前言
所谓态势感知是一种“认知映射”,而所谓认知映射是指决策者采用数据融合、风险评估及可视化等相关技术对不同地点获得的不同格式的信息去噪、整合,从而得到更准确、更全面的信息。然后不断地对这些信息进行语义提取,识别出需要关注的要素及其意图,决策者可以实时、有效地评估其对系统产生的影响。
态势感知是指在一定的时间和空间范围内提取系统中的要素,理解这些要素的含义,并且预测其可能的效果。Endsley将其概括为 三个层面:态势觉察(situation perception)、态势理解(situation comprehension)及态势投射(situation projection)。
根据上述定义,态势感知可以理解为一个认知过程,通过使用过去的经验和知识,识别、分析和理解当前的系统状况。分析人员对当前的态势进行感知,更新“状态知识”,然后再进行感知以构成一个循环的映射过程,这个映射过程不是简单的数据变换,而是一种语义提取。
因此,感知的过程表现为不断地做认知映射以获取更多、更详细的语义。态势感知是一个动态变化的过程,不同的人由于经验、知识等有所不同,得到的态势感知不尽相同。
态势感知早来源于美国军方在军事对抗中的研究,在军事术语中,态势感知的目标是使指挥官了解双方的情况,包括敌我的所在位置、当前状态和作战能力,以便能做出快速而正确的决策,达到知己知彼、百战不殆的目的。
态势感知方法在战场指挥、人机交互系统和医疗应急调度等领域均有应用。Bass于 1999年提出网络态势感知这个概念,次年将该技术应用于多个NIDS检测结果的数据融合分析,主要是解决单一入侵检测系统无法有效识别出当前系统中存在的所有攻击活动及整个网络系统的安全态势的问题。随后,学术界开始致力于网络安全态势感知的研究,并提出了多种相关的模型和技术。
目前,人们对网络安全态势感知的研究存在两种观点:
一种认为 NSSA是网络安全事件应用大数据处理和可视化技术的汇总结果,如传统的安全服务提供商(McAfee、Symantec)及新出现的重点关心APT 攻击的企业(如FireEye、Mandiant)等,通过公开一些技术报告记录 APT 的攻击实例;
一种认为 NSSA 是基于网络安全事件融合计算的网络安全状态量化表达;还有观点认为 NSSA 作为一种网络安全管理工具,是网络安全监测的一种实现形式,并提出了诸多模型。
以下就态势感知的三个主要方面简述之:
态势觉察
网络安全态势觉察的基本任务是辨识出系统中的所有活动(包括攻击活动)以及这些活动的规律和特征。网络安全态势觉察一般模型包含数据预处理、活动建模和网络安全态势觉察结果这三个功能,数据预处理完成测量数据的规范化和验证,有利于后续的融合处理。活动建模借助这些测量数据本身语义完成之间的关联性分析。觉察结果完成活动的辨识和特征提取.态势觉察是一个学习过程,因此,活动建模和觉察结果之间存在反馈关系。
目前,多数的研究集中在攻击活动辨识方面。研究热点有两个:一个是基于先验知识,将观察到的警报与已知的攻击行为进行匹配,相关方法有基于攻击场景的方法;另一个是在缺乏先验知识的情况下分析警报之间的关系,发现攻击步骤之间的相关性,构成攻击行为的描述。
网络态势理解
网络安全态势理解是基于识别出的攻击活动及其特征,通过进一步分析这些攻击活动的语义以及它们之间可能的关联关系来推断攻击者的意图,其主要任务包括识别这些攻击活动的源头、类型,并判断攻击者的能力、机会和攻击成功的可能性等。为了有效地推断攻击者的意图。目前,多数研究分别从攻击行为本身和攻击目的两个方面进行分析。
所谓攻击行为预测是要分析攻击行为间的逻辑关系,并以此来推断攻击行为的可能变化,其目的是通过对攻击行为的理解来推断其后续动作。常用的建模方法主要有马尔可夫模型方法、时间序列分析方法及机器学习方法等。
而攻击目的理解基于被管对象中资产的功能及重要性,据此推断攻击者的攻击意图和进行攻击朔源。Tang等人从被保护对象的角度出发分析攻击者的目的,提出了使用动态后向传播神经网络和协方差相结合的方法,基于当前每个主机的服务、攻击活动、服务重要性等分析可能要遭受攻击的服务。Yang等人利用虚拟地形的概念对当前的网络系统建模,结合攻击者的能力、脆弱性的可渗透程度及资产重要性,然后利用 VLMM实时地处理IDS的警报,分析攻击行为的变化情况,实现对攻击意图的综合判断。
网络安全态势投射
网络安全态势投射的基本任务是基于识别出的攻击活动,评估已经出现的攻击行为对被管网络产生的危害和可能要发生的攻击行为对被管网络造成的潜在威胁。网络安全态势投射一般模型由投射准备、风险评估技术和网络安全态势投射结果这三方面的功能构成。
投射准备将态势理解的结果映射到实际网络环境,确定被管对象面临的有效威胁;风险评估技术用来判断这些可能的威胁所产生的效果;态势投射结果综合判定系统中被保护的对象需要应对的实际威胁及这些威胁活动对系统对象的危害情况。
当前研究阶段,存在静态评估和动态评估两种风险评估技术:静态评估是指在攻击发生之前,主动地分析和评估被管系统中存在的风险和隐患,支持全面预防性的安全响应决策;动态评估是指在攻击发生之时,基于当前的安全警报进行实时评估和预判型评估,以支持有针对性的动态安全响应决策。
目前,这方面的研究内容多集中在损失评估方面,即分析相关攻击活动对被管网络已经造成的危害。损失评估是指网络安全人员根据网络安全态势觉察识别出来的攻击活动和其他检测设备的报告内容,借助数学工具等模型,分析它对网络、系统资源等诸因素已经产生的影响。为了有效地进行评估,研究人员采用了多种评估方法,传统方法包括贝叶斯网络、知识挖掘的方法、人工神经网络、模糊逻辑技术,引入的新理论有集对分析、D-S证据理论、粗糙集理论、灰度关联分析等,综上所述,可将上述研究方法大致分为三类:知识推理方法、统计方法和灰度理论方法。
结语
由于网络安全态势感知对于网络空间安全的重要性,这个领域的研究与应用日益活跃。例如美国国土安全部的先进研究计划署 HSARPA于2013年9月发布的网络空间安全战略研究计划中,第三个研究主题为网络安全,其中有一个优先发展方向为互联网攻击建模(modeling of internet attacks)。
这个优先发展方向中有四项任务与网络安全态势感知之间有关,包括开发满足网络安全态势感知需要的数据采集、分类和存储机制,开发新的网络安全态势可视化技术,支持跨域的网络安全态势感知信息共享,实现不同时间粒度的网络安全态势感知以满足从毫秒级攻击自动响应到APT检测的不同需要。
这四个任务体现了网络安全态势感知的发展方向,特别是第四个任务,突出地反映了网络安全态势感知技术的应用目标。
目前,网络安全态势感知的研究是一个正处于发展中的方向,大部分研究都集中在重构攻击活动方面,基本都是网络入侵检测领域研究的延伸,虽然已有很好的基础但也存在很多问题需要研究和解决;另一方面,包括网络测量、网络流量行为学、网络管理技术、大数据处理技术、流式数据处理技术、可视化技术在内的其他相关领域的发展也为网络安全态势感知的研究提供了积极的支持。
目前网络安全态势感知的研究仍处于较为高速发展的阶段,随着各种相关技术和研究的不断完善,网络安全态势感知技术将走向成熟和实用,为保障网络的安全起到越来越重要的作用。
