网络安全态势感知综述
来源:用户上传
作者:
摘 要:网络安全态势感知是一种基于环境的、动态的、整体地洞悉安全风险的能力,能够从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力。文章介绍了网络安全态势感知的相关概念以及发展现状,根据态势感知的逻辑分析框架,重点阐述了各个阶段的作用和主流技术,对比分析了各种算法的优缺点,最后对未来大数据环境下的网络安全态势感知发展趋势进行了分析和展望。
关键词:网络安全;态势感知;机器学習;数据分析
中图分类号:TP393.08 文献标识码:A
Abstract: Network security situation awareness is an environment-based, dynamic and overall ability to understand security risks, which can improve the ability to discover, identify, understand, analyze and respond to security threats from a global perspective. This paper introduces the related concepts and development status of network security situation awareness. According to the logical analysis framework of situation awareness, it focuses on the functions of each stage and mainstream technology, and compares and analyzes the advantages and disadvantages of various algorithms. Finally, the development trend of network security situational awareness in the future big data environment is analyzed and prospected.
Key words: network security; situational awareness; machine learning; the data analysis
1 引言
随着工业化的发展,云计算、大数据、物联网、数字信息的控制和移动终端等技术成为了新的战略制高点,网络已经成为信息社会发展的重要基础,网络安全问题受到了前所未有的重视。
现阶段面对传统安全防御体系失效的风险,态势感知开始逐渐应用于网络安全领域,它能够全面感知网络安全威胁态势,洞悉网络及应用运行健康状态,通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性的响应处置措施。
2 网络安全态势感知概述
目前为止,对网络安全的研究经历了四个主要的阶段如表1所示:安全保障的理想化设计、辅助检测与被动防御、主动分析与策略制定、整体感知与趋势预测。
直到1999年,Bass等人[1]受到空中交通管制(ATC)态势感知的启发,首次把态势感知的概念应用到网络安全领域。紧接着Bass在文献[2]中又提出了多传感器集成后的入侵检测框架的态势感知概念,随后Batsell S G[3]和Shifflet J[4]也提出了类似框架。
自Bass提出网络安全态势感知概念后,许多学者均是以围绕网络安全态势感知展开进一步研究。龚俭等人在文献[5]中对网络安全态势感知的定义和基本概念的理解进行了系统的阐述。李艳等人在文献[6]中介绍了网络安全态势感知的基本运行机制,并阐述了各个环节在网络安全状态认知过程中的作用。目前为止,对网络安全态势感知的概念还没有明确、统一的表述。
本文认为网络安全态势感知就是从大量且存在噪声的数据中辨识出网络中的攻击行为,从而融合这些信息对网络的安全态势进行实时的评估和监控,以达到对网络状态的整体把控,同时为网络管理人员的决策分析提供了依据,从而降低了网络风险和损失。网络安全态势感知功能模型如图1所示。
3 网络安全态势感知模型
Endsley[7]提出的态势感知概念模型和Bass[1]提出的功能模型以及数据融合模型[8]为网络安全态势感知的研究奠定了基础,在此基础上,衍生出多种不同的网络安全态势感知模型。虽然这些模型的名称不同,但是基本原理却是相同的。
Boyd在Endsley三层模型的基础上提出了Boyd控制循环模型[9],该模型描述了目的与活动的感知过程,并将态势感知循环过程分为观察、导向、决策、行动四个阶段。该模型能够很好的适应复杂网络空间的态势感知,如图2所示为该模型态势感知的动态执行过程。
