摘 要：2016年，習(xí)近平總書記在全國網(wǎng)信工作座談會上作出重要指示：要加強大數(shù)據(jù)挖掘分析，更好感知網(wǎng)絡(luò)安全態(tài)勢，做好風(fēng)險防范。為應(yīng)對網(wǎng)絡(luò)安全面臨的嚴峻挑戰(zhàn)，很多大型行業(yè)及企業(yè)響應(yīng)國家政策號召，積極倡導(dǎo)、建設(shè)和應(yīng)用態(tài)勢感知系統(tǒng)。網(wǎng)絡(luò)安全態(tài)勢感知是保障網(wǎng)絡(luò)安全的有效手段，利用態(tài)勢感知發(fā)現(xiàn)潛在威脅、做出響應(yīng)已經(jīng)成為網(wǎng)絡(luò)安全的研究重點。目前提出的各種網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)及方法，大多以小規(guī)模網(wǎng)絡(luò)為研究背景。隨著網(wǎng)絡(luò)規(guī)模的擴大，出現(xiàn)了例如APT這樣的新型高級攻擊手段，導(dǎo)致態(tài)勢感知技術(shù)的準(zhǔn)確性大為降低，可操作性也變得更加困難。近年來，威脅情報的出現(xiàn)為態(tài)勢感知的研究帶來了新思路，成為態(tài)勢感知研究領(lǐng)域的一個新方向。

　　對傳統(tǒng)態(tài)勢感知研究和威脅情報在網(wǎng)絡(luò)安全態(tài)勢感知上的應(yīng)用進行了歸納總結(jié)。傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知的研究一般分為3部分，即態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射，主要過程是通過對目標(biāo)系統(tǒng)安全要素的提取，分析安全事件的影響，最終實現(xiàn)對網(wǎng)絡(luò)中各種活動的行為識別、察覺攻擊，并對網(wǎng)絡(luò)態(tài)勢進行評估和預(yù)測，為網(wǎng)絡(luò)安全響應(yīng)提供正確決策。對威脅情報在網(wǎng)絡(luò)安全態(tài)勢感知上的應(yīng)用從3個場景進行了討論：1)態(tài)勢察覺：利用威脅情報進行攻擊行為的識別，提取相關(guān)的攻擊特征，確定攻擊意圖、方法及影響;2)態(tài)勢理解：確定攻擊行為及其特征后，對攻擊行為進行理解，通過共享威脅情報中攻擊行為的處置方法，確定攻擊者的攻擊策略;3)態(tài)勢投射：通過分析威脅情報中攻擊事件、攻擊技術(shù)、漏洞等信息，評估當(dāng)前系統(tǒng)面臨的風(fēng)險，預(yù)測其可能遭受的攻擊。

　　威脅情報主要是利用大數(shù)據(jù)、分布式系統(tǒng)等收集方法獲取的，具有很強的自主更新能力，能夠提供最全、最新的安全事件數(shù)據(jù)，極大提高網(wǎng)絡(luò)安全態(tài)勢感知工作中對新型和高級別危險的察覺能力。通過威脅情報共享機制，可使安全管理員對所處行業(yè)面臨的威脅處境、攻擊者類型、攻擊技術(shù)及防御策略信息有更加深入的了解，對企業(yè)正在經(jīng)歷或潛在的威脅進行有效防御，提高態(tài)勢感知分析的準(zhǔn)確率與效率，以及對安全事件的響應(yīng)能力。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知;威脅情報;STIX;網(wǎng)絡(luò)攻防

　　隨著規(guī)模和用戶數(shù)量的不斷增加，網(wǎng)絡(luò)正朝著大規(guī)模、多業(yè)務(wù)、大數(shù)據(jù)化的方向發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也隨之日趨復(fù)雜化。在這種背景下，計算機病毒、惡意軟件、信息泄露等網(wǎng)絡(luò)攻擊造成的影響越來越嚴重，多層次的安全威脅和風(fēng)險也在持續(xù)增加，出現(xiàn)了很多關(guān)于防火墻、防病毒、入侵檢測等防御技術(shù)。與傳統(tǒng)的安全防護技術(shù)不同，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)不再是針對某一特定攻擊方式的防御技術(shù)，而是一種整體、全局的防御手段，其對網(wǎng)絡(luò)安全的研究具有很高價值。然而，目前針對態(tài)勢感知的研究大都是基于局域網(wǎng)或小規(guī)模網(wǎng)絡(luò)展開的，在大規(guī)模網(wǎng)絡(luò)的背景下，還需對傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)進行改進，態(tài)勢感知技術(shù)也需引入先進的技術(shù)，實現(xiàn)更加全面的安全分析與態(tài)勢預(yù)測。

