网络安全态势感知研究综述

网络安全态势感知研究综述文章编号:1001-9081(2012)01-0001-04doi:10.3724/sp.j.1087.2012.00001摘要:网络安全态势感知(sa)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网络安全态势要素提取、态势理解和态势预测，重点论述各研究点需解决的核心问题、主要算法以及各种算法的优缺点；最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。关键词:态势感知；网络安全；数据融合；态势预测中图分类号:tp393.08文献标志码:aresearchsurveyofnetworksecuritysituationawarenessxirongrong*,yunxiaochun,jinshuyuan,zhangyongzheng(instituteofcomputingtechnology,chineseacademyofsciences,beijing100190,chinabeijing100190,china--!2.nationalengineeringlaboratoryforinformationsecuritytechnologies,beijing100190,china--!)abstract:theresearchofnetworksecuritysituationawareness(sa)isimportantinimprovingtheabilitiesofnetworkdetection,responsetoemergencyandpredictingthenetworksecuritytrend.inthispaper,basedontheconceptualmodelofsituationalawareness,threemainproblemswithregardtonetworksecuritysituationalawarenesswerediscussed:extractionoftheelementsinthenetworksecuritysituation,comprehensionofthenetworksecuritysituationandprojectionoffuturesituation.thecoreissuestoberesolved,andmajoralgorithmsaswellastheadvantagesanddisadvantagesofvariousalgorithmswerefocused.finally,theopeningissuesandchallengesfornetworksecuritysituationawarenessconcerningboththeoryandimplementationinnearfuturewereproposed.keywords:situationawareness(sa);networksecurity;datafusion;situationalprediction0引言随着网络的飞速发展，安全问题日益突出，虽然已经采取了各种网络安全防护措施，但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性，无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势，并在一定条件下对网络安全态势的发展趋势进行预测。网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势，为网络安全管理员的决策分析提供依据，将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。1网络安全态势感知概述1988年，endsley首次明确提出态势感知的定义，态势感知（situationawareness,sa）是指“在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测”［1］，该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑，并没有引入到网络安全领域。1999年，bass等［2］指出，“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知（cyberspacesituationalawareness）”，并且基于数据融合的jdl（jointdirectorsoflaboratories）模型,提出了基于多传感器数据融合的网络态势感知功能模型。如图2所示。虽然网络态势根据不同的应用领域，可分为安全态势、拓扑态势和传输态势等，但目前关于网络态势的研究都是围绕网络的安全态势展开的。endsley［1］和bass［2］为网络安全态势感知的研究奠定了基础。基于endsley［1］态势感知的概念模型和bass［2］的功能模型，后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同，但功能基本都是一致的。基于网络安全态势感知的功能，本文将其研究内容归结为3个方面：1)网络安全态势要素的提取；2)网络安全态势的评估；3)网络安全态势的预测。下面将从这3个方面对网络安全态势的研究进行详细的阐述。2网络安全态势的提取准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统，具有很强的灵活性，使得网络安全态势要素的提取存在很大难度。目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中：静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息；动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如jajodia等［3］和wang等［4-5］采集网络的脆弱性信息来评估网络的脆弱性态势；ning等［6-7］采集网络的警报信息来评估网络的威胁性态势；barford等［8］和dacier等［9］利用honeynet采集的数据信息，来评估网络的攻击态势。