网络安全态势感知综述.pdf

《网络安全态势感知综述.pdf》由会员分享，可在线阅读，更多相关《网络安全态势感知综述.pdf（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、软件学报ISSN 10009825，CODEN RUXUEWJournal ofSoftware，201 7，28(4)：10101026doi：1 013328jcnkijos005142】一I闰科学院软件研究所版权所订网络安全态势感知综述8龚俭1,2,3，臧小东啦“，苏琪I工3，胡晓艳123，徐杰1,2,31(东南大学计算机科学与工程学院，江苏南京 21 1 1 89)2(江苏省计算机网络重点实验室，江苏南京 21 11 89)3(计算机网络和信息集成教育部重点实验审，江苏陌京 21 11 89)通讯作者：龚俭，E-mail：jgongnjneteducn；臧小东，E-mail：xdzan

2、gnjnet educnEmail：jOSiscas ac cnhttp：wwwjosorgcnTel：+8610，62562563摘要： 随着网络空间安全重要性的不断提高，网络安全态势感知(network security situation awareness，简称NssA)的研究与应用正在得到更多的关注NSSA实现对网络中各种活动的行为辨识、意图理解和影响评估，以支持合理的安全响应决策它是对网络的安全性进行定量分析的一种手段，网络安全管理系统可以借助其宏观把握整个网络的安全状况，分析攻击者的意图，为管理决策提供重要的依据讨论了NSSA的任务范围，并据此对网络安全态势感知的概念进行了重新定

3、义然后，分别从网络安全态势觉察、网络安全态势理解、网络安全态势投射这3个层面综述了网络安全态势感知的研究现状和存在的问题关键词： 网络安全态势感知；数据融合；模型；关联性分析；综述中图法分类号：TP309中文引用格式：龚俭，臧小东，苏琪，胡晓艳，徐杰网络安全态势感知综述软件学报，2017，28(4)：10101026http：wwwjosorgcn100098255142htm英文引用格式：Gong J，Zang XD，Su Q，Hu XY，Xu JSurvey of network security situation awarenessRuan Jian Xue BaoJournal of

4、Software，2017，28(4)：1010-1026(in Chinese)http：wwwjosorgcn100098255142htmSurvey of Network Security Situation AwarenessGONG Jianl墨ZANG XiaoDon912一，SU Qil，2一，HU XiaoYahl2一，XU Jiel23(School ofComputer Science and Technology，Southeast University，Nanjing 21 1 189，China)2(Jiangsu Provincial Key Laboratory

5、 ofCompmer Network Technology，Nanjing 21 1 189，China)(Key Laboratory ofComputer Network and Information Integration Ministry ofEducation，Nanjing 21 1 189，China)Abstract：As the priority of cyber-security arises worldwide，network security situation awareness(NSSA)and its application help todraw more a

6、ttentions of researchers NSSA is able to identify network activities，understand their intentions and evaluate the impact ofthese activities on the managed network，as well as to support an optimal security response to the security threats It is a means ofquantitative analysis for network security，wit

7、h which network security management system can have a global view of security states ofthe managed network，find the intention of attackers，and make a management decision based on these findingsIn the paper,the coverageof NSSA is discussed to redefine the concept of NSSAThen a survey is given on the

8、state，of-art of NSSAS research in the aspects ofnetwork security situation perception，comprehension and projectionFinally the features and challenges of network security situationawareness are summarizedKey words：network security situation awareness；data fusion；model；correlation analysis；survey互联网基础

9、设施的不断发展和新应用的不断涌现使得网络规模逐渐扩大，拓扑结构日益复杂，网络安全管基金项目：国家自然科学基金(61602114)Foundation item：National Natural Science Foundation ofChina(6 1 602 1 14)收稿时间：201 6-0511；修改时问：2016-0809，2016-1 0-26；采用时问：201 6II11；jOS在线m版时IN：20161124CNKI网络优先出版：2016-1124 13：41：13，hnp：wwwcnkinetkcmsdetail1I 2560TP 20161124I 341003html万方

