態(tài)勢感知技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

文 /劉尚東 龔儉 楊望 Ahmad

“態(tài)勢感知”（SA，Situation Awareness）概念起源于20世紀(jì)80年代的美國空軍：分析空戰(zhàn)環(huán)境信息，快速判斷當(dāng)前及未來形勢并做出正確反應(yīng)。無疑這對取得勝利具有決定性的作用，而信息到態(tài)勢的轉(zhuǎn)換并非易事，這正是SA產(chǎn)生的背景。20世紀(jì)90年代，SA進(jìn)入“人為因素”（Human Factors）研究領(lǐng)域，成為研究熱點(diǎn)。目前SA已廣泛應(yīng)用于軍事、航空、工業(yè)生產(chǎn)、安全防控等領(lǐng)域，對輔助決策起到重要作用。

公認(rèn)的SA概念是：在特定時空下，對動態(tài)環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測。或者，SA是經(jīng)過某種信息的處理過程達(dá)到的知識狀態(tài)，這種處理過程稱為“態(tài)勢評估”（Situation Assessment）。態(tài)勢感知中的“覺察”又稱為一級SA，本質(zhì)上是“數(shù)據(jù)收集”；“理解”稱為二級SA，本質(zhì)上是掌握數(shù)據(jù)中的知識（數(shù)據(jù)中的對象及其行為和對象間的相互關(guān)系）；“預(yù)測”稱為三級SA，本質(zhì)上是知識的應(yīng)用。

近年來，SA研究面臨環(huán)境的全局性、復(fù)雜性、動態(tài)性、高負(fù)荷性，催生新的功能需求或研究：具有多源數(shù)據(jù)融合與可視化、異質(zhì)性、自動化、實時處理特點(diǎn)的風(fēng)險評估、決策、預(yù)測系統(tǒng)，其中具有代表性的研究熱點(diǎn)是數(shù)據(jù)融合與可視化，數(shù)據(jù)融合技術(shù)是指利用計算機(jī)對按時序獲得的若干觀測信息，在一定準(zhǔn)則下加以自動分析、綜合，以完成所需的決策和評估任務(wù)而進(jìn)行的信息處理技術(shù)。

“態(tài)勢感知”：分析空戰(zhàn)環(huán)境信息，快速判斷當(dāng)前及未來形勢并做出正確反應(yīng)。

圖1 態(tài)勢感知技術(shù)分類

態(tài)勢感知技術(shù)分類

一些研究者出于解決行業(yè)領(lǐng)域內(nèi)具體問題這一目的，從信息收集、感知方法及過程等角度研究態(tài)勢感知。如討論軍事與國土安全決策支持及知識管理，從信息獲取、存儲、解釋等角度分析態(tài)勢感知技術(shù)。又如討論網(wǎng)絡(luò)安全態(tài)勢感知，將態(tài)勢預(yù)測方法分為基于事件、環(huán)境兩類。而專門討論可視化技術(shù)，從可視化的需求、目的、內(nèi)容等角度進(jìn)行分類。本文不局限于某一具體的應(yīng)用領(lǐng)域或角度，而從更高層面進(jìn)行分類，以期更全面地探究態(tài)勢感知技術(shù)，分類概貌如圖1所示。

表1 環(huán)境類型及特點(diǎn)

1. 環(huán)境類型

環(huán)境類型分為封閉式環(huán)境和開放式環(huán)境，封閉環(huán)境或閉合系統(tǒng)，指不與外界有任何物質(zhì)交換，不受任何外力控制或影響的系統(tǒng)。如一個核電廠的整個運(yùn)行監(jiān)控系統(tǒng)，其特點(diǎn)是：觀察對象固定，對象的特征與對象間關(guān)系穩(wěn)定且可枚舉，此類環(huán)境的態(tài)勢感知相對容易。

開放式環(huán)境如戰(zhàn)場、互聯(lián)網(wǎng)等，其特點(diǎn)是：環(huán)境中的對象類型、特征均可能發(fā)生變化，環(huán)境無邊界或者邊界模糊。為了簡化，這類環(huán)境的感知模型會將對象進(jìn)行粗略的分類，從而使對象類型固定。信息時代，這類環(huán)境更為常見，由于環(huán)境復(fù)雜度高，對態(tài)勢感知技術(shù)的需求也更為迫切。

2. 應(yīng)用類型

應(yīng)用類型主要有3個：環(huán)境管理、安全監(jiān)測與工業(yè)控制，不同類型間的區(qū)別在于感知的目的不同，而這主要體現(xiàn)在感知過程的不同。

