论文部分内容阅读
摘 要:网络安全态势感知(SA)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网络安全态势要素提取、态势理解和态势预测,重点论述各研究点需解决的核心问题、主要算法以及各种算法的优缺点;最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。
关键词:态势感知;网络安全;数据融合;态势预测
引言
随着网络的飞速发展,安全问题日益突出,虽然已经采取了各种网络安全防护措施,但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性,无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测。
网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势,为网络安全管理员的决策分析提供依据,将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。
1网络安全态势感知概述
1988年,Endsley首次明确提出态势感知的定义,态势感知(Situation Awareness,SA)是指“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测”。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑,并没有引入到网络安全领域。
1999年,Bass等指出,“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知(cyberspace situation alawareness)”,并且基于数据融合的JDL(Joint Directors of Laboratories)模型,提出了基于多传感器数据融合的网络态势感知功能模型。
虽然网络态势根据不同的应用领域,可分为安全态势、拓扑态势和传输态势等,但目前关于网络态势的研究都是围绕网络的安全态势展开的。
Endsley和Bass为网络安全态势感知的研究奠定了基础。基于Endsley态势感知的概念模型和Bass的功能模型,后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同,但功能基本都是一致的。基于网络安全态势感知的功能,本文将其研究内容归结为3个方面:
1)网络安全态势要素的提取;
2)网络安全态势的评估;
3)网络安全态势的预测。
2网络安全态势的提取
目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中:静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。
国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如Jajodia等和Wang等采集网络的脆弱性信息来评估网络的脆弱性态势;Ning等采集网络的警报信息来评估网络的威胁性态势;Barford等和Dacier等利用honeynet采集的数据信息,来评估网络的攻击态势。
国内的学者一般综合考虑网络各方面的信息,从多个角度分层次描述网络的安全态势。如王娟等提出了一种网络安全指标体系,根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标,并拟定了20多个一级指标构建网络安全指标体系,通过网络安全指标体系定义需要提取的所有网络安全态势要素。
综上所述,网络安全态势要素的提取存在以下问题:
1)国外的研究从某种单一的角度采集信息,无法获取全面的信息;2)国内的研究虽然力图获取全面的信息,但没有考虑指标体系中各因素之间的关联性,将会导致信息的融合处理存在很大难度;3)缺乏指标体系有效性的验证,无法验证指标体系是否涵盖了网络安全的所有方面。
3网络安全态势的理解
网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。本文将该过程称为态势评估,数据融合是网络安全态势评估的核心。
网络安全态势评估摒弃了研究单一的安全事件,而是从宏观角度去考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助決策的目的。
目前应用于网络安全态势评估的数据融合算法,大致分为以下几类:基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。
4网络安全态势的预测
网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。
由于网络攻击的随机性和不确定性,使得以此为基础的安全态势变化是一个复杂的非线性过程,限制了传统预测模型的使用。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法。
神经网络是目前最常用的网络态势预测方法,该算法首先以一些输入输出数据作为训练样本,通过网络的自学习能力调整权值,构建态势预测模型;然后运用模型,实现从输入状态到输出状态空间的非线性映射。上海交通大学的任伟等和Lai等分别利用神经网络方法对态势进行了预测,并取得了一定的成果。
神经网络具有自学习、自适应性和非线性处理的优点。但是神经网络存在以下问题,如难以提供可信的解释,训练时间长,过度拟合或者训练不足等。
时间序列预测法是通过时间序列的历史数据揭示态势随时间变化的规律,将这种规律延伸到未来,从而对态势的未来做出预测。在网络安全态势预测中,将根据态势评估获取的网络安全态势值x抽象为时间序列t的函数,即:x=f(t),此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列,假定有网络安全态势值的时间序列x={xi|xi∈R,i=1,2,…,L},预测过程就是通过序列的前N个时刻的态势值预测出后M个态势值。
时间序列预测法实际应用比较方便,可操作性较好。但是,要想建立精度相当高的时序模型不仅要求模型参数的最佳估计,而且模型阶数也要合适,建模过程是相当复杂的。
支持向量机是一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等[27]根据最近一段时间内入侵检测系统提供的网络攻击数据,使用支持向量机完成了对网络攻击态势的预测。
5结语
本文基于网络安全态势感知的概念模型,详细阐述了态势感知中三个主要的研究内容:安全态势要素提取、态势理解和态势预测,重点讨论各研究点需解决的核心问题、主要算法以及各种算法的优缺点。目前对于网络安全态势感知的研究还处于初步阶段,许多问题有待进一步解决。
参考文献
[1]庄琭,蔡勉,李晨.基于软件行为的可信动态度量[J].武汉大学学报:理学版,2010,56(2):133-137.
[2]徐梓耀,贺也平,邓灵莉.一种保护隐私的高效远程验证机制[J].软件学报2011,22(2):339-352.
