網(wǎng)絡(luò)安全掛圖作戰(zhàn)實踐

胡威，張海霞，夏昂，魏家輝，連一峰

1.國家電網(wǎng)有限公司信息通信分公司，北京 100761

2.中國科學(xué)院軟件研究所，可信計算與信息保障實驗室，北京 100190

引 言

當(dāng)前，隨著網(wǎng)絡(luò)空間、物理空間與社會空間的逐步融合發(fā)展，人民生活和社會生產(chǎn)的方方面面顯現(xiàn)出多空間交叉、多領(lǐng)域融合的發(fā)展趨勢。與此同時，網(wǎng)絡(luò)攻擊手段日益復(fù)雜多樣，網(wǎng)絡(luò)威脅攻擊的跨空間特性愈加明顯，攻擊組織開始利用跨網(wǎng)、跨域、跨空間的手段實施滲透破壞，以突破傳統(tǒng)防護(hù)措施，達(dá)到其不可告人的網(wǎng)絡(luò)攻擊目的。例如，通過非法進(jìn)入單位網(wǎng)絡(luò)的物理區(qū)域，將網(wǎng)絡(luò)攻擊設(shè)備直接連入內(nèi)部網(wǎng)絡(luò)，以避開用于內(nèi)外網(wǎng)隔離的防火墻等訪問控制設(shè)備。電力、能源、交通、金融等關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到攻擊破壞，將極大影響相關(guān)行業(yè)和國民經(jīng)濟(jì)的正常運(yùn)行，危及國家安全。

可以說，網(wǎng)絡(luò)安全問題已經(jīng)突破了網(wǎng)絡(luò)空間的時空限制，在威脅方式、攻擊手法、影響范圍和災(zāi)難性后果等方面，都已經(jīng)擴(kuò)展到了物理空間和社會空間，成為跨領(lǐng)域、跨空間的綜合威脅因素[1]。在傳統(tǒng)領(lǐng)域，地圖作為描繪地理空間的重要載體，自古以來就是指揮作戰(zhàn)不可或缺的工具；如今在網(wǎng)絡(luò)空間，也迫切需要能夠全面展示各類信息的網(wǎng)絡(luò)空間地圖，建立起網(wǎng)絡(luò)空間與地理空間的關(guān)聯(lián)，實現(xiàn)網(wǎng)絡(luò)空間的“掛圖作戰(zhàn)”[2]。

本文第1 節(jié)介紹網(wǎng)絡(luò)安全掛圖作戰(zhàn)的核心理念和作用；第2節(jié)提出總體技術(shù)架構(gòu)；第3節(jié)對要素抽取層、圖譜設(shè)計層、智能認(rèn)知層中支撐掛圖作戰(zhàn)的典型關(guān)鍵技術(shù)進(jìn)行闡述；第4節(jié)是作戰(zhàn)應(yīng)用；最后對全文進(jìn)行總結(jié)。

1 網(wǎng)絡(luò)安全掛圖作戰(zhàn)

網(wǎng)絡(luò)安全“掛圖作戰(zhàn)”是基于地理學(xué)、網(wǎng)絡(luò)空間安全、計算機(jī)科學(xué)與技術(shù)等理論技術(shù)體系，梳理網(wǎng)絡(luò)信息系統(tǒng)、關(guān)鍵資產(chǎn)與網(wǎng)絡(luò)地理空間、網(wǎng)絡(luò)安全保護(hù)業(yè)務(wù)之間的關(guān)系，構(gòu)建面向網(wǎng)絡(luò)安全保護(hù)業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)空間地圖，強(qiáng)化網(wǎng)絡(luò)安全行為認(rèn)知與分析，全面支撐網(wǎng)絡(luò)安全威脅的實時監(jiān)測、態(tài)勢感知、監(jiān)測預(yù)警、分析研判、應(yīng)急處置與演習(xí)演練工作的技術(shù)框架體系，也是一種數(shù)字時代業(yè)務(wù)工作的目標(biāo)理念，覆蓋威脅攻擊數(shù)據(jù)集成轉(zhuǎn)換、分類治理、融合分析、挖掘認(rèn)知、掛圖呈現(xiàn)、業(yè)務(wù)應(yīng)用各個環(huán)節(jié)的方法手段、模型組件，可輔助網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營部門全面、精準(zhǔn)、快速地開展網(wǎng)絡(luò)安全保護(hù)、保衛(wèi)和保障工作。

網(wǎng)絡(luò)安全掛圖作戰(zhàn)的作用和價值主要表現(xiàn)在以下方面：

（1）掌握保護(hù)目標(biāo)與資產(chǎn)底數(shù)：摸清以關(guān)鍵信息基礎(chǔ)設(shè)施及其資產(chǎn)、重要信息系統(tǒng)及其資產(chǎn)為重點(diǎn)的保護(hù)目標(biāo)底數(shù)，包括網(wǎng)絡(luò)狀況、物理環(huán)境、信息資產(chǎn)，實現(xiàn)網(wǎng)絡(luò)邏輯部署、物理要素實體、社會空間主體之間的關(guān)聯(lián)映射；