　　由于新型高級攻擊手段的肆意頻發(fā)，網(wǎng)絡(luò)威脅情報(cyber threat intelligence，CTI)近年來成為網(wǎng)絡(luò)安全研究的熱點，為態(tài)勢感知研究帶來了新思路。CTI描述了攻擊行為，提供了網(wǎng)絡(luò)攻擊的上下文數(shù)據(jù)，并指導(dǎo)了網(wǎng)絡(luò)攻擊和防御。利用威脅情報收集大量數(shù)據(jù)，通過有效的數(shù)據(jù)共享，確保信息交換的安全和質(zhì)量，分析惡意行為，發(fā)現(xiàn)和預(yù)防潛在的威脅[1]。威脅情報能夠提供某種攻擊行為的重要信息與攻擊特征，為安全事件的響應(yīng)、防御策略的制定提供正確處理決策。然而目前對于CTI的研究仍處于初始階段，相關(guān)研究成果很少，如何合理規(guī)范地使用CTI進行網(wǎng)絡(luò)安全態(tài)勢感知是亟待解決的關(guān)鍵問題。

　　針對上述提出的關(guān)鍵問題，本文通過整理現(xiàn)有態(tài)勢感知模型的優(yōu)缺點，指出威脅情報處理網(wǎng)絡(luò)安全威脅的優(yōu)勢，進而挖掘威脅情報與網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)合點，明確威脅情報為網(wǎng)絡(luò)安全態(tài)勢感知研究帶來的重要影響，以期為后續(xù)研究工作打牢基礎(chǔ)。

　　1 網(wǎng)絡(luò)安全態(tài)勢感知

　　1.1 相關(guān)概念

　　態(tài)勢感知是指在特定的時間和空間內(nèi)提取系統(tǒng)的要素，理解其含義并預(yù)測其可能產(chǎn)生的影響[2]。網(wǎng)絡(luò)安全態(tài)勢感知(network security situational awareness，NSSA)工作流程主要是通過對系統(tǒng)的安全要素進行采集，分析安全要素之間的關(guān)聯(lián)，從中發(fā)現(xiàn)系統(tǒng)中的異常行為，并對異常行為造成的影響進行評估，得到網(wǎng)絡(luò)的安全態(tài)勢，根據(jù)一段時間的態(tài)勢趨勢，預(yù)測未來時段態(tài)勢的變化。

　　態(tài)勢感知的概念起源于空中交通管制(air traffic control)[3]。ENDSLEY[4]將態(tài)勢感知分為3個層面：態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射，之后 BASS[5]首次提出了網(wǎng)絡(luò)態(tài)勢感知的概念：在大型網(wǎng)絡(luò)環(huán)境中，獲取、理解、評估、顯示可能導(dǎo)致網(wǎng)絡(luò)狀態(tài)發(fā)生變化的要素，并預(yù)測未來的發(fā)展趨勢。FRANKE[6]等認為態(tài)勢感知是可以在不同程度實現(xiàn)的狀態(tài)，包含網(wǎng)絡(luò)態(tài)勢感知。網(wǎng)絡(luò)態(tài)勢感知不能被孤立地對待，應(yīng)與整體態(tài)勢感知交織在一起。在此基礎(chǔ)上，許多實驗室展開研究，開發(fā)了各種網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)或平臺，Lawrence Berkeley實驗室開發(fā)了“Spinning Cube of Potential Doom”系統(tǒng)[7]、卡內(nèi)基梅隆大學(xué)開發(fā)了SILK[8]、美國國家高級安全系統(tǒng)研究中心開發(fā)了VisFlowConnect-IP[9]等。

　　1.2 網(wǎng)絡(luò)安全態(tài)勢感知模型

　　NSSA模型一般分為態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射3部分，如圖1所示。

　　1)態(tài)勢察覺 主要目的是將采集到的安全要素信息進行降噪、規(guī)范化處理，對數(shù)據(jù)進行建模后，發(fā)現(xiàn)系統(tǒng)中的異常行為活動;

　　2)態(tài)勢理解 主要是在態(tài)勢察覺的基礎(chǔ)上對攻擊行為進行理解，識別攻擊意圖，確定攻擊策略;

　　3)態(tài)勢投射 在前兩步的基礎(chǔ)上分析攻擊行為對網(wǎng)絡(luò)中對象的威脅情況，并根據(jù)威脅情況，評估攻擊對系統(tǒng)安全態(tài)勢的影響，量化和預(yù)測安全態(tài)勢。