[3]屈延文.软件行为学[M].北京:电子工业出版社,2004
(作者单位:1、2,69220部队;3,78090部队)
关键词:态势感知;网络安全;数据融合;态势预测
引言
随着网络的飞速发展,安全问题日益突出,虽然已经采取了各种网络安全防护措施,但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性,无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测。
网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势,为网络安全管理员的决策分析提供依据,将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。
1网络安全态势感知概述
1988年,Endsley首次明确提出态势感知的定义,态势感知(Situation Awareness,SA)是指“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测”。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑,并没有引入到网络安全领域。
1999年,Bass等指出,“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知(cyberspace situation alawareness)”,并且基于数据融合的JDL(Joint Directors of Laboratories)模型,提出了基于多传感器数据融合的网络态势感知功能模型。
虽然网络态势根据不同的应用领域,可分为安全态势、拓扑态势和传输态势等,但目前关于网络态势的研究都是围绕网络的安全态势展开的。
Endsley和Bass为网络安全态势感知的研究奠定了基础。基于Endsley态势感知的概念模型和Bass的功能模型,后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同,但功能基本都是一致的。基于网络安全态势感知的功能,本文将其研究内容归结为3个方面:
1)网络安全态势要素的提取;
2)网络安全态势的评估;
3)网络安全态势的预测。
2网络安全态势的提取
目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中:静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。
国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如Jajodia等和Wang等采集网络的脆弱性信息来评估网络的脆弱性态势;Ning等采集网络的警报信息来评估网络的威胁性态势;Barford等和Dacier等利用honeynet采集的数据信息,来评估网络的攻击态势。
国内的学者一般综合考虑网络各方面的信息,从多个角度分层次描述网络的安全态势。如王娟等提出了一种网络安全指标体系,根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标,并拟定了20多个一级指标构建网络安全指标体系,通过网络安全指标体系定义需要提取的所有网络安全态势要素。
综上所述,网络安全态势要素的提取存在以下问题:
1)国外的研究从某种单一的角度采集信息,无法获取全面的信息;2)国内的研究虽然力图获取全面的信息,但没有考虑指标体系中各因素之间的关联性,将会导致信息的融合处理存在很大难度;3)缺乏指标体系有效性的验证,无法验证指标体系是否涵盖了网络安全的所有方面。
3网络安全态势的理解
网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。本文将该过程称为态势评估,数据融合是网络安全态势评估的核心。
网络安全态势评估摒弃了研究单一的安全事件,而是从宏观角度去考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助決策的目的。
目前应用于网络安全态势评估的数据融合算法,大致分为以下几类:基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。
4网络安全态势的预测
网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。
由于网络攻击的随机性和不确定性,使得以此为基础的安全态势变化是一个复杂的非线性过程,限制了传统预测模型的使用。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法。
神经网络是目前最常用的网络态势预测方法,该算法首先以一些输入输出数据作为训练样本,通过网络的自学习能力调整权值,构建态势预测模型;然后运用模型,实现从输入状态到输出状态空间的非线性映射。上海交通大学的任伟等和Lai等分别利用神经网络方法对态势进行了预测,并取得了一定的成果。
神经网络具有自学习、自适应性和非线性处理的优点。但是神经网络存在以下问题,如难以提供可信的解释,训练时间长,过度拟合或者训练不足等。
时间序列预测法是通过时间序列的历史数据揭示态势随时间变化的规律,将这种规律延伸到未来,从而对态势的未来做出预测。在网络安全态势预测中,将根据态势评估获取的网络安全态势值x抽象为时间序列t的函数,即:x=f(t),此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列,假定有网络安全态势值的时间序列x={xi|xi∈R,i=1,2,…,L},预测过程就是通过序列的前N个时刻的态势值预测出后M个态势值。
时间序列预测法实际应用比较方便,可操作性较好。但是,要想建立精度相当高的时序模型不仅要求模型参数的最佳估计,而且模型阶数也要合适,建模过程是相当复杂的。
支持向量机是一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等[27]根据最近一段时间内入侵检测系统提供的网络攻击数据,使用支持向量机完成了对网络攻击态势的预测。
5结语
本文基于网络安全态势感知的概念模型,详细阐述了态势感知中三个主要的研究内容:安全态势要素提取、态势理解和态势预测,重点讨论各研究点需解决的核心问题、主要算法以及各种算法的优缺点。目前对于网络安全态势感知的研究还处于初步阶段,许多问题有待进一步解决。
参考文献
[1]庄琭,蔡勉,李晨.基于软件行为的可信动态度量[J].武汉大学学报:理学版,2010,56(2):133-137.
[2]徐梓耀,贺也平,邓灵莉.一种保护隐私的高效远程验证机制[J].软件学报2011,22(2):339-352.
[3]屈延文.软件行为学[M].北京:电子工业出版社,2004
(作者单位:1、2,69220部队;3,78090部队)