2023網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)綜述

目錄TOC\o"1-3"\h\u115981 3155591.1 357281.2 427829 63779 636172 685442.1 6117222.2 719322.3 8186792.4 830096 9180263 952083.1 9234953.2 9229753.3 10274513.4 10153754 108784.1 10252624.2 11153704.3 11176824.4 12151874.5 12292975 1221927(1) 1220420(2) 1332226(3) 1318200(4) 1313814(5) 1331305(6) 13269406結(jié) 13互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷發(fā)展和新應(yīng)用的不斷涌現(xiàn)使得網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大,拓?fù)浣Y(jié)構(gòu)日益復(fù)雜,理的難度不斷增加.為了應(yīng)對(duì)日益復(fù)雜、隱蔽的網(wǎng)絡(luò)威脅,各種檢測(cè)技術(shù)相繼出現(xiàn),如脆弱性檢測(cè)技術(shù)、惡意代碼檢測(cè)技術(shù)、入侵檢測(cè)技術(shù)等.這些技術(shù)試圖從不同的角度發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全問題,但在適時(shí)且全面地找出網(wǎng)絡(luò)系統(tǒng)中存在的真實(shí)威脅方面不夠理想和有效,限制了網(wǎng)絡(luò)安全管理員做出最佳響應(yīng)決策的能力.近年來(lái),網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念逐漸引起研究人員的興趣,希望利用其從大量且存在噪聲的數(shù)據(jù)中辨識(shí)出網(wǎng)絡(luò)中的攻擊活動(dòng),宏觀地把握整個(gè)網(wǎng)絡(luò)的安全狀況,并合理、有效地進(jìn)行響應(yīng),以盡可能地降低因攻擊造成的損失.這對(duì)于提高網(wǎng)絡(luò)系統(tǒng)的監(jiān)控能力和應(yīng)急響應(yīng)能力具有積極的作用.然而,目前人們對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究仍處于探索階段,還未形成一致的認(rèn)識(shí).鑒于網(wǎng)絡(luò)安全態(tài)勢(shì)感知對(duì)網(wǎng)絡(luò)安全管理的積極作用,且目前該領(lǐng)域的研究尚在起步階段,本文試圖對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基本概念、研究?jī)?nèi)容與難點(diǎn)、意見及目前的研究熱點(diǎn)進(jìn)行綜述,具體貢獻(xiàn)如下.對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念進(jìn)行了重新表述,進(jìn)一步明確了它的研究目標(biāo)依據(jù)本文給出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知定義對(duì)已有的概念模型進(jìn)行分析,并在此基礎(chǔ)上給出了一個(gè)更為準(zhǔn)確、合理的概念模型.對(duì)相關(guān)的研究?jī)?nèi)容進(jìn)行了分類討論,分析存在的問題探討了網(wǎng)絡(luò)安全態(tài)勢(shì)感知目前的熱點(diǎn)問題,進(jìn)一步指出網(wǎng)絡(luò)安全態(tài)勢(shì)感知下一步的研究重點(diǎn)1節(jié)主要闡述態(tài)勢(shì)感知的概念及起源,重新表述網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念.2節(jié)~4絡(luò)安全態(tài)勢(shì)覺察、網(wǎng)絡(luò)安全態(tài)勢(shì)理解、網(wǎng)絡(luò)安全態(tài)勢(shì)覺察投射這3和存在的問題.第5節(jié)基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的目標(biāo)探討這一領(lǐng)域的研究重點(diǎn).最后是全文總結(jié)本節(jié)主要闡述態(tài)勢(shì)感知的概念,重新表述網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念,并對(duì)態(tài)勢(shì)感知與網(wǎng)絡(luò)安全態(tài)勢(shì)感知之間的關(guān)系加以分析.狀態(tài)是指一個(gè)物質(zhì)系統(tǒng)中各個(gè)對(duì)象所處的狀況,由一組測(cè)度來(lái)表征.顧名思義,態(tài)勢(shì)是系統(tǒng)中各個(gè)對(duì)象狀態(tài)的綜合,是一個(gè)整體和全局的概念.任何單一的情況和狀態(tài)均不能成為態(tài)勢(shì),它強(qiáng)調(diào)系統(tǒng)及系統(tǒng)中的對(duì)象之間的關(guān)系[1].微觀而言,表征狀態(tài)的測(cè)度取值依賴于對(duì)應(yīng)系統(tǒng)的要素內(nèi)容,這些要素之間的關(guān)系如圖1所示,其中,原始數(shù)據(jù)是指?jìng)鞲衅鳟a(chǎn)生的未經(jīng)處理的數(shù)據(jù),它反映的是原始數(shù)據(jù)的觀測(cè)結(jié)果信息是指對(duì)原始數(shù)據(jù)進(jìn)行有效性處理后得到的數(shù)據(jù)記錄知識(shí)是指采用相關(guān)技術(shù)所識(shí)別出的系統(tǒng)中的活動(dòng)內(nèi)容理解是指針對(duì)各個(gè)活動(dòng),分析得到的其意圖和特征狀態(tài)評(píng)估是指預(yù)測(cè)這些活動(dòng)對(duì)系統(tǒng)中各個(gè)對(duì)象所產(chǎn)生的作用(當(dāng)前、未來(lái)Fig.1Situationawarenesscognitivemapping1態(tài)勢(shì)感知的認(rèn)知映射1可以看到,感知是一種“認(rèn)知映射”.所謂認(rèn)知映射是指決策者采用數(shù)據(jù)融合、風(fēng)險(xiǎn)評(píng)估及可視化等相關(guān)技術(shù)對(duì)不同地點(diǎn)獲得的不同格式的信息去噪、整合,從而得到更準(zhǔn)確、更全面的信息,然后不斷地對(duì)這些信息進(jìn)行語(yǔ)義提取,識(shí)別出需要關(guān)注的要素及其意圖,決策者可以實(shí)時(shí)、有效地評(píng)估其對(duì)系統(tǒng)產(chǎn)生的影響.態(tài)勢(shì)感知是指在一定的時(shí)間和空間范圍內(nèi)提取系統(tǒng)中的要素,理解這些要素的含義,并且預(yù)測(cè)其可能的效果[3].Endsley3個(gè)層面:態(tài)勢(shì)覺察(situationperception)、態(tài)勢(shì)理解(situationcomprehension)及態(tài)勢(shì)投射(situationprojection).