　　NSSA的目標(biāo)就是了解自己、了解敵人。

　　1.3 網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)方法

　　通過對NSSA模型的理解，針對NSSA的研究主要是在態(tài)勢察覺、態(tài)勢評估及態(tài)勢預(yù)測3個方面進行的。

　　1.3.1 態(tài)勢察覺

　　態(tài)勢察覺是NSSA的首要環(huán)節(jié)。由于互聯(lián)網(wǎng)和網(wǎng)速的快速提升，攻擊行為的傳播速度也大大提高，因此對潛在攻擊行為的識別研究對網(wǎng)絡(luò)安全防護起到了重要作用。文獻[10]提出了在攻擊圖上應(yīng)用吸收馬爾可夫鏈的隨機數(shù)學(xué)模型，將攻擊圖映射到吸收馬爾可夫鏈，描述攻擊者的多步攻擊行為，利用攻擊路徑態(tài)勢分析識別攻擊者的真實目的。然而，該方法是通過有限項的概率轉(zhuǎn)移矩陣確定攻擊者意圖，在面對大規(guī)模的網(wǎng)絡(luò)攻擊時，攻擊行為之間的轉(zhuǎn)移矩陣難以計算。文獻[11] 提出了非齊次的馬爾可夫模型，利用目標(biāo)系統(tǒng)的漏洞信息構(gòu)建攻擊圖，通過馬爾可夫鏈計算網(wǎng)絡(luò)狀態(tài)轉(zhuǎn)移概率，計算最大概率的攻擊路徑，從而確定攻擊者的攻擊意圖，但該模型的參數(shù)設(shè)置并不能跟隨網(wǎng)絡(luò)環(huán)境的變化而變化，不具有普適性。

　　1.3.2 態(tài)勢評估

　　態(tài)勢評估是NSSA的核心環(huán)節(jié)。通過對一段時間內(nèi)的安全數(shù)據(jù)進行分析，描述網(wǎng)絡(luò)的安全狀態(tài)，對態(tài)勢進行評估，可以明確網(wǎng)絡(luò)態(tài)勢的變化趨勢，為態(tài)勢預(yù)測提供依據(jù)。文獻[12]提出了基于隨機博弈的網(wǎng)絡(luò)安全態(tài)勢評估模型，綜合分析了攻擊方、防御方和環(huán)境信息三者對安全態(tài)勢的影響;然而在攻防雙方策略選擇時，僅考慮了簡單的策略集合，在真實的攻擊場景中，策略選擇要復(fù)雜得多。文獻[13]提出了基于隱馬爾可夫過程的網(wǎng)絡(luò)安全態(tài)勢評估改進模型，確定狀態(tài)轉(zhuǎn)移矩陣，利用風(fēng)險值實現(xiàn)安全態(tài)勢的量化，反映態(tài)勢的變化趨勢;但該方法具有一定的局限性，對NSSA要素的提取不全面，觀測序列不完善，評估的準(zhǔn)確性還有待提高。

　　1.3.3 態(tài)勢預(yù)測

　　態(tài)勢預(yù)測是NSSA的重要環(huán)節(jié)。能夠獲知網(wǎng)絡(luò)系統(tǒng)全局運行的安全發(fā)展趨勢，實時感知，及時發(fā)現(xiàn)危險事件，使系統(tǒng)做出準(zhǔn)確的應(yīng)急響應(yīng)，避免大規(guī)模的網(wǎng)絡(luò)攻擊。態(tài)勢預(yù)測常用的方法有基于馬爾可夫鏈的預(yù)測模型、基于時間序列的預(yù)測模型、貝葉斯動態(tài)預(yù)測模型[14-16]。其中基于馬爾科夫鏈的預(yù)測方法利用當(dāng)前時刻的態(tài)勢計算下一時刻的態(tài)勢，結(jié)合最大熵算法，提高了預(yù)測的準(zhǔn)確性，但該模型參數(shù)評估的準(zhǔn)確性還有待進一步研究。基于時間序列的預(yù)測方法在訓(xùn)練數(shù)據(jù)方面具有優(yōu)勢，但是在處理大量數(shù)據(jù)集的應(yīng)用上效果不佳。貝葉斯動態(tài)預(yù)測模型方法利用貝葉斯方法對攻擊行為建模，但對網(wǎng)絡(luò)攻防建模要求高，需要考慮的因素較多[17]。

　　通過分析上述文獻可知，現(xiàn)有的NSSA技術(shù)都是以小規(guī)模網(wǎng)絡(luò)、局域網(wǎng)為研究目標(biāo)，缺乏基于大規(guī)模網(wǎng)絡(luò)背景的網(wǎng)絡(luò)安全態(tài)勢感知研究。而目前的大型網(wǎng)絡(luò)大多存在資產(chǎn)數(shù)量巨大、風(fēng)險類型多樣、數(shù)據(jù)采集難度大、周期長等復(fù)雜問題，現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢技術(shù)在威脅察覺、態(tài)勢評估與預(yù)測的準(zhǔn)確性上都具有一些不足之處。為此，本文引入威脅情報作為NSSA的基礎(chǔ)依據(jù)，從威脅情報的定義、威脅情報在網(wǎng)絡(luò)安全態(tài)勢感知、評估和預(yù)測等階段的應(yīng)用等方面進行分析和探索，為NSSA的研究發(fā)展提供新的解決思路。

　　推薦閱讀：電力網(wǎng)絡(luò)相關(guān)論文文獻怎么下載