标题:网络安全态势感知研究综述
类型:网络安全态势感知
期刊:计算机工程与应用
作者:石乐义,刘 佳,刘祎豪,朱红强,段鹏飞
学习价值:本文全面详细的总结了网络安全态势感知研究。
1.摘要
网络安全态势感知不同于传统的安全措施,它可以对网络中各种活动的行为进行辨识,从宏观的角度进行意图理解和影响评估,进而提供合理的决策支持,在提高网络的监控能力、应急响应能力及预测网络安全的发展趋势等方面都具有重要的意义。分别对态势感知和网络安全态势感知的定义进行了归纳梳理,对经典的态势感知模型和新发展的网络安全态势感知模型进行了总结与对比;介绍了网络安全态势感知的关键技术,主要分为基于层次化分析、机器学习、免疫系统和博弈论的技术;介绍了近年来网络安全态势感知在因特网、工控网和物联网中的应用;对其未来发展趋势和待解决的问题进行了总结与展望。2.关键词
网络安全;态势感知;数据融合;态势评估;态势预测
3.主要内容
3.1 引言
本文旨在对网络安全态势感知的含义、系统模型、主要技术和应用领域进行总结梳理,为安全领域相关研究人员提供参考。本文贡献如下: (1)对态势感知和网络安全态势感知的相关定义进行了梳理,列举了较为经典的态势感知模型和近几年新发展的网络安全态势感知模型。 (2)从技术的角度出发,介绍了网络安全态势感知的主要方法,主要分为层次化分析、机器学习、免疫系统、博弈论等。 (3)归纳总结了网络安全态势感知在因特网、工控网和物联网中的应用。 (4)从应用范围以及与其他技术的结合两个角度对网络安全态势感知的发展趋势进行了展望,从功能模块优化、人机交互与自动响应和“反态势感知”三个方面对今后需要解决的问题进行了分析。3.2 网络安全态势感知的相关概念
本文认为,网络安全态势感知是指通过收集网络环境中综合、全面的安全要素并进行数据融合后,对网络的安全态势有宏观、全面的认知,并且能对网络系统的安全趋势进行预测的过程,是保障网络安全的有效手段。虽然目前大部分研究都将网络安全态势感知分为态势提取、态势评估和态势预测三个功能模块,但仍然存在着不同研究人员对网络安全态势感知几个阶段的划分不统一、对于不同阶段之间的关系理解不同的问题。因此,对网络安全态势感知给出科学、全面的定义,对不同阶段进行合理的划分仍是需要讨论和解决的问题。3.3 网络安全态势感知的模型
态势感知的提出源于美国军方的军事对抗且主要应用于航空领域,Endsley提出的三层模型如图 1所示,分为态势要素提取、态势理解和态势预测三个阶段。该模型为态势感知的研究奠定了重要基础,且成为目前广泛使用的架构。数据融合作为态势感知的核心,其中最具影响力的是 JDL(Joint
Directors of Laboratories)数据融合模型。JDL模型将融合分为4个层次:目标细化、态势细化、风险细化、过程细化,其中:态势感知作为中间层次,向下从低层次融合接收网络元素的监测数据,为态势感知提供信息来源;向上为高层次融合提供态势信息,用于威胁分析和决策支持。OODA 循环(Observe-Orient-Decision-Act
loop)模型描述了目的与活动的感知过程,并将态势感知循环过程分为观察、导向、决策、行动4个阶段,如图2所示。其 中,观察实现了从物理域到信息域的跨越;判断和决策属于认知域;而行动实现了信息域到物理域的闭合,完成循环。OODA 控制循环模型完整地展示了态势感知的动态执行过程,虽然它在层次性和分工明确性上略弱于 Endsley 三层模型,但是该模型的循环结构和动态协作能很好地适应庞杂的网络空间的态势感知。当前大多数模型以传统模型的三层架构为基础,在动态循环、可视化、自动化等角度进行了补充,并根据不同应用场景的需求,实现对模型的丰富和细化。3.4 网络安全态势感知的关键技术