刘效武等人[10]提出了基于融合的网络安全认知感控模型,如图3所示该模型的特点是跨层架构和认知圈的设计,可以提高不同网络层之间的交互和认知能力。并且在分析模型构件及其功能的基础上,采用融合算法对异构多传感器安全事件进行准确决策。结合威胁基因与威胁等级关系的推理,提出了一种包括服务层、主机层和网络层的层次量化方法。该方法的优点是克服了处理网络构件间复杂成员关系的不足,提高了对网络威胁的表达能力。
以上模型都是比较经典的态势感知模型。除此之外,针对不同的应用和场景又有学者提出不同的态势感知模型。Ioannou G等人[11]针对高级持续威胁(XAPTs)提出了马尔可夫多阶段可转移信念模型,为了满足对敌环境下网络系统安全监测预警的需要,赵国生等人[12]提出了一种基于不等间隔灰度Verhulst模型并进行残差校正的网络安全态势感知模型。该模型在网络安全态势感知方面达到了较好的精度,具有一定的实用价值。 由以上分析可知,现在大多数网络安全态势感知模型以传统的三层模型为基础并从不同角度进行补充、完善,根据实际的需要,对模型进行改进。面对日益庞杂的网络空间安全,需要对网络安全态势感知模型进行创新性改进,实现智能化感知。
4 网络安全态势感知过程
网络安全态势感知的过程通常涉及多个不同的阶段,根据实际的需要,有的学者采用工程分级的方法[13],有的学者是在概念层次[14]进行劃分,还有的是从数据价值链的角度[6]进行划分。本文根据态势感知的逻辑分析框架分别从网络态势要素提取、态势评估、态势预测这三个方面进行详细介绍。
4.1 网络安全态势要素提取
网络安全态势要素的提取是网络安全态势研究的基础,在要素获取阶段尽可能有效地获取与安全相关的数据,并且要对所提取的要素进行全方位、多角度的分析。该阶段的主要任务是获取数据并对数据进行预处理。数据预处理的目的是删除冗余的数据,提取出比较重要的态势要素,并且对原始数据进行规范化处理,为态势评估、态势预测提供数据基础。
态势要素获取本质上是对网络中的数据进行分类,并判断每条数据是否异常,如果发现异常数据就判断它属于哪种异常。常见的分类算法有:决策树[15]、贝叶斯[16]、人工神经网络[17]、支持向量机[18]和基于关联规则[19]的分类等。
本文对上述态势要素获取方法进行了分析比较,并给出了相关算法的优缺点,具体如表2所示。
上述方法在使用过程中往往需要结合一些优化算法(如粒子群优化算法、遗传算法等)或属性约简算法(主成分分析法、粗糙集等),以达到更好的效果。优化算法主要是对上述算法的参数或结构等进行优化,进一步提升算法的性能。属性约简算法主要是在态势要素提取过程中对大量庞杂数据进行优化处理,以提升分类效率。
4.2 网络安全态势评估
网络安全态势评估是网络安全态势感知系统的核心环节,主要是通过一系列的数学模型和算法对提取的海量网络安全数据信息进行关联分析,并对其进行融合,以获取宏观的网络安全态势,使网络管理者能够有目标地进行决策并提前做好防护措施,并对下一步态势预测提供依据。网络安全态势评估的重要作用就是为安全防护的实施提供强有力的支持。
安全态势评估是网络安全态势感知的重点,也是难点,缺乏一个系统的理论体系。态势评估领域的研究比较零散,大多为各自独立的一些观点,没有统一的方法可以较好地用于评估,衡量评估质量的方法和技术也还比较缺乏,这就导致了评估方法的多样化而没有一个权威性的共识。目前,国内外关于网络安全态势评估方法的研究成果有很多。按照评估依据的理论技术基础,可分为三大类,分别是基于数学模型的评估方法、基于概率和知识推理的评估方法、基于模式分类的评估方法。
基于数学模型的评估方法主要有层次分析法、集对分析法以及距离偏差法等,它们是对影响网络安全态势感知的因素进行综合考虑,然后建立安全指标集与安全态势的对应关系,从而将态势评估问题转化为多指标综合评价或多属性集合等问题。它有明确的数学表达式,并且也能够给出确定性的结果。该类型的方法是最早用于网络安全态势感知中的评估方法,也是应用最为广泛的方法,其缺点是利用此类方法构造的评估模型以及对其中变量的定义涉及的主观因素较多,缺少客观统一的标准。
基于概率和知识推理的评估方法主要有模糊推理、贝叶斯网络、马尔可夫理论、D-S证据理论等,它们是依据专家知识和经验数据库来建立模型,采用逻辑推理的方式对安全态势进行评估。其主要思想是借助模糊理论、证据理论等来处理网络安全事件的随机性。采用该方法构建模型需要先获取先验知识,从实际应用来看,该方法对知识的获取途径仍然比较单一,主要依靠机器学习或专家知识库,机器学习存在操作困难的问题,而专家知识库主要依靠经验的累积。由于大量的规则和知识占用大量空间,而且推理过程也越来越复杂,很难应用到大规模网络中进行评估。
