基于三域模型的網絡安全預警防御體系研究

蒲江+李理

摘 要：隨著網絡技術的飛速發展及其向經濟和社會的全方位滲透，一方面對世界范圍內的經濟社會發展產生了巨大的正面影響，另一方面則給網絡空間安全帶來了無法回避的更大威脅和挑戰。網絡攻擊事件頻發，網絡犯罪日益嚴重，對國家安全構成威脅。在這種環境下，快速而準確的預警防御能力建設對網絡安全而言至關重要。網絡安全預警防御體系模型在整體安全策略的控制和指導下，形成了一個完整、動態的安全域，使信息系統具備早期預警防御并實施主動防護的能力。

關鍵詞：網絡安全；預警防御；主動防護

中圖分類號： TP309 文獻標識碼：A

Abstract： With the rapid development of network technology and the economic and social all-round infiltration， on the one hand， to the world within the scope of the economic and social development has a hugely positive effect， on the other hand， has brought the network space safety is unable to avoid more threats and challenges. Cyber attacks are frequent， cyber crime is becoming more and more serious， and there is a certain level of the threats to national security. Rapid and accurate early warining defense in this environment are critical to network security.Basde on three domain model of network security defense early warning system model under the overall security strategy contrl box know， formed a complete and dynamic security domain， it is early warning defense and implementation of information systems have the ability of active defense.

Key words： network security； warning defense； active protection

1 引言

隨著網絡應用的快速擴展，網絡安全威脅也日益嚴重，各種攻擊的力度、智能化和持續性日益增長，網絡面臨的安全威脅呈現出了新態勢。在這種環境下快速而準確的預警防御能力對網絡安全而言至關重要[1]。

這里所謂的預警防御是指在實時監控網絡攻擊的基礎上，通過識別網絡攻擊意圖，綜合評價網絡安全狀態并預測其發展趨勢，力爭在攻擊實施的早期階段發出警報，并提前采取適當的手段予以防御，以盡可能在攻擊未產生實質性危害時加以遏制，將損失降到最低。

網絡攻擊預警是一個具有前沿性的研究方向。目前針對大規模網絡安全預警系統研究，急需解決兩個問題：一是如何由局部發生的網絡攻擊評估其對全局的影響；二是如何預測網絡攻擊方下一步可能采取的行動。這兩個問題解決需要構建一個完善的網絡安全預警防御體系，采用網絡攻擊意圖識別、網絡安全態勢感知和網絡安全協同技術等關鍵技術實現該體系框架。

2 網絡安全威脅

自20世紀70年代美國建立ARPANET以來，互聯網經歷了四十多年的發展，發生了翻天覆地的變化，已經由最初的科研網絡逐步演變成為與現實社會形成全息映射的網絡空間。該空間正以強大的吸引力聚合著各種資源。隨著網絡應用的快速擴展，網絡安全威脅也日益嚴重。

卡巴斯基實驗室曾在2013年初，對2013年網絡重大安全威脅做出預測，指出未來一年繼續增長的針對性攻擊、網絡間諜攻擊和國家級網絡攻擊將呈現加劇形式。正如其言，從2013年以來的安全形勢不容樂觀，主要呈現出幾個特點。

2.1 DDoS攻擊層出不窮

時至今日，網絡的威脅已不再是惡作劇，而是以利益為驅動的定向攻擊。隨著這種安全形勢演進，DDoS攻擊也在不斷發生變化，發生頻率和手法不斷提高，依然是最有效的網絡惡意攻擊形式之一。

2.2 APT攻擊破壞力強

APT攻擊是一類特定的攻擊，指的是為了獲取某個組織或國家的重要信息，有針對性地進行的一系列攻擊行為。其主要特點是來自于組織、有特定目標、持續時間極長。這一特點充分體現了APT攻擊的危險性，它主要是有組織地針對國家重要的基礎設施和單位進行，而且具有持續性，可達數年。這種持續性使攻擊者能夠長期潛伏，直至收集到重要情報。

當前，APT攻擊的發展趨勢為攻擊更具有針對性、更有破壞力，而對其判斷卻越來越困難，需要綜合社會、政治、經濟、技術等多重指標進行評估和分析目標，傳統的防護手段已經失效，網絡安全面臨前所未有的挑戰。

