事件的發(fā)生，減輕賽博敵方行動的危害。1 賽博空間態(tài)勢感知體系框架賽博空間不同于傳統(tǒng)的計算機網(wǎng)絡，主要由電磁頻譜、電子系統(tǒng)和網(wǎng)絡化基礎設施三部分組成。電磁頻譜涵蓋現(xiàn)有通信和雷達使用的頻率，是計算機網(wǎng)絡在無線通信領域和無源探測領域的擴充。電子系統(tǒng)除了傳統(tǒng)的計算機系統(tǒng)外，還包括片上微系統(tǒng)和嵌入式系統(tǒng)等，網(wǎng)絡化基礎設施包括傳統(tǒng)的計算機網(wǎng)絡，還包括無線通信網(wǎng)、電力網(wǎng)、專用網(wǎng)、戰(zhàn)地指控網(wǎng)、工業(yè)控制網(wǎng)和無

9、線傳感器網(wǎng)等。賽博空間的態(tài)勢感知在范圍、廣度和深度都是對網(wǎng)絡安全態(tài)勢感知的擴充。在網(wǎng)絡安全態(tài)勢感知的流程的基礎上，給出賽博空間態(tài)勢感知的概念模型，如圖1所示態(tài)勢感知的流程包數(shù)據(jù)采集、態(tài)勢理解、態(tài)勢評估和態(tài)勢預測四個部分。圖1 賽博空間態(tài)勢感知的概念模型數(shù)據(jù)采集是通過各種檢測工具，對影響網(wǎng)絡安全的所有要素信息進行采集；態(tài)勢理解是對各種網(wǎng)絡安全要素數(shù)據(jù)進行處理，分析影響網(wǎng)絡的安全事件；態(tài)勢評估定性定量分析網(wǎng)絡當前的安全狀態(tài)和薄弱環(huán)節(jié)，并給出相應的解決方案；態(tài)勢預測預測網(wǎng)絡安全狀況的發(fā)展趨勢4。以工作流程為主線，輔以對應的要素關系的分析和平臺建設的關鍵技術支撐模塊，構建如圖2所示的賽博空間態(tài)勢感知體

10、系框架。圖2中方案是態(tài)勢感知的依據(jù)和指導，方案的生成是一個人工的過程，主要依據(jù)國家相關的法規(guī)標準、技術規(guī)范和信息系統(tǒng)的屬性特點，在對法規(guī)、標準、規(guī)范和信息系統(tǒng)特性深入研究的基礎上，設計調(diào)查問卷，通過問卷調(diào)查的方式確定態(tài)勢感知的需求，有針對性的制定態(tài)勢感知方案。檢測是態(tài)勢感知的前提，檢測的目的是獲取態(tài)勢感知所需的各種數(shù)據(jù)，包括網(wǎng)絡化基礎設施的拓撲結構、己方電子系統(tǒng)和設備運行狀態(tài)、敵方的電磁干擾和各類入侵等數(shù)據(jù)。數(shù)據(jù)來源包括現(xiàn)場實測的數(shù)據(jù)和信息系統(tǒng)產(chǎn)生的歷史數(shù)據(jù)。檢測手段包括資產(chǎn)識別、威脅識別、脆弱性識別、日志查看和滲透測試等。理解是態(tài)勢感知的基礎，理解的目的是獲取影響態(tài)勢的安全事件數(shù)據(jù)，安全事件

11、是對賽博空間各類攻擊的抽象，通過對原始檢測數(shù)據(jù)進行數(shù)據(jù)級的融合，得到規(guī)范化的數(shù)據(jù)集合，然后依據(jù)資產(chǎn)、威脅、脆弱性三者之間的關聯(lián)關系，通過關聯(lián)分析得到安全事件序列。評估是態(tài)勢感知的核心，評估的目的是根據(jù)測試數(shù)據(jù)，對賽博空間安全態(tài)勢進行評估。采用基于多層次多角度的態(tài)勢評估模型，根據(jù)不同的應用需求和背景，從各個方面賽博空間的安全態(tài)勢，并給出應對措施。預測是態(tài)勢感知的最終目標，根據(jù)歷史評估數(shù)據(jù)，采用時間序列分析方法，對賽博空間安全態(tài)勢的變化規(guī)律進行分析，預測態(tài)勢的變化趨勢，在發(fā)生大規(guī)模安全事件之前及時預警。2 安全檢測與安全事件分析安全檢測與多源數(shù)據(jù)融合是態(tài)勢感知的基礎，安全檢測對賽博空間內(nèi)敵我雙方電