根據(jù)這個(gè)定義,態(tài)勢(shì)感知可以理解為一個(gè)認(rèn)知過程[4],通過使用過去的經(jīng)驗(yàn)和知識(shí),識(shí)別、分析和理解當(dāng)前的系統(tǒng)狀況.分析人員對(duì)當(dāng)前的態(tài)勢(shì)進(jìn)行感知,更新“狀態(tài)知識(shí)”,然后再進(jìn)行感知以最終構(gòu)成一個(gè)循環(huán)的映射過程.這個(gè)映射過程不是簡(jiǎn)單的數(shù)據(jù)變換而是一種語(yǔ)義提取[5],因此,感知的過程表現(xiàn)為不斷地作認(rèn)知映射以獲取更多、更詳細(xì)的語(yǔ)義.態(tài)勢(shì)感知是一個(gè)動(dòng)態(tài)變化的過程,不同的人由于經(jīng)驗(yàn)、知識(shí)等有所不同,得到的態(tài)勢(shì)感知不盡相同.態(tài)勢(shì)感知最早來(lái)源于美國(guó)軍方在軍事對(duì)抗中的研究.在軍事術(shù)語(yǔ)中,態(tài)勢(shì)感知的目標(biāo)是使指揮官了解雙方的情況,包括敵我的所在位置、當(dāng)前狀態(tài)和作戰(zhàn)能力,以便能做出快速而正確的決策,達(dá)到知己知彼、百戰(zhàn)不殆的目的[5].態(tài)勢(shì)感知方法在戰(zhàn)場(chǎng)指揮[6]、人機(jī)交互系統(tǒng)[7,8]、戰(zhàn)場(chǎng)指揮[5]和醫(yī)療應(yīng)急調(diào)度[9]等領(lǐng)域均有應(yīng)用.Bass1999年提出網(wǎng)絡(luò)態(tài)勢(shì)感知這個(gè)概念[10],次年將該技術(shù)應(yīng)用于多個(gè)NIDS檢測(cè)結(jié)果的數(shù)據(jù)融合分析[2],主要是解決單一入侵檢測(cè)系統(tǒng)無(wú)法有效識(shí)別出當(dāng)前系統(tǒng)中存在的所有攻擊活動(dòng)及整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)的問題.隨后,學(xué)術(shù)界開始致力于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究,并提出了多種相關(guān)的模型和技術(shù).目前,人們對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究存在3種觀點(diǎn):一種認(rèn)為NSSA是網(wǎng)絡(luò)安全事件應(yīng)用大數(shù)據(jù)處理和可視化技術(shù)的匯總結(jié)果,如傳統(tǒng)的安全服務(wù)提供商(McAfee,Symantec)及新出現(xiàn)的重點(diǎn)關(guān)心APT攻擊的企業(yè)(FireEye,Mandiant)等,通過公開一些技術(shù)報(bào)告記錄APT的攻擊實(shí)例[11,12];一種認(rèn)為NSSA是基于網(wǎng)絡(luò)安全事件融合計(jì)算的網(wǎng)絡(luò)安全狀態(tài)量化表達(dá)[13,14];還有觀點(diǎn)認(rèn)為NSSA作為一種網(wǎng)絡(luò)安全管理工具,是網(wǎng)絡(luò)安全監(jiān)測(cè)的態(tài)勢(shì)感知常被應(yīng)用在由觀察(observe)、導(dǎo)向(orient)、決策(decision)和行動(dòng)(act)4階段構(gòu)成的一個(gè)控制過程環(huán)中(2所示).這類控制模型過去有很多研究成果,Boyd控制循環(huán)模型[15]、JDL數(shù)據(jù)融合模型[15]、Endsley1995年提出的模型[3]、龔正虎等人提出的網(wǎng)絡(luò)態(tài)勢(shì)感知模型[16]、addaJDLEndsley3層模型相結(jié)合的模型[17]以及劉效武提出的認(rèn)知融合感控模型[18]等.認(rèn)知認(rèn)知 決策導(dǎo)向行動(dòng)觀察Fig.2OODAdecisionmaking2OODA決策模型OODA環(huán)的概念直接來(lái)自Boyd控制循環(huán)模型,它描述了目的與活動(dòng)的感知過程,并將感知循環(huán)過程分為觀4個(gè)階段.其中,觀察實(shí)現(xiàn)了從物理域跨越到信息域;判斷和決策屬于認(rèn)知域;而行動(dòng)實(shí)現(xiàn)信息域到物理域的閉合,完成循環(huán).3JDL數(shù)據(jù)融合模型;而行動(dòng)階段考慮了決策對(duì)真實(shí)世界中的影響來(lái)閉合循環(huán),更適用于需要進(jìn)行主動(dòng)干預(yù)的環(huán)境中.LendersOODA應(yīng)用到企業(yè)網(wǎng)中,解決了之OODA模型中將判斷、決策的任務(wù)留給人們進(jìn)行手動(dòng)處理的問題[5].需要強(qiáng)調(diào)的是:這些研究得到的并不是態(tài)勢(shì)感知模型,而是態(tài)勢(shì)感知應(yīng)用模型,態(tài)勢(shì)感知的工作只涉及圖中認(rèn)知域的活動(dòng),不涉及信息域和物理域的活動(dòng).因此,基于這些模型來(lái)直接代表態(tài)勢(shì)感知的概念是不合適的美國(guó)空軍通信與信息中心的Bass1999年首次提出將態(tài)勢(shì)感知技術(shù)應(yīng)用于多個(gè)NIDS檢測(cè)結(jié)果的數(shù)據(jù)融合分析,認(rèn)為“多傳感器數(shù)據(jù)融合技術(shù)為下一代入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)提供了一個(gè)重要的功能框架,它可以融合多源異構(gòu)IDS的數(shù)據(jù),”[2].文獻(xiàn)[2]沒有給出網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念的明確定義,只是強(qiáng)調(diào)數(shù)據(jù)融合是態(tài)勢(shì)感知的核心手段.之后的研究中也很少有人直接對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念進(jìn)行直接的定義,而是使用意會(huì)的方式,這是導(dǎo)致這個(gè)領(lǐng)域研究中概念不統(tǒng)一的重要原因.文獻(xiàn)[1]探討了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念,認(rèn)為它是指“在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)”.這個(gè)定義基本上屬于Endsley定義[3]的翻譯,并且缺乏對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中網(wǎng)絡(luò)安全態(tài)勢(shì)投射層面的內(nèi)容,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知目標(biāo)的理解是不完整的.文獻(xiàn)[4]將“網(wǎng)絡(luò)安全態(tài)勢(shì)感知視為態(tài)勢(shì)感知的一個(gè)子集,其主要關(guān)注的是網(wǎng)絡(luò)安全領(lǐng)域,IDS的警報(bào)、脆弱性信息等”.這個(gè)定義過于模糊,沒有明確子集的含義是針對(duì)功能還是針對(duì)數(shù)據(jù),也沒有明確網(wǎng)絡(luò)安全態(tài)勢(shì)感知是態(tài)勢(shì)感知結(jié)果的一部分還是功能的一部分.