蒲江+李理

摘 要：隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展及其向經(jīng)濟(jì)和社會的全方位滲透，一方面對世界范圍內(nèi)的經(jīng)濟(jì)社會發(fā)展產(chǎn)生了巨大的正面影響，另一方面則給網(wǎng)絡(luò)空間安全帶來了無法回避的更大威脅和挑戰(zhàn)。網(wǎng)絡(luò)攻擊事件頻發(fā)，網(wǎng)絡(luò)犯罪日益嚴(yán)重，對國家安全構(gòu)成威脅。在這種環(huán)境下，快速而準(zhǔn)確的預(yù)警防御能力建設(shè)對網(wǎng)絡(luò)安全而言至關(guān)重要。網(wǎng)絡(luò)安全預(yù)警防御體系模型在整體安全策略的控制和指導(dǎo)下，形成了一個完整、動態(tài)的安全域，使信息系統(tǒng)具備早期預(yù)警防御并實(shí)施主動防護(hù)的能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全；預(yù)警防御；主動防護(hù)

中圖分類號： TP309 文獻(xiàn)標(biāo)識碼：A

Abstract： With the rapid development of network technology and the economic and social all-round infiltration， on the one hand， to the world within the scope of the economic and social development has a hugely positive effect， on the other hand， has brought the network space safety is unable to avoid more threats and challenges. Cyber attacks are frequent， cyber crime is becoming more and more serious， and there is a certain level of the threats to national security. Rapid and accurate early warining defense in this environment are critical to network security.Basde on three domain model of network security defense early warning system model under the overall security strategy contrl box know， formed a complete and dynamic security domain， it is early warning defense and implementation of information systems have the ability of active defense.

Key words： network security； warning defense； active protection

1 引言

隨著網(wǎng)絡(luò)應(yīng)用的快速擴(kuò)展，網(wǎng)絡(luò)安全威脅也日益嚴(yán)重，各種攻擊的力度、智能化和持續(xù)性日益增長，網(wǎng)絡(luò)面臨的安全威脅呈現(xiàn)出了新態(tài)勢。在這種環(huán)境下快速而準(zhǔn)確的預(yù)警防御能力對網(wǎng)絡(luò)安全而言至關(guān)重要[1]。

這里所謂的預(yù)警防御是指在實(shí)時監(jiān)控網(wǎng)絡(luò)攻擊的基礎(chǔ)上，通過識別網(wǎng)絡(luò)攻擊意圖，綜合評價網(wǎng)絡(luò)安全狀態(tài)并預(yù)測其發(fā)展趨勢，力爭在攻擊實(shí)施的早期階段發(fā)出警報，并提前采取適當(dāng)?shù)氖侄斡枰苑烙员M可能在攻擊未產(chǎn)生實(shí)質(zhì)性危害時加以遏制，將損失降到最低。

網(wǎng)絡(luò)攻擊預(yù)警是一個具有前沿性的研究方向。目前針對大規(guī)模網(wǎng)絡(luò)安全預(yù)警系統(tǒng)研究，急需解決兩個問題：一是如何由局部發(fā)生的網(wǎng)絡(luò)攻擊評估其對全局的影響；二是如何預(yù)測網(wǎng)絡(luò)攻擊方下一步可能采取的行動。這兩個問題解決需要構(gòu)建一個完善的網(wǎng)絡(luò)安全預(yù)警防御體系，采用網(wǎng)絡(luò)攻擊意圖識別、網(wǎng)絡(luò)安全態(tài)勢感知和網(wǎng)絡(luò)安全協(xié)同技術(shù)等關(guān)鍵技術(shù)實(shí)現(xiàn)該體系框架。