10、数据龚俭等：网络安全态势感知综述 1011理的难度不断增加，为了应对日益复杂、隐蔽的网络威胁，各种检测技术相继出现，如脆弱性检测技术、恶意代码检测技术、入侵检测技术等这些技术试图从不同的角度发现网络中可能存在的安全问题，但在适时且全面地找出网络系统中存在的真实威胁方面不够理想和有效，限制了网络安全管理员做出最佳响应决策的能力近年来，网络安全态势感知的概念逐渐引起研究人员的兴趣，希望利用其从大量且存在噪声的数据中辨识出网络中的攻击活动，宏观地把握整个网络的安全状况，并合理、有效地进行响应，以尽可能地降低因攻击造成的损失这对于提高网络系统的监控能力和应急响应能力具有积极的作用然而，目前人们对网络安

11、全态势感知的研究仍处于探索阶段。还未形成一致的认识鉴于网络安全态势感知对网络安全管理的积极作用，且目前该领域的研究尚在起步阶段，本文试图对网络安全态势感知的基本概念、研究内容与难点、意见及目前的研究热点进行综述，具体贡献如下(1)对网络安全态势感知的概念进行了重新表述，进一步明确了它的研究目标(2)依据本文给出的网络安全态势感知定义对已有的概念模型进行分析，并在此基础上给出了一个更为准确、合理的概念模型(3)对相关的研究内容进行了分类讨论，分析存在的问题(4)探讨了网络安全态势感知目前的热点问题，进一步指出网络安全态势感知下一步的研究重点本文第1节主要阐述态势感知的概念及起源，重新表述网络安全

12、态势感知的概念第2节第4节分别从网络安全态势觉察、网络安全态势理解、网络安全态势觉察投射这3个层面阐述网络安全态势感知的研究内容和存在的问题第5节基于网络安全态势感知的11标探讨这一领域的研究重点最后是全文总结I 网络安全态势感知的基本概念本节主要阐述态势感知的概念，重新表述网络安全态势感知的概念，并对态势感知与网络安全态势感知之间的关系加以分析1，l态势感知状态是指一个物质系统中各个对象所处的状况，由一组测度来表征顾名思义，态势是系统中各个对象状态的综合，是一个整体和全局的概念任何单一的情况和状态均不能成为态势，它强调系统及系统中的对象之间的关系【lJ微观而言，表征状态的测度取值依赖于对应系

13、统的要素内容，这些要素之间的关系如图1所示，其中， 原始数据是指传感器产生的未经处理的数据，它反映的是原始数据的观测结果： 信息是指对原始数据进行有效性处理后得到的数据记录： 知识是指采用相关技术所识别出的系统中的活动内容： 理解是指针对各个活动，分析得到的其意图和特征： 状态评估是指预测这些活动对系统中各个对象所产生的作用堕竺卜+，l信息tr一竺一卜竺P-【釜銎L_-_o o-o_-o-一一o-_-_-_-_一o_k_-ii_-i_二_一Fig1 Situation awareness cognitive mapping processt21图I 态势感知的认知映射【21从图l可以看到，感知

14、是一种“认知映射”所谓认知映射是指决策者采用数据融合、风险评估及可视化等相关技术对不同地点获得的不同格式的信息去噪、整合，从而得到更准确、更全面的信息，然后不断地对这些信息进行语义提取，识别出需要关注的要素及其意图，决策者可以实时、有效地评估其对系统产生的影响态势感知是指在一定的时间和空间范围内提取系统中的要素，理解这些要素的含义，并且预测其可能的效果pJEndsley将其概括为3个层面：态势觉察(situation perception)、态势理解(situation comprehension)及态势投射(situation projection)根据这个定义，态势感知可以理孵为一个认知过

15、程”1，通过使用过去的经验和知识，识别、万方数据1012 Journal of Software软件学报V0128，No，4，April 201 7分析和理解当前的系统状况分析人员对当前的态势进行感知，更新“状态知识”，然后再进行感知以最终构成一个循环的映射过程这个映射过程不是简单的数据变换而是一种语义提取【5l，因此，感知的过程表现为不断地作认知映射以获取更多、更详细的语义态势感知是一个动态变化的过程，不同的人由于经验、知识等有所不同。得到的态势感知不尽相同态势感知最早来源于美国军方在军事对抗中的研究在军事术语中，态势感知的目标是使指挥官了解双方的情况，包括敌我的所在位置、当前状态和作战能力