網(wǎng)絡(luò)安全態(tài)勢(shì)感知與態(tài)勢(shì)感知實(shí)質(zhì)上是類型和實(shí)例的關(guān)系而不是子集的問題,態(tài)勢(shì)感知既包括安全態(tài)勢(shì)感知,也包括工業(yè)控制態(tài)勢(shì)感知等,是使用同一種方法應(yīng)用在不同的領(lǐng)域.我們認(rèn)為:網(wǎng)絡(luò)安全態(tài)勢(shì)感知的目的應(yīng)當(dāng)是將態(tài)勢(shì)感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中,能夠使網(wǎng)絡(luò)安全人員在動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境中宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài),為高層管理人員提供決策支持.鑒于態(tài)勢(shì)感知是一種認(rèn)知過程,且網(wǎng)絡(luò)安全態(tài)勢(shì)感知是態(tài)勢(shì)感知方法在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用,因此,我們可以將網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念定義如下.1.網(wǎng)絡(luò)安全態(tài)勢(shì)感知NSSA是對(duì)網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認(rèn)知過程,包括對(duì)從系統(tǒng)中測(cè)量到的原始數(shù)據(jù)逐步進(jìn)行融合處理和實(shí)現(xiàn)對(duì)系統(tǒng)的背景狀態(tài)及活動(dòng)語(yǔ)義的提取,識(shí)別出存在的各類網(wǎng)絡(luò)活動(dòng)以及其中異?；顒?dòng)的意圖,從而獲得據(jù)此表征的網(wǎng)絡(luò)安全態(tài)勢(shì)和該態(tài)勢(shì)對(duì)網(wǎng)絡(luò)系統(tǒng)正常行為影響的了解.定義中需要解釋的是:網(wǎng)絡(luò)系統(tǒng)是對(duì)各種形態(tài)網(wǎng)絡(luò)的抽象,包括計(jì)算機(jī)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及其他采用不同通信方式和終端類型的網(wǎng)絡(luò).這意味著不同類型的網(wǎng)絡(luò)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念和方法上是具有共性的.測(cè)量是對(duì)各種網(wǎng)絡(luò)檢測(cè)功能的抽象,包括網(wǎng)絡(luò)管理數(shù)據(jù)和網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù).其中,測(cè)量數(shù)據(jù)的生成不是NSSA的任務(wù),而這些數(shù)據(jù)的獲取則是NSSA的任務(wù).這意味著網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究目標(biāo)與研究?jī)?nèi)容與網(wǎng)絡(luò)管理和網(wǎng)絡(luò)入侵檢測(cè)等這些傳統(tǒng)的研究領(lǐng)域之間有著區(qū)分和不同的側(cè)重點(diǎn).背景狀態(tài)是系統(tǒng)當(dāng)前所處的運(yùn)行狀態(tài),這是動(dòng)態(tài)變化的,與系統(tǒng)之前的部署和定義可能是不一致的.“安全”只有在動(dòng)態(tài)的系統(tǒng)中才有意義,因此,攻擊活動(dòng)及安全缺陷對(duì)系統(tǒng)的影響效果,應(yīng)當(dāng)基于系統(tǒng)當(dāng)前的狀態(tài)進(jìn)行判定.活動(dòng)語(yǔ)義是系統(tǒng)中的主體作用于客體的動(dòng)作所構(gòu)成的序列,要進(jìn)行安全態(tài)勢(shì)察覺,管理人員應(yīng)當(dāng)了解系統(tǒng)中存在的所有活動(dòng),不能僅止于辨識(shí)攻擊活動(dòng),即,要辨清敵我.響應(yīng)決策本身不是NSSA的任務(wù),因?yàn)閼B(tài)勢(shì)感知只是OODA的支撐技術(shù).這意味著安全響應(yīng)技術(shù)和安全策略管理技術(shù)等傳統(tǒng)上屬于網(wǎng)絡(luò)安全管理領(lǐng)域的內(nèi)容,不屬于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究范疇.根據(jù)上述定義,NSSA3個(gè)層面.其中,態(tài)勢(shì)覺察完成原始測(cè)量數(shù)據(jù)的融合與語(yǔ)義提取任務(wù)以及活動(dòng)辨識(shí)任務(wù),態(tài)勢(shì)理解完成這些辨識(shí)出的活動(dòng)的意圖理解任務(wù),態(tài)勢(shì)投射完成這些活動(dòng)意圖所產(chǎn)生的威脅判斷任務(wù).層與層之間存在依賴關(guān)系[19,20],即:如果網(wǎng)絡(luò)安全態(tài)勢(shì)覺察和網(wǎng)絡(luò)安全態(tài)勢(shì)理解沒有合理的結(jié)果,得到網(wǎng)絡(luò)安全態(tài)勢(shì)投射很可能也是不正確的或不完整的.但另一方面,每層的結(jié)果均可獨(dú)立呈現(xiàn)并直接使用,以滿足不同的網(wǎng)絡(luò)安全管理需要.這意味著網(wǎng)絡(luò)安全態(tài)勢(shì)感知的結(jié)果及其表達(dá)方式具有多樣性,蘊(yùn)含的語(yǔ)義粒度也可以隨需求的視角而不同.但是無(wú)論如何,網(wǎng)絡(luò)安全態(tài)勢(shì)感知的結(jié)果應(yīng)當(dāng)是可響應(yīng)的(reactionable),否則,缺乏實(shí)際意義.另外,網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一個(gè)測(cè)量數(shù)據(jù)驅(qū)動(dòng)的認(rèn)知過程,測(cè)量數(shù)據(jù)的數(shù)量與質(zhì)量影響感知的結(jié)果.基于上述理解,我們給出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一般功能模型,如圖3所示.該模型包含網(wǎng)絡(luò)安全態(tài)勢(shì)覺察、網(wǎng)絡(luò)安全態(tài)勢(shì)覺察的主要目的是辨識(shí)出系統(tǒng)中的活動(dòng),即:對(duì)網(wǎng)絡(luò)中相關(guān)的檢測(cè)設(shè)備與管理系統(tǒng)產(chǎn)生RawData進(jìn)行降噪、規(guī)范化處理,得到有效信息,然后對(duì)這些信息進(jìn)行關(guān)聯(lián)性分析,識(shí)別出系統(tǒng)中有“誰(shuí)”(系統(tǒng)中的主體、客體)存在,進(jìn)一步分辨出異常的活動(dòng);網(wǎng)絡(luò)安全態(tài)勢(shì)理解的主要任務(wù)是在網(wǎng)絡(luò)安全態(tài)勢(shì)覺察的基礎(chǔ)上發(fā)現(xiàn)攻擊活動(dòng),理解并關(guān)聯(lián)攻擊活動(dòng)的語(yǔ)義,然后在此基礎(chǔ)上理解其意圖;網(wǎng)絡(luò)安全態(tài)勢(shì)投射的主要任務(wù)是在前兩步的基礎(chǔ)上分析并評(píng)估攻擊活動(dòng)對(duì)當(dāng)前系統(tǒng)中各個(gè)對(duì)象的威脅情況.