浅析网络安全中的态势感知技术

1、浅析网络安全中的态势感知技术、态势感知技术的概念“态势感知” (sa , situation awareness )概念起源于20世纪 80年代的美国空军：分析空战环境信息，快速判断当前及未来形势 并做出正确反应。无疑这对取得胜利具有决定性的作用，而信息到态 势的转换并非易事，这正是sa产生的背景。20世纪90年代，sa 进入“人为因素” (human factors )研究领域，成为研究热点。目前 sa已广泛应用于军事、航空、工业生产、安全防控等领域，对辅助 决策起到重要作用。公认的sa概念是：在特定时空下，对动态环境中各元素或对象 的觉察、理解以及对未来状态的预测。或者，sa是经过某种信息

2、的 处理过程达到的知识状态，这种处理过程称为“态势评估” (situation assessment 态势感知中的“觉察”又称为一级sa ,本质上是“数据 收集”；“理解”称为二级sa ,本质上是掌握数据中的知识(数据中的 对象及其行为和对象间的相互关系)；纾页测”称为三级sa ,本质上是 知识的应用。近年来，sa研究面临环境的全局性、复杂性、动态性、高负荷 性，催生新的功能需求或研究：具有多源数据融合与可视化、异质性、 自动化、实时处理特点的风险评估、决策、预测系统，其中具有代表 性的研究热点是数据融合与可视化，数据融合技术是指利用计算机对 按时序获得的若干观测信息，在一定准则下加以自动分析

3、、综合，以 完成所需的决策和评估任务而进行的信息处理技术。网络安全态势感知从被保护和保护两个角度来说，网络安全问题的解决最终朝向两个方向：1对特定对象的保护，防火墙、ids、ips等技术均以此为 目标；2.安全监测及威胁应对。如果将威胁定义为攻击者基于同一 目的的一系列安全事件的集合，则网络安全监测主要包含威胁检测及威胁评估两方面内容，前者本质上是攻击者检测；而后者本质上是攻 击者意图的估计。实现安全监测不但需要觉察环境下各元素和对象, 而且需要理解其中的语义和相互关系，从而最终实现攻击者及其威胁 的推断、评估，这一过程与态势感知本质上是一致的，即网络安全态 势感知模型或内容如图1所示。伞攻击

4、者意图（三级sa）威胁评估，方法：丰攻击者（二级sa）基于图的倉图识别、因果关联、概率统计威胁检测，方法：摸型、统计、人工智能、数据挖掘、机器学习丰攻击事件（一级sa）数据源：攻击检测ids、務sl dns 异常*报 ">*图1网络安全态势感知内容示意图在三级网络安全态势感知中，一、二级感知，即攻击事件的产生、 误报消除、关联以及攻击者的检测已经有大量的研究成果，限于篇幅, 这里仅介绍攻击者意图感知部分。“攻击者意图识别”的目标是找出攻 击者单一攻击事件背后的逻辑关系，获得更多的攻击语义，合理推断 攻击者的下一步行为，从而评估攻击者的威胁，基本思想是ids检 测结果进入相互独立

5、的攻击识别系统和环境系统，攻击识别系统负责 识别各类型攻击，环境系统负责分析被保护网络暴露给攻击者的弱 点,两系统分析结果融合后合理估计攻击者意图，并计算威胁值。三、网络安全态势感知的应用网络安全领域的态势感知系统通过分析收集到的各类安全检测 系统的警报（如表1所示），检测出僵尸网络、恶意网站等各类攻击 者及其攻击活动，在此基础上通过推测攻击者类型、数量、位置、意 图等测度来评估攻击者的威胁程度，从而最终实现态势感知。表1态势感知数据源检测系统警报说明nbos控制器ip列表，与控制器关联主机列表mon ster基于滥用入侵检测的检测结果honeypot传播事件，恶意代码样本ircirc全报文，

6、可疑的信道、 成员id,命令dnsdns全报文；fastflux ip列表http静态页面，基于杀毒软件的 页面扫描结果脆弱性分析被保护网络脆弱性分析报告例如，通过关联dns、monster. honeypot. nbos四类警报，检测僵尸网络以及评估其威胁程度这一过程。关联分析各种入侵警报，本质上是明确攻击者行为证据链，确定攻击者并评估其威胁。态势感知技术的目的是帮助决策，所以传统的态势感知技术详细 讨论系统、任务（决策目标x人为因素三者对态势感知所造成的影 响以及应对方法。而信息时代下，信息源大大丰富，同时，态势感知 也变得更为复杂：信息系统往往是无边界的，对象的诸多特征不 可预知，对象之间的作用与影响也难以预测；2决策目标更加多元、 精细，对态势感知亦提出了更高的要求；3.由于所处环境的复杂多 变，人的判断、决策亦随之变化。以上因素导致传统态势感知技术面 临新的挑战。因果关联分析、事件统计、本体模型等技术方法依然是有效的感 知技术，然而由于系统