2.3 大數據是攻擊的顯著目標

大數據是伴隨虛擬技術、云計算、物聯網和數據中心等的發展而產生的。大數據應用的普及進一步促進了信息數據的跨域、跨境流動，涉及更多的隱含價值和敏感內容。它不僅僅是數據量的簡單刻畫，更主要的是指數據正在成為一種資產，美國將大數據定義為“未來的新石油”。大數據的價值決定了它必然是攻擊的首選目標，大數據時代的到來使信息安全的建設面臨新的挑戰和要求。endprint

2.4 “棱鏡門”使網絡安全上升到國家層面

棱鏡是一項由美國國家安全局負責主導實施的絕密電子監聽計劃。這項計劃的主要內容就是允許國家安全局通過各種手段，對美國公民的各種網絡通信內容、網絡存儲信息文檔等資料進行深度的監聽；對其他國家網絡進行特定的入侵和情報收集。“棱鏡門”事件表明，信息安全已成國家安全新戰略制高點，網絡與信息安全應上升為國家戰略。

3 預警防御技術分析

為應對日益復雜化、智能化的網絡攻擊，研究人員提出了網絡安全預警防御機制。經過多年努力，預警技術已經取得了很大進展。針對上文提到的兩個問題，主要涉及到網絡攻擊意圖識別、網絡安全態勢感知和網絡安全協同技術等關鍵技術[2]。

3.1 網絡攻擊意圖識別

1978年，Schmidet第一次提出規劃識別問題（即意圖識別）。經過三十多年的發展，出現了很多模型和方法。如基于解釋的意圖識別方法、基于決策論的意圖識別方法、基于規劃圖分析的意圖識別方法、基于概率推理的意圖識別方法等。

在網絡安全領域，多源信息融合領域的態勢評估技術和人工智能領域的意圖識別技術有強烈的應用需求和良好的發展前景。攻擊手段的靈活多變使得通過低層次的系統事件或網絡事件分析入侵者的攻擊策略變得非常困難，而高層次的意圖識別能夠提供獨立于具體攻擊手段的高水平的分析平臺。在意圖分析層面上，入侵檢測就變成使用各個異構的IDS協同工作去證實或者否定事先定義的各種意圖假設。

3.2 網絡安全態勢感知

態勢感知的概念最早來源于軍事領域。態勢的含義是指交戰雙方的兵力部署在戰場環境中呈現的“體態”和“陣勢”。態勢感知包含態勢覺察、態勢理解、態勢預測三個階段的完整的態勢評判過程[3]。

網絡態勢感知的概在最早由Bass于1999年提出。所謂網絡態勢是指由各種網絡設備運行狀態、網絡行為以及用戶行為等因素所構成的整個網絡的當前狀態和變化趨勢。值得注意的是，態勢強調環境、動態性以及實體之間的關系，是一種狀態、一種趨勢，任何單一的情況或狀態都不能稱之為態勢。

網絡安全態勢是網絡態勢的一個分支，是針對網絡安全具體特點設計的模型和方法。它綜合各方面因素，從整體上動態反映網絡的安全狀態，并對其發展趨勢進行預測。目前的網絡安全態勢感知技術主要是根據耽擱或幾個安全指標量化網絡的安全狀態，為用戶理解當前的網絡安全狀態提供一定的參考。

3.3網絡安全協同防護

網絡安全協同防護設計的技術是多方面的。其目標是全面地了解和控制網絡的安全狀況，阻斷負載網絡攻擊，并能協同各個安全系統進行聯合防御。早期的相關研究主要是實現單一安全域內的安全數據共享、對異構安全設施的報警數據進行有效融合。目前則集中在大規模網絡環境下跨安全域的預警技術，在互聯網范圍內實現網絡安全數據協同分析的方向不是架構和關鍵算法[4]。

4 網絡安全體系模型

網絡安全問題不能簡單地分解為若干種問題及其解決方法，必須上升到系統的高度，從網絡安全系統工程的總體出發，建立網絡安全技術體系結構和基本框架。網絡安全防護是一個動態的過程，靜態的防護模型不能適應分布式、動態變化的互聯網網絡環境，網絡安全體系模型必須是動態的模型。動態性主要體現為入侵的實時監測、安全態勢的動態評估等；主動性則體現為攻擊意圖的識別、入侵趨勢及安全態勢的預測、主動響應等[5]。

