文｜沈雁葦

隨著網(wǎng)絡(luò)覆蓋范圍不斷擴(kuò)大，網(wǎng)絡(luò)安全問題尤為受人重視。在安全控制方面，除處理訪問控制、入侵檢驗(yàn)以及身份識別等技術(shù)方式的應(yīng)用外，還需要安全運(yùn)維以及管理人員可以及時(shí)感知網(wǎng)絡(luò)中出現(xiàn)的異常事件以及整體安全態(tài)勢。針對安全運(yùn)維人員而言，怎樣從海量的安全事件以及日志之中尋找最具價(jià)值與亟待處理的安全問題，并對安全態(tài)勢進(jìn)行感知，以確保網(wǎng)絡(luò)的安全狀態(tài)，成為其必須解決的問題。因此，基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的應(yīng)用受到人們的普遍關(guān)注。

一、傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的不足

網(wǎng)絡(luò)安全防護(hù)由三種業(yè)態(tài)模型交互構(gòu)成，這三種業(yè)態(tài)模型分別為：集檢測、防護(hù)、響應(yīng)、策略于一體的P2DR安全運(yùn)維模型；以木桶原理為基底，依據(jù)多種安全產(chǎn)品組合堆砌的線性防御模型；以應(yīng)用操作為基底，實(shí)時(shí)監(jiān)管操作系統(tǒng)及不同應(yīng)用層面安全的立體防御模型。綜合這三種業(yè)態(tài)防御模型，形成整體網(wǎng)絡(luò)安全防護(hù)體系。

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)處于被動(dòng)地位，無論是應(yīng)對病毒攻擊，抑或黑客直接攻擊，無法做到主動(dòng)防護(hù)，只能后知后防。傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的基本流程為發(fā)現(xiàn)威脅、分析威脅、明確特征、防御威脅。流程冗長，防御有滯后性，不適應(yīng)現(xiàn)階段日益嚴(yán)苛的網(wǎng)絡(luò)安全防護(hù)需求。此外，在被動(dòng)防護(hù)狀態(tài)下，只能通過硬件不斷升級來彌補(bǔ)防御能力的不足，由于物理設(shè)備無法做到無限擴(kuò)充，便只能對威脅特征庫進(jìn)行裁剪，以此完成對威脅的優(yōu)選防御，這種裁剪本身會(huì)導(dǎo)致諸多安全風(fēng)險(xiǎn)被遺漏，不利于提升網(wǎng)絡(luò)安全防護(hù)全面性。綜合來看，傳統(tǒng)安全防護(hù)模型、產(chǎn)品存在的問題主要包括以下四點(diǎn)：第一，以本地規(guī)則庫為核心，檢測威脅范圍有限；第二，未引入智能數(shù)據(jù)模塊，對潛在威脅、未來威脅感知性差；第三，缺乏防護(hù)協(xié)同性，無法針對網(wǎng)絡(luò)安全問題進(jìn)行協(xié)同防御；第四，缺乏數(shù)據(jù)支持，無法對攻擊進(jìn)行溯源追責(zé)。

因此，本文結(jié)合網(wǎng)絡(luò)安全防護(hù)工作開展現(xiàn)狀及前沿研究內(nèi)容，提出一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，使網(wǎng)絡(luò)安全防護(hù)工作變被動(dòng)為主動(dòng)，以期解決傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)存在的問題。

二、網(wǎng)絡(luò)安全態(tài)勢感知概念及其任務(wù)

（一）網(wǎng)絡(luò)安全態(tài)勢概念

態(tài)勢感知最早應(yīng)用在航天飛行人研究工作中，伴隨科學(xué)技術(shù)的高速發(fā)展，關(guān)于態(tài)勢感知，部分學(xué)者認(rèn)為其可以被定義為預(yù)測。即在特定條件下，結(jié)合各種條件，針對環(huán)境等因素予以一定的獲取以及預(yù)估。網(wǎng)絡(luò)安全，源自空中交通監(jiān)管態(tài)勢感知概念，是伴隨網(wǎng)絡(luò)科學(xué)技術(shù)高速發(fā)展而形成的一個(gè)較為新穎的概念。網(wǎng)絡(luò)安全態(tài)勢感知內(nèi)容具體含有兩個(gè)方面的內(nèi)容，一方面是結(jié)合網(wǎng)絡(luò)發(fā)出的警報(bào)信息，其主要針對網(wǎng)絡(luò)數(shù)據(jù)，實(shí)現(xiàn)有效的結(jié)合、分析，保證網(wǎng)絡(luò)應(yīng)用的安全性，以實(shí)現(xiàn)充分的展現(xiàn)。另一方面，針對網(wǎng)絡(luò)數(shù)據(jù)結(jié)合歷史經(jīng)驗(yàn)開展有效的分析與研究，最大程度排除網(wǎng)絡(luò)中的安全隱患。如今，關(guān)于網(wǎng)絡(luò)安全的概念，部分學(xué)者作出如下定義：網(wǎng)絡(luò)安全態(tài)勢是由網(wǎng)絡(luò)設(shè)施與用戶網(wǎng)絡(luò)行為共同決定網(wǎng)絡(luò)未來發(fā)展與改變的趨勢。