（2）促進(jìn)網(wǎng)絡(luò)安全威脅攻擊數(shù)據(jù)治理：通過圖層、要素、關(guān)系，進(jìn)一步梳理網(wǎng)絡(luò)安全數(shù)據(jù)資源，推動網(wǎng)絡(luò)威脅與攻擊信息的條理化，引入地理學(xué)、網(wǎng)絡(luò)安全地理圖譜、網(wǎng)絡(luò)安全知識圖譜關(guān)鍵技術(shù)，實現(xiàn)網(wǎng)絡(luò)空間安全威脅攻擊數(shù)據(jù)治理；

（3）提升重要行業(yè)部門關(guān)鍵信息基礎(chǔ)設(shè)施縱深防御/主動防御效能：形成人-地-網(wǎng)緊密結(jié)合的網(wǎng)絡(luò)空間地理圖譜、網(wǎng)絡(luò)空間知識圖譜，基于行為分析模型、攻擊預(yù)警模型、智能認(rèn)知、智慧決策模型，利用圖譜搜索、智能推理和可視化分析技術(shù)，輸出高價值安全防護(hù)信息；

（4）構(gòu)建網(wǎng)絡(luò)安全綜合防控體系：實現(xiàn)網(wǎng)絡(luò)空間安全相關(guān)聯(lián)的要素上圖、關(guān)系上圖、行為上圖、分析上圖和全業(yè)務(wù)鏈上圖，配合業(yè)務(wù)工作流程，推動安全防護(hù)工作的實戰(zhàn)化、體系化和常態(tài)化。

2 技術(shù)架構(gòu)

網(wǎng)絡(luò)安全掛圖作戰(zhàn)的核心目標(biāo)是實現(xiàn)網(wǎng)絡(luò)安全要素上圖，網(wǎng)絡(luò)安全要素包括主體要素、業(yè)務(wù)要素、資產(chǎn)要素和行為要素。其中，主體要素是指網(wǎng)絡(luò)安全的相關(guān)主體，例如網(wǎng)絡(luò)用戶、攻擊方、防護(hù)方、監(jiān)管方等；業(yè)務(wù)要素是指網(wǎng)絡(luò)安全保護(hù)工作涉及的具體業(yè)務(wù)內(nèi)容，例如安全監(jiān)測、態(tài)勢感知、安全預(yù)警、威脅情報、演習(xí)演練等；資產(chǎn)要素是指涉及網(wǎng)絡(luò)安全保護(hù)工作的各類軟硬件資產(chǎn)，例如服務(wù)器、路由器、數(shù)據(jù)庫、移動終端、防火墻、操作系統(tǒng)、Web 應(yīng)用、郵件服務(wù)等；行為要素是指主體或主體通過資產(chǎn)實施的行為，包括訪問行為、異常操作、攻擊活動、探測活動、隔離阻斷行為等。

根據(jù)上述要素內(nèi)容，如圖1 所示，將網(wǎng)絡(luò)安全掛圖作戰(zhàn)技術(shù)架構(gòu)劃分為3個層次：要素抽取層負(fù)責(zé)采集和抽取網(wǎng)絡(luò)安全的各類要素；圖譜設(shè)計層負(fù)責(zé)從地理環(huán)境、網(wǎng)絡(luò)環(huán)境、行為主體和業(yè)務(wù)環(huán)境4 個維度構(gòu)建形成支撐掛圖作戰(zhàn)的多維度知識圖譜；智能認(rèn)知層在知識圖譜基礎(chǔ)上，綜合利用知識推理、分析挖掘和可視化技術(shù)，實現(xiàn)網(wǎng)絡(luò)安全智能化認(rèn)知及可視化表達(dá)。

圖1 網(wǎng)絡(luò)安全掛圖作戰(zhàn)技術(shù)架構(gòu)Fig.1 Technical Framework of Cyberspace Security map warfare

要素抽取輸出網(wǎng)絡(luò)安全掛圖作戰(zhàn)圖譜所需的網(wǎng)絡(luò)安全相關(guān)要素、要素屬性、要素間關(guān)系，這些是圖譜設(shè)計所依賴主要元素，要素和要素之間的邏輯關(guān)系是圖譜的邏輯組成，不同的要素構(gòu)成圖譜的不同圖層，不同圖層要素在其他圖層會形成要素的一個跨圖層映射，或者稱之為要素在某個圖層的屬性切面。圖譜設(shè)計層需要依賴要素抽取的要素，結(jié)合網(wǎng)絡(luò)掛圖作戰(zhàn)的實際需求進(jìn)行4個維度要素、要素輪廓、要素間關(guān)系的設(shè)計，4個維度的要素間互相作用將以圖層化的形式反映網(wǎng)絡(luò)安全行為的發(fā)生、發(fā)展和變化機(jī)理?？茖W(xué)合理的圖譜框架設(shè)計，結(jié)合要素抽取支撐下的圖譜各維度要素實例化，將網(wǎng)絡(luò)時空數(shù)據(jù)抽象為一個可動態(tài)疊加與轉(zhuǎn)換的網(wǎng)絡(luò)行為全景視圖，是網(wǎng)絡(luò)安全行為的智能認(rèn)知得以依賴的知識表示形式。網(wǎng)絡(luò)安全掛圖作戰(zhàn)技術(shù)框架各層內(nèi)容具體包括：

