当前位置: 首页 > >

浅析网络安全中的态势感知技术

发布时间:

浅析网络安全中的态势感知技术
一、态势感知技术的概念 “态势感知”(SA,Situation Awareness)概念起源于 20 世 纪 80 年代的美国空军:分析空战环境信息,快速判断当前及未来形 势并做出正确反应。无疑这对取得胜利具有决定性的作用,而信息到 态势的转换并非易事,这正是 SA 产生的背景。20 世纪 90 年代,SA 进入“人为因素”(Human Factors)研究领域,成为研究热点。目 前 SA 已广泛应用于军事、航空、工业生产、安全防控等领域,对辅 助决策起到重要作用。 公认的 SA 概念是:在特定时空下,对动态环境中各元素或对象 的觉察、理解以及对未来状态的预测。或者,SA 是经过某种信息的 处理过程达到的知识状态,这种处理过程称为“态势评估” (Situation Assessment) 。态势感知中的“觉察”又称为一级 SA, 本质上是“数据收集”;“理解”称为二级 SA,本质上是掌握数据 中的知识(数据中的对象及其行为和对象间的相互关系) ;“预测” 称为三级 SA,本质上是知识的应用。 *年来,SA 研究面临环境的全局性、复杂性、动态性、高负荷 性, 催生新的功能需求或研究: 具有多源数据融合与可视化、 异质性、 自动化、实时处理特点的风险评估、决策、预测系统,其中具有代表 性的研究热点是数据融合与可视化, 数据融合技术是指利用计算机对 按时序获得的若干观测信息,在一定准则下加以自动分析、综合,以 完成所需的决策和评估任务而进行的信息处理技术。 二、网络安全态势感知 从被保护和保护两个角度来说, 网络安全问题的解决最终朝向两 个方向:1. 对特定对象的保护,防火墙、IDS、IPS 等技术均以此为 目标;2. 安全监测及威胁应对。如果将威胁定义为攻击者基于同一 目的的一系列安全事件的集合, 则网络安全监测主要包含威胁检测及

威胁评估两方面内容,前者本质上是攻击者检测;而后者本质上是攻 击者意图的估计。实现安全监测不但需要觉察环境下各元素和对象, 而且需要理解其中的语义和相互关系, 从而最终实现攻击者及其威胁 的推断、评估,这一过程与态势感知本质上是一致的,即网络安全态 势感知模型或内容如图 1 所示。

图 1 网络安全态势感知内容示意图 在三级网络安全态势感知中, 一、 二级感知, 即攻击事件的产生、 误报消除、 关联以及攻击者的检测已经有大量的研究成果, 限于篇幅, 这里仅介绍攻击者意图感知部分。 “攻击者意图识别”的目标是找出 攻击者单一攻击事件背后的逻辑关系,获得更多的攻击语义,合理推 断攻击者的下一步行为, 从而评估攻击者的威胁, 基本思想是 IDS 检 测结果进入相互独立的攻击识别系统和环境系统, 攻击识别系统负责 识别各类型攻击,环境系统负责分析被保护网络暴露给攻击者的弱 点,两系统分析结果融合后合理估计攻击者意图,并计算威胁值。 三、网络安全态势感知的应用 网络安全领域的态势感知系统通过分析收集到的各类安全检测 系统的警报(如表 1 所示) ,检测出僵尸网络、恶意网站等各类攻击 者及其攻击活动,在此基础上通过推测攻击者类型、数量、位置、意 图等测度来评估攻击者的威胁程度,从而最终实现态势感知。 表 1 态势感知数据源

例如, 通过关联 DNS、Monster、HoneyPot、NBOS 四类警报,检 测僵尸网络以及评估其威胁程度这一过程。 关联分析各种入侵警报,本质上是明确攻击者行为证据链,确定 攻击者并评估其威胁。 态势感知技术的目的是帮助决策, 所以传统的态势感知技术详细 讨论系统、任务(决策目标) 、人为因素三者对态势感知所造成的影 响以及应对方法。而信息时代下,信息源大大丰富,同时,态势感知 也变得更为复杂:1. 信息系统往往是无边界的,对象的诸多特征不 可预知,对象之间的作用与影响也难以预测;2. 决策目标更加多元、 精细,对态势感知亦提出了更高的要求;3. 由于所处环境的复杂多 变,人的判断、决策亦随之变化。以上因素导致传统态势感知技术面 临新的挑战。 因果关联分析、事件统计、本体模型等技术方法依然是有效的感 知技术,然而由于系统的日益复杂,传统的感知技术适用的感知级别 具有降低的趋势,传统环境中,可以进行三级感知的技术现在可能仅 适用于二级感知, 而对未来的预测需要更为深入与广泛的关联*台与 技术。 指挥自动化教研室助理讲师 教务科参谋 吕健 康志凯




友情链接: