网络安全态势感知综述-龚俭 , 臧小东 , 苏琪 , 胡晓艳 , 徐杰.pdf

上善若水

383

17页

2次

2022-05-20

免费下载

软件学报 ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac.cn

Journal of Software,2017,28(4):1010−1026 [doi: 10.13328/j.cnki.jos.005142] http://www.jos.org.cn

网络安全态势感知综述

∗

龚

俭

1,2,3

臧小东

1,2,3

苏

琪

1,2,3

胡晓艳

1,2,3

徐

杰

1,2,3

(东南大学计算机科学与工程学院,江苏南京 211189)

(江苏省计算机网络重点实验室,江苏南京 211189)

(计算机网络和信息集成教育部重点实验室,江苏南京 211189)

通讯作者: 龚俭, E-mail: jgong@njnet.edu.cn; 臧小东, E-mail: xdzang@njnet.edu.cn

摘要: 随着网络空间安全重要性的不断提高,网络安全态势感知(network security situation awareness,简称

NSSA)的研究与应用正在得到更多的关注.NSSA 实现对网络中各种活动的行为辨识、意图理解和影响评估,以支持

合理的安全响应决策.它是对网络的安全性进行定量分析的一种手段,网络安全管理系统可以借助其宏观把握整个

网络的安全状况,分析攻击者的意图,为管理决策提供重要的依据.讨论了 NSSA 的任务范围,并据此对网络安全态势

感知的概念进行了重新定义.然后,分别从网络安全态势觉察、网络安全态势理解、网络安全态势投射这 3 个层面

综述了网络安全态势感知的研究现状和存在的问题.

关键词: 网络安全态势感知;数据融合;模型;关联性分析;综述

中图法分类号: TP309

中文引用格式: 龚俭,臧小东,苏琪,胡晓艳,徐杰.网络安全态势感知综述.软件学报,2017,28(4):1010−1026. http://www.jos.org.

cn/1000-9825/5142.htm

英文引用格式: Gong J, Zang XD, Su Q, Hu XY, Xu J. Survey of network security situation awareness. Ruan Jian Xue Bao/

Journal of Software, 2017,28(4):1010−1026 (in Chinese). http://www.jos.org.cn/1000-9825/5142.htm

Survey of Network Security Situation Awareness

GONG Jian

1,2,3

, ZANG Xiao-Dong

1,2,3

, SU Qi

1,2,3

, HU Xiao-Yan

1,2,3

, XU Jie

1,2,3

(School of Computer Science and Technology, Southeast University, Nanjing 211189, China)

(Jiangsu Provincial Key Laboratory of Compmer Network Technology, Nanjing 211189, China)

(Key Laboratory of Computer Network and Information Integration Ministry of Education, Nanjing 211189, China)

Abstract: As the priority of cyber-security arises world-wide, network security situation awareness (NSSA) and its application help to

draw more attentions of researchers. NSSA is able to identify network activities, understand their intentions and evaluate the impact of

these activities on the managed network, as well as to support an optimal security response to the security threats. It is a means of

quantitative analysis for network security, with which network security management system can have a global view of security states of

the managed network, find the intention of attackers, and make a management decision based on these findings. In the paper, the coverage

of NSSA is discussed to redefine the concept of NSSA. Then a survey is given on the state-of-art of NSSA’s research in the aspects of

network security situation perception, comprehension and projection. Finally the features and challenges of network security situation

awareness are summarized.

Key words: network security situation awareness; data fusion; model; correlation analysis; survey

互联网基础设施的不断发展和新应用的不断涌现使得网络规模逐渐扩大,拓扑结构日益复杂,网络安全管

∗ 基金项目: 国家自然科学基金(61602114)

Foundation item: National Natural Science Foundation of China (61602114)

收稿时间: 2016-05-11; 修改时间: 2016-08-09, 2016-10-26; 采用时间: 2016-11-11; jos 在线出版时间: 2016-11-24

CNKI 网络优先出版: 2016-11-24 13:41:13, http://www.cnki.net/kcms/detail/11.2560.TP.20161124.1341.003.html

龚俭等:网络安全态势感知综述

1011

理的难度不断增加.为了应对日益复杂、隐蔽的网络威胁,各种检测技术相继出现,如脆弱性检测技术、恶意代

码检测技术、入侵检测技术等.这些技术试图从不同的角度发现网络中可能存在的安全问题,但在适时且全面

地找出网络系统中存在的真实威胁方面不够理想和有效,限制了网络安全管理员做出最佳响应决策的能力.近

年来,网络安全态势感知的概念逐渐引起研究人员的兴趣,希望利用其从大量且存在噪声的数据中辨识出网络

中的攻击活动,宏观地把握整个网络的安全状况,并合理、有效地进行响应,以尽可能地降低因攻击造成的损失.

这对于提高网络系统的监控能力和应急响应能力具有积极的作用.然而,目前人们对网络安全态势感知的研究

仍处于探索阶段,还未形成一致的认识.

鉴于网络安全态势感知对网络安全管理的积极作用,且目前该领域的研究尚在起步阶段,本文试图对网络

安全态势感知的基本概念、研究内容与难点、意见及目前的研究热点进行综述,具体贡献如下.

(1) 对网络安全态势感知的概念进行了重新表述,进一步明确了它的研究目标.

(2) 依据本文给出的网络安全态势感知定义对已有的概念模型进行分析,并在此基础上给出了一个更为

准确、合理的概念模型.

(3) 对相关的研究内容进行了分类讨论,分析存在的问题.

(4) 探讨了网络安全态势感知目前的热点问题,进一步指出网络安全态势感知下一步的研究重点.

本文第 1 节主要阐述态势感知的概念及起源,重新表述网络安全态势感知的概念.第 2 节~第 4 节分别从网

络安全态势觉察、网络安全态势理解、网络安全态势觉察投射这 3 个层面阐述网络安全态势感知的研究内容

和存在的问题.第 5 节基于网络安全态势感知的目标探讨这一领域的研究重点.最后是全文总结.

1 网络安全态势感知的基本概念

本节主要阐述态势感知的概念,重新表述网络安全态势感知的概念,并对态势感知与网络安全态势感知之

间的关系加以分析.

1.1 态势感知

状态是指一个物质系统中各个对象所处的状况,由一组测度来表征.顾名思义,态势是系统中各个对象状态

的综合,是一个整体和全局的概念.任何单一的情况和状态均不能成为态势,它强调系统及系统中的对象之间的

关系

[1]

.微观而言,表征状态的测度取值依赖于对应系统的要素内容,这些要素之间的关系如图 1 所示,其中,

• 原始数据是指传感器产生的未经处理的数据,它反映的是原始数据的观测结果;

• 信息是指对原始数据进行有效性处理后得到的数据记录;

• 知识是指采用相关技术所识别出的系统中的活动内容;

• 理解是指针对各个活动,分析得到的其意图和特征;

• 状态评估是指预测这些活动对系统中各个对象所产生的作用.

原始数据信息知识理解

状态评估

(当前、未来)

Fig.1 Situation awareness cognitive mapping process

[2]

图 1 态势感知的认知映射

[2]

从图 1 可以看到,感知是一种“认知映射”.所谓认知映射是指决策者采用数据融合、风险评估及可视化等相

关技术对不同地点获得的不同格式的信息去噪、整合,从而得到更准确、更全面的信息,然后不断地对这些信

息进行语义提取,识别出需要关注的要素及其意图,决策者可以实时、有效地评估其对系统产生的影响.

态势感知是指在一定的时间和空间范围内提取系统中的要素,理解这些要素的含义,并且预测其可能的效

果

[3]

.Endsley 将其概括为 3 个层面:态势觉察(situation perception)、态势理解(situation comprehension)及态势投

射(situation projection).根据这个定义,态势感知可以理解为一个认知过程

[4]

,通过使用过去的经验和知识,识别、

1012

Journal of Software 软件学报 Vol.28, No.4, April 2017

分析和理解当前的系统状况.分析人员对当前的态势进行感知,更新“状态知识”,然后再进行感知以最终构成一

个循环的映射过程.这个映射过程不是简单的数据变换而是一种语义提取

[5]

,因此,感知的过程表现为不断地作

认知映射以获取更多、更详细的语义.态势感知是一个动态变化的过程,不同的人由于经验、知识等有所不同,

得到的态势感知不尽相同.

态势感知最早来源于美国军方在军事对抗中的研究.在军事术语中,态势感知的目标是使指挥官了解双方

的情况,包括敌我的所在位置、当前状态和作战能力,以便能做出快速而正确的决策,达到知己知彼、百战不殆

的目的

[5]

.态势感知方法在战场指挥

[6]

、人机交互系统

[7,8]

、战场指挥

[5]

和医疗应急调度

[9]

等领域均有应用.Bass

于 1999 年提出网络态势感知这个概念

[10]

,次年将该技术应用于多个 NIDS 检测结果的数据融合分析

[2]

,主要是

解决单一入侵检测系统无法有效识别出当前系统中存在的所有攻击活动及整个网络系统的安全态势的问题.

随后,学术界开始致力于网络安全态势感知的研究,并提出了多种相关的模型和技术.

目前,人们对网络安全态势感知的研究存在 3 种观点:一种认为 NSSA 是网络安全事件应用大数据处理和

可视化技术的汇总结果,如传统的安全服务提供商(McAfee,Symantec)及新出现的重点关心 APT 攻击的企业

(FireEye,Mandiant)等,通过公开一些技术报告记录 APT 的攻击实例

[11,12]

;一种认为 NSSA 是基于网络安全事件

融合计算的网络安全状态量化表达

[13,14]

;还有观点认为 NSSA 作为一种网络安全管理工具,是网络安全监测的

一种实现形式,并提出了诸多模型

[3,15−18]

态势感知常被应用在由观察(observe)、导向(orient)、决策(decision)和行动(act)这 4 阶段构成的一个控制

过程环中(如图 2 所示).这类控制模型过去有很多研究成果,如 Boyd 控制循环模型

[15]

、JDL 数据融合模型

[15]

、

Endsley 在 1995 年提出的模型

[3]

、龚正虎等人提出的网络态势感知模型

[16]

、Tadda 提出的将 JDL 与 Endsley

的 3 层模型相结合的模型

[17]

以及刘效武提出的认知融合感控模型

[18]

等.



行动(A) 观察(O)

导向(O)决策(D)

物理域

信息域

认知域

Fig.2 OODA decision making model

[15]

图 2 OODA 决策模型

[15]

OODA 环的概念直接来自 Boyd 控制循环模型,它描述了目的与活动的感知过程,并将感知循环过程分为观

察、判断、决策、行动这 4 个阶段.其中,观察实现了从物理域跨越到信息域;判断和决策属于认知域;而行动实

现信息域到物理域的闭合,完成循环.前 3 个阶段类似于 JDL 数据融合模型;而行动阶段考虑了决策对真实世界

中的影响来闭合循环,更适用于需要进行主动干预的环境中.Lenders 等人将 OODA 应用到企业网中,解决了之

前 OODA 模型中将判断、决策的任务留给人们进行手动处理的问题

[5]

需要强调的是:这些研究得到的并不是态势感知模型,而是态势感知应用模型,态势感知的工作只涉及图 2

中认知域的活动,不涉及信息域和物理域的活动.因此,基于这些模型来直接代表态势感知的概念是不合适的.

1.2 网络安全态势感知

美国空军通信与信息中心的 Bass 在 1999 年首次提出将态势感知技术应用于多个 NIDS 检测结果的数据

融合分析,认为“多传感器数据融合技术为下一代入侵检测系统和网络态势感知系统提供了一个重要的功能框

架,它可以融合多源异构 IDS 的数据,识别出入侵者身份、攻击频率及威胁程度等”

[2]

.文献[2]没有给出网络安全

态势感知概念的明确定义,只是强调数据融合是态势感知的核心手段.之后的研究中也很少有人直接对网络安

全态势感知的概念进行直接的定义,而是使用意会的方式,这是导致这个领域研究中概念不统一的重要原因.

of 17

免费下载

软件学报计算机技术

相关文档

评论