2 網(wǎng)絡(luò)安全威脅

自20世紀(jì)70年代美國建立ARPANET以來，互聯(lián)網(wǎng)經(jīng)歷了四十多年的發(fā)展，發(fā)生了翻天覆地的變化，已經(jīng)由最初的科研網(wǎng)絡(luò)逐步演變成為與現(xiàn)實(shí)社會形成全息映射的網(wǎng)絡(luò)空間。該空間正以強(qiáng)大的吸引力聚合著各種資源。隨著網(wǎng)絡(luò)應(yīng)用的快速擴(kuò)展，網(wǎng)絡(luò)安全威脅也日益嚴(yán)重。

卡巴斯基實(shí)驗(yàn)室曾在2013年初，對2013年網(wǎng)絡(luò)重大安全威脅做出預(yù)測，指出未來一年繼續(xù)增長的針對性攻擊、網(wǎng)絡(luò)間諜攻擊和國家級網(wǎng)絡(luò)攻擊將呈現(xiàn)加劇形式。正如其言，從2013年以來的安全形勢不容樂觀，主要呈現(xiàn)出幾個特點(diǎn)。

2.1 DDoS攻擊層出不窮

時至今日，網(wǎng)絡(luò)的威脅已不再是惡作劇，而是以利益為驅(qū)動的定向攻擊。隨著這種安全形勢演進(jìn)，DDoS攻擊也在不斷發(fā)生變化，發(fā)生頻率和手法不斷提高，依然是最有效的網(wǎng)絡(luò)惡意攻擊形式之一。

2.2 APT攻擊破壞力強(qiáng)

APT攻擊是一類特定的攻擊，指的是為了獲取某個組織或國家的重要信息，有針對性地進(jìn)行的一系列攻擊行為。其主要特點(diǎn)是來自于組織、有特定目標(biāo)、持續(xù)時間極長。這一特點(diǎn)充分體現(xiàn)了APT攻擊的危險性，它主要是有組織地針對國家重要的基礎(chǔ)設(shè)施和單位進(jìn)行，而且具有持續(xù)性，可達(dá)數(shù)年。這種持續(xù)性使攻擊者能夠長期潛伏，直至收集到重要情報。

當(dāng)前，APT攻擊的發(fā)展趨勢為攻擊更具有針對性、更有破壞力，而對其判斷卻越來越困難，需要綜合社會、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行評估和分析目標(biāo)，傳統(tǒng)的防護(hù)手段已經(jīng)失效，網(wǎng)絡(luò)安全面臨前所未有的挑戰(zhàn)。

2.3 大數(shù)據(jù)是攻擊的顯著目標(biāo)

大數(shù)據(jù)是伴隨虛擬技術(shù)、云計算、物聯(lián)網(wǎng)和數(shù)據(jù)中心等的發(fā)展而產(chǎn)生的。大數(shù)據(jù)應(yīng)用的普及進(jìn)一步促進(jìn)了信息數(shù)據(jù)的跨域、跨境流動，涉及更多的隱含價值和敏感內(nèi)容。它不僅僅是數(shù)據(jù)量的簡單刻畫，更主要的是指數(shù)據(jù)正在成為一種資產(chǎn)，美國將大數(shù)據(jù)定義為“未來的新石油”。大數(shù)據(jù)的價值決定了它必然是攻擊的首選目標(biāo)，大數(shù)據(jù)時代的到來使信息安全的建設(shè)面臨新的挑戰(zhàn)和要求。endprint

2.4 “棱鏡門”使網(wǎng)絡(luò)安全上升到國家層面

棱鏡是一項(xiàng)由美國國家安全局負(fù)責(zé)主導(dǎo)實(shí)施的絕密電子監(jiān)聽計劃。這項(xiàng)計劃的主要內(nèi)容就是允許國家安全局通過各種手段，對美國公民的各種網(wǎng)絡(luò)通信內(nèi)容、網(wǎng)絡(luò)存儲信息文檔等資料進(jìn)行深度的監(jiān)聽；對其他國家網(wǎng)絡(luò)進(jìn)行特定的入侵和情報收集?！袄忡R門”事件表明，信息安全已成國家安全新戰(zhàn)略制高點(diǎn)，網(wǎng)絡(luò)與信息安全應(yīng)上升為國家戰(zhàn)略。