這種投射包括發(fā)現(xiàn)這些攻擊活動(dòng)在對(duì)象上已經(jīng)產(chǎn)生和可能產(chǎn)生(即預(yù)測(cè))的效果.通過將態(tài)勢(shì)感知的結(jié)果投射到確定的系統(tǒng)對(duì)象上,可以獲得該對(duì)象在當(dāng)前態(tài)勢(shì)下的狀態(tài).盡管要感知的是系統(tǒng)中的活動(dòng),而感知的最終結(jié)果則應(yīng)表達(dá)為這些活動(dòng)對(duì)系統(tǒng)對(duì)象的影響,不能僅止于活動(dòng)的識(shí)別,因?yàn)橄到y(tǒng)因之而產(chǎn)生的反應(yīng)是施加于對(duì)象的,而不是直接施加于活動(dòng)本身.這是一個(gè)再認(rèn)識(shí)的過程,即:融合從系統(tǒng)中觀察到的各個(gè)對(duì)象的狀態(tài)以構(gòu)成態(tài)勢(shì),再看這個(gè)態(tài)勢(shì)對(duì)系統(tǒng)各個(gè)對(duì)象的意義;理想情況下,網(wǎng)絡(luò)安全態(tài)勢(shì)感知將網(wǎng)絡(luò)安全狀況以可視化[2123]的形式表示成“誰(shuí)在什么時(shí)候什么地方對(duì)誰(shuí)產(chǎn)生什么樣的影響”(Who,When,Where,Impact).研究人員可以觀察在特定的時(shí)間段系統(tǒng)中某個(gè)攻擊活動(dòng)的情況,也可以觀察所有活動(dòng)的分布情況,這取決于具體的研究目標(biāo)和需求,其中,Who是指辨識(shí)出的系統(tǒng)中的攻擊活動(dòng)When是指攻擊活動(dòng)在時(shí)間軸上的演化過程(偵查、隱藏、攻擊、后門利用Where是指攻擊活動(dòng)的分布(即被管網(wǎng)絡(luò)中哪些主機(jī)和服務(wù)器已被攻擊Impact是指攻擊活動(dòng)對(duì)被管網(wǎng)絡(luò)造成的影響,包括已造成的影響和潛在影響總之,網(wǎng)絡(luò)安全態(tài)勢(shì)感知的目標(biāo)是了解自己,了解敵人(威脅).網(wǎng)絡(luò)拓 誰(shuí)、什么時(shí)候信 什么地方產(chǎn)生的影 關(guān) Fig.3Networksituationawareness3本文的定義希望在足夠抽象的層面上盡量完整地體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的目標(biāo)和任務(wù),特別強(qiáng)調(diào)了網(wǎng)絡(luò)安全態(tài)勢(shì)投射對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的意義,2節(jié)~4節(jié)中分別對(duì)各個(gè)層面的研究?jī)?nèi)容與研究現(xiàn)狀進(jìn)行歸納討論.網(wǎng)絡(luò)安全態(tài)勢(shì)覺察的基本任務(wù)是辨識(shí)出系統(tǒng)中的所有活動(dòng)(包括攻擊活動(dòng))以及這些活動(dòng)的規(guī)律和特征(即,圖4所示的活動(dòng)建模).本節(jié)首先介紹網(wǎng)絡(luò)安全態(tài)勢(shì)覺察的一般模型,然后闡述在網(wǎng)絡(luò)安全態(tài)勢(shì)覺察中使用3個(gè)功能,如圖4所示.數(shù)據(jù)預(yù)處理完成測(cè)量數(shù)據(jù)的規(guī)范化和驗(yàn)證,有利于后續(xù)的融合處理.之間的關(guān)聯(lián)性分析.覺察結(jié)果完成活動(dòng)的辨識(shí)和特征提取.態(tài)勢(shì)覺察是一個(gè)學(xué)習(xí)過程,因此,活動(dòng)建模和覺察結(jié)果之間存在反饋關(guān)系. 活動(dòng)識(shí) 活動(dòng)識(shí) 關(guān) 專家知 Fig.4Networksecuritysituationperception4目前,多數(shù)的研究集中在攻擊活動(dòng)辨識(shí)方面,總體的解決思路如圖5所示.研究熱點(diǎn)有兩個(gè):35.2.135.2.1.攻擊活動(dòng)&Fig.5Attackactivitiesreconstruction5基于先驗(yàn)知識(shí)的方法是基于專家經(jīng)驗(yàn)和知識(shí)來(lái)定義知識(shí)庫(kù),最常用的建模方法是基于場(chǎng)景的方法.該方法通過專家規(guī)則或知識(shí)來(lái)定義一個(gè)攻擊序列模板(5所示的步驟1)以描述可能的攻擊行為,然后將觀察到的警報(bào)按模板進(jìn)行匹配,以還原攻擊過程.Cuppens等人[24]開發(fā)了LAMBDA語(yǔ)言來(lái)支持模板和匹配過程的描述.研究者[2529]通常將一個(gè)攻擊行為分為多個(gè)階段,IKCMulti-stageAttackModel[30].通過分析每個(gè)攻擊警報(bào)的語(yǔ)義,將經(jīng)過網(wǎng)絡(luò)配置信息和脆弱性信息驗(yàn)證后的有效警報(bào)與已知的攻擊階段進(jìn)行匹配,以識(shí)別整個(gè)攻擊過程基于攻擊場(chǎng)景的方法通常以有向圖的形式表示攻擊序列的模板,圖中的節(jié)點(diǎn)對(duì)應(yīng)著一個(gè)安全事件,邊表示事件之間的依賴關(guān)系,邊中的權(quán)重表示事件間轉(zhuǎn)換概率.該方法能夠高效地識(shí)別出已知的攻擊行為,但無(wú)法識(shí)別未知的攻擊行為,且還存在可擴(kuò)展性較差的問題.不基于先驗(yàn)知識(shí)的方法是通過數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等技術(shù)分析警報(bào)之間的關(guān)系,以還原完整的攻擊過程.目前常用的建模方法有相似性方法、因果關(guān)聯(lián)方法及交叉關(guān)聯(lián)方法.這類方法由于不依賴預(yù)定義的攻擊模板,因此可以發(fā)現(xiàn)未知的攻擊行為.相似性方法認(rèn)為相似警報(bào)的來(lái)源和產(chǎn)生的影響是相同的或相似的,它通過計(jì)算警報(bào)特征之間的相似程度對(duì)警報(bào)進(jìn)行聚類(clustering)或聚合(aggregation)以減少警報(bào)的數(shù)量.目前,基于相似性的研究方法主要有兩種:屬性相似性方法和時(shí)序相似性方法.該方法的關(guān)鍵是定義適當(dāng)?shù)南嗨贫攘繕?biāo)準(zhǔn)(5所示的步驟3).文獻(xiàn)[31]定義了相似函數(shù),比較屬性相似程度聚合IDS的警報(bào).而文獻(xiàn)[32]認(rèn)為,同種故障產(chǎn)生的警報(bào)通常發(fā)生在一個(gè)較小的時(shí)間窗口內(nèi),提出基于時(shí)序的相似性方法聚合IDS的警報(bào).相似性方法僅對(duì)每個(gè)警報(bào)的屬性進(jìn)行處理,無(wú)法識(shí)別出警報(bào)間的因果關(guān)系,為此,該方法需要與其他模型相結(jié)合.