2.1 要素抽取層

要素抽取層是實現(xiàn)網(wǎng)絡(luò)安全掛圖作戰(zhàn)的基礎(chǔ)，需要從各類網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)（例如網(wǎng)絡(luò)流量、系統(tǒng)日志、數(shù)據(jù)庫日志、應(yīng)用訪問記錄、威脅情報、文本資料等）中采集、過濾、提取、匯聚要素信息。要素抽取層主要包含以下內(nèi)容：

（1）實體/關(guān)系采集抽取：面向主體要素，負(fù)責(zé)從各類數(shù)據(jù)中采集提取出與用戶、攻擊方、防護(hù)方相關(guān)的信息；

（2）行為監(jiān)測：面向行為要素，負(fù)責(zé)基于已知特征、異常判定規(guī)則、行為建模輸出的行為特征向量、行為要素屬性等進(jìn)行監(jiān)測主體或資產(chǎn)的網(wǎng)絡(luò)行為，例如網(wǎng)站訪問、數(shù)據(jù)庫操作、異常網(wǎng)絡(luò)流量、惡意攻擊等；

（3）行為建模：同樣面向行為要素，負(fù)責(zé)基于行為監(jiān)測結(jié)果對網(wǎng)絡(luò)和系統(tǒng)中特定類型的主體行為進(jìn)行建模，例如用戶對Web服務(wù)器的正常訪問模式，并為行為監(jiān)測提供監(jiān)測所需知識；

（4）資產(chǎn)測繪：面向資產(chǎn)要素，負(fù)責(zé)通過主動或被動的方式采集網(wǎng)絡(luò)資產(chǎn)的各類信息，包括資產(chǎn)的類型、訪問地址、軟硬件版本、承載應(yīng)用情況、漏洞隱患、物理位置等；

（5）業(yè)務(wù)要素抽?。好嫦驑I(yè)務(wù)要素，可以采用手工填報、數(shù)據(jù)報送、問卷、查閱、測試等方式。

2.2 圖譜設(shè)計層

圖譜設(shè)計層主要針對多源數(shù)據(jù)的集成分析任務(wù)，圍繞網(wǎng)絡(luò)環(huán)境、地理環(huán)境、行為主體、業(yè)務(wù)環(huán)境4個維度，對知識圖譜涉及的各維度實體和要素進(jìn)行設(shè)計，使得在統(tǒng)一的時空表達(dá)框架下，將地理空間和網(wǎng)絡(luò)空間融合關(guān)聯(lián)，并綜合分析網(wǎng)絡(luò)安全事件的狀態(tài)和發(fā)展趨勢，具體包括[3]：

（1）地理環(huán)境要素：包括網(wǎng)絡(luò)安全相關(guān)的地區(qū)、物理位置、基礎(chǔ)地理信息、建筑信息、設(shè)備設(shè)施信息以及行業(yè)專有地理信息；

（2）網(wǎng)絡(luò)環(huán)境要素：包括機(jī)房環(huán)境、網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)資源（如IP、域名、公眾號）、網(wǎng)絡(luò)場所、交易平臺和虛擬社區(qū)等要素信息；

（3）行為主體要素：包括行為主體人員的真實身份、虛擬身份、所屬組織機(jī)構(gòu)、行業(yè)單位、用戶角色、權(quán)限等要素信息；

（4）業(yè)務(wù)環(huán)境要素：包括圍繞網(wǎng)絡(luò)安全目標(biāo)所需開展的業(yè)務(wù)工作，如安全事件通報處置、威脅情報、態(tài)勢感知、調(diào)查分析、攻擊溯源、安全巡檢等。

2.3 智能認(rèn)知層

智能認(rèn)知層需要在網(wǎng)絡(luò)安全知識圖譜的基礎(chǔ)上，對圖譜要素及其關(guān)系進(jìn)行深層次的挖掘、推理，發(fā)現(xiàn)要素間的隱藏關(guān)系和發(fā)展規(guī)律，對圖譜信息進(jìn)行去重、驗證和補(bǔ)全，對要素對應(yīng)的網(wǎng)絡(luò)實體進(jìn)行精準(zhǔn)畫像，并依據(jù)推理結(jié)果實現(xiàn)網(wǎng)絡(luò)安全事件或狀況的預(yù)測預(yù)警。智能認(rèn)知層既能夠直觀、互動式地展示網(wǎng)絡(luò)安全宏觀態(tài)勢和微觀要素，又能夠?qū)W(wǎng)絡(luò)安全的實體、要素、規(guī)律、趨勢進(jìn)行全面深入的理解和認(rèn)知。需要實現(xiàn)以下算法模型作為支撐：

（1）人工智能算法：利用傳統(tǒng)機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、強(qiáng)化學(xué)習(xí)算法，針對網(wǎng)絡(luò)實體的分布化特性，引入分布式學(xué)習(xí)策略，在保護(hù)基礎(chǔ)設(shè)施及終端數(shù)據(jù)隱私的前提下，實現(xiàn)跨域、跨空間的智能化協(xié)同學(xué)習(xí)；