基于模式分类的评估方法主要有聚类分析、粗糙集、灰色关联分析、神经网络和支持向量机等,它们是利用训练的方式建立模型,然后基于模式的分类来对网络安全态势进行评估。该方法具备很好的学习能力,能够建立较为准确的数学模型,但是在实际应用中计算量过大,如粗糙集和神经网络等建模时间较长,特征数量较多且不易于理解,在对实时性要求高的网络环境中不能得到很好的应用。
综上所述,每种方法都有其优点和适用的情景,但是也有一定的弊端。现在大多数学者倾向于把多种算法结合以达到互补优化的效果。Dong等人[22]提出了一种基于改进BP神经网络的定量评估方法,结合布谷鸟搜索算法,引入动量因子和自适应学习率对算法进行优化,从而提高了算法的收敛速度和评价精度。李方伟等人[23]将模拟退火算法(SA)与BaumWelch算法相结合用于优化隐马尔可夫模型(HMM)参数。由此可见,多种算法结合使用将是下一步研究的趋势。
4.3 网络安全态势预测
网络安全态势预测是指在大规模网络环境中根据当前的网络安全态势评估和已有的历史评估数据,对未来网络安全态势变化趋势进行预测。态势预测可以为网络管理人员提供决策依据,能够及时发现网络中的安全问题并采取相应措施。本文根据国内外学者近几年的研究情况整理出目前比较流行的态势预测方法,主要有神经网络、支持向量机、时间序列预测法等。
神经网络是目前网络态势预测最常用的方法,具有自学习、自适应性和非线性处理等特点,非常适用于非线性的复杂系统,并且在网络安全态势预测方面取得了不错的效果。目前,常用的神经网络有BP神经网络、RBF神经网络、反馈神经网络等。但是,神经网络在使用过程中存在训练时间长、过度拟合或者训练不足、难以提供可信的解释等问题。针对这些问题往往需要结合其它优化算法进行优化,以提升算法性能。Zhang等人[24]利用多群混沌粒子对灰色神经网络关键参数进行优化,以提高预测精度。 支持向量機(SVM)是一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。但是,在参数选择上需要结合其它算法对其参数进行优化,孙卫喜[25]在分析了支持向量机与改进粒子群(PSO)算法的基础上,给出了一种改进的PSO-SVM算法,明显提高了网络态势的预测精度。
时间序列预测法是利用时间序列的历史数据来揭示态势随时间变化的规律,通过此规律对未来的态势做出预测。优点就是简单、直观,实际应用比较方便,可操作性较好,不足之处就是对于预测精度有较高要求,需要有合适的模型阶数以及最佳的模型参数估计,而且建模过程也比较复杂。
5 结束语
本文对网络安全态势感知的研究进展进行了归纳总结,介绍了网络安全态势感知的基本概念以及相关模型,详细的阐述了态势感知三个阶段的基本功能、主要方法以及应用效果。网络安全态势感知发展至今,虽然取得了很大的进步,但是态势感知的研究仍然处于初级阶段,仍有很多问题需要完善和解决。本文提出的三个方面将是未来的研究方向。
(1)应用范围的扩大
除了传统的病毒、恶意软件等威胁以外,随着物联网、区块链技术和数字货币的发展,一些新兴的威胁正在快速发展。网络安全态势感知将不在局限于传统的网络应用。
(2)与大数据技术相结合
采用基于大数据的关联归并、融合分析和深度挖掘等多种技术手段,结合协议还原识别、静态特征匹配、动态行为分析、异常行为挖掘等层次化检测方法,从离散的、孤立的数据中探测发现潜在的安全威胁。
(3)可视化展示
可视化技术可将网络安全态势感知所处理的海量异构测量数据及其处理结果直观的显示出来,但是如何快速、准确、完整、有效地将态势传达给安全决策者是非常具有挑战性的问题。
基金项目:
1. 国家自然科学基金项目(项目编号:61302159);
2. 国家自然科学基金项目(项目编号:61379151);
3. 国家自然科学基金项目(项目编号:61272489);
4. 国家自然科学基金项目(项目编号:61602508);
5. 国家自然科学基金项目(项目编号:61772549);
6. 国家自然科学基金联合重点项目(项目编号:U1804263)。
参考文献
[1] Bass T, Gruber D. A glimpse into the future of id[J]. ;login:: the magazine of USENIX & SAGE, 1999, 24(4): 40-45.
[2] Bass T, Robichaux R. Defense-in-depth revisited: qualitative risk analysis methodology for complex network-centric operations[C]//2001 MILCOM Proceedings Communications for Network-Centric Operations: Creating the Information Force (Cat. No. 01CH37277). IEEE, 2001, 1: 64-70.