環(huán)境管理，如觀察某一區(qū)域的車輛通行情況，觀察記錄某地氣象走勢等。通過記錄、統(tǒng)計、分析，為將來的設(shè)計提供決策等。

安全監(jiān)測，這包括對環(huán)境中異常的檢測，攻擊的識別，威脅的評估，主要目的是宏觀的安全管理。

工業(yè)控制包括對工業(yè)生產(chǎn)環(huán)境的過程控制，主要目的是確保工業(yè)生產(chǎn)活動的安全、質(zhì)量、效率等。

以上應(yīng)用類型的不同主要體現(xiàn)在態(tài)勢感知過程的不同上，總結(jié)如表2所示。

3. 方法類型

方法類型主要有：因果關(guān)聯(lián)分析、事件統(tǒng)計及本體模型3類。

表2 應(yīng)用類型與態(tài)勢感知過程

表3 各種態(tài)勢感知技術(shù)比較

因果關(guān)聯(lián)分析是通過分析環(huán)境中發(fā)生事件的因果關(guān)系，來理解、確定或預(yù)測環(huán)境的狀態(tài)。具體來說，環(huán)境信息通過基于因果關(guān)系的感知模型，映射為環(huán)境的狀態(tài)，這類方法適用于環(huán)境中的對象及其行為之間存在因果關(guān)系的場合。

事件統(tǒng)計是指按照事件發(fā)生的統(tǒng)計結(jié)果來評估環(huán)境狀態(tài)，這類技術(shù)通常需要使用基于訓(xùn)練數(shù)據(jù)的機(jī)器學(xué)習(xí)方法，學(xué)習(xí)的目標(biāo)是建立特定事件模式與環(huán)境知識狀態(tài)之間的映射關(guān)系，新的事件通過這種映射關(guān)系的映射形成對環(huán)境態(tài)勢的感知，這類方法適用于具備質(zhì)量較高的環(huán)境事件統(tǒng)計數(shù)據(jù)的場合。

本體模型是通過對環(huán)境本身時空特性的分析，歸納并推斷當(dāng)前及未來的態(tài)勢。例如，通過分析一個網(wǎng)絡(luò)中服務(wù)的漏洞情況來判斷未來網(wǎng)絡(luò)的安全態(tài)勢，通過分析一個區(qū)域的安保設(shè)施維護(hù)情況來推斷這個區(qū)域的安全風(fēng)險等。

各種態(tài)勢感知技術(shù)的特點(diǎn)總結(jié)如表3所示。

4. 模型分類

可以根據(jù)有無反饋，有無決策目標(biāo)，有無人為因素來劃分。需要注意，有時這些因素之間是相關(guān)的，如有決策目標(biāo)的模型，為了提高模型的準(zhǔn)確度，往往需要通過評估決策的效果并通過反饋修正模型；而具有多元決策目標(biāo)的評估模型，由于決策過程的復(fù)雜性，往往需要加入人為干涉來調(diào)整感知模型。

除此以外，模型分類還可以基于以下特征：數(shù)據(jù)源（單一、多源、多源異構(gòu)）、模型特點(diǎn)（基礎(chǔ)模型、融合模型、領(lǐng)域模型）、所用方法（概率統(tǒng)計、關(guān)聯(lián)分析）等。

表4 模型分類

綜上所述，總結(jié)有代表性的模型如表4所示。

網(wǎng)絡(luò)安全態(tài)勢感知

從被保護(hù)和保護(hù)兩個角度來說，網(wǎng)絡(luò)安全問題的解決最終朝向兩個方向：1.對特定對象的保護(hù)，防火墻、IDS、IPS等技術(shù)均以此為目標(biāo)；2.安全監(jiān)測及威脅應(yīng)對。如果將威脅定義為攻擊者基于同一目的的一系列安全事件的集合，則網(wǎng)絡(luò)安全監(jiān)測主要包含威脅檢測及威脅評估兩方面內(nèi)容，前者本質(zhì)上是攻擊者檢測；而后者本質(zhì)上是攻擊者意圖的估計。實現(xiàn)安全監(jiān)測不但需要覺察環(huán)境下各元素和對象，而且需要理解其中的語義和相互關(guān)系，從而最終實現(xiàn)攻擊者及其威脅的推斷、評估，這一過程與態(tài)勢感知本質(zhì)上是一致的，即網(wǎng)絡(luò)安全態(tài)勢感知模型或內(nèi)容如圖2所示。

