網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述之二
摘 要
上篇文章《網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述(一)》對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的定義、模型構(gòu)成、意義進(jìn)行了闡述,本篇?jiǎng)t主要對(duì)構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的網(wǎng)絡(luò)環(huán)境感知、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)三個(gè)部分的建模過(guò)程和常用方法進(jìn)行了分析,并對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知進(jìn)行總結(jié)與展望。
如何構(gòu)建網(wǎng)絡(luò)環(huán)境感知模型?
網(wǎng)絡(luò)環(huán)境感知是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基礎(chǔ),網(wǎng)絡(luò)環(huán)境感知的過(guò)程包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理和感知結(jié)果三部分。數(shù)據(jù)采集是基于網(wǎng)絡(luò)分析師的需求或者基于網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)(脆弱性、容災(zāi)性、威脅性和穩(wěn)定性)對(duì)感知的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)進(jìn)行采集,為數(shù)據(jù)預(yù)處理提供原始數(shù)據(jù)。數(shù)據(jù)預(yù)處理是通過(guò)數(shù)據(jù)處理算法對(duì)原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化和分類處理,產(chǎn)生規(guī)范化數(shù)據(jù),從中提取特征數(shù)據(jù)或態(tài)勢(shì)因子,保證數(shù)據(jù)的全面性和精確性,為態(tài)勢(shì)理解奠定基礎(chǔ)。
網(wǎng)絡(luò)環(huán)境數(shù)據(jù)復(fù)雜多樣,為了全面地提取特征數(shù)據(jù)或態(tài)勢(shì)因子,研究者針對(duì)數(shù)據(jù)的不同特征,提出多種數(shù)據(jù)處理算法并得到規(guī)范化數(shù)據(jù),實(shí)時(shí)保存感知到的網(wǎng)絡(luò)數(shù)據(jù),從而提高網(wǎng)絡(luò)環(huán)境感知的速度和效率。常用的算法有條件隨機(jī)場(chǎng)和進(jìn)化神經(jīng)網(wǎng)絡(luò)的態(tài)勢(shì)因子提取方法。
- 條件隨機(jī)場(chǎng)是判別式概率模型,通過(guò)標(biāo)注或分析信息對(duì)數(shù)據(jù)進(jìn)行預(yù)處理,獲取特征數(shù)據(jù)。
- 基于進(jìn)化神經(jīng)網(wǎng)絡(luò)的態(tài)勢(shì)因子提取方法是以神經(jīng)網(wǎng)絡(luò)算法為基礎(chǔ),采用進(jìn)化策略優(yōu)化神經(jīng)網(wǎng)絡(luò)參數(shù),建立進(jìn)化神經(jīng)網(wǎng)絡(luò)模型,提取態(tài)勢(shì)因子,實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知量化,解決信息不全面的問(wèn)題。
除此之外,其他研究者還采用了聚類分析和可擴(kuò)展的分層數(shù)據(jù)模型等方法。
如何構(gòu)建態(tài)勢(shì)理解模型?
態(tài)勢(shì)理解是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心,通過(guò)分析特征數(shù)據(jù)或態(tài)勢(shì)因子之間的相關(guān)性得到影響網(wǎng)絡(luò)安全態(tài)勢(shì)的強(qiáng)相關(guān)因素,依據(jù)這些強(qiáng)相關(guān)因素,識(shí)別網(wǎng)絡(luò)攻擊,定位網(wǎng)絡(luò)脆弱點(diǎn),檢測(cè)網(wǎng)絡(luò)威脅。在此之后,評(píng)估已有攻擊造成的損失和危害,并同時(shí)通過(guò)計(jì)算網(wǎng)絡(luò)威脅的頻率和分析網(wǎng)絡(luò)脆弱的程度來(lái)評(píng)估安全事件發(fā)生的可能性,得到評(píng)估數(shù)據(jù)。依據(jù)這些評(píng)估數(shù)據(jù)來(lái)制定決策,執(zhí)行主動(dòng)防御反饋到網(wǎng)絡(luò)環(huán)境,從而提高網(wǎng)絡(luò)環(huán)境的防御能力,實(shí)現(xiàn)安全防護(hù)。
為了實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù),研究者常用的方法有自適應(yīng)共振理論模型、貝葉斯網(wǎng)絡(luò)分類器和博弈模型。
- 自適應(yīng)共振理論模型能夠自適應(yīng)網(wǎng)絡(luò)動(dòng)態(tài)環(huán)境,識(shí)別網(wǎng)絡(luò)攻擊,定位網(wǎng)絡(luò)脆弱點(diǎn)。
- 貝葉斯網(wǎng)絡(luò)分類器解決特征數(shù)據(jù)不確定性問(wèn)題,分析網(wǎng)絡(luò)流量,檢測(cè)網(wǎng)絡(luò)威脅,對(duì)網(wǎng)絡(luò)攻擊的不同特征進(jìn)行分類以評(píng)估其造成的損失。
- 博弈模型用來(lái)評(píng)估攻擊、防御雙方產(chǎn)生的風(fēng)險(xiǎn),刻畫(huà)動(dòng)態(tài)攻防過(guò)程,主動(dòng)尋找最優(yōu)防御策略,實(shí)現(xiàn)安全防護(hù),降低風(fēng)險(xiǎn)損失。
除此之外,其他研究者還采用網(wǎng)絡(luò)流量分析技術(shù)和基于深度學(xué)習(xí)的多級(jí)彈性檢測(cè)框架等方法。研究人員將自適應(yīng)共振理論、貝葉斯網(wǎng)絡(luò)分類器及博弈模型等方法應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,可以處理網(wǎng)絡(luò)事件、降低人工成本、檢測(cè)網(wǎng)絡(luò)攻擊、分類網(wǎng)絡(luò)流量、檢測(cè)實(shí)時(shí)消息、開(kāi)展態(tài)勢(shì)評(píng)估及實(shí)施主動(dòng)防御。
如何構(gòu)建態(tài)勢(shì)預(yù)測(cè)模型?