16、，以便能做出快速而正确的决策，达到知己知彼、百战不殆的目的【5】态势感知方法在战场指挥【61、人机交互系统7,81、战场指挥51和医疗应急调度91等领域均有应用Bass于1999年提出网络态势感知这个概念【10l，次年将该技术应用于多个NIDS检测结果的数据融合分析【21，主要是解决单一入侵检测系统无法有效识别出当前系统中存在的所有攻击活动及整个网络系统的安全态势的问题随后，学术界开始致力于网络安全态势感知的研究，并提出了多种相关的模型和技术目前，人们对网络安全态势感知的研究存在3种观点：一种认为NSSA是网络安全事件应用大数据处理和可视化技术的汇总结果，如传统的安全服务提供商(McAfee，

17、Symantec)及新出现的重点关心APT攻击的企业(FireEye，Mandiant)等，通过公开一些技术报告记录APT的攻击实例【11 12；_种认为NSSA是基于网络安全事件融合计算的网络安全状态量化表达【13,141；还有观点认为NSSA作为一种网络安全管理工具，是网络安全监测的一种实现形式，并提出了诸多模型3,15-18】态势感知常被应用在由观察(observe)、导向(orient)、决策(decision)和行动(act)这4阶段构成的一个控制过程环中(如图2所示)这类控制模型过去有很多研究成果，如Boyd控制循环模型【15】、JDL数据融合模型【”】、Endsley在1995年

18、提出的模型【31、龚正虎等人提出的网络态势感知模型【16】、Tadda提出的将JDL与Endsley的3层模型相结合的模型【1 71以及刘效武提出的认知融合感控模型【擂】等Fig2 OODA decision making model1 5】图2 OODA决策模型【15】OODA环的概念直接来自Boyd控制循环模型，它描述了目的与活动的感知过程，并将感知循环过程分为观察、判断、决策、行动这4个阶段其中，观察实现了从物理域跨越到信息域；判断和决策属于认知域；而行动实现信息域到物理域的闭合，完成循环前3个阶段类似于JDL数据融合模型；而行动阶段考虑了决策对真实世界中的影响来闭合循环，更适用于需要进

19、行主动干预的环境中Lenders等人将OODA应用到企业网中，解决了之前OODA模型中将判断、决策的任务留给人们进行手动处理的问题【5J需要强调的是：这些研究得到的并不是态势感知模型，而是态势感知应用模型，态势感知的工作只涉及图2中认知域的活动，不涉及信息域和物理域的活动因此，基于这些模型来直接代表态势感知的概念是不合适的12网络安全态势感知美国空军通信与信息中心的Bass在1999年首次提出将态势感知技术应用于多个NIDS检测结果的数据融合分析，认为“多传感器数据融合技术为下一代入侵检测系统和网络态势感知系统提供了一个重要的功能框架，它可以融合多源异构IDS的数据，识别出入侵者身份、攻击频率

20、及威胁程度等”【21文献【2】没有给出网络安全态势感知概念的明确定义，只是强调数据融合是态势感知的核心手段之后的研究中也很少有人直接对网络安全态势感知的概念进行直接的定义，而是使用意会的方式，这是导致这个领域研究中概念不统一的重要原因万方数据龚俭等：网络安全态势感知综述 1013文献【l】探讨了网络安全态势感知的概念，认为它是指“在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势”这个定义基本上属于Endsley定义13J的翻译，并且缺乏对网络安全态势感知中网络安全态势投射层匝的内容，对网络安全态势感知目标的理解是不完整的文献【4】将“网络安全态

21、势感知视为态势感知的一个子集，其主要关注的是网络安全领域，数据源主要是IDS的警报、脆弱性信息等”这个定义过于模糊，没有明确子集的含义是针对功能还是针对数据，也没有明确网络安全态势感知是态势感知结果的一部分还是功能的一部分网络安全态势感知与态势感知实质上是类型和实例的关系而不是子集的问题，态势感知既包括安全态势感知，也包括工业控制态势感知等，是使用同一种方法应用在不同的领域我们认为：网络安全态势感知的目的应当是将态势感知的理论和方法应用到网络安全领域中，能够使网络安全人员在动态变化的网络环境中宏观把握整个网络的安全状态，为高层管理人员提供决策支持鉴于态势感知是一种认知过程，且网络安全态势感知是

22、态势感知方法在网络安全领域的应用，因此，我们可以将网络安全态势感知的概念定义如下定义1网络安全态势感知NSSA是对网络系统安全状态的认知过程，包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取，识别出存在的各类网络活动以及其中异常活动的意图，从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了勰定义中需要解释的是：网络系统是对各种形态网络的抽象，包括计算机互联网、物联网以及其他采用不同通信方式和终端类型的网络这意味着不同类型的网络在网络安全态势感知的概念和方法上是具有共性的钡I量是对各种网络检测功能的抽象，包括网络管理数据和网络安全监测数据其中，测

23、量数据的生成不是NSSA的任务，而这些数据的获取则是NSSA的任务这意味着网络安全态势感知的研究目标与研究内容与网络管理和网络入侵检测等这些传统的研究领域之间有着区分和不同的侧重点，背景状态是系统当前所处的运行状态，这是动态变化的，与系统之前的部署和定义可能是不一致的“安全”只有在动态的系统中才有意义，因此，攻击活动及安全缺陷对系统的影响效果，应当基于系统当前的状态进行判定活动语义是系统中的主体作用于客体的动作所构成的序列，要进行安全态势察觉，管理人员应当了解系统中存在的所有活动，不能仅止于辨识攻击活动，即，要辨清敌我响应决策本身不是NSSA的任务，因为态势感知只是OODA的支撑技术这意味着安

24、全响应技术和安全策略管理技术等传统上属于网络安全管理领域的内容，不属于网络安全态势感知的研究范畴根据上述定义，NSSA的任务包括网络安全态势觉察、网络安全态势理解、网络安全态势投射这3个层面其中，态势觉察完成原始测量数据的融合与语义提取任务以及活动辨识任务，态势理鳃完成这些辨识出的涯动的意图理解任务，态势投射完成这些活动意图所产生的威胁判断任务层与层之间存在依赖关系【l 92，即：如果网络安全态势觉察和网络安全态势理解没有合理的结果，得到网络安全态势投射很可能也是不正确的或不完整的但另一方面，每层的结果均可独立呈现并直接使用，以满足不同的网络安全管理需要这意味着网络安全态势感知的结果及其表达方

25、式具有多样性，蕴含的语义粒度也可以随需求的视角而不同但是无论如何，网络安全态势感知的结果应当是可响应的(reactionable)，否则，缺乏实际意义，另外，网络安全态势感知是一个泓量数据驱动的认知过程，测量数据的数量与质量影响感知的结果基于上述理解，我们给出网络安全态势感知的一般功能模型，如图3所示该模型包含网络安全态势觉察、网络安全态势理解、网络安全态势投射及可视化等模块，下面简要概括各模块的功能 网络安全态势觉察的主要目的是辨识出系统中的活动，即：对网络中相关的检测设备与管理系统产生的Raw Data进行降噪、规范化处理，得到有效信息，然后对这些信息进行关联性分析，识别出系统中有“谁”(

26、系统中的主体、客体)存在，进一步分辨出异常的活动； 网络安全态势理解的主要任务是在网络安全态势觉察的基础上发现攻击活动，理解并关联攻击活动的语义，然后在此基础上理解其意图： 网络安全态势投射的主要任务是在前两步的基础上分析并评估攻击活动对当前系统中各个对象的威胁情况这种投射包括发现这些攻击活动在对象上已经产生和可能产生(即预测)的效果通过将态势感万方数据1014 Journal of Software软件学报V0128，No4，April 2017知的结果投射到确定的系统对象上，可以获得该对象在当前态势下的状态，尽管要感知的是系统中的活动，而感知的最终结果则应表达为这些活动对系统对象的影响，不

27、能仅止于活动的识别，因为系统因之而产生的反应是施加于对象的，而不是直接施加于活动本身这是一个再认识的过程，即：融合从系统中观察到的各个对象的状态以构成态势，再看这个态势对系统各个对象的意义； 理想情况下，网络安全态势感知将网络安全状况以可视化【21-23】的形式表示成“谁在什么时候什么地方对谁产生什么样的影响”(即Who，When，Where，Impact)研究人员可以观察在特定的时间段系统中某个攻击活动的情况，也可以观察所有活动的分布情况，这取决于具体的研究目标和需求，其中， Who是指辨识出的系统中的攻击活动；when是指攻击活动在时间轴上的演化过程(侦查、隐藏、攻击、后门利用)； Whe