12、子系統(tǒng)和設備運行狀態(tài)、信息資源和設備的薄弱環(huán)節(jié)、賽博武器和賽博攻擊手段等等做詳細的偵察和測試，確定賽博空間中有價值的信息和資源的位置，探明己方薄弱環(huán)節(jié)，檢測敵方各類惡意的入侵和攻擊。安全檢測技術包括資產(chǎn)識別、電子干擾測試、脆弱性掃描、滲透測試、威脅檢測、入侵檢測和電子干擾測試、電磁波截獲、輻射源定位等技術。所有安全檢測設備都稱為傳感器，包括雷達、電子戰(zhàn)飛機、無線傳感器、入侵檢測系統(tǒng)、漏洞掃描器、防火墻和病毒檢測軟件等。由于傳感器的多樣性導致檢測結果數(shù)據(jù)量大、結構復雜、差異性大，并且存在冗余、不一致和錯誤的數(shù)據(jù)，很難直接用于態(tài)勢評估，多源數(shù)據(jù)融合技術對原始檢測數(shù)據(jù)的預處理，合并相關項，去除冗余項

13、，修正 錯誤項，得到規(guī)范化的數(shù)據(jù)集。在經(jīng)過多源數(shù)據(jù)融合處理后，所有的檢測數(shù)據(jù)都歸類到資產(chǎn)、威脅和脆弱性三類數(shù)據(jù)集中。資產(chǎn)是具有價值的設備或信息，是安全策略保護的對象，是敵方攻擊的目標，在賽博空間中所有有形的電子系統(tǒng)和無形的信息都抽象為資產(chǎn)。資產(chǎn)通過資產(chǎn)標識、資產(chǎn)名稱和資產(chǎn)價值來描述，資產(chǎn)價值是資產(chǎn)最基本的屬性，通過資產(chǎn)被攻擊后造成的損失衡量，是一個向量結構，使用信息保障中的保密性、完整性、可用性、可認證性和不可否認性五個指標來衡量資產(chǎn)的價值5。威脅是對資產(chǎn)造成安全損害的外因，是敵方實施的賽博攻擊的量化表征。威脅通過威脅標識、威脅名稱、威脅所在的資產(chǎn)標識、威脅利用的脆弱性標識和威脅發(fā)生概率來描述

14、，威脅所在的資產(chǎn)標識表示威脅的位置；威脅利用的脆弱性標識表示威脅造成損害的內(nèi)在條件，只有威脅利用的脆弱性存在，威脅才能造成損害，在某個資產(chǎn)上，當只檢測到威脅而沒有檢測到該威脅利用的脆弱性時，威脅將不會對該資產(chǎn)造成損害；威脅發(fā)生概率表示威脅發(fā)生的可能性，在某個資產(chǎn)上，當只檢測到脆弱性沒有檢測到利用該脆弱性的威脅時，則認為相應的威脅可能發(fā)生，并對資產(chǎn)造成潛在的損害，發(fā)生可能性為威脅發(fā)生概率。脆弱性是對資產(chǎn)造成安全損害的內(nèi)因，是己方賽博空間中薄弱環(huán)節(jié)的量化表示。脆弱性通過脆弱性標識、脆弱性名稱、脆弱性所在資產(chǎn)的標識、利用該脆弱性的威脅標識和脆弱性影響來描述，脆弱性所在資產(chǎn)的標識表示脆弱性的位置；利用

15、該脆弱性的威脅標識表示脆弱性造成安全損害的外在條件；脆弱性的影響表示如果該脆弱性被威脅成功利用后，對相應的資產(chǎn)造成的損失，包括對資產(chǎn)保密性、完整性、可用性、可認證性和不可否認性五個方面造成的影響。當資產(chǎn)同時存在威脅和相關的脆弱性時，威脅通過脆弱性對資產(chǎn)的安全性造成損害；當資產(chǎn)只存在威脅而不存在相關的脆弱性時，威脅不會對資產(chǎn)造的安全性成損害；當資產(chǎn)只存在脆弱性而不存在相關的威脅時，資產(chǎn)存在安全隱患，安全性可能受到損害。在評估一次完整的賽博攻擊若造成的安全損害時，需要將資產(chǎn)、威脅和脆弱性三者關聯(lián)分析，威脅利用資產(chǎn)上存在的脆弱性造成安全事件的發(fā)生，安全事件是對資產(chǎn)造成安全損害的直接原因和度量的最小單

