態(tài)勢感知:網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化

文/龔儉

態(tài)勢感知是指在特定的時(shí)間和空間下，對環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測。它包含覺察：數(shù)據(jù)收集；理解：對象行為及相互影響，以及預(yù)測：基于規(guī)則的信息映射等不同的內(nèi)容和環(huán)節(jié)。初期，這一概念主要被應(yīng)用于工業(yè)控制領(lǐng)域，美國空軍通信與信息中心的Tim Bass在1999年首次提出將態(tài)勢感知技術(shù)應(yīng)用于多個(gè)NIDS檢測結(jié)果的數(shù)據(jù)融合分析。在互聯(lián)網(wǎng)領(lǐng)域，其應(yīng)用也是一樣。網(wǎng)絡(luò)架構(gòu)中接入的大量網(wǎng)絡(luò)測量設(shè)備，相當(dāng)于部署了很多雷達(dá)，這些設(shè)備實(shí)時(shí)檢測網(wǎng)絡(luò)系統(tǒng)的狀態(tài)和可能出現(xiàn)的風(fēng)險(xiǎn)。通過識別后將相關(guān)安全問題的數(shù)據(jù)收集、融合，再將融合后的數(shù)據(jù)進(jìn)行分辨，以確認(rèn)攻擊行為。然后對這些攻擊行為進(jìn)行監(jiān)測和排序，以確定哪個(gè)攻擊行為的威脅度最強(qiáng)，從而對其作出反應(yīng)。

where A is the sinusoidal test signal;a1is F.S.1.5%of the actuator;f is the test frequency of the system.

網(wǎng)絡(luò)安全態(tài)勢感知包括三個(gè)級別，第一是能夠感知攻擊的存在；第二是能夠識別攻擊者，或攻擊的意圖；最高級別是風(fēng)險(xiǎn)評估，通過對攻擊者行為的分析，評估該行為（包括預(yù)期的后續(xù)動作）對網(wǎng)絡(luò)系統(tǒng)有什么危害，從而為決策提供重要的依據(jù)。

目前的網(wǎng)絡(luò)安全檢測通常包括兩步，一步是異常檢測，另一步是冗余消除。異常檢測是基于攻擊的特征和網(wǎng)絡(luò)行為的基本規(guī)律來辨識異常網(wǎng)絡(luò)行為的存在。異常檢測大多數(shù)情況下是通過提取特征的方式進(jìn)行攻擊的識別，然后通過對網(wǎng)管系統(tǒng)獲取的原始運(yùn)行數(shù)據(jù)，IDS檢測到的安全事件、原始攻擊報(bào)文等相關(guān)數(shù)據(jù)進(jìn)行處理，通過格式轉(zhuǎn)化、冗余消除等細(xì)節(jié)操作，進(jìn)行數(shù)據(jù)融合。在此基礎(chǔ)上，通過某種數(shù)據(jù)挖掘或集群分類的算法，獲得相關(guān)的檢測結(jié)果。

網(wǎng)絡(luò)安全態(tài)勢感知的對象行為是指被管網(wǎng)絡(luò)中IP地址和域名的行為語義，包括對象的行為模型：從時(shí)間、空間的角度；對象的行為分類：基于語義的異常判斷；對象的行為關(guān)聯(lián)性：發(fā)現(xiàn)活動的語義等?；趯ο蠛托袨榈姆诸惡驼恚梢孕纬蓪B(tài)勢的認(rèn)知，既對被管網(wǎng)絡(luò)的威脅評估。

除了標(biāo)準(zhǔn)協(xié)議之外，赫優(yōu)訊網(wǎng)關(guān)NT100-RE-EN還支持在netSCRIPT的幫助下創(chuàng)建串行協(xié)議，netSCRIPT基于Lua腳本語言。施耐德電氣項(xiàng)目團(tuán)隊(duì)能夠使用功能齊全的開發(fā)環(huán)境作為該軟件包的標(biāo)準(zhǔn)功能，可對任何專有串行協(xié)議進(jìn)行簡單快速的編程，并可以在轉(zhuǎn)換為另一個(gè)總線協(xié)議期間對IO數(shù)據(jù)進(jìn)行預(yù)處理。

對于網(wǎng)絡(luò)安全態(tài)勢感知而言，對象狀態(tài)的辨識是基礎(chǔ)性的。例如，對被管網(wǎng)絡(luò)相關(guān)IP地址和域名的辨識要包括其管理歸屬信息、使用位置信息、承載服務(wù)的角色信息等。在實(shí)際的操作中態(tài)勢感知的實(shí)現(xiàn)需要對大量的數(shù)據(jù)進(jìn)行收集融合和整理，對相關(guān)數(shù)據(jù)的獲取與管理需要考慮兩類不同的問題。鑒于這些數(shù)據(jù)在規(guī)模、結(jié)構(gòu)和處理時(shí)限方面的特征，這是一個(gè)類大數(shù)據(jù)問題，需要確定收集什么，保存多久，抽樣方法以及這些數(shù)據(jù)的隱私與安全等問題。另一類是相應(yīng)的高性能問題，如面對萬兆網(wǎng)絡(luò)環(huán)境，依托多處理器環(huán)境和非標(biāo)準(zhǔn)內(nèi)存數(shù)據(jù)庫等。

過去對網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的研究主要集中在對網(wǎng)絡(luò)攻擊行為的檢測和對這些檢測結(jié)果的歸納，而這種歸納通?；谀撤N特定的理論模型。然而態(tài)勢感知是一個(gè)認(rèn)知過程，對其建立普適的模型仍然是一個(gè)未解決的問題。認(rèn)知是一個(gè)反饋的學(xué)習(xí)過程，預(yù)設(shè)的模型會表現(xiàn)出對這個(gè)過程的限制，因此現(xiàn)有的這類系統(tǒng)都存在局限性和不準(zhǔn)確性。可視化分析技術(shù)的興起給網(wǎng)絡(luò)安全態(tài)勢感知的研究帶來新的方向，即系統(tǒng)完成信息收集功能，而將認(rèn)知工作交給人來做，系統(tǒng)應(yīng)該提供表達(dá)能力和通用分析功能，既支持?jǐn)?shù)據(jù)的探索，使得分析人員可以快速獲得嘗試性結(jié)果。例如，對于惡意服務(wù)和威脅的可視化，可考慮在知覺能力的限制基礎(chǔ)上實(shí)現(xiàn)大規(guī)模的圖形可視化，以便于網(wǎng)管人員通過圖形更加容易地發(fā)現(xiàn)問題。