文獻(xiàn)[33,34]分別將聚類算法和隱馬爾可夫模型(HMM)相結(jié)合,以分析最有可能的攻擊序列和識(shí)別攻擊的類型.Ning等人[35]和Lin等人[36]認(rèn)為:攻擊的狀態(tài)不是獨(dú)立存在的,不同的攻擊階段是相互關(guān)聯(lián)的,之前的攻擊階段為后續(xù)的攻擊提供條件,這是因果關(guān)聯(lián)方法(52)的基本思路.但是他們的方法需由專家指定入侵的條件和結(jié)果,以構(gòu)建完整的攻擊前因、后果數(shù)據(jù)庫(kù),可擴(kuò)展性較差,不適用于大型網(wǎng)絡(luò).為此,文獻(xiàn)[3744]分別提出了數(shù)據(jù)挖掘方法、時(shí)間序列分析方法和機(jī)器學(xué)習(xí)方法挖掘警報(bào)之間的因果關(guān)系.這些方法既無(wú)需預(yù)定義知識(shí)庫(kù)也無(wú)需網(wǎng)絡(luò)的配置信息,就可以發(fā)現(xiàn)攻擊行為之間的因果關(guān)系和識(shí)別未知的攻擊行為.因果關(guān)聯(lián)方法的優(yōu)點(diǎn)是無(wú)需知道整個(gè)攻擊過程就可以構(gòu)造攻擊場(chǎng)景,但是它無(wú)法處理IDS漏報(bào)的攻擊行為,因此需要與其他方法相結(jié)合才能高效地工作.為了解決因果關(guān)聯(lián)方法的缺陷,提高關(guān)聯(lián)的準(zhǔn)確性,文獻(xiàn)[4549]提出了交叉關(guān)聯(lián)的方法,將因果關(guān)系與背景知識(shí)相結(jié)合,實(shí)現(xiàn)攻擊場(chǎng)景的重建,有效解決了因果關(guān)聯(lián)方法的缺陷.該方法通常使用背景知識(shí)(5所示的相互補(bǔ)充的知識(shí)及步驟45),如網(wǎng)絡(luò)拓?fù)湫畔?、脆弱性信息和主機(jī)配置信息等來(lái)融合、驗(yàn)證IDS的告警,以提高警報(bào)的質(zhì)量,同時(shí)還可以分析告警的成功率和威脅程度,最終達(dá)到區(qū)分真實(shí)威脅和過濾誤報(bào)的目的.此外,文獻(xiàn)[5054]提出了基于入侵本體知識(shí)的方法和將本體知識(shí)和背景知識(shí)相結(jié)合的方法定義警報(bào)信息的語(yǔ)義,使用一系列預(yù)定義的語(yǔ)義推斷規(guī)則得到警報(bào)信息間的隱含關(guān)系,高效地重建攻擊過程.另外,還有研究人員提出multi-agentfuzzyconsensus態(tài)勢(shì)感知框架[55]、蟻群算法[56]篩選信息,并借鑒于大數(shù)據(jù)的處理能力,利用大數(shù)據(jù)提供的平臺(tái)和技術(shù)進(jìn)行覺察分析,APT攻擊[57],進(jìn)一步提高了察覺的準(zhǔn)確性.縱觀現(xiàn)有的研究工作,我們發(fā)現(xiàn)目前網(wǎng)絡(luò)安全態(tài)勢(shì)覺察在攻擊活動(dòng)的辨識(shí)方面仍存在著以下兩個(gè)問題覺察結(jié)果的精度.從覺察結(jié)果的正確性方面來(lái)說,IDS系統(tǒng)固有的缺陷(存在大量的誤報(bào)和漏報(bào))對(duì)攻擊活動(dòng)的重構(gòu)仍然有很大的影響.IDS的漏報(bào)會(huì)導(dǎo)致警報(bào)關(guān)聯(lián)性缺失,將一個(gè)攻擊活動(dòng)分裂成兩個(gè)攻擊活動(dòng).從覺察結(jié)果的分辨率來(lái)說,攻擊活動(dòng)產(chǎn)生的痕跡信息量越多,越容易關(guān)聯(lián);覺察的效率.從實(shí)時(shí)性方面來(lái)說,現(xiàn)階段的研究多采用離線的方式進(jìn)行關(guān)聯(lián)性分析和攻擊過程重構(gòu),無(wú)法滿足入侵防御系統(tǒng)的快速響應(yīng)要求(即時(shí)的中斷、調(diào)整或隔離一些不正?；蚴蔷哂形：π缘木W(wǎng)絡(luò)行為).從體系結(jié)構(gòu)的可擴(kuò)展性方面來(lái)說,警報(bào)關(guān)聯(lián)系統(tǒng)存在的體系結(jié)構(gòu)可分為3類:集中式體系結(jié)構(gòu)、分布式體系結(jié)構(gòu)及層次化體系結(jié)構(gòu)[32].目前,多數(shù)的研究采用在“集中式”IDS警報(bào),但隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,異構(gòu)的程度不斷增加,導(dǎo)致“集中式”關(guān)聯(lián)方法日益復(fù)雜,難以擴(kuò)展.表1對(duì)上述各關(guān)聯(lián)方法存在的主要問題(未知的攻擊及漏報(bào)的假設(shè)推理等)進(jìn)行比較,其中,√表示具備相應(yīng)的能力,×表示不具備相應(yīng)的能力Table1Comparativeanalysisofexisting1網(wǎng)絡(luò)安全態(tài)勢(shì)理解是基于識(shí)別出的攻擊活動(dòng)及其特征,通過進(jìn)一步分析這些攻擊活動(dòng)的語(yǔ)義以及它們之間可能的關(guān)聯(lián)關(guān)系來(lái)推斷攻擊者的意圖,其主要任務(wù)包括識(shí)別這些攻擊活動(dòng)的源頭、類型,并判斷攻擊者的能力、機(jī)會(huì)和攻擊成功的可能性等.為了有效地推斷攻擊者的意圖,目前,多數(shù)研究分別從攻擊行為本身和攻擊目的兩個(gè)方面進(jìn)行分析.所謂攻擊行為預(yù)測(cè)是要分析攻擊行為間的邏輯關(guān)系,并以此來(lái)推斷攻擊行為的可能變化,其目的是通過對(duì)攻擊行為的理解來(lái)推斷其后續(xù)動(dòng)作.常用的建模方法主要有馬爾可夫模型方法、時(shí)間序列分析方法、博弈論及機(jī)器學(xué)習(xí)方法等.馬爾可夫模型用馬爾可夫鏈刻畫一組狀態(tài),用轉(zhuǎn)移概率作為測(cè)度來(lái)描述狀態(tài)之間的關(guān)系.有研究者采用變長(zhǎng)馬爾可夫模型(VLMM)和隱馬爾可夫模型(HMM)對(duì)攻擊者的行為建模,將一個(gè)攻擊階段視為模型中的一個(gè)狀態(tài),通過計(jì)算狀態(tài)之間的轉(zhuǎn)移概率來(lái)推測(cè)最有可能的攻擊動(dòng)作.ang等人[58]從攻擊者能力、機(jī)會(huì)、意圖及行為等角度出發(fā),分別考慮了攻擊者的能力、脆弱性的可滲透程度及資產(chǎn)重要性等信息,判斷攻擊行為的變化情況.而文獻(xiàn)[5962]無(wú)需考慮上述信息,VLMMHMMIDS警報(bào)建模,計(jì)算轉(zhuǎn)移概率,分析攻擊趨勢(shì).基于馬爾可夫模型的方法存在3個(gè)方面的局限:首先,該方法要求安全事件滿足馬爾可夫性的要求,即,要求多步攻擊的各階段連續(xù)且沒有攻擊步驟丟失;其次,該方法需要較長(zhǎng)的觀測(cè)序列對(duì)HMM模型的參數(shù)進(jìn)行訓(xùn)練,否則不能保證模型訓(xùn)練結(jié)果的正確性;最后,隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,攻擊行為之間的狀態(tài)轉(zhuǎn)移概率難以計(jì)算,可擴(kuò)展性不理想.