（二）網(wǎng)絡(luò)安全態(tài)勢感知的任務(wù)

如今，網(wǎng)絡(luò)安全態(tài)勢感知任務(wù)含有如下方面內(nèi)容：第一，態(tài)勢觀察，感知目前的狀態(tài)，含有態(tài)勢識別與確認(rèn)兩項(xiàng)工作，態(tài)勢確認(rèn)含有確認(rèn)攻擊源、攻擊目的以及攻擊方式等。第二，攻擊影響的感知，含有影響評價(jià)、損害評價(jià)以及影響評價(jià)的脆弱性分析等可能影響未來的預(yù)估等。第三，態(tài)勢演變感知。主要含有態(tài)勢追蹤。第四，敵手行為感知，含有意圖分析以及供給趨勢引發(fā)的原因以及具體過程，討論蘊(yùn)含的因果關(guān)系以及事后狀況。第六，利用網(wǎng)絡(luò)態(tài)勢感知采集的信息項(xiàng)目，并在信息項(xiàng)目中提煉決策的可信度，含有可信度、新鮮度以及完整度等亮度。第七，態(tài)勢預(yù)，預(yù)估網(wǎng)絡(luò)敵手可能采用的攻擊趨勢，全面分析對方的基本狀況。

網(wǎng)絡(luò)安全態(tài)勢主要含有感知時(shí)間與風(fēng)險(xiǎn)因素兩個(gè)方面，其中感知風(fēng)險(xiǎn)含有資產(chǎn)與網(wǎng)絡(luò)脆弱性兩點(diǎn)，資產(chǎn)感知的重點(diǎn)在于能夠自主迅速地分辨網(wǎng)絡(luò)資產(chǎn)，并第一時(shí)間進(jìn)行更新。網(wǎng)絡(luò)脆弱性感知?jiǎng)t是在發(fā)掘網(wǎng)絡(luò)脆弱性的情況下，統(tǒng)一予以管理。時(shí)間感知含有行為與安全事件兩項(xiàng)工作，其中安全事件感知更傾向于感知事件具體產(chǎn)生的原因以及位置，而異樣行為感知?jiǎng)t更為強(qiáng)調(diào)確認(rèn)異樣行為的風(fēng)險(xiǎn)，以有效補(bǔ)充安全事件的問題，明確未來攻擊的主要方向。

三、網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)技術(shù)

（一）證據(jù)理論支持的網(wǎng)絡(luò)安全態(tài)勢評估

大數(shù)據(jù)環(huán)境中，許多因素都不同程度影響網(wǎng)絡(luò)安全狀態(tài)，網(wǎng)絡(luò)安全態(tài)勢評估將引入不同類型網(wǎng)絡(luò)設(shè)備的二元數(shù)據(jù)，包括許多有害程序的信息數(shù)據(jù)以及漏洞信息數(shù)據(jù)等，這些數(shù)據(jù)將導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢評估精準(zhǔn)度減弱。大數(shù)據(jù)環(huán)境無法對不同類型證據(jù)源開展正確的檢驗(yàn)以及識別，而業(yè)務(wù)應(yīng)用、軟件以及網(wǎng)絡(luò)節(jié)點(diǎn)等證據(jù)源不同，用以檢測的傳感器可靠性也有一定的差異，可信度并不完全相同。此外，網(wǎng)絡(luò)安全態(tài)勢評估工作中，不同專家的可信度也有顯著差異，所供應(yīng)的證據(jù)信息之間可能產(chǎn)生高度的信息矛盾。為了盡量減少可信度不足的證據(jù)源影響網(wǎng)絡(luò)安全態(tài)勢的評估結(jié)果，處理證據(jù)信息之間沖突的問題?；诖?，相關(guān)工作人員可根據(jù)對證據(jù)源予以預(yù)處理以及修正組合規(guī)則兩種改進(jìn)方式，提出以改進(jìn)證據(jù)理論為基礎(chǔ)的網(wǎng)絡(luò)安全擬態(tài)評估算法，用以評價(jià)網(wǎng)絡(luò)安全態(tài)勢量化評估，基礎(chǔ)思想是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)。然后構(gòu)建引入不確定性變量的信度分配函數(shù)BPA，同時(shí)應(yīng)用牛頓法改善專家信度，并利用基于一致性度量方式改善證據(jù)源距離的計(jì)算方式，明確各個(gè)證據(jù)的可信度，最后利用線性加權(quán)的方式改變原始證據(jù)源，明確證據(jù)源的綜合權(quán)重，并對證據(jù)mass函數(shù)予以修正，根據(jù)新的證據(jù)模型應(yīng)用基于局部沖突分配改善證據(jù)合成同時(shí)處理指標(biāo)證據(jù)之間存在的局部沖突，同時(shí)融合計(jì)算機(jī)網(wǎng)絡(luò)安全綜合態(tài)勢。