（2）認(rèn)知模型與推理算法：建立融合地理圖譜的網(wǎng)絡(luò)空間行為認(rèn)知模型，定義行為認(rèn)知覆蓋的實體、屬性及關(guān)系，圍繞網(wǎng)絡(luò)安全攻防實戰(zhàn)為主線，實現(xiàn)圖譜關(guān)系的隱蔽推理和復(fù)雜推理，為目標(biāo)行為預(yù)測和意圖分析提供支撐；

（3）目標(biāo)畫像算法：針對網(wǎng)絡(luò)空間實體及其關(guān)聯(lián)的實體、屬性及關(guān)系，對重點(diǎn)目標(biāo)進(jìn)行畫像，例如刻畫APT組織的背景、意圖、主要成員、攻擊手法、攻擊工具、歷史攻擊軌跡、攻擊規(guī)律與行為動態(tài)。

3 關(guān)鍵技術(shù)

開展網(wǎng)絡(luò)安全掛圖作戰(zhàn)工作，需要圍繞技術(shù)架構(gòu)中描述的要素抽取層、圖譜設(shè)計層和智能認(rèn)知層，采用一系列關(guān)鍵技術(shù)作為支撐，具體包括：

3.1 實體/關(guān)系抽取技術(shù)

當(dāng)前網(wǎng)絡(luò)安全攻擊已由傳統(tǒng)的漏洞掃描并利用單一漏洞實施滲透的方式，轉(zhuǎn)變?yōu)槔昧闳章┒?、水坑攻擊、魚叉攻擊、網(wǎng)絡(luò)流量劫持、社會工程等多種攻擊手段和技術(shù)相結(jié)合的方式，且隱藏手段也由單純的網(wǎng)絡(luò)代理轉(zhuǎn)變?yōu)閂PN（Virtual Private Network，虛擬專用網(wǎng)）、Tor（The Onion Router，洋蔥頭）等多種隱藏手段結(jié)合的方式。新型攻擊手段方法的層出不窮和網(wǎng)絡(luò)威脅態(tài)勢的快速演變，導(dǎo)致傳統(tǒng)單點(diǎn)防護(hù)的弊端越來越明顯，無法及時準(zhǔn)確地應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)安全威脅。

網(wǎng)絡(luò)安全威脅情報共享從一定程度上緩解了攻防不對稱的態(tài)勢，典型的如abuse.ch 針對僵尸網(wǎng)絡(luò)Zeus 進(jìn)行追蹤，并將新發(fā)現(xiàn)的命令和控制（C&C）服務(wù)器作為結(jié)構(gòu)化網(wǎng)絡(luò)安全威脅情報進(jìn)行共享，從而對全球僵尸網(wǎng)絡(luò)Zeus 的防御起到了重要作用。結(jié)構(gòu)化網(wǎng)絡(luò)安全威脅情報的信息準(zhǔn)確、規(guī)范性強(qiáng)，但由于缺少大量的網(wǎng)絡(luò)安全威脅背景信息，不易與其他威脅情報數(shù)據(jù)關(guān)聯(lián)分析，而具有豐富背景信息的威脅情報多以非結(jié)構(gòu)化報告的形式呈現(xiàn)，將這些非結(jié)構(gòu)化網(wǎng)絡(luò)安全威脅情報報告轉(zhuǎn)化為可機(jī)讀的結(jié)構(gòu)化網(wǎng)絡(luò)安全威脅情報，傳統(tǒng)上依賴于安全專家人工完成，耗時耗力。因此，研究人員開始研究如何對非結(jié)構(gòu)化的威脅情報進(jìn)行自動化的實體/關(guān)系抽取，將其轉(zhuǎn)換為可機(jī)讀的結(jié)構(gòu)化信息，以實現(xiàn)威脅信息的自動關(guān)聯(lián)分析[4-5]。

國內(nèi)外研究機(jī)構(gòu)在這方面開展了大量工作，并取得了一系列技術(shù)成果，典型的如RelExt方法[6]，采用深度學(xué)習(xí)算法進(jìn)行關(guān)系抽取以完善網(wǎng)絡(luò)安全知識圖譜。由于常用的機(jī)器學(xué)習(xí)算法需要配備高質(zhì)量的已標(biāo)注訓(xùn)練數(shù)據(jù)，這對于網(wǎng)絡(luò)安全實戰(zhàn)場景而言通常難以實現(xiàn)。因此，研究人員提出各種思路，降低實體/關(guān)系抽取對于已標(biāo)注訓(xùn)練數(shù)據(jù)的依賴性，例如，引入遷移學(xué)習(xí)[7]算法進(jìn)行網(wǎng)絡(luò)安全命名實體抽取方法，以期抽取非結(jié)構(gòu)化威脅情報中的關(guān)鍵要素將其轉(zhuǎn)化為結(jié)構(gòu)化信息，該方法將自然語言處理領(lǐng)域的Bert 模型[8]引入至網(wǎng)絡(luò)安全領(lǐng)域，用以生成非結(jié)構(gòu)化網(wǎng)絡(luò)安全威脅情報內(nèi)詞匯的詞向量，在僅具備少量網(wǎng)絡(luò)安全命名實體標(biāo)注數(shù)據(jù)集中訓(xùn)練條件隨機(jī)場，基于Bert生成的對應(yīng)詞向量，學(xué)習(xí)網(wǎng)絡(luò)安全命名實體相關(guān)詞匯與其他詞匯之間的轉(zhuǎn)換和依存關(guān)系，最后利用訓(xùn)練完成的模型從非結(jié)構(gòu)化威脅情報中抽取網(wǎng)絡(luò)安全命名實體[9]。