為了減少因使用大量數(shù)據(jù)集對(duì)模型的參數(shù)進(jìn)行訓(xùn)練而產(chǎn)生的開銷,Fachkha等人、KimPontes等人將時(shí)間序列分析技術(shù)[6365]DDos攻擊特征及行為變化.時(shí)間序列分析是一種動(dòng)態(tài)數(shù)據(jù)處理的統(tǒng)計(jì)方法,它的本質(zhì)特征是相鄰觀測(cè)值的前后具有依賴性,即:T時(shí)刻發(fā)生的事件,預(yù)測(cè)T+1,T+2,…,T+n時(shí)刻的事件.盡管該方法可以減少訓(xùn)練開銷,但是它卻無(wú)法有效處理大量的數(shù)據(jù)集,IDS每天生產(chǎn)的警報(bào)數(shù)量巨大,導(dǎo)致其性能較低;其次,從準(zhǔn)確性角度來(lái)說,該方法對(duì)數(shù)據(jù)的生成過程需要嚴(yán)格的假設(shè),如滑動(dòng)平均自回歸模型要求攻擊行為序列或其某級(jí)差分滿足平穩(wěn)性的假設(shè),影響預(yù)測(cè)的準(zhǔn)確性.為了提高攻擊行為識(shí)別的準(zhǔn)確性,文獻(xiàn)[66,67]將先驗(yàn)知識(shí)和貝葉斯網(wǎng)絡(luò)相結(jié)合發(fā)現(xiàn)攻擊者的行為知識(shí),該方法需要一定的先驗(yàn)知識(shí);文獻(xiàn)[6872]進(jìn)一步提高了方法的適應(yīng)性,分別提出了偽貝葉斯網(wǎng)絡(luò)方法、自適應(yīng)的因果矩陣學(xué)習(xí)方法和決策樹學(xué)習(xí)等機(jī)器學(xué)習(xí)方法對(duì)攻擊行為建模,分析其可能的變化情況.盡管機(jī)器學(xué)習(xí)方法具有較好的收斂性和容錯(cuò)能力,即使在網(wǎng)絡(luò)規(guī)模較大的應(yīng)用環(huán)境下也可以依賴較好的性能來(lái)處理大量數(shù)據(jù),但是該方法仍需要適當(dāng)?shù)挠?xùn)練以獲得相應(yīng)的參數(shù),尤其是在分類過程中,需要獲得標(biāo)記數(shù)據(jù).研究發(fā)現(xiàn),上述方法均可以有效地分析攻擊行為的可能變化,但在需要主動(dòng)防御措施的網(wǎng)絡(luò)環(huán)境中,整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)隨著攻防雙方的交替行動(dòng)而發(fā)生變化,僅知道攻擊行為如何變化遠(yuǎn)遠(yuǎn)不夠.為了較好地理解攻擊者的意圖,我們?cè)谥拦粜袨槿绾巫兓耐瑫r(shí)還應(yīng)采取有效的應(yīng)對(duì)方案,以便降低風(fēng)險(xiǎn).為此,有研究者采用博弈論[73,74]來(lái)分析攻擊者的戰(zhàn)略思維,以便采取更好的防御策略,減少因攻擊而造成的損失.博弈論方法考慮了進(jìn)攻方、防御方及普通用戶三方因素,綜合分析三方行為對(duì)被管網(wǎng)絡(luò)產(chǎn)生的影響.同時(shí),它還可以根據(jù)攻擊方的行動(dòng)空間給出最佳的加固方案.而上述其他方法僅從攻擊行為本身的變化角度分析攻擊方的意圖,未考慮到后兩者的作用.然而,隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,攻擊者的行動(dòng)空間逐步復(fù)雜化,需要一定的近似處理,使得結(jié)果不一定準(zhǔn)確,再加上還要考慮防御方和普通用戶的行動(dòng)空間,使得該方法的處理負(fù)擔(dān)過大,缺乏可擴(kuò)展性;其次,從準(zhǔn)確性方面來(lái)說,該方法僅討論在最大最小策略下的應(yīng)對(duì)方案,未考慮混合策略下的納什均衡,使其準(zhǔn)確性不一定最優(yōu).攻擊目的理解基于被管對(duì)象中資產(chǎn)的功能及重要性,據(jù)此推斷攻擊者的攻擊意圖和進(jìn)行攻擊朔源ang等人[75]從被保護(hù)對(duì)象的角度出發(fā)分析攻擊者的目的,提出了使用動(dòng)態(tài)后向傳播神經(jīng)網(wǎng)絡(luò)和協(xié)方差相結(jié)合的方法,基于當(dāng)前每個(gè)主機(jī)的服務(wù)、攻擊活動(dòng)、服務(wù)重要性等分析可能要遭受攻擊的服務(wù).ang等人[58]利用虛擬地形(virtualterrain)的概念對(duì)當(dāng)前的網(wǎng)絡(luò)系統(tǒng)建模,性,VLMMIDS的警報(bào),分析攻擊行為的變化情況,實(shí)現(xiàn)對(duì)攻擊意圖的綜合判斷.趙文濤等人提出了攻擊的分層認(rèn)知模型[76],可實(shí)現(xiàn)對(duì)攻擊步驟、攻擊行為和攻擊過程的認(rèn)知,更好地理解其攻擊意圖.文獻(xiàn)[77,78]通過構(gòu)建攻擊圖刻畫被管網(wǎng)絡(luò)內(nèi)的威脅路徑,并計(jì)算攻擊目標(biāo)的最大概率攻擊路徑,這也可視為是對(duì)攻擊流的建模過程.攻擊圖從攻擊者角度出發(fā),綜合分析網(wǎng)絡(luò)配置信息、漏洞信息等,枚舉被管網(wǎng)絡(luò)內(nèi)的威脅路徑,直觀地表示被管網(wǎng)絡(luò)內(nèi)漏洞信息的關(guān)系.圖中的節(jié)點(diǎn)表示攻擊成功的可能性、攻擊目標(biāo)的重要性及危害的嚴(yán)重性等,邊上的權(quán)重表示使用的攻擊方法及利用的漏洞等,綜合上述信息的流入、流出,實(shí)現(xiàn)狀態(tài)轉(zhuǎn)換,可用于刻畫攻擊的可能途徑或攻擊的可能進(jìn)展.首先,從預(yù)測(cè)的準(zhǔn)確性方面來(lái)說,相比博弈論和時(shí)間序列方法,馬爾可夫模型方法、機(jī)器學(xué)習(xí)方法主要是先從歷史數(shù)據(jù)中得到關(guān)聯(lián)規(guī)則,在此基礎(chǔ)上再進(jìn)行分析.這種方案對(duì)已知的攻擊行為能足夠清晰和準(zhǔn)確地分析出攻擊者下一步要采取的行動(dòng),而對(duì)于一些新的攻擊行為和相似攻擊行為的變體需要額外處理,準(zhǔn)確性有待提高;其次,從上述預(yù)測(cè)方法的性能角度來(lái)說,攻擊活動(dòng)是動(dòng)態(tài)變化的,攻擊活動(dòng)產(chǎn)生的痕跡等相關(guān)信息龐大,傳統(tǒng)的基于滑動(dòng)窗口的批量處理方法不一定可行,無(wú)法擴(kuò)展到實(shí)時(shí)的大規(guī)模的應(yīng)用場(chǎng)景.為此,需要實(shí)時(shí)地對(duì)警報(bào)進(jìn)行優(yōu)化和聚類;最后,上述方法基于態(tài)勢(shì)覺察提供的直接觀察數(shù)據(jù),與相關(guān)背景數(shù)據(jù)和歷史數(shù)據(jù)的融合處理僅僅是初步和簡(jiǎn)單的,因此在攻擊者身份識(shí)別與攻擊活動(dòng)溯源等方面比較薄弱.網(wǎng)絡(luò)安全態(tài)勢(shì)投射的基本任務(wù)是基于識(shí)別出的攻擊活動(dòng),評(píng)估已經(jīng)出現(xiàn)的攻擊行為對(duì)被管網(wǎng)絡(luò)產(chǎn)生的危害和可能要發(fā)生的攻擊行為對(duì)被管網(wǎng)絡(luò)造成的潛在威脅.網(wǎng)絡(luò)安全態(tài)勢(shì)投射一般模型由投射準(zhǔn)備、風(fēng)險(xiǎn)評(píng)估技術(shù)和網(wǎng)絡(luò)安全態(tài)勢(shì)投射結(jié)果這3方面的功能構(gòu)成6所示.