16、位，每次賽博攻擊可以抽象為一個安全事件。安全事件通過資產(chǎn)標識、威脅標識、脆弱性標識、發(fā)生可能性和造成損害來描述，資產(chǎn)標識表示安全事件發(fā)生的位置；威脅標識表示安全事件發(fā)生的外因，即賽博攻擊；脆弱性標識表示安全事件發(fā)生的內(nèi)因，即資產(chǎn)的薄弱環(huán)節(jié)；安全事件發(fā)生的可能性使用相關威脅發(fā)生的可能性來描述；安全事件造成的損害使用相關脆弱性造成的損害來描述。3 基于多層次多角度分析的態(tài)勢評估技術態(tài)勢評估技術是對賽博空間安全態(tài)勢的量化描述，2001年5月，ACSA（Applied Computer Security Associates ）認為安全度量是通過評估過程從一個偏序集中選擇的一個值，描述信息系統(tǒng)安全質(zhì)量

17、，是一種關于信任程度的描述6。安全度量的關鍵是選取標準、規(guī)范而完備的指標體系，在評估賽博空間安全態(tài)勢時，使用信息保障中的可用性、完整性、保密性、可認證性、不可否認性這五個指標作為指標體系，能夠完備的描述賽博空間安全態(tài)勢的各個方面。為了適應不同的應用需求，客觀、全面的度量賽博空間安全態(tài)勢，本文給出如圖3所示的多層次多角度量化評估模型，分別從專題層次、要素層次和整體層次對安全態(tài)勢進行描述7。圖3 多層次多角度量化評估模型專題評估層次從資產(chǎn)、威脅、脆弱性和安全事件四個專題，對賽博空間的安全性進行評估?？梢栽u估賽博空間內(nèi)單個資產(chǎn)、部分資產(chǎn)或所有資產(chǎn)的使用情況、威脅、脆弱性和安全事件的數(shù)量，可以分別評估

18、不同危害級別的威脅、脆弱性和安全事件的數(shù)量和分布規(guī)律。要素評估層次從信息保障的五個指標，分別對賽博空間在保密性、完整性、可用性、可認證性和不可否認性五個方面的達成程度進行分析。敵方賽博攻擊抽象為安全事件，在得到敵方所有賽博攻擊對應的安全事件序列后，通過綜合分析，評估安全態(tài)勢的五項指標值。由于多個低等級安全事件的整體損害可能沒有單個高等級安全事件的損害大，并且安全事件發(fā)生在重要的資產(chǎn)造成的影響，遠比發(fā)生在不重要的資產(chǎn)上大，因此在對所有安全事件的影響進行綜合分析時，應該采用文獻8基于指對數(shù)分析的綜合方法，避免線性疊加帶來的偏差大和區(qū)分度低的問題。整體評估是對賽博空間安全性的綜合分析，態(tài)勢評估的最終

19、目的是輔助指揮控制，需要有簡單直觀的表示。在評估整體安全態(tài)勢時，需要針對不同應用需求區(qū)別對待，不同的應用需求對保密性，完整性、可用性、可認證性和不可否認性的要求不一樣，比如在和平時期，對完整性和可用性的要求最高，而對于戰(zhàn)爭沖突時期保密性、不可否認性和可認證性是至關重要的。因此在評估整個安全態(tài)勢時，以安全態(tài)勢的五個要素分量評估結果為基礎，采用加權模型得到整個安全態(tài)勢值，根據(jù)加權參數(shù)的不同，適應不同的應用需求。4 基于時間序列分析的態(tài)勢預測技術賽博空間不同時刻的安全態(tài)勢彼此相關，態(tài)勢的變化有一定的規(guī)律，利用這種規(guī)律可以預測態(tài)勢的變化趨勢，從而有預見性地輔助決策者進行決策，實現(xiàn)動態(tài)管理和及時預警，避

20、免預防大規(guī)模安全事件的發(fā)生造成損失。態(tài)勢預測基于歷次的態(tài)勢評估結果，預測安全態(tài)勢在下一時刻的值。時間序列分析的方法能夠很好的刻畫隨時間變化順序取得的一系列評估值之間的前后依賴關系，適合用于對態(tài)勢感知的變化規(guī)律進行分析。態(tài)勢評估輸出的實時態(tài)勢值作為態(tài)勢預測的輸入，安全態(tài)勢序列一般為非平穩(wěn)時間序列，可以依次對序列做趨勢差80頁 3.2 嚴格設置網(wǎng)站權限對于Access 數(shù)據(jù)庫+ASP（ASP.net）+IIS架構，需要嚴格設置網(wǎng)站權限，使其具有運行IIS 的最小權限4，即網(wǎng)站目錄專屬“Internet 來賓賬戶”僅僅允許修改、讀取和執(zhí)行、列出文件夾內(nèi)容權限，上傳目錄僅允許寫入、讀取和禁止刪除權限。