3 預(yù)警防御技術(shù)分析

為應(yīng)對日益復(fù)雜化、智能化的網(wǎng)絡(luò)攻擊，研究人員提出了網(wǎng)絡(luò)安全預(yù)警防御機(jī)制。經(jīng)過多年努力，預(yù)警技術(shù)已經(jīng)取得了很大進(jìn)展。針對上文提到的兩個問題，主要涉及到網(wǎng)絡(luò)攻擊意圖識別、網(wǎng)絡(luò)安全態(tài)勢感知和網(wǎng)絡(luò)安全協(xié)同技術(shù)等關(guān)鍵技術(shù)[2]。

3.1 網(wǎng)絡(luò)攻擊意圖識別

1978年，Schmidet第一次提出規(guī)劃識別問題（即意圖識別）。經(jīng)過三十多年的發(fā)展，出現(xiàn)了很多模型和方法。如基于解釋的意圖識別方法、基于決策論的意圖識別方法、基于規(guī)劃圖分析的意圖識別方法、基于概率推理的意圖識別方法等。

在網(wǎng)絡(luò)安全領(lǐng)域，多源信息融合領(lǐng)域的態(tài)勢評估技術(shù)和人工智能領(lǐng)域的意圖識別技術(shù)有強(qiáng)烈的應(yīng)用需求和良好的發(fā)展前景。攻擊手段的靈活多變使得通過低層次的系統(tǒng)事件或網(wǎng)絡(luò)事件分析入侵者的攻擊策略變得非常困難，而高層次的意圖識別能夠提供獨(dú)立于具體攻擊手段的高水平的分析平臺。在意圖分析層面上，入侵檢測就變成使用各個異構(gòu)的IDS協(xié)同工作去證實(shí)或者否定事先定義的各種意圖假設(shè)。

3.2 網(wǎng)絡(luò)安全態(tài)勢感知

態(tài)勢感知的概念最早來源于軍事領(lǐng)域。態(tài)勢的含義是指交戰(zhàn)雙方的兵力部署在戰(zhàn)場環(huán)境中呈現(xiàn)的“體態(tài)”和“陣勢”。態(tài)勢感知包含態(tài)勢覺察、態(tài)勢理解、態(tài)勢預(yù)測三個階段的完整的態(tài)勢評判過程[3]。

網(wǎng)絡(luò)態(tài)勢感知的概在最早由Bass于1999年提出。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢。值得注意的是，態(tài)勢強(qiáng)調(diào)環(huán)境、動態(tài)性以及實(shí)體之間的關(guān)系，是一種狀態(tài)、一種趨勢，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。

網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)態(tài)勢的一個分支，是針對網(wǎng)絡(luò)安全具體特點(diǎn)設(shè)計的模型和方法。它綜合各方面因素，從整體上動態(tài)反映網(wǎng)絡(luò)的安全狀態(tài)，并對其發(fā)展趨勢進(jìn)行預(yù)測。目前的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)主要是根據(jù)耽擱或幾個安全指標(biāo)量化網(wǎng)絡(luò)的安全狀態(tài)，為用戶理解當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)提供一定的參考。

3.3網(wǎng)絡(luò)安全協(xié)同防護(hù)