態(tài)勢(shì)預(yù)測(cè)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的目的,依據(jù)態(tài)勢(shì)理解輸出的評(píng)估數(shù)據(jù),找出網(wǎng)絡(luò)攻擊的潛在規(guī)律,確定潛在的網(wǎng)絡(luò)威脅,以此為基礎(chǔ)來(lái)預(yù)測(cè)網(wǎng)絡(luò)安全狀況,包括預(yù)測(cè)網(wǎng)絡(luò)攻擊者的下一步行動(dòng)、網(wǎng)絡(luò)攻擊的次數(shù)和網(wǎng)絡(luò)安全狀態(tài)的發(fā)展趨勢(shì),得到預(yù)測(cè)數(shù)據(jù),再通過(guò)分析這些預(yù)測(cè)數(shù)據(jù)來(lái)制定決策,執(zhí)行主動(dòng)防御反饋到網(wǎng)絡(luò)環(huán)境,從而提高網(wǎng)絡(luò)環(huán)境的防御能力,實(shí)現(xiàn)安全防護(hù)。
為了在網(wǎng)絡(luò)攻擊發(fā)生之前主動(dòng)采取防御措施,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。研究者常用自回歸整合移動(dòng)平均預(yù)測(cè)模型、隱馬爾可夫模型和灰色預(yù)測(cè)模型。
- 自回歸整合移動(dòng)平均預(yù)測(cè)模型分析歷史網(wǎng)絡(luò)數(shù)據(jù),預(yù)測(cè)網(wǎng)絡(luò)攻擊次數(shù)和攻擊者下一步行動(dòng)。
- 隱馬爾可夫模型在網(wǎng)絡(luò)攻擊數(shù)據(jù)不確定情況下,克服對(duì)網(wǎng)絡(luò)數(shù)據(jù)完整性的依賴,預(yù)測(cè)網(wǎng)絡(luò)安全發(fā)展趨勢(shì),采取預(yù)防措施執(zhí)行主動(dòng)防御。
- 灰色預(yù)測(cè)模型對(duì)既有已知信息,又有未知或不確定信息的網(wǎng)絡(luò)系統(tǒng)進(jìn)行預(yù)測(cè),不僅可以提高模型的預(yù)測(cè)精度,還能準(zhǔn)確地預(yù)測(cè)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)。
除此之外,其他研究者還采用遞歸神經(jīng)網(wǎng)絡(luò)的新型惡意軟件預(yù)測(cè)模型、信念規(guī)則庫(kù)模型和RiskTeller風(fēng)險(xiǎn)預(yù)測(cè)模型等方法。研究人員將自回歸整合移動(dòng)平均預(yù)測(cè)模型、隱馬爾可夫模型及灰色預(yù)測(cè)模型等方法應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,可以處理預(yù)測(cè)攻擊次數(shù)、預(yù)測(cè)攻擊者下一步行動(dòng)、預(yù)測(cè)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)、處理不確定信息、縮短預(yù)測(cè)時(shí)間、預(yù)測(cè)網(wǎng)絡(luò)事件的風(fēng)險(xiǎn)、提高預(yù)測(cè)精度及實(shí)施主動(dòng)防御。
總結(jié)與未來(lái)展望
網(wǎng)絡(luò)安全態(tài)勢(shì)感知作為一種實(shí)現(xiàn)安全防護(hù)的新興技術(shù),得到學(xué)術(shù)界和企業(yè)界的廣泛關(guān)注,已有一系列研究成果。本文梳理了網(wǎng)絡(luò)安全態(tài)勢(shì)感知基本概念并提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的定義;依據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知過(guò)程構(gòu)建了網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型,并將其分為網(wǎng)絡(luò)環(huán)境感知、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)三個(gè)部分,介紹了各部分的研究過(guò)程、研究方法以及研究目的;描述了網(wǎng)絡(luò)安全態(tài)勢(shì)感知意義;對(duì)模型的各部分建立網(wǎng)絡(luò)環(huán)境感知模型、態(tài)勢(shì)理解模型和態(tài)勢(shì)預(yù)測(cè)模型,并描述各部分的建模過(guò)程、常用方法及其能夠?qū)崿F(xiàn)的功能。
未來(lái)展望:
- 現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)沒(méi)有固定且統(tǒng)一的模型,研究人員根據(jù)網(wǎng)絡(luò)安全需求的變化建立不同的模型。
- 已有工作側(cè)重于對(duì)網(wǎng)絡(luò)環(huán)境感知、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)某個(gè)部分的研究,沒(méi)有整體的研究方法與通用的標(biāo)準(zhǔn)模型。
- 與傳統(tǒng)的安全設(shè)備檢測(cè)方式相比,網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)需要在網(wǎng)絡(luò)攻擊發(fā)生之前阻止攻擊行為,這就要求與網(wǎng)絡(luò)環(huán)境狀態(tài)保持高度一致。
- 現(xiàn)有的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)在根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)時(shí)動(dòng)態(tài)調(diào)整的能力上還有所欠缺,已有的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架與網(wǎng)絡(luò)環(huán)境契合度有待完善。