国内的学者一般综合考虑网络各方面的信息，从多个角度分层次描述网络的安全态势。如王娟等［10］提出了一种网络安全指标体系，根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标，并拟定了20多个一级指标构建网络安全指标体系，通过网络安全指标体系定义需要提取的所有网络安全态势要素。综上所述，网络安全态势要素的提取存在以下问题：1）国外的研究从某种单一的角度采集信息，无法获取全面的信息；2）国内的研究虽然力图获取全面的信息，但没有考虑指标体系中各因素之间的关联性，将会导致信息的融合处理存在很大难度；3）缺乏指标体系有效性的验证，无法验证指标体系是否涵盖了网络安全的所有方面。第1期席荣荣等：网络安全态势感知研究综述计算机应用第32卷3网络安全态势的理解网络安全态势的理解是指在获取海量网络安全数据信息的基础上，通过解析信息之间的关联性，对其进行融合，获取宏观的网络安全态势。本文将该过程称为态势评估，数据融合是网络安全态势评估的核心。网络安全态势评估摒弃了研究单一的安全事件，而是从宏观角度去考虑网络整体的安全状态，以期获得网络安全的综合评估，达到辅助决策的目的。目前应用于网络安全态势评估的数据融合算法，大致分为以下几类：基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。3.1基于逻辑关系的融合方法基于逻辑关系的融合方法依据信息之间的内在逻辑，对信息进行融和。警报关联是典型的基于逻辑关系的融合方法。警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观的攻击态势。警报之间的逻辑关系分为：警报属性特征的相似性，预定义攻击模型中的关联性，攻击的前提和后继条件之间的相关性。ning等［6-7］实现了通过警报关联，从海量警报信息中分析网络的威胁性态势的方法。基于逻辑关系的融合方法，很容易理解，而且可以直观地反映网络的安全态势。但是该方法的局限性在于：1）融合的数据源为单源数据；2）逻辑关系的获取存在很大的难度，如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大的难度；3）逻辑关系不能解释系统中存在的不确定性。3.2基于数学模型的融合方法基于数学模型的融合方法，综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合r到态势空间θ的映射关系θ=f(r1，r2,…,rn)，ri∈r(1≤i≤n)为态势因素，其中最具代表性的评定函数为加权平均。加权平均法是最常用、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定。西安交通大学的陈秀真等［11］提出的层次化网络安全威胁态势量化评估方法，对服务、主机本身的重要性因子进行加权,层次化计算服务、主机以及整个网络系统的威胁指数,进而分析网络的安全态势。加权平均法可以直观地融合各种态势因素，但是其最主要的问题是：权值的选择没有统一的标准，大都是依据领域知识或者经验而定，缺少客观的依据。基于逻辑关系的融合方法和基于数学模型的融合方法的前提是确定的数据源，但是当前网络安全设备提供的信息，在一定程度上是不完整的、不精确的，甚至存在着矛盾，包含大量的不确定性信息，而态势评估必须借助这些信息来进行推理，因此直接基于数据源的融合方法具有一定的局限性。对于不确定性信息，最好的解决办法是利用对象的统计特性和概率模型进行操作。3.3基于概率统计的融合方法基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。贝叶斯网络、隐马尔可夫模型（hiddenmarkovmodel,hmm）是最常见的基于概率统计的融合方法。在网络态势评估中，贝叶斯网络是一个有向无环图g=〈v,e〉，节点v表示不同的态势和事件，每个节点对应一个条件概率分配表，节点间利用边e进行连接，反映态势和事件之间概率依赖关系,在某些节点获得证据信息后，贝叶斯网络在节点间传播和融合这些信息，从而获取新的态势信息。以色列ibm海法实验室的etzion等[12]在不确定性数据融合方面作了大量的研究工作，etzion等[12]和gal[13]提出利用贝叶斯网络进行态势感知。oxenham等[14],holsopple等[15]和sabata等[16]基于贝叶斯网络，通过融合多源数据信息评估网络的攻击态势［14-16］。李伟生等［17］根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型，并给出相应的信息传播算法，以安全事件的发生为触发点，根据相应的信息传播算法评估网络的安全态势。hmm相当于动态的贝叶斯网络，它是一种采用双重随机过程的统计模型。在网络态势评估中，将网络安全状态的转移过程定义为隐含状态序列，按照时序获取的态势因素定义为观察值序列，利用观察值序列和隐含状态序列训练hmm模型，然后运用模型评估网络的安全态势。arnes等[18-19]和ourston等[20]将网络安全状态的变化过程模型化为隐马尔可夫过程，并通过该模型获取网络的安全态势。基于概率统计的融合方法能够融合最新的证据信息和先验知识，而且推理过程清晰，易于理解。但是该方法存在以下局限性：1）统计模型的建立需要依赖一个较大的数据源，在实际工作中会占有很大的工作量，且模型需要的存储量和匹配计算的运算量相对较大，容易造成维数爆炸的问题，影响态势评估的实时性；2）特征提取、模型构建和先验知识的获取都存在一定的困难。3.4基于规则推理的融合方法基于规则推理的融合方法，首先模糊量化多源多属性信息的不确定性；然后利用规则进行逻辑推理，实现网络安全态势的评估。目前ds证据组合方法和模糊逻辑是研究热点。d