28、re是指攻击活动的分布(即被管网络中哪些主机和服务器已被攻击)； Impact是指攻击活动对被管网络造成的影响，包括已造成的影响和潜在影响，总之，网络安全态势感知的目标是了解自己，了解敌人(威胁)网络安全查樊窒。J网络安全态势投射Fig3 Network situation awareness model图3 网络安全态势感知模型网络安全态势理解本文的定义希望在足够抽象的层面上尽量完整地体现网络安全态势感知的目标和任务，特别强调了网络安全态势投射对网络安全态势感知的意义，我们在第2节第4节中分别对各个层面的研究内容与研究现状进行归纳讨论2网络安全态势觉察21基本任务网络安全态势觉察的基本任务是

29、辨识出系统中的所有活动(包括攻击活动)以及这些活动的规律和特征f即，图4所示的活动建模)本节首先介绍网络安全态势觉察的般模型，然后阐述在网络安全态势觉察中使用的建模方法网络安全态势觉察一般模型包含数据预处理、活动建模和网络安全态势觉察结果这3个功能，如图4所示数据预处理完成测量数据的规范化和验证，有利于后续的融合处理活动建模借勘这些测量数据本身语义完成万方数据龚俭等：网络安全态势感知综述 1015之间的关联性分析觉察结果完成活动的辨识和特征提取态势觉察是一个学习过程，因此，活动建模和觉察结果之间存在反馈关系L产一Fig4 Network security situation perceptio

30、n model图4 网络安全态势觉察模型目前，多数的研究集中在攻击活动辨识方面，总体的解决思路如图5所示研究热点有两个：一个是基于先验知识，将观察到的警报与已知的攻击行为进行匹配(即，图5所示的专家知识)，相关方法有基于攻击场景的方法；另一个是在缺乏先验知识的情况下分析警报之间的关系，发现攻击步骤之间的相关性，构成攻击行为的描述(即，图5所示的关联)Fig5 Attack activities reconstruction model图5攻击活动重构模型22基于先验知识的方法基于先验知识的方法是基于专家经验和知识来定义知识库，最常用的建模方法是基于场景的方法该方法通过专家规则或知识来定义一个攻

31、击序列模板(即图5所示的步骤1)以描述可能的攻击行为，然后将观察到的警报按模板进行匹配，以还原攻击过程Cuppens等人f24】开发了LAMBDA语言来支持模板和匹配过程的描述研究者【25-29通常将一个攻击行为分为多个阶段，如IKC Multistage Attack Model301通过分析每个攻击警报的语义，将经过网络配置信息和脆弱性万方数据1016 Journal of Software软件学报V0128，No4，April 2017信息验证后的有效警报与已知的攻击阶段进行匹配，以识别整个攻击过程基于攻击场景的方法通常以有向图的形式表示攻击序列的模板，图中的节点对应着一个安全事件，边表

32、示事件之间的依赖关系，边中的权重表示事件间转换概率该方法能够高效地识别出已知的攻击行为，但无法识别未知的攻击行为，且还存在可扩展性较差的问题23不基于先验知识的方法不基于先验知识的方法是通过数据挖掘、机器学习等技术分析警报之间的关系，以还原完整的攻击过程目前常用的建模方法有相似性方法、因果关联方法及交叉关联方法这类方法由于不依赖预定义的攻击模板，因此可以发现未知的攻击行为相似性方法认为相似警报的来源和产生的影响是相同的或相似的，它通过计算警报特征之间的相似程度对警报进行聚类(clustering)或聚合(aggregation)以减少警报的数量目前，基于相似性的研究方法主要有两种：属性相似性方