21、對Access 數(shù)據(jù)庫采取復雜命名規(guī)則，文件后綴修改為asp 而不是默認的mdb，且在Access 中加入一個二進制表格，防止Flashget 等直接下載數(shù)據(jù)庫命名為asp 后綴后的文件。3.3 上傳文件嚴格審核檢查利用各種上傳漏洞是獲取Webshell 的主要方法之一，因此要對上傳的文件內(nèi)容和名稱都要進行嚴格的審查。對輸入文件名稱進行強制小寫轉(zhuǎn)換再進行檢查，過濾特殊字符輸入。對文件內(nèi)容進行文件幻數(shù)和文件加載測試，調(diào)用圖像API 或函數(shù)去進行文件加載測試，通過圖像渲染測試，乃至二次渲染測試，將上傳的文件重新生成指定的圖像格式，在這個過程中不影響圖像的正常顯示，僅僅是去掉圖形中隱藏的惡意代碼等非

22、圖像自身內(nèi)容。3.4 后臺登陸密碼采用強加密算法對于普通的MD5加密算法，通過一定的方法來增強，例如使用MD5加密算法對明文加密的基礎上，對密文進行改變，在密文中截取一段數(shù)據(jù)并丟棄，然后使用隨機函數(shù)填充被丟棄的數(shù)據(jù)，且整個過程不改變MD5加密后的位數(shù)。對于這種后臺登陸密碼采用MD5變異加密算法，即使網(wǎng)站存在SQL 注入點，入侵者由于無法獲取真正的加密算法，即使破解成功，由于原始密碼已經(jīng)通過MD5算法變異而改變，真正破解的是改變后的加密值，因此也就無法使用該值登陸后臺系統(tǒng)，從而保護了網(wǎng)站管理后臺的安全5。3.5 授權訪問后臺對網(wǎng)站后臺管理采取授權IP ，非授權IP 無法訪問后臺。對于一些涉及商業(yè)

23、秘密，或者安全性要求比較高的站點后臺系統(tǒng)還可以采用動態(tài)口令等數(shù)字證書認證的方式來訪問。4 結束語本文對Access 數(shù)據(jù)庫通過SQL 注入獲取Webshell 的方法進行研究，分析了可能獲取Webshell 的途徑方法，最后給出了五種安全防范措施，通過這些措施可以大大加強Asp+Access+IIS網(wǎng)站架構的安全。 （責編 岳逍遠）參考文獻：1 Justin, Clarke等. SQL注入攻擊與防御M. 黃曉磊，李化. 北京：清華大學出版社，2010. 78-91.2陳小兵，張漢煜，駱力明，黃河. SQL注入攻擊及其防范檢測技術研究J. 計算機工程與應用，2007，（11）：150-152.3

24、馮現(xiàn)永. ASP網(wǎng)站防止SQL 注入策略研究J. 信息安全與技術，2011，（11）：49-51.4張濤，王行建. 對S Q L 注入漏洞的研究與防范措施的探討J. 計算機時代，2006，（11）：30-31.5 趙瑞穎. 基于時間的SQL 注入分析與防范J. 信息網(wǎng)絡安全，2010，（01）：56-57. 分和周期差分，將序列轉(zhuǎn)化為平穩(wěn)時間序列，再用自回歸滑動平均（ARMA）模型擬合，在得到訓練好時間序列模型后，可以對不同提前期的態(tài)勢值進行預測和預測誤差分析。時間序列分析方法需要較長的輸入序列，對于實時態(tài)勢評估來說，能夠滿足這個條件，但是對于離線的態(tài)勢評估，由于評估周期較長，得到的歷史評估結

25、果較少，不適合用時間序列分析方法，可以使用文獻4中提出的歷史增量平均的方法進行預測。5 結束語賽博空間作為一個全新的領域，囊括了所有的電子頻譜、電子設備和網(wǎng)絡化基礎設施，隨著信息技術和電子設備的快速發(fā)展和廣泛應用，賽博空間在生產(chǎn)、生活和戰(zhàn)爭中的地位逐漸凸顯，成為各國爭奪的熱點。態(tài)勢感知技術對影響賽博空間安全態(tài)勢的所有環(huán)境要素，進行獲取、理解、評估以及預測其發(fā)展趨勢，是實施賽博行動和打贏賽博戰(zhàn)的基礎，具有重要的作用。本文以賽博空間的概念和態(tài)勢感知的流程為基礎，構建賽博空間態(tài)勢感知框架，以安全檢測和安全事件分析技術為支撐，提出多層次多角度的態(tài)勢評估模型，從不同層次不同角度評估安全態(tài)勢，以滿足不同應用的背景和需求，并在此基礎上使用時間序列分析方法，分析安全態(tài)勢的變化規(guī)律，預測安全態(tài)勢的發(fā)展趨勢。 （責編 張巖）參考文獻：1 CyberspaceEB/OL. /wiki/Cyberspace, 2012-2-12/2012-02-14.2 Mica R. Endsley. Design and evaluation for Situation Awareness enhancement.