在三級網(wǎng)絡(luò)安全態(tài)勢感知中，一、二級感知，即攻擊事件的產(chǎn)生、誤報消除、關(guān)聯(lián)以及攻擊者的檢測已經(jīng)有大量的研究成果，限于篇幅，這里僅介紹攻擊者意圖感知部分。“攻擊者意圖識別”的目標(biāo)是找出攻擊者單一攻擊事件背后的邏輯關(guān)系，獲得更多的攻擊語義，合理推斷攻擊者的下一步行為，從而評估攻擊者的威脅，傳統(tǒng)的意圖識別方法包括基于文法分析的意圖識別，基于攻擊圖的警報關(guān)聯(lián)方法，基于因果關(guān)聯(lián)的警報關(guān)聯(lián)方法以及貝葉斯、隱馬爾科夫模型等，這些方法各有優(yōu)缺點(diǎn)，最終可以形成攻擊場景或者“超警報”。但針對僵尸網(wǎng)絡(luò)或高級持續(xù)攻擊等復(fù)雜攻擊類型，仍須進(jìn)一步提高感知級別，具有代表性的研究有結(jié)合提出的基于態(tài)勢感知方法的威脅檢測與評估方法，基本思想是IDS檢測結(jié)果進(jìn)入相互獨(dú)立的攻擊識別系統(tǒng)和環(huán)境系統(tǒng)，攻擊識別系統(tǒng)負(fù)責(zé)識別各類型攻擊，環(huán)境系統(tǒng)負(fù)責(zé)分析被保護(hù)網(wǎng)絡(luò)暴露給攻擊者的弱點(diǎn)，兩系統(tǒng)分析結(jié)果融合后合理估計攻擊者意圖，并計算威脅值。

圖2 網(wǎng)絡(luò)安全態(tài)勢感知內(nèi)容示意圖

表5 CHAIRS數(shù)據(jù)源

網(wǎng)絡(luò)安全態(tài)勢感知的應(yīng)用

作為CERNET“十一五”211工程建設(shè)項目——CERNET主干網(wǎng)運(yùn)行保障系統(tǒng)的一部分：CHAIRS（Cooperative Hybrid Aided Incidence Response System）大型分布式應(yīng)急響應(yīng)系統(tǒng)，其設(shè)計目標(biāo)是為各節(jié)點(diǎn)的CERT提供應(yīng)急響應(yīng)服務(wù)管理功能，提高CERNET內(nèi)安全事件響應(yīng)的效率。同時由于各節(jié)點(diǎn)各自擁有不同的檢測能力，CHAIRS系統(tǒng)開放警報接口，支持不同安全檢測系統(tǒng)的擴(kuò)展，形成對CERNET主干網(wǎng)的安全態(tài)勢監(jiān)控能力。

CHAIRS系統(tǒng)通過分析收集到的各類安全檢測系統(tǒng)的警報（如表5所示），檢測出僵尸網(wǎng)絡(luò)、惡意網(wǎng)站等各類攻擊者及其攻擊活動，在此基礎(chǔ)上通過推測攻擊者類型、數(shù)量、位置、意圖等測度來評估攻擊者的威脅程度，從而最終實現(xiàn)態(tài)勢感知。

例如，通過關(guān)聯(lián)DNS、Monster、HoneyPot、NBOS四類警報，檢測僵尸網(wǎng)絡(luò)以及評估其威脅程度這一過程。

關(guān)聯(lián)分析各種入侵警報，本質(zhì)上是明確攻擊者行為證據(jù)鏈，確定攻擊者并評估其威脅。

態(tài)勢感知技術(shù)的目的是幫助決策，所以傳統(tǒng)的態(tài)勢感知技術(shù)詳細(xì)討論系統(tǒng)、任務(wù)（決策目標(biāo)）、人為因素三者對態(tài)勢感知所造成的影響以及應(yīng)對方法。而信息時代下，信息源大大豐富，同時，態(tài)勢感知也變得更為復(fù)雜：1.信息系統(tǒng)往往是無邊界的，對象的諸多特征不可預(yù)知，對象之間的作用與影響也難以預(yù)測；2.決策目標(biāo)更加多元、精細(xì)，對態(tài)勢感知亦提出了更高的要求；3.由于所處環(huán)境的復(fù)雜多變，人的判斷、決策亦隨之變化。以上因素導(dǎo)致傳統(tǒng)態(tài)勢感知技術(shù)面臨新的挑戰(zhàn)。

因果關(guān)聯(lián)分析、事件統(tǒng)計、本體模型等技術(shù)方法依然是有效的感知技術(shù)，然而由于系統(tǒng)的日益復(fù)雜，傳統(tǒng)的感知技術(shù)適用的感知級別具有降低的趨勢，傳統(tǒng)環(huán)境中，可以進(jìn)行三級感知的技術(shù)現(xiàn)在可能僅適用于二級感知，而對未來的預(yù)測需要更為深入與廣泛的關(guān)聯(lián)平臺與技術(shù)。近來，云計算、大數(shù)據(jù)處理等技術(shù)帶來了新的機(jī)遇，同時也帶來了新的挑戰(zhàn)：1.資源位置不確定；2.用戶量大且多樣；3.日志審計隱私性更強(qiáng)；4.互操作接口一致性等。