[3] Batsell S G, Rao N S, Shankar M. Distributed intrusion detection and attack containment for organizational cyber security[J]. Information on http://www. ioc. ornl. gov/projects/documents-/containment. pdf, 2005.
[4] Shifflet J. A technique independent fusion model for network intrusion detection[C]//Proceedings of the Midstates Conference on Undergraduate Research in Computer Science and Mat hematics. 2005, 3(1): 1-3.
[5] GONG Jian, ZANG Xiao-Dong, SU Qi,等. Survey of Network Security Situation Awareness[J]. Journal of Software, 2017.
[6] Li Y , Huang G Q , Wang C Z , et al. Analysis framework of network security situational awareness and comparison of implementation methods[J]. EURASIP Journal on Wireless Communications and Networking, 2019, 2019(1).
[7] Endsley M R. Design and evaluation for situation awareness enhancement[C]//Proceedings of the Human Factors Society annual meeting. Sage CA: Los Angeles, CA: SAGE Publications, 1988, 32(2): 97-101. [8] Shah S V, Liu J, Schuster D. Toward Robust Models of Cyber Situation Awareness[C]//Advances in Human Factors in Cybersecurity: Proceedings of the AHFE 2018 International Conference on Human Factors in Cybersecurity, July 21-25, 2018, Loews Sapphire Falls Resort at Universal Studios, Orlando, Florida, USA. Springer, 2018, 782: 127.
[9] Boyd J. A discourse on winning and losing[M]. Air University Press, Curtis E. LeMay Center for Doctrine Development and Education, 2018.
[10] Liu X W, Wang H Q, Lu H W, et al. Fusion-based cognitive awareness-control model for network security situation[J]. Journal of Software, 2016, 27(8): 2099-2114.
[11] Ioannou G, Louvieris P, Clewley N. A Markov Multi-Phase Transferable Belief Model for Cyber Situational Awareness[J]. IEEE Access, 2019, 7: 39305-39320.
[12] Zhao G, Wang H Q, Wang J. A situation awareness model of network security based on grey Verhulst model[J]. Journal of Harbin Institute of Technology, 2008, 40(5): 798-801.
[13] Wang H, Lai J, Zhu L, et al. Survey of network situation awareness system[J]. Computer Science, 2006, 33(10): 5-10.
[14] Lenders V, Tanner A, Blarer A. Gaining an edge in cyberspace with advanced situational awareness[J]. IEEE Security & Privacy, 2015, 13(2): 65-74.
[15] Kotsiantis S B. Decision trees: a recent overview[J]. Artificial Intelligence Review, 2013, 39(4): 261-283.
[16] Mihaljevi? B, Bielza C, Larra?aga P. bnclassify: Learning Bayesian Network Classifiers[J]. 2019.
[17] Walczak S. Artificial neural networks[M]//Advanced Methodologies and Technologies in Artificial Intelligence, Computer Simulation, and Human-Computer Interaction. IGI Global, 2019: 40-53.
[18] Cortes C, Vapnik V. Support-vector networks[J]. Machine learning, 1995, 20(3): 273-297.
[19] Kotsiantis S, Kanellopoulos D. Association rules mining: A recent overview[J]. GESTS International Transactions on Computer Science and Engineering, 2006, 32(1): 71-82.
[20] 郭文忠,林宗明,陳国龙.基于粒子群优化的网络安全态势要素获取[J].厦门大学学报(自然科学版),2009,48(02):202-206.
[21] 段詠程,王雨晴,李欣,杨乐.基于RSAR的随机森林网络安全态势要素提取[J].信息网络安全,2019(07):75-81.
[22] Dong G, Li W, Wang S, et al. The Assessment Method of Network Security Situation Based on Improved BP Neural Network[C]//International Conference on Computer Engineering and Networks. Springer, Cham, 2018: 67-76.
[23] Fangwei L I , Qi L I , Jiang Z . Improved method of situation assessment method based on hidden Markov model[J]. Journal of Computer Applications, 2017.
[24] Zhang S, Shen Y, Zhang G. Network Security Situation Prediction Model Based on Multi-Swarm Chaotic Particle Optimization and Optimized Grey Neural Network[C]//2018 IEEE 9th International Conference on Software Engineering and Service Science (ICSESS). IEEE, 2018: 426-429.
[25] 孙卫喜.用于网络安全态势预测的粒子群与支持向量机算法研究[J].计算机应用与软件,2019,36(06):308-316.
转载注明来源:https://www.xzbu.com/1/view-15129456.htm