网络安全态势感知研究综述

网络安全态势感知研究综述 文章编号:1001-9081(2012)01-0001-04 doi:10.3724/sp.j.1087.2012.00001 摘要:网络安全态势感知(sa)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网络安全态势要素提取、态势理解和态势预测,重点论述各研究点需解决的核心问、主要算法以及各种算法的优缺点;最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。 关键词:态势感知;网络安全;数据融合;态势预测 中图分类号: tp393.08 文献标志码:a research survey of network security situation awareness xi rong rong*, yun xiao chun, jin shu yuan, zhang yong zheng (institute of computing technology, chinese academy of sciences, beijing 100190, china beijing 100190, china --!> 2. national engineering laboratory for information security technologies, beijing 100190, china --!> ) abstract: the research of network security situation awareness (sa) is important in improving the abilities of network detection, response to emergency and predicting the network security trend. in this paper, based on the conceptual model of situational awareness, three main problems with regard to network security situational awareness were discussed: extraction of the elements in the network security situation, comprehension of the network security situation and projection of future situation. the core issues to be resolved, and major algorithms as well as the advantages and disadvantages of various algorithms were focused. finally, the opening issues and challenges for network security situation awareness concerning both theory and implementation in near future were proposed. key words: situation awareness (sa); network security; data fusion; situational prediction 0 引言 随着网络的飞速发展,安全问题日益突出,虽然已经采取了各种网络安全防护措施,但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性,无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测。 网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势,为网络安全管 理员的决策分析提供依据,将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。 1 网络安全态势感知概述 1988年,endsley首次明确提出态势感知的定义,态势感知(situation awareness, sa)是指“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测”[1],该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑,并没有引入到网络安全领域。 1999年,bass等[2]指出,“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知(cyberspace situational awareness)”,并且基于数据融合的jdl(joint directors of laboratories)模型,提出了基于多传感器数据融合的网络态势感知功能模型。如图2所示。 虽然网络态势根据不同的应用领域,可分为安全态势、拓扑态势和传输态势等,但目前关于网络态势的研究都是围绕网络的安全态势展开的。 endsley[1]和bass[2]为网络安全态势感知的研究奠定了基础。基于endsley[1]态势感知的概念模型和bass[2]的功能模型,后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同,但功能基本都是一致的。基于网络安全态势感知的功能,本文将其研究内容归结为3个方面: 1)网络安全态势要素的提取; 2)网络安全态势的评估; 3)网络安全态势的预测。 下面将从这3个方面对网络安全态势的研究进行详细的阐述。 2 网络安全态势的提取 准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的提取存在很大难度。目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中:静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。 国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如jajodia等[3]和wang等[4-5]采集网络的脆弱性信息来评估网络的脆弱性态势;ning等[6-7]采集网络的警报信息来评估网络的威胁性态势;barford等[8]和dacier等[9]利用honeynet采集的数据信息,来评估网络的攻击态势。 国内的学者一般综合考虑网络各方面的信息,从多个角度分层次描述网络的安全态势。如王娟等[10]提出了一种网络安全指标体系,根据不同层次、不同信息来源、不同需求提炼了4个征宏观网络性质的二级综合性指标,并拟定了20多个一级指标构建网络 安全指标体系,通过网络安全指标体系定义需要提取的所有网络安全态势要素。 综上所述,网络安全态势要素的提取存在以下问题:1)国外的研究从某种单一的角度采集信息,无法获取全面的信息;2)国内的研究虽然力图获取全面的信息,但没有考虑指标体系中各因素之间的关联性,将会导致信息的融合处理存在很大难度;3)缺乏指标体系有效性的验证,无法验证指标体系是否涵盖了网络安全的所有方面。 第1期席荣荣等:网络安全态势感知研究综述计算机应用第32卷3 网络安全态势的理解 网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。本文将该过程称为态势评估,数据融合是网络安全态势评估的核心。 网络安全态势评估摒弃了研究单一的安全事件,而是从宏观角度去考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助决策的目的。 目前应用于网络安全态势评估的数据融合算法,大致分为以下几类:基于逻辑关系的融合、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。 3.1 基于逻辑关系的融合方法 继续阅读