3.2 資產(chǎn)測繪技術(shù)

資產(chǎn)是網(wǎng)絡(luò)安全工作的核心對象，既可以是網(wǎng)絡(luò)安全保護(hù)目標(biāo)，也可以是實施網(wǎng)絡(luò)攻防對抗的工具或資源。資產(chǎn)測繪技術(shù)可以全面、精準(zhǔn)地掌控網(wǎng)絡(luò)資產(chǎn)狀況，發(fā)現(xiàn)資產(chǎn)漏洞隱患，明確資產(chǎn)拓?fù)浜托湃侮P(guān)系，掌握資產(chǎn)與行為主體間的關(guān)聯(lián)關(guān)系。圍繞網(wǎng)絡(luò)安全掛圖作戰(zhàn)需求，資產(chǎn)測繪技術(shù)需要實現(xiàn)以下能力：

（1）主動與被動相結(jié)合的資產(chǎn)信息采集：通過主動掃描和被動流量監(jiān)聽等方式，進(jìn)行資產(chǎn)探測、拓?fù)錅y量、資產(chǎn)定位等數(shù)據(jù)采集工作，掌握網(wǎng)絡(luò)和信息系統(tǒng)的重要對象、節(jié)點(diǎn)屬性、存活狀態(tài)、基礎(chǔ)服務(wù)、脆弱性等深度信息。

（2）多層次拓?fù)浒l(fā)現(xiàn)：基于拓?fù)涮綔y得到的基礎(chǔ)數(shù)據(jù)和被動采集得到的資產(chǎn)數(shù)據(jù)，分析智能化通信組網(wǎng)、第三方邊界組網(wǎng)等典型架構(gòu)，通過數(shù)據(jù)融合生成相應(yīng)的路由器級[10-11]、PoP（Point of Presence，接入點(diǎn)）級[12-13]和AS（Autonomous System，自治系統(tǒng)）級拓?fù)浣Y(jié)構(gòu)，實現(xiàn)拓?fù)渚W(wǎng)絡(luò)空間化?；跇?gòu)建的多層次網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，對重點(diǎn)目標(biāo)網(wǎng)絡(luò)進(jìn)行節(jié)點(diǎn)屬性和鏈路屬性的深度分析，獲取目標(biāo)網(wǎng)絡(luò)物理和邏輯鏈路屬性，并識別網(wǎng)絡(luò)拓?fù)潢P(guān)鍵節(jié)點(diǎn)和關(guān)鍵路徑，對網(wǎng)絡(luò)空間拓?fù)涞慕Y(jié)構(gòu)特征進(jìn)行分析。

（3）基于特征的時空屬性標(biāo)注：基于網(wǎng)絡(luò)安全大數(shù)據(jù)，利用空間計算、數(shù)據(jù)補(bǔ)全、深度學(xué)習(xí)等技術(shù)，從多維度挖掘網(wǎng)絡(luò)資產(chǎn)時空特征，從資產(chǎn)IP、行政地域、歸屬單位、物理環(huán)境、責(zé)任人、風(fēng)險溯源等維度對網(wǎng)絡(luò)資源進(jìn)行時空屬性標(biāo)注，構(gòu)建網(wǎng)絡(luò)空間與物理空間關(guān)系圖譜，為網(wǎng)絡(luò)資源與地理空間的映射提供基礎(chǔ)。

（4）跨空間融合分析：基于知識圖譜、關(guān)聯(lián)分析、聚類等多手段相結(jié)合的方法，從數(shù)據(jù)中挖掘高價值信息，分別從網(wǎng)絡(luò)拓?fù)?、資產(chǎn)屬性、目標(biāo)畫像3 個層次開展分析，并建立資產(chǎn)特征庫，構(gòu)建網(wǎng)絡(luò)資產(chǎn)圖譜，形成對目標(biāo)空間的深刻理解和認(rèn)識。

3.3 行為監(jiān)測與建模技術(shù)

行為監(jiān)測與建模技術(shù)是掌握和刻畫網(wǎng)絡(luò)主體行為，分析網(wǎng)絡(luò)安全目標(biāo)動向和綜合態(tài)勢的基礎(chǔ)。傳統(tǒng)的入侵檢測、動態(tài)沙箱、系統(tǒng)審計、用戶行為分析等均可歸屬于這一類。當(dāng)前，隨著新型機(jī)器學(xué)習(xí)算法的不斷涌現(xiàn)和改進(jìn)，利用智能化的機(jī)器學(xué)習(xí)算法對網(wǎng)絡(luò)行為進(jìn)行動態(tài)建模，使得行為監(jiān)測系統(tǒng)逐漸具備了針對未知攻擊行為的檢測能力。