33、法和时序相似性方法该方法的关键是定义适当的相似度量标准(即图5所示的步骤3)文献31】定义了相似函数，比较属性相似程度聚合IDS的警报而文献32】认为，同种故障产生的警报通常发生在一个较小的时间窗口内，提出基于时序的相似性方法聚合IDS的警报相似性方法仅对每个警报的属性进行处理，无法识别出警报间的因果关系，为此，该方法需要与其他模型相结合文献33，34分别将聚类算法和隐马尔可夫模型(HMM)相结合，以分析最有可能的攻击序列和识别攻击的类型Ning等人【35】和Lin等人【3 6】认为：攻击的状态不是独立存在的，不同的攻击阶段是相互关联的，之前的攻击阶段为后续的攻击提供条件，这是因果关联方法(即

34、图5所示的步骤2)的基本思路但是他们的方法需由专家指定入侵的条件和结果，以构建完整的攻击前因、后果数据库，可扩展性较差，不适用于大型网络，为此，文献37441分别提出了数据挖掘方法、时间序列分析方法和机器学习方法挖掘警报之间的因果关系这些方法既无需预定义知识库也无需网络的配置信息，就可以发现攻击行为之间的因果关系和识别未知的攻击行为因果关联方法的优点是无需知道整个攻击过程就可以构造攻击场景，但是它无法处理IDS漏报的攻击行为，因此需要与其他方法相结合才能高效地工作为了解决因果关联方法的缺陷，提高关联的准确性，文献45_49】提出了交叉关联的方法，将因果关系与背景知识相结合，实现攻击场景的重建，

35、有效解决了因果关联方法的缺陷该方法通常使用背景知识(即图5所示的相互补充的知识及步骤4、步骤5)，如网络拓扑信息、脆弱性信息和主机配置信息等来融合、验证IDS的告警，以提高警报的质量，同时还可以分析告警的成功率和威胁程度，最终达到区分真实威胁和过滤误报的目的此外，文献5054提出了基于入侵本体知识的方法和将本体知识和背景知识相结合的方法定义警报信息的语义。使用一系列预定义的语义推断规则得到警报信息间的隐含关系，高效地重建攻击过程另外，还有研究人员提出了multiagent fuzzy consensus态势感知框架【5 51、蚁群算法【5 6】筛选信息，并借鉴于大数据的处理能力，利用大数据提供

36、的平台和技术进行觉察分析，尤其是分析APT攻击【57J，迸一步提高了察觉的准确性24存在的问题纵观现有的研究工作，我们发现目前网络安全态势觉察在攻击活动的辨识方面仍存在着以下两个问题(1) 觉察结果的精度从觉察结果的正确性方面来说，IDS系统固有的缺陷(存在大量的误报和漏报)对攻击活动的重构仍然有很大的影响例如IDS的漏报会导致警报关联性缺失，将一个攻击活动分裂成两个攻击活动从觉察结果的分辨率来说，攻击活动产生的痕迹信息量越多，越容易关联：(2)觉察的效率从实时性方面来说，现阶段的研究多采用离线的方式进行关联性分析和攻击过程重构，无法满足入侵防御系统的快速响应要求(即时的中断、调整或隔离一些不

37、正常或是具有危害性的网络行为)从体系结构的可扩展性方面来说，警报关联系统存在的体系结构可分为3类：集中式体系结构、分布式体系结构及层次化体系结构f3烈目前，多数的研究采用在“集中式”体系结构处理IDS警报，但随着网络规模的不断扩大，异构的程度不断增加，导致“集中式”关联方法日益复杂，难以扩展表l对上述各关联方法存在的主要问题(如警报冗余消除、警报聚合、减少误报、识别已知的攻击、识别万方数据龚俭等：网络安全态势感知综述未知的攻击及漏报的假设推理等)进行比较，其中，表示具备相应的能力，表示不具备相应的能力Table 1 Comparative analysis of existing techni

38、ques表1方法比较3网络安全态势理解101731基本任务网络安全态势理解是基于识别出的攻击活动及其特征，通过进一步分析这些攻击矮动的语义以及它们之间可能的关联关系来推断攻击者的意图，其主要任务包括识别这些攻击活动的源头、类型，并判断攻击者的能力、机会和攻击成功的可能性等为了有效地推断攻击者的意图，目前，多数研究分别从攻击行为本身和攻击目的两个方面进行分析32攻击行为预测所谓攻击行为预测是要分析攻击行为间的逻辑关系，并以此来推断攻击行为的可能变化，其目的是通过对攻击行为的理解来推断其后续动作常用的建模方法主要有马尔可夫模型方法、时间序列分析方法、博弈论及机器学习方法等马尔可夫模型用马尔可夫链刻