網(wǎng)絡(luò)安全協(xié)同防護(hù)設(shè)計的技術(shù)是多方面的。其目標(biāo)是全面地了解和控制網(wǎng)絡(luò)的安全狀況，阻斷負(fù)載網(wǎng)絡(luò)攻擊，并能協(xié)同各個安全系統(tǒng)進(jìn)行聯(lián)合防御。早期的相關(guān)研究主要是實(shí)現(xiàn)單一安全域內(nèi)的安全數(shù)據(jù)共享、對異構(gòu)安全設(shè)施的報警數(shù)據(jù)進(jìn)行有效融合。目前則集中在大規(guī)模網(wǎng)絡(luò)環(huán)境下跨安全域的預(yù)警技術(shù)，在互聯(lián)網(wǎng)范圍內(nèi)實(shí)現(xiàn)網(wǎng)絡(luò)安全數(shù)據(jù)協(xié)同分析的方向不是架構(gòu)和關(guān)鍵算法[4]。

4 網(wǎng)絡(luò)安全體系模型

網(wǎng)絡(luò)安全問題不能簡單地分解為若干種問題及其解決方法，必須上升到系統(tǒng)的高度，從網(wǎng)絡(luò)安全系統(tǒng)工程的總體出發(fā)，建立網(wǎng)絡(luò)安全技術(shù)體系結(jié)構(gòu)和基本框架。網(wǎng)絡(luò)安全防護(hù)是一個動態(tài)的過程，靜態(tài)的防護(hù)模型不能適應(yīng)分布式、動態(tài)變化的互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)安全體系模型必須是動態(tài)的模型。動態(tài)性主要體現(xiàn)為入侵的實(shí)時監(jiān)測、安全態(tài)勢的動態(tài)評估等；主動性則體現(xiàn)為攻擊意圖的識別、入侵趨勢及安全態(tài)勢的預(yù)測、主動響應(yīng)等[5]。

4.1 P2DR模型

P2DR模型由美國ISS公司提出，它是動態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動態(tài)安全模型的雛形。P2DR模型包括策略、防護(hù)、檢測和響應(yīng)四個主要部分，如圖1所示。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的循環(huán)，在策略的指導(dǎo)下保證系統(tǒng)安全。

P2DR模型是在整體安全策略的控制和指導(dǎo)下，綜合運(yùn)用防護(hù)工具的同時，使用檢測工具了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到最安全和風(fēng)險最低的狀態(tài)。

P2DR模型的主要三項(xiàng)缺點(diǎn)。

（1）缺少預(yù)警。它沒有考慮安全周期的預(yù)警階段，對網(wǎng)絡(luò)攻擊只能采用被動檢測和“慢拍”的被動響應(yīng)。

（2）不是真正的動態(tài)。模型的所有動態(tài)性建立在檢測的基礎(chǔ)上，且采用既定的響應(yīng)策略，而不是根據(jù)攻擊的威脅狀況進(jìn)行動態(tài)響應(yīng)。

（3）安全策略粒度過大。模型為每一種安全產(chǎn)品定義檢測、防護(hù)、響應(yīng)策略，而不是針對系統(tǒng)的安全防御目標(biāo)制定安全策略，這導(dǎo)致各種安全組件各自為政，策略間彼此沒有動態(tài)關(guān)聯(lián)，無法建立協(xié)調(diào)一致的安全控制機(jī)制。

解決以上問題必須增加預(yù)警功能，建立動態(tài)響應(yīng)體系、重新定義安全策略。

4.2 預(yù)警防御三域模型

預(yù)警防御三域模型如圖2所示。

模型中將安全防護(hù)空間劃分為三個域，分別是物理域、信息域和認(rèn)知域。物理域就是網(wǎng)絡(luò)空間，部署于網(wǎng)絡(luò)空間的各類網(wǎng)絡(luò)設(shè)備和安全設(shè)備會產(chǎn)生大量的與安全相關(guān)的原始數(shù)據(jù)。這些數(shù)據(jù)經(jīng)過歸一化處理后，在經(jīng)過虛警過濾、安全事件聚合、關(guān)聯(lián)分析等處理，形成安全告警信息。這是一個由原始數(shù)據(jù)中提煉真正有價值安全信息的過程，將其歸為信息域。