傳統(tǒng)的機(jī)器學(xué)習(xí)算法主要是集中式學(xué)習(xí)[14-15]，把訓(xùn)練數(shù)據(jù)和檢測數(shù)據(jù)都集中到主服務(wù)器，使其所掌握的數(shù)據(jù)知識面更廣。然而，網(wǎng)絡(luò)安全數(shù)據(jù)的來源廣泛，其所處的物理位置、網(wǎng)絡(luò)區(qū)域、系統(tǒng)層次、安全級別均有所不同，即便在傳輸數(shù)據(jù)的過程中使用了密碼技術(shù)，依舊面臨著被破解的可能性，存在一定的數(shù)據(jù)安全隱患。因此，集中式學(xué)習(xí)在應(yīng)用于當(dāng)前網(wǎng)絡(luò)安全實戰(zhàn)場景時面臨技術(shù)挑戰(zhàn)。

為了解決集中式學(xué)習(xí)存在的數(shù)據(jù)隱私問題，以及分布式現(xiàn)場學(xué)習(xí)存在的數(shù)據(jù)孤島問題，機(jī)器學(xué)習(xí)的發(fā)展歷程進(jìn)入了聯(lián)邦學(xué)習(xí)階段。在合法合規(guī)的基礎(chǔ)上，參與各方處在一個聯(lián)邦機(jī)制之下，共同協(xié)作訓(xùn)練模型。訓(xùn)練完成的模型在各個參與者的區(qū)域僅為本地的目標(biāo)進(jìn)行服務(wù)，在各方共建模型時不會暴露底層節(jié)點(diǎn)的隱私信息，因此能夠保障數(shù)據(jù)隱私。通過“提取-分類-抽象”，引入聯(lián)邦學(xué)習(xí)的技術(shù)思路，對網(wǎng)絡(luò)空間海量要素進(jìn)行實體和虛擬兩種狀態(tài)特征的研究，構(gòu)建基于網(wǎng)絡(luò)空間要素本體、網(wǎng)絡(luò)威脅攻擊事理的多維度交疊、層次化漸進(jìn)的網(wǎng)絡(luò)空間要素表達(dá)模型，實現(xiàn)對正常通信行為的建模，涵蓋網(wǎng)絡(luò)通信的路由信息、IP 信息、服務(wù)指紋信息、地理位置信息、管理歸屬信息、網(wǎng)絡(luò)拓?fù)洹⑿袨橹黧w、行為參數(shù)等要素信息，同時結(jié)合實戰(zhàn)場景不斷驗證、修正，以支撐多維度、多粒度的網(wǎng)絡(luò)安全掛圖作戰(zhàn)需求。

3.4 智能挖掘推理技術(shù)

挖掘推理是引入智能化的挖掘算法和知識推理模型，實現(xiàn)對網(wǎng)絡(luò)安全主體及其行為動向的理解、洞察和預(yù)測預(yù)警[16]。當(dāng)前，在本文技術(shù)框架下采用的主流技術(shù)包括：

（1）基于行為機(jī)理的邏輯推理：如時間推理、空間推理、案例推理、本體推理等，其優(yōu)點(diǎn)是推理出的知識置信度高，對于在網(wǎng)絡(luò)空間中發(fā)生的已知類型的目標(biāo)行為與安全威脅事件，能夠做到精準(zhǔn)定位、快速發(fā)現(xiàn)，存在的問題是規(guī)則不易獲得、不全面，可計算性比較差，對未知的網(wǎng)絡(luò)空間動向情況無能為力。

（2）分布式圖譜表示推理：首先通過表示模型學(xué)習(xí)知識圖譜中的事實元組，得到知識圖譜的低維向量表示；然后，將推理預(yù)測轉(zhuǎn)化為基于表示模型的向量操作，此類方法能夠獲得知識圖譜更好的向量表示，對于海量的網(wǎng)絡(luò)空間目標(biāo)的流量日志所構(gòu)建的知識圖譜[17-18]，能夠做到計算方便快捷，計算效率高，然而由于在建模時通常只考慮滿足知識圖譜事實元組的約束，未考慮更深入的組合語義信息，且可能存在級聯(lián)誤差，從而導(dǎo)致了推理能力受限。

（3）神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)與推理：利用神經(jīng)網(wǎng)絡(luò)強(qiáng)大的學(xué)習(xí)能力[19-20]，建模知識圖譜事實元組，對知識庫中實體、屬性、關(guān)系和文本信息的利用率更高，推理效果更好，有很好的推理能力和泛化能力，然而與其他方法相比較，其復(fù)雜度更高，可解釋性更弱。

（4）圖神經(jīng)網(wǎng)絡(luò)推理認(rèn)知：圖神經(jīng)網(wǎng)絡(luò)推理模型在挖掘圖的未知關(guān)系方面具有較強(qiáng)的表現(xiàn)力，針對未知的潛在關(guān)系，通過引入圖神經(jīng)網(wǎng)絡(luò)推理機(jī)制，以充分挖掘構(gòu)建的網(wǎng)絡(luò)安全知識圖譜，發(fā)現(xiàn)未知網(wǎng)絡(luò)空間目標(biāo)或未知的用戶行為關(guān)聯(lián)關(guān)系[21]，從而有效拓展和豐富知識圖譜的內(nèi)容。

3.5 可視化表達(dá)技術(shù)