对网络安全态势感知的关键技术进行了总结和分类,主要分为基于层次化分析、机器学习、免疫系统和博弈论的态势感知方法,如表1所示。国内具有较大参考价值的是陈秀真等人的层次化网络系统安全威胁态势量化评估模型,该模型从上到下分为网络系统、主机、服务和攻击/漏洞4个层次,如图 3所示,采取“自下而上、先局部后整体”的评估策略,并且,该模型是基于 IDS 海量报警信息和网络性能指标,将服务、主机本身的重要性及网络系统的组织结构相结合而产生的。
3.5 网络安全态势感知的应用场景
态势感知这一概念源于航天飞行的人因研究,此后在军事战场、空中交通监管、医疗等应急调度领域得到了广泛应用。网络安全态势感知作为态势感知一个重要的分支,具备强大的全局网络监控与觉察能力,能够为操作人员提供全面且合理的决策支持。针对态势感知在网络安全领域的应用,本文主要从因特网、工控网和物联网两个角度进行探讨。由于因特网的普遍性与易操作性,态势感知在其中有着广泛的应用,利用态势感知强大的全局监控能力,实时掌握网络的运行状态并采取对应的安全措施,保证网络系统的安全。在因特网中,态势信息主要通过防火墙日志、入侵检测日志、病毒日志、网络扫描等方法提取,通过层次化分析、机器学习、D-S 证据理论、博弈论、免疫系统等方法进行态势感知,从资产、脆弱性、威胁等角度进行态势值的计算,刘世文等基于网络安全态势感知的主动防御技术的相关研究,来提高攻击的难度和成本,提高防御的针对性。近年来,工业控制系统与互联网的深度融合使其暴露在很多威胁和攻击之下,这对国家安全、经济发展和社会稳定等方面产生了严重影响,因此可以利用态势感知对工控系统的整体运行情况进行有效地监测和控制,从而保证工控系统的安全运行。物联网带来了全球信息产业的第三次发展浪潮,但物联网的安全问题也日渐凸显。为了提高监控、应急响应和预测能力,Xu 等人提出一种基于语义本体和用户自定义规则的物联网安全态势感知模型。Kolbe等提出一种基于上下文的态势理论,能利用知识库和推理组件丰富物联网态势感知的框架。4 结束语
下文对网络安全态势感知的发展趋势和应用前景进行了展望,对其仍需解决和今后可能面对的一些问题进行了总结:(1)应用范围不断拓展。传统的网络态势感知通常聚焦于传统网络应用,目前已在向工业控制系统、物联网、广域网等领域应用不断拓展。随着网络计算的泛在化,网络态势感知应用也将会深入拓展到移动计算、边缘计算、社会计算、机会网络、星际网络等方方面面。(2)与新技术结合更加紧密。人工智能、机器学习等由于自身的优势和特点已经成为态势感知的重要方法,大数据、云计算、物联网等也为态势感知提供了新的思路并成为态势感知的应用场景,将区块链、蜜罐等技术应用到态势感知中将成为一种不可避免的趋势。态势感知与其他技术的结合定会为该领域带来新鲜活力,为解决态势感知中的问题提供新的方法与灵感。(3)功能模块优化问题。数据融合方法的研究:由于态势感知的应用范围越来越广,随之产生的数据越来越庞杂,如何对海量异构数据进行高效、准确地处理是重要问题。态势评估方法的研究:如何在不同的应用场景中全面地考虑到影响态势感知的因素也是一个重要问题;并且由于缺乏明确统一的度量标准,因此选取合适的度量指标也尤为重要。态势预测方法的研究:提高预测的准确度,提高网络的前向预测能力,做到防患于未然。态势感知的可视化:通过将网络状况实时或近实时的显示,为分析人员的决策提供有效的帮助。 (4)人机交互与自动响应问题。目前网络和系统仍离不开人为参与,如何建立良好的人机交互机制,帮助系统接受专家的建议并进行修改和调整,既是未来的发展趋势又是急需解决的问题。虽然人在系统中扮演重要角色,但系统应是独立的整体,在面对入侵和攻击时,系统不仅能够报警,还应采取一定的防护措施,实现自动响应,提高系统的智能化。(5)“反态势感知”问题。 “反态势感知”是指利用态势感知系统的弱点或缺陷来进行攻击和破坏或者直接采用其他技术对态势感知的不同阶段进行破坏和干扰的概念。例如,针对利用神经网络进行态势评估和态势预测的方法,攻击者可能通过添加恶意数据来干扰神经网络的训练过程,从而影响态势评估和预测结果的准确度,严重时,可能评估和预测出截然相反的结果,让攻击者有机可乘。原文献链接:网络安全态势感知研究综述_石乐义(1)(1).pdf