在安全信息的基礎(chǔ)上，結(jié)合已有的專業(yè)知識、經(jīng)驗(yàn)等，就可以對整個網(wǎng)絡(luò)防護(hù)空間的安全狀態(tài)和趨勢加以評估、對黑客的攻擊意圖進(jìn)行識別，進(jìn)而對網(wǎng)絡(luò)受到的安全威脅程度進(jìn)行估算，并最終加以決策，令有效地防護(hù)行動作用于物理空間。

這是一個基于信息形成知識的過程，將其歸為認(rèn)知域。而貫穿三個域的，是安全策略的應(yīng)用與管理。策略仍然是模型的核心所在。

5 結(jié)束語

預(yù)警防御系統(tǒng)體系結(jié)構(gòu)設(shè)計是預(yù)警防御研究的基礎(chǔ)。一個動態(tài)網(wǎng)絡(luò)安全預(yù)警防御模型必須包含五個要素[6]。

（1）策略

理解信息系統(tǒng)的安全需求，制定主動防御的安全策略。該策略具體說明防護(hù)、檢測、預(yù)測、響應(yīng)的聯(lián)動關(guān)系及處理方法，是實(shí)施網(wǎng)絡(luò)安全主動防御的指南。endprint

（2）防護(hù)

保障信息及其系統(tǒng)的保密性、完整性、可用性、不可否認(rèn)性，將相關(guān)安全技術(shù)分類，建立防護(hù)技術(shù)體系。

（3）檢測

動態(tài)檢測入侵及安全威脅，理解信息系統(tǒng)當(dāng)前的安全狀態(tài)。檢查系統(tǒng)安全漏洞，實(shí)時檢測單個入侵、協(xié)同入侵、大規(guī)模入侵，評估入侵事件的威脅程度，以利響應(yīng)。

（4）預(yù)測

動態(tài)預(yù)測入侵事件，理解信息系統(tǒng)未來的安全趨勢。預(yù)警安全威脅為調(diào)整防護(hù)和響應(yīng)方案提供依據(jù)。

（5）響應(yīng)

主動響應(yīng)危及系統(tǒng)安全的入侵事件，防止危害蔓延和擴(kuò)散。如果攻擊造成一定后果，及時恢復(fù)，保障系統(tǒng)提供正常服務(wù)。

預(yù)警防御三域模型具有較強(qiáng)的是時序性和動態(tài)性，能夠較好地反映出信息系統(tǒng)安全保障體系的預(yù)警能力、防護(hù)能力、檢測能力、響應(yīng)能力、恢復(fù)能力等。它使得信息系統(tǒng)具備跨域的數(shù)據(jù)共享和協(xié)同防護(hù)能力，可以發(fā)出預(yù)警信息并實(shí)施主動防護(hù)。

參考文獻(xiàn)

[1] Piotr Kijewski.ARAKIS，-An early warning and attack identification system[C].The 16th Annual FIRST Conf， Budapest，Hungary：2004.

[2] 趙文濤.基于網(wǎng)絡(luò)安全態(tài)勢感知的預(yù)警技術(shù)研究[D].國防科技大學(xué)博士學(xué)位論文，2009.

[3] Williams L， Lippmann R， Ingols K. GARNET：A Graphical Attack Graph and Reachability Network Evaluation Tool[C].VizSec 2008， LNCS 5210， 2008：44-59.

[4] 楊兵，胡華平，金士堯.基于智能代理的對等主動網(wǎng)絡(luò)預(yù)警模型研究[J].計算機(jī)研究與發(fā)展，2006，43：480-486.

[5] Huber M J，Durfee E H， Wellman M P. The Automated Mapping of Plans for Plan Recognition[C]. Proceedings of the Tenth International Conference on Uncertainty in Artificial Intelligence，1994：104-119.

[6] 張峰.基于策略樹的網(wǎng)絡(luò)安全主動防御模型研究[D].電子科技大學(xué)，2004.endprint