采用可視化技術(shù)描述網(wǎng)絡(luò)空間資源及其物質(zhì)載體，分析、構(gòu)建、繪制和顯示網(wǎng)絡(luò)安全知識及其相互聯(lián)系，動態(tài)構(gòu)建與生成網(wǎng)絡(luò)空間地理圖譜，為地理空間和網(wǎng)絡(luò)空間的數(shù)據(jù)表達(dá)、組織、管理以及利用提供更為有效的方式，是網(wǎng)絡(luò)安全掛圖作戰(zhàn)需要重點(diǎn)解決的技術(shù)問題。具體包括：

（1）可視化表達(dá)語法：圍繞網(wǎng)絡(luò)空間要素、關(guān)系、行為，利用開放表達(dá)語法，綜合考慮數(shù)據(jù)類別、語義、字段、內(nèi)容、表達(dá)條件、表達(dá)形式、表達(dá)關(guān)聯(lián)性等因素，實現(xiàn)網(wǎng)絡(luò)空間數(shù)據(jù)可視化的規(guī)范性；

（2）可視化表達(dá)模型：建立網(wǎng)絡(luò)空間本體及關(guān)系的圖層可視化表達(dá)構(gòu)件，形成本體、關(guān)系的可視化表達(dá)模型和網(wǎng)絡(luò)空間事理表達(dá)模型；

（3）網(wǎng)絡(luò)攻防可視化交互：面向網(wǎng)絡(luò)資產(chǎn)測繪、監(jiān)測發(fā)現(xiàn)、通報預(yù)警、事件處置等實戰(zhàn)場景，采用多類視圖相結(jié)合的方式，將網(wǎng)絡(luò)攻防實戰(zhàn)過程中關(guān)注的保護(hù)目標(biāo)、操作行為、攻擊組織、網(wǎng)絡(luò)資源在網(wǎng)絡(luò)空間地理圖譜中進(jìn)行映射，構(gòu)建面向網(wǎng)絡(luò)攻防實戰(zhàn)的動態(tài)可交互模型，全面展現(xiàn)網(wǎng)絡(luò)攻防過程的跨空間信息。

4 網(wǎng)絡(luò)安全掛圖作戰(zhàn)應(yīng)用

依據(jù)網(wǎng)絡(luò)安全掛圖作戰(zhàn)技術(shù)框架，在相關(guān)技術(shù)[22]支撐下，本文在電力行業(yè)某部門依托其網(wǎng)絡(luò)安全態(tài)勢感知平臺進(jìn)行了網(wǎng)絡(luò)安全掛圖作戰(zhàn)的實踐和應(yīng)用，實現(xiàn)了該部門所運(yùn)營目標(biāo)系統(tǒng)、目標(biāo)系統(tǒng)資產(chǎn)、專項網(wǎng)絡(luò)安全事件的掛圖作戰(zhàn)。

4.1 掛圖作戰(zhàn)實踐流程

基于本文前面所述網(wǎng)絡(luò)安全掛圖作戰(zhàn)技術(shù)框架開展實踐的流程如圖2所示。首先，接入網(wǎng)絡(luò)安全態(tài)勢感知平臺、網(wǎng)絡(luò)安全運(yùn)營中心、資產(chǎn)測繪工具等網(wǎng)絡(luò)時空大數(shù)據(jù)，并將多源異構(gòu)數(shù)據(jù)、原始監(jiān)測數(shù)據(jù)、基礎(chǔ)知識數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)進(jìn)行分類集成，在此基礎(chǔ)上進(jìn)行主題數(shù)據(jù)和資源數(shù)據(jù)的生產(chǎn)加工。接著，根據(jù)網(wǎng)絡(luò)安全行為和行為構(gòu)成元素之間的互作用機(jī)理進(jìn)行網(wǎng)絡(luò)安全圖譜本體、要素輪廓的設(shè)計，研制數(shù)據(jù)映射和要素提取組件，結(jié)合高速并行處理手段將海量數(shù)據(jù)以實體、實體屬性、實體關(guān)系的方式，轉(zhuǎn)換為地理環(huán)境、網(wǎng)絡(luò)環(huán)境、虛擬環(huán)境、業(yè)務(wù)主體維度的要素，每個要素對應(yīng)一個圖層；轉(zhuǎn)換為要素關(guān)系，包括圖層間維度內(nèi)關(guān)系、維度間關(guān)系，并在此基礎(chǔ)上構(gòu)造關(guān)系映射和圖層轉(zhuǎn)換邏輯。接著，通過上述提取組件、轉(zhuǎn)換邏輯循環(huán)、動態(tài)生成構(gòu)造輸出面向網(wǎng)絡(luò)安全行為認(rèn)知的圖譜，以直觀知識表示的形式進(jìn)行存儲，并借鑒地圖圖層疊加與點(diǎn)、線、面切換進(jìn)行圖譜化的分級呈現(xiàn)，以此支持圖譜分析和可視應(yīng)用。

圖2 電力行業(yè)網(wǎng)絡(luò)安全掛圖作戰(zhàn)實踐流程Fig.2 Practice flow of cyberspace security map warfare in power industry