39、画一组状态，用转移概率作为测度来描述状态之间的关系有研究者采用变长马尔可夫模型(VLMM)aX-口隐马尔可夫模型(HMM)对攻击者的行为建模，将一个攻击阶段视为模型中的一个状态，通过计算状态之间的转移概率来推测最有可能的攻击动作Yang等人【5 8】从攻击者能力、机会、意图及行为等角度出发，分别考虑了攻击者的能力、脆弱性的可渗透程度及资产重要性等信息，判断攻击行为的变化情况而文献59-621无需考虑上述信息，分别采用VLMM和HMM方法对IDS警报建模，讦算转移概率，分析攻击趋势基于马尔可夫模型的方法存在3个方面的局限：首先，该方法要求安全事件满足马尔可夫性的要求，即，要求多步攻击的各阶段连续

40、且没有攻击步骤丢失：其次，该方法需要较长的观测序列对HMM模型的参数进行训练，否则不能保证模型训练结果的正确性；最后，随着网络规模的不断扩大，攻击行为之间的状态转移概率难以计算，可扩展性不理想为了减少因使用大量数据集对模型的参数进行训练而产生的开销，Fachkha等人、Kim等人及Pontes等人将时间序列分析技术63-65结合概率模型、数据挖掘等技术来分析DDos攻击特征及行为变化时间序列分析是一种动态数据处理的统计方法，它的本质特征是相邻观测值的蔻后具有依赖性，即：已知r时刻发生韵事件，预测T+I，升2，n栉时刻的事件尽管该方法可以减少训练开销，但是它却无法有效处理大量的数据集，而IDS每

41、天生产的警报数量巨大，导致其性能较低；其次，从准确性角度来说，该方法对数据的生成过程需要严格的假设。如滑动平均自回归模型要求攻击行为序列或其某级差分满足平稳性的假设，影响预测的准确性为了提高攻击行为识别的准确性，文献66，67将先验知识和贝叶斯网络相结合发现攻击者的行为知识，该方法需要一定的先验知识；文献68721进一步提高了方法的适应性，分鄹提出了伪贝计新两络方法、自适应的因果矩阵学习方法和决策树学习等机器学习方法对攻击行为建模，分析其可能的变化情况尽管机器学习方法具有较好的收敛性和容错能力，即使在网络规模较大的应用环境下也可以依赖较好的性能来处理大量数据，但是该方法仍需要适当的训练以获得相

42、应的参数，尤其是在分类过程中，需要获得标记数据研究发现，上述方法均可以有效地分析攻击行为的可能变化，但在需要主动防御措施的网络环境中，整个网络的安全态势随着攻防双方的交替行动而发生变化，仅知道攻击行为如何变化远远不够，为了较好地理解攻击万方数据1018 Journal of Software软件学报V0128，No4，April 201 7者的意图，我们在知道攻击行为如何变化的同时还应采取有效的应对方案，以便降低风险为此，有研究者采用博弈论73,74来分析攻击者的战略思维，以便采取更好的防御策略，减少因攻击而造成的损失博弈论方法考虑了进攻方、防御方及普通用户三方因素，综合分析三方行为对被管网络

43、产生的影响同时，它还可以根据攻击方的行动空间给出最佳的加固方案而上述其他方法仅从攻击行为本身的变化角度分析攻击方的意图，未考虑到后两者的作用然而，随着网络规模的不断扩大，攻击者的行动空间逐步复杂化，需要一定的近似处理，使得结果不一定准确，再加上还要考虑防御方和普通用户的行动空闭，使得该方法的处理负担过大，缺乏可扩展性；其次，从准确性方面来说，该方法仅讨论在最大最小策略下的应对方案，未考虑混合策略下的纳什均衡，使其准确性不一定最优33攻击目的理解攻击目的理解基于被管对象中资产的功能及重要性，据此推断攻击者的攻击意图和进行攻击朔源Tang等人【7”从被保护对象的角度出发分析攻击者的目的，提出了使用