投射準(zhǔn)備將態(tài)勢(shì)理解的結(jié)果映射到實(shí)際網(wǎng)絡(luò)環(huán)境,確定被管對(duì)象面臨的有效威脅;風(fēng)險(xiǎn)評(píng)估技術(shù)用來(lái)判斷這些可能的威脅所產(chǎn)生的效果;態(tài)勢(shì)投射結(jié)果綜合判定系統(tǒng)中被保護(hù)的對(duì)象需要應(yīng)對(duì)的實(shí)際威脅及這些威脅活動(dòng)對(duì)系統(tǒng)對(duì)象的危害情況.當(dāng)前研究階段,存在靜態(tài)評(píng)估和動(dòng)態(tài)評(píng)估兩種風(fēng)險(xiǎn)評(píng)估技術(shù):靜態(tài)評(píng)估是指在攻擊發(fā)生之前,主動(dòng)地分析和評(píng)估被管系統(tǒng)中存在的風(fēng)險(xiǎn)和隱患,支持全面預(yù)防性的安全響應(yīng)決策;動(dòng)態(tài)評(píng)估是指在攻擊發(fā)生之時(shí),基于當(dāng)前的安全警報(bào)進(jìn)行實(shí)時(shí)評(píng)估和預(yù)判型評(píng)估,以支持有針對(duì)性的動(dòng)態(tài)安全響應(yīng)決策.目前,這方面的研究?jī)?nèi)容多集中在損失評(píng)估方面,即,分析相關(guān)攻擊活動(dòng)對(duì)被管網(wǎng)絡(luò)已經(jīng)造成的危害.損失評(píng)估是指網(wǎng)絡(luò)安全人員根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)覺察識(shí)別出來(lái)的攻擊活動(dòng)和其他檢測(cè)設(shè)備的報(bào)告內(nèi)容,借助數(shù)學(xué)工具等模型,分析它對(duì)網(wǎng)絡(luò)、系統(tǒng)資源等諸因素已經(jīng)產(chǎn)生的影響.為了有效地進(jìn)行評(píng)估,研究人員采用了眾多評(píng)估方法,傳統(tǒng)方法包括貝葉斯技術(shù)、基于知識(shí)的方法、人工神經(jīng)網(wǎng)絡(luò)、模糊邏輯技術(shù),引入的新理論有集對(duì)分析、D-S.我們將上述研究方法大致分為3類:知識(shí)推理方法、統(tǒng)計(jì)方法和灰度理論方法. Fig.6Networksecuritysituationprojection6基于知識(shí)推理的方法是憑借專家知識(shí)及經(jīng)驗(yàn)建立評(píng)估模型,通過邏輯推理分析整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì),其基本思想是:借助概率論、模糊理論、證據(jù)理論等來(lái)表達(dá)和處理安全屬性的不確定性,通過推理匯聚多屬性信息.相關(guān)方法有兩類:一類是基于圖模型的推理,如貝葉斯網(wǎng)絡(luò)、模糊認(rèn)知圖(fuzzycognitivemap,FCM)[79]等;另一類是基于證據(jù)理論的推理,D-S證據(jù)推理[80].其中,圖模型的推理方法是通過有向圖的狀態(tài)轉(zhuǎn)換來(lái)分析攻擊活動(dòng)對(duì)網(wǎng)絡(luò)造成的影響.文獻(xiàn)[81]使用貝葉斯網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)中的“不確定因素”建模,計(jì)算攻擊成功的概率,實(shí)時(shí)地評(píng)估攻擊的嚴(yán)重程度.針對(duì)多目標(biāo)優(yōu)化問題,Poolsappasit等人提出了一個(gè)風(fēng)險(xiǎn)評(píng)估方法[82],使得管理人員在資源有限的情況下也能做出較好的決策.但因網(wǎng)絡(luò)中的變量不是相互獨(dú)立的,導(dǎo)致計(jì)算聯(lián)合概率分布的成本較高,無(wú)法適用于大規(guī)模的網(wǎng)絡(luò)環(huán)境.為此,Aguilar等人結(jié)合了模糊邏輯與神經(jīng)網(wǎng)絡(luò)技術(shù),在認(rèn)知圖[83]的基礎(chǔ)上提出了FCM的概念,利用它獲取網(wǎng)絡(luò)中重要資產(chǎn)的依賴關(guān)系[84]進(jìn)行危害程度評(píng)估.基于圖模型的推理使用有向圖表示狀態(tài)轉(zhuǎn)換,圖中隱含了概率、轉(zhuǎn)換及推理相關(guān)知識(shí),思路清晰,便于理解,但是在大多數(shù)情況下,變量之間不是相互獨(dú)立的,條件概率及權(quán)重矩陣的計(jì)算比較困難,加劇了推理的難度,且圖的存儲(chǔ)開銷較大,不適用于大型復(fù)雜的網(wǎng)絡(luò)環(huán)境.為此,文獻(xiàn)[85,86]設(shè)計(jì)了一個(gè)基于D-S證據(jù)理論的態(tài)勢(shì)評(píng)估架構(gòu),融合不確定信息進(jìn)行不確定性推理,量化網(wǎng)絡(luò)的安全態(tài)勢(shì).盡管評(píng)估過程中無(wú)需精確了解變量間的概率分布,在先驗(yàn)概率難以獲得時(shí)D-S理論更加有效,但該方法仍具有一些缺陷[87]:(1)需要大量的先驗(yàn)數(shù)據(jù)來(lái)確定基本概率分配函數(shù),同時(shí)要求證據(jù)間相互獨(dú)立,目標(biāo)假設(shè)間互斥;(2)計(jì)算量比較大,有潛在的組合爆炸問題;(3)其證據(jù)組合規(guī)則具有組合靈敏性,基本概率分配的微小變化常會(huì)導(dǎo)致組合結(jié)果的巨大差異.統(tǒng)計(jì)分析的目的是綜合考慮影響網(wǎng)絡(luò)安全的態(tài)勢(shì)要素,構(gòu)建一個(gè)評(píng)估函數(shù),實(shí)現(xiàn)態(tài)勢(shì)要素和整個(gè)網(wǎng)絡(luò)態(tài)勢(shì)空間的映射王娟等人討論了態(tài)勢(shì)要素的組成與結(jié)構(gòu)[88常用的統(tǒng)計(jì)方法有權(quán)重分析方法和層次分析法(analytichierarchyprocess,AHP),該方法的關(guān)鍵是求得態(tài)勢(shì)要素的重要性權(quán)值.權(quán)重分析法基于資產(chǎn)在網(wǎng)絡(luò)的重要性,通過為網(wǎng)絡(luò)中的資源賦值分析威脅的危害情況[89,90].該方法的優(yōu)點(diǎn)是將網(wǎng)絡(luò)安全態(tài)勢(shì)覺察的結(jié)果直接作為態(tài)勢(shì)評(píng)定函數(shù)的參數(shù),拉近了數(shù)據(jù)融合層次之間的距離[1],但在評(píng)估過程中缺乏合理的量化標(biāo)準(zhǔn),在權(quán)重賦值過程中具有較強(qiáng)的主觀性.為了克服這種主觀性,ang等人[91]通過統(tǒng)計(jì)攻擊者需要多少個(gè)不同0-day漏洞才能對(duì)系統(tǒng)造成破壞,來(lái)評(píng)估網(wǎng)絡(luò)的安全狀況.層次決策分析(analytichierarchyprocess)[92]由Satty等人提出,該方法將定性分析與定量分析相結(jié)合,種無(wú)結(jié)構(gòu)的多準(zhǔn)則決策方法,通過思維過程的層次化和數(shù)量化,達(dá)到分析復(fù)雜問題的目的.