在實踐中，本文對后門控制事件進(jìn)行了認(rèn)知方法、模型的研制，包括遠(yuǎn)程控制行為基本信息、遠(yuǎn)程控制行為特征的行為整體畫像，涉及惡意軟件特征、數(shù)據(jù)表特征、攻擊方IP 特征的遠(yuǎn)程控制行為特征刻畫。從網(wǎng)絡(luò)空間圖譜要素角度出發(fā)，形成了包括地理環(huán)境圖層、網(wǎng)絡(luò)環(huán)境圖層、虛擬主體圖層的圖層要素畫像；從不同視角出發(fā)，進(jìn)一步細(xì)化了包括攻擊方視角、受害方視角、監(jiān)管方視角的三方視角畫像；此外，基于網(wǎng)絡(luò)空間地理圖譜，對遠(yuǎn)程控制行為進(jìn)行認(rèn)知推理，包括受影響目標(biāo)挖掘、遠(yuǎn)程控制行為的隱含關(guān)系推理、基于遠(yuǎn)程控制關(guān)聯(lián)實體聚類的隱含關(guān)系推理，以此支撐行為要素上圖。

4.2 應(yīng)用效果總結(jié)

通過掛圖作戰(zhàn)實踐流程，我們構(gòu)建了后臺圖譜，并輸出如圖3所示電力行業(yè)某部門在網(wǎng)絡(luò)資產(chǎn)、監(jiān)測預(yù)警、事件處置直觀掛圖圖形，借助網(wǎng)絡(luò)空間的多級下鉆可為業(yè)務(wù)用戶提供概覽視圖、分級視圖、畫像視圖相結(jié)合、可動態(tài)切換的數(shù)據(jù)和業(yè)務(wù)圖形，部分提供了業(yè)務(wù)操作錨點(diǎn)，支撐業(yè)務(wù)人員開展業(yè)務(wù)工作。

圖3 電力行業(yè)網(wǎng)絡(luò)安全掛圖作戰(zhàn)應(yīng)用效果Fig.3 Application effect of cyberspace security map warfare in power industry

在電力行業(yè)某部門的掛圖作戰(zhàn)顯示：（1）基于網(wǎng)絡(luò)資產(chǎn)測繪的資產(chǎn)畫像在動態(tài)掌握部門資產(chǎn)底數(shù)方面，與傳統(tǒng)方式相比優(yōu)勢明顯，以掛圖為導(dǎo)向的資產(chǎn)畫像較為容易發(fā)現(xiàn)資產(chǎn)掌控問題；（2）海量網(wǎng)絡(luò)安全時空數(shù)據(jù)借助圖譜框架可比傳統(tǒng)的信息展現(xiàn)方式更有利于發(fā)現(xiàn)威脅攻擊數(shù)據(jù)缺項、重復(fù)、不足以支持網(wǎng)絡(luò)安全運(yùn)營等問題，直接驗證數(shù)據(jù)治理成效；（3）從底層數(shù)據(jù)出發(fā)面向業(yè)務(wù)實戰(zhàn)的圖譜構(gòu)建，為某部門網(wǎng)絡(luò)資產(chǎn)、監(jiān)測預(yù)警、事件處置分別提供了直觀表達(dá)視圖，在底層監(jiān)測手段有保障、行為模型不斷優(yōu)化的情況下，大大提升網(wǎng)絡(luò)安全技術(shù)手段對相關(guān)業(yè)務(wù)工作的支撐作用；（4）對后門控制事件的監(jiān)測分析協(xié)助電力行業(yè)某部門發(fā)現(xiàn)了前期未發(fā)現(xiàn)的各類隱患、問題，對防范網(wǎng)絡(luò)安全風(fēng)險起到了支撐作用，然因行為認(rèn)知需要有針對性研制和長期優(yōu)化，未覆蓋更多的事件和行為類型，對縱深防御能力的支撐有待后續(xù)進(jìn)一步驗證。

5 結(jié) 語

本文針對重要行業(yè)開展網(wǎng)絡(luò)安全掛圖作戰(zhàn)能力建設(shè)的需求，圍繞網(wǎng)絡(luò)安全實戰(zhàn)場景，提出了掛圖作戰(zhàn)的整體技術(shù)架構(gòu)，從要素抽取層、圖譜設(shè)計層、智能認(rèn)知層3個層次對掛圖作戰(zhàn)的技術(shù)體系進(jìn)行了梳理，并針對實體/關(guān)系抽取技術(shù)、資產(chǎn)測繪技術(shù)、行為監(jiān)測與建模技術(shù)、智能挖掘推理技術(shù)、可視化表達(dá)技術(shù)進(jìn)行了闡述，作為構(gòu)建面向網(wǎng)絡(luò)安全保護(hù)業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)空間地圖，全面支撐網(wǎng)絡(luò)安全威脅的實時監(jiān)測、態(tài)勢感知、監(jiān)測預(yù)警、分析研判、應(yīng)急處置工作，實現(xiàn)網(wǎng)絡(luò)安全“掛圖作戰(zhàn)”的參考依據(jù)。下一步，鑒于網(wǎng)絡(luò)掛圖作戰(zhàn)需要人工智能、大數(shù)據(jù)處理、可視化分析、可視化交互等眾多手段的支持，將在網(wǎng)絡(luò)安全掛圖作戰(zhàn)領(lǐng)域進(jìn)行行為建模、智能認(rèn)知、智慧可視技術(shù)方法、模型的進(jìn)一步研究與探索。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。