（二）威脅大數(shù)據(jù)分析技術(shù)

數(shù)據(jù)分析是將安全數(shù)據(jù)信息轉(zhuǎn)變?yōu)橥{數(shù)據(jù)信息的重要方法，期間需要采用如下三個(gè)步驟：第一，針對數(shù)據(jù)開展預(yù)處理，通過特征抽取、數(shù)據(jù)融合以及關(guān)聯(lián)分析等方法，實(shí)現(xiàn)數(shù)據(jù)的充足，構(gòu)成對應(yīng)的數(shù)據(jù)關(guān)系圖；第二，模型設(shè)計(jì)，期間應(yīng)結(jié)合數(shù)據(jù)統(tǒng)計(jì)特點(diǎn)、供給鏈特點(diǎn)以及行為特點(diǎn)等，針對數(shù)據(jù)分析流程予以制定，最終構(gòu)成大數(shù)據(jù)分析模型；第三，數(shù)據(jù)分析，可以應(yīng)用實(shí)時(shí)數(shù)據(jù)分析、離線數(shù)據(jù)分析等方法，對數(shù)據(jù)開展預(yù)處理，討論數(shù)據(jù)信息內(nèi)出現(xiàn)的威脅及其風(fēng)險(xiǎn)，最終實(shí)現(xiàn)對威脅數(shù)據(jù)的分析以及管理。如，在數(shù)據(jù)預(yù)處理期間，應(yīng)先對數(shù)據(jù)予以清洗處理，通過數(shù)據(jù)匹配以及數(shù)據(jù)標(biāo)準(zhǔn)的方法，完成數(shù)據(jù)處理，最終形成精準(zhǔn)的基礎(chǔ)數(shù)據(jù)。基于此，開展數(shù)據(jù)融合，將安全數(shù)據(jù)結(jié)合特點(diǎn)予以融合，最終構(gòu)成數(shù)據(jù)族，其中每個(gè)族的數(shù)據(jù)擁有相同的特點(diǎn)以及屬性，結(jié)合IP關(guān)系以及時(shí)序關(guān)系予以關(guān)聯(lián)處理，構(gòu)成對應(yīng)的數(shù)據(jù)關(guān)系網(wǎng)絡(luò)圖譜。

（三）態(tài)勢預(yù)測

態(tài)勢預(yù)測將一定的科學(xué)依據(jù)作為基礎(chǔ)，對比與分析歷史和現(xiàn)狀，以有效推斷未來事物發(fā)展的狀況及其不確定性，或是結(jié)合目前信息數(shù)據(jù)，應(yīng)用科學(xué)理論與合理的方式對未來階段網(wǎng)絡(luò)可能形成的安全隱患予以預(yù)估。結(jié)合不同的預(yù)估狀況運(yùn)用不同的預(yù)估方式，例如常見有定性預(yù)估法、時(shí)間序列法以及因果關(guān)系預(yù)測法等，其中定性預(yù)測法主要是結(jié)合人的邏輯判斷，主觀分析歷史與目前的經(jīng)驗(yàn)，結(jié)合經(jīng)驗(yàn)預(yù)估系統(tǒng)未來的發(fā)展走向以及狀態(tài)。針對不完善的歷史數(shù)據(jù)，建議運(yùn)用主觀方式予以預(yù)估。時(shí)間序列分析方式通常是針對歷史資料開展時(shí)間改變，在預(yù)估系統(tǒng)未來某一段時(shí)間的表現(xiàn)之后，結(jié)合系統(tǒng)時(shí)間變化關(guān)系明確預(yù)估信息數(shù)據(jù)，在討論數(shù)據(jù)因果關(guān)系的同時(shí)尋找原因因素，構(gòu)建因果關(guān)系的模型，并結(jié)合模型實(shí)際狀況明確結(jié)果的變化方向。因果關(guān)系方式具有前兩種方式的優(yōu)勢，同系統(tǒng)發(fā)展以及變化情況有密切的關(guān)系。

四、結(jié)語

如今，網(wǎng)絡(luò)威脅因素逐漸向多元化方向發(fā)展，存在諸多安全隱患。對此，網(wǎng)絡(luò)安全管理工作中，工作人員應(yīng)合理運(yùn)用安全態(tài)勢感知技術(shù)。網(wǎng)絡(luò)安全管理人員應(yīng)明確安全態(tài)勢感知的內(nèi)涵及主要任務(wù)，并通過態(tài)勢預(yù)測以及威脅大數(shù)據(jù)分析技術(shù)等技術(shù)的應(yīng)用，有效保證網(wǎng)絡(luò)環(huán)境的安全性。