44、动态后向传播神经网络和协方差相结合的方法，基于当前每个主机的服务、攻击活动、服务重要性等分析可能要遭受攻击的服务Yang等人【581利用虚拟地形(virtualterrain)的概念对当前的网络系统建模，结合攻击者的能力、脆弱性的可渗透程度及资产重要性，然后利用VLMM实时地处理IDS的警报，分析攻击行为的变化情况，实现对攻击意图的综合判断赵文涛等人提出了攻击的分层认知模型I76】，可实现对攻击步骤、攻击行为和攻击过程的认知，更好地理解其攻击意图文献77，78】通过构建攻击图刻画被管网络内的威胁路径，并计算攻击目标的最大概率攻击路径，这也可视为是对攻击流的建模过程攻击图从攻击者角度出发，综合分

45、析网络配置信息、漏洞信息等，枚举被管网络内的威胁路径，直观地表示被管网络内漏洞信息的关系图中的节点表示攻击成功的可能性、攻击目标的重要性及危害的严重性等，边上的权重表示使用的攻击方法及利用的漏洞等，综合上述信息的流入、流出，实现状态转换，可用于刻画攻击的可能途径或攻击的可能进展34存在的问题 首先，从预测的准确性方面来说，相比博弈论和时间序列方法，马尔可夫模型方法、机器学习方法主要是先从历史数据中得到关联规则，在此基础上再进行分析这种方案对已知的攻击行为能足够清晰和准确地分析出攻击者下一步要采取的行动，而对于一些新的攻击行为和相似攻击行为的变体需要额外处理，准确性有待提高： 其次，从上述预测方

46、法的性能角度来说，攻击活动是动态变化的，攻击活动产生的痕迹等相关信息庞大，传统的基于滑动窗口的批量处理方法不一定可行，无法扩展到实时的大规模的应用场景为此，需要实时地对警报进行优化和聚类： 最后，上述方法基于态势觉察提供的直接观察数据，与相关背景数据和历史数据的融合处理仅仅是初步和简单的，因此在攻击者身份识别与攻击活动溯源等方面比较薄弱4网络安全态势投射41基本任务网络安全态势投射的基本任务是基于识别出的攻击活动，评估已经出现的攻击行为对被管网络产生的危害和可能要发生的攻击行为对被管网络造成的潜在威胁网络安全态势投射一般模型由投射准备、风险评估技术和网络安全态势投射结果这3方面的功能构成，如图

47、6所示投射准备将态势理解的结果映射到实际网络环境，确定被管对象面临的有效威胁；风险评估技术用来判断这些可能的威胁所产生的效果；态势投射结果综合判定系统中被保护的对象需要应对的实际威胁及这些威胁活动对系统对象的危害情况当前研究阶段，存在静态评估和动态评估两种风险评估技术：静态评估是指在攻击发生之前，主动地分析和评估被管系统中存在的风险和隐患，支持全面预防性的安全响应决策；动态评估是指在攻击发生之时，基于当前万方数据龚俭等：网络安全态势感知综述 1019的安全警报进行实时评估和预判型评估，以支持有针对性的动态安全响应决策目前，这方面的研究内容多集中在损失评估方面，即，分析相关攻击活动对被管网络已经

48、造成的危害损失评估是指网络安全人员根据网络安全态势觉察识别出来的攻击活动和其他检测设备的报告内容，借助数学工具等模型，分析它对网络、系统资源等诸因素已经产生的影响为了有效地进行评估，研究人员采用了众多评估方法，传统方法包括贝叶斯技术、基于知识的方法、人工神经网络、模糊逻辑技术，引入的新理论有集对分析、Ds证据理论、粗集理论、灰度关联分析等我们将上述研究方法大致分为3类：知识推理方法、统计方法和灰度理论方法 一垒地燮一 ，坠室簦型颦|i蕊孬口|i匾函；i司i臣亟田i二 Ij 一一r一一ol 反馈 IFig6 Network security situation projection model图6网络安全态势投射模型42基于知识推理的方法基于知识推理的方法是凭借专家知识及经验建立评估模型，通过逻辑推理分析整个网络的安全态势，其基本思想是：借助概率论、模糊理论、证据理论等来表达和处理安全属性的不确定性，通过推理汇聚多属性信息相关方法有两类：一类是基于图模型的推理，如贝叶斯网络、模糊认知图(fuzzy