4.1 P2DR模型

P2DR模型由美國ISS公司提出，它是動態網絡安全體系的代表模型，也是動態安全模型的雛形。P2DR模型包括策略、防護、檢測和響應四個主要部分，如圖1所示。防護、檢測和響應組成了一個完整的、動態的循環，在策略的指導下保證系統安全。

P2DR模型是在整體安全策略的控制和指導下，綜合運用防護工具的同時，使用檢測工具了解和評估系統的安全狀態，通過適當的反應將系統調整到最安全和風險最低的狀態。

P2DR模型的主要三項缺點。

（1）缺少預警。它沒有考慮安全周期的預警階段，對網絡攻擊只能采用被動檢測和“慢拍”的被動響應。

（2）不是真正的動態。模型的所有動態性建立在檢測的基礎上，且采用既定的響應策略，而不是根據攻擊的威脅狀況進行動態響應。

（3）安全策略粒度過大。模型為每一種安全產品定義檢測、防護、響應策略，而不是針對系統的安全防御目標制定安全策略，這導致各種安全組件各自為政，策略間彼此沒有動態關聯，無法建立協調一致的安全控制機制。

解決以上問題必須增加預警功能，建立動態響應體系、重新定義安全策略。

4.2 預警防御三域模型

預警防御三域模型如圖2所示。

模型中將安全防護空間劃分為三個域，分別是物理域、信息域和認知域。物理域就是網絡空間，部署于網絡空間的各類網絡設備和安全設備會產生大量的與安全相關的原始數據。這些數據經過歸一化處理后，在經過虛警過濾、安全事件聚合、關聯分析等處理，形成安全告警信息。這是一個由原始數據中提煉真正有價值安全信息的過程，將其歸為信息域。

在安全信息的基礎上，結合已有的專業知識、經驗等，就可以對整個網絡防護空間的安全狀態和趨勢加以評估、對黑客的攻擊意圖進行識別，進而對網絡受到的安全威脅程度進行估算，并最終加以決策，令有效地防護行動作用于物理空間。

這是一個基于信息形成知識的過程，將其歸為認知域。而貫穿三個域的，是安全策略的應用與管理。策略仍然是模型的核心所在。

5 結束語

預警防御系統體系結構設計是預警防御研究的基礎。一個動態網絡安全預警防御模型必須包含五個要素[6]。

（1）策略

理解信息系統的安全需求，制定主動防御的安全策略。該策略具體說明防護、檢測、預測、響應的聯動關系及處理方法，是實施網絡安全主動防御的指南。endprint

（2）防護

保障信息及其系統的保密性、完整性、可用性、不可否認性，將相關安全技術分類，建立防護技術體系。

（3）檢測

動態檢測入侵及安全威脅，理解信息系統當前的安全狀態。檢查系統安全漏洞，實時檢測單個入侵、協同入侵、大規模入侵，評估入侵事件的威脅程度，以利響應。

（4）預測

動態預測入侵事件，理解信息系統未來的安全趨勢。預警安全威脅為調整防護和響應方案提供依據。

（5）響應

主動響應危及系統安全的入侵事件，防止危害蔓延和擴散。如果攻擊造成一定后果，及時恢復，保障系統提供正常服務。

預警防御三域模型具有較強的是時序性和動態性，能夠較好地反映出信息系統安全保障體系的預警能力、防護能力、檢測能力、響應能力、恢復能力等。它使得信息系統具備跨域的數據共享和協同防護能力，可以發出預警信息并實施主動防護。

參考文獻

[1] Piotr Kijewski.ARAKIS，-An early warning and attack identification system[C].The 16th Annual FIRST Conf， Budapest，Hungary：2004.

[2] 趙文濤.基于網絡安全態勢感知的預警技術研究[D].國防科技大學博士學位論文，2009.

[3] Williams L， Lippmann R， Ingols K. GARNET：A Graphical Attack Graph and Reachability Network Evaluation Tool[C].VizSec 2008， LNCS 5210， 2008：44-59.

[4] 楊兵，胡華平，金士堯.基于智能代理的對等主動網絡預警模型研究[J].計算機研究與發展，2006，43：480-486.

[5] Huber M J，Durfee E H， Wellman M P. The Automated Mapping of Plans for Plan Recognition[C]. Proceedings of the Tenth International Conference on Uncertainty in Artificial Intelligence，1994：104-119.

[6] 張峰.基于策略樹的網絡安全主動防御模型研究[D].電子科技大學，2004.endprint