陳秀真等人[13]采用自下而上、先局部后整體的策略建立層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估模型,在對(duì)報(bào)警發(fā)生頻率、警報(bào)嚴(yán)重性及其網(wǎng)絡(luò)帶寬耗用率進(jìn)行統(tǒng)計(jì)的基礎(chǔ)上,采用逐層匯聚的方式對(duì)攻擊、服務(wù)、主機(jī)以及整個(gè)網(wǎng)絡(luò)的重要性權(quán)值進(jìn)行加權(quán)以計(jì)算威脅指數(shù),據(jù)此評(píng)估安全威脅態(tài)勢(shì).層次分析方法通過兩兩比較構(gòu)造判斷矩陣,該方法從定性過渡到定量環(huán)節(jié),依據(jù)經(jīng)驗(yàn)估計(jì)的是相對(duì)權(quán)重比,而非絕對(duì)權(quán)重值,這在一定程度上降低了設(shè)置權(quán)重的難度,但仍無(wú)法擺脫人為的主觀判斷,且需檢驗(yàn)判斷矩陣(反映了評(píng)估者的判斷思維)的一致性,這往往要反復(fù)多次[93,94].安全態(tài)勢(shì)的趨勢(shì)變化既有已知信息,也有未知和不確定信息,這種特點(diǎn)決定了安全態(tài)勢(shì)風(fēng)險(xiǎn)值的變化作為一個(gè)“灰色系統(tǒng)”而存在.灰色系統(tǒng)理論[95]以“部分信息已知,”的不確定性系統(tǒng)作為研究對(duì)象,并在此基礎(chǔ)上提取有用信息.灰色系統(tǒng)利用累加生成或逆累加生成的新數(shù)據(jù)進(jìn)行建模,有利于找出數(shù)據(jù)的變化規(guī)律,具有弱化原始數(shù)據(jù)的隨機(jī)性、所需樣本少、短期預(yù)測(cè)精度高等特點(diǎn).Juan等人[96]提出了將無(wú)偏灰度理論(unbiasedgreytheory)和馬爾可夫理論相結(jié)合的方法,分析網(wǎng)絡(luò)的風(fēng)險(xiǎn)變化情況.但是GM(1,1)適用于態(tài)勢(shì)變化為線性的短期線性時(shí)間序列分析,不適用于非平穩(wěn)隨機(jī)序列.研究發(fā)現(xiàn),網(wǎng)絡(luò)安全態(tài)勢(shì)具有隨機(jī)波動(dòng)性的特點(diǎn),且呈“S”曲線形狀[97].GM(1,1)的缺陷,Hu等人[98]提出了改進(jìn)的自適應(yīng)灰度模型(improvedadaptivegreyverhulstmodel),對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)呈“S”曲線的情況進(jìn)行分析.在網(wǎng)絡(luò)安全態(tài)勢(shì)投射研究過程中,多數(shù)文獻(xiàn)沒有考慮到成本因素.文獻(xiàn)[73,74,99,100]分別從損失成本的角度和響應(yīng)成本的角度分析了網(wǎng)絡(luò)的安全態(tài)勢(shì)投射,以期實(shí)現(xiàn)響應(yīng)成本和預(yù)算之間的均衡.從評(píng)估的準(zhǔn)確性角度來(lái)說,同一攻擊活動(dòng)在不同的層面具有不同的語(yǔ)義,如:SQL注入攻擊在指令層表示某個(gè)內(nèi)存單元污染,在網(wǎng)絡(luò)層的語(yǔ)義表示網(wǎng)絡(luò)會(huì)話中存在對(duì)受害者主機(jī)惡意的查詢.這種不同的表現(xiàn)使得我們需要跨層面進(jìn)行評(píng)估[101],單純的單一層面的評(píng)估不能有效地量化產(chǎn)生的危害.從評(píng)估的粒度方面來(lái)說,現(xiàn)有的評(píng)估結(jié)果相對(duì)簡(jiǎn)單.例如,可以考慮損失評(píng)估在時(shí)間和空間維度上的投射:時(shí)間維度考慮風(fēng)險(xiǎn)的發(fā)生和修復(fù)在時(shí)間上的約束,空間維度考慮風(fēng)險(xiǎn)的傳播范圍,即,在評(píng)估過程中需要考慮系統(tǒng)中資產(chǎn)的重要程度及依賴關(guān)系、脆弱性的等級(jí)、脆弱性可滲透的復(fù)雜程度等多種因素.由于評(píng)估具有很強(qiáng)的主觀性,目前缺乏不同評(píng)估方法之間的語(yǔ)義互操作性,這不利于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)之間的信息共享與協(xié)同.另外,我們還發(fā)現(xiàn),現(xiàn)階段的研究基本都集中在相對(duì)簡(jiǎn)單的靜態(tài)損失評(píng)估方面,而從攻擊行為的可能變化角度進(jìn)行動(dòng)態(tài)評(píng)估的研究不足,包括預(yù)警分析.由于網(wǎng)絡(luò)安全態(tài)勢(shì)感知對(duì)于網(wǎng)絡(luò)空間安全的重要性,這個(gè)領(lǐng)域的研究與應(yīng)用日益活躍.例如美國(guó)國(guó)土安全部的先進(jìn)研究計(jì)劃署HSARA20139月發(fā)布的網(wǎng)絡(luò)空間安全戰(zhàn)略研究計(jì)劃中[102],3個(gè)研究主題為網(wǎng)絡(luò)安全(networksecurity),其中有一個(gè)優(yōu)先發(fā)展方向?yàn)榛ヂ?lián)網(wǎng)攻擊建模(modelingofinternetattacks).這個(gè)優(yōu)先發(fā)4項(xiàng)任務(wù)與網(wǎng)絡(luò)安全態(tài)勢(shì)感知之間有關(guān),包括開發(fā)滿足網(wǎng)絡(luò)安全態(tài)勢(shì)感知需要的數(shù)據(jù)采集、分類和存儲(chǔ)機(jī)制,開發(fā)新的網(wǎng)絡(luò)安全態(tài)勢(shì)可視化技術(shù),支持跨域的網(wǎng)絡(luò)安全態(tài)勢(shì)感知信息共享,實(shí)現(xiàn)不同時(shí)間粒度的網(wǎng)絡(luò)安全態(tài)勢(shì)感知以滿足從毫秒級(jí)攻擊自動(dòng)響應(yīng)到APT檢測(cè)的不同需要.4個(gè)任務(wù)體現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展方向,4個(gè)任務(wù),很典型地反映了網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的應(yīng)用目標(biāo).基于對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知基本概念的理解以及前面對(duì)這個(gè)領(lǐng)域相關(guān)研究進(jìn)展的認(rèn)識(shí),我們認(rèn)為,這個(gè)領(lǐng)域目前還面臨著如下一些需要解決的關(guān)鍵問題.網(wǎng)絡(luò)安全態(tài)勢(shì)感知所依賴的原始測(cè)量數(shù)據(jù)可以來(lái)源于不同型號(hào)、不同實(shí)現(xiàn)技術(shù)、不同開發(fā)與生產(chǎn)者的網(wǎng)絡(luò)運(yùn)行管理系統(tǒng)、網(wǎng)絡(luò)安全管理系統(tǒng)、主機(jī)管理系統(tǒng)和應(yīng)用管理系統(tǒng),這些系統(tǒng)產(chǎn)生異構(gòu)的運(yùn)行監(jiān)測(cè)數(shù)據(jù)和日志數(shù)據(jù),需要采用流式數(shù)據(jù)處理方式在不同的時(shí)間窗口內(nèi)完成融合處理任務(wù).目前,這方面的研究明顯是不夠的,現(xiàn)有的大數(shù)據(jù)分析技術(shù)雖