2.2　網絡安全態勢感知系統的關鍵技術

網絡安全態勢感知系統的關鍵技術主要包括數據采集與特征提取、攻擊檢測與分析、態勢評估與計算、態勢預測與溯源、態勢可視化等，如圖2-2所示。

2.2.1　數據采集與特征提取

網絡安全態勢感知的數據采集方式多樣，不僅包括設備自帶的各種數據采集工具，還包括可搭載在網絡系統中的各類輔助性設備，如防火墻、入侵檢測系統、探針等。數據采集面臨的難點是數據體量大、數據種類多，如果采集所有的數據，將面臨數據過載的問題，因此需要根據網絡安全要素設計相應的特征，對符合特征的數據進行靶向數據采集。

數據采集與特征提取主要涉及的關鍵技術包括數據模型的定義、基于特征的數據采集、數據融合等。

2.2.1.1　數據模型的定義

數據模型的定義主要針對需要采集的數據格式、內容等進行定義，通常需要定義數據結構、數據操作、數據約束［1］。數據結構描述了數據的類型、組成、性質和數據間的關系等，是數據模型的基礎，并從概念語義和實現技術上對數據操作和數據約束提供支持。不同的數據結構對應的數據操作和數據約束也不同。數據操作是在數據結構的基礎上，針對不同類型的數據進行計算、推理約束和規則，是對操作符和操作方法的無歧義性約定。數據約束是在數據結構的基礎上，結合業務語義，定義不同類型、不同結構的數據的數值、詞法、語法、關聯關系、依存關系的取值、計算和推理約定，確保數據正確、有效和相容。

數據模型的定義是采集和融合網絡安全態勢感知所需信息的關鍵，涉及定義主體業務數據、定義數據輸入/輸出格式、定義數據收集與集成模式等。通過規范統一的數據模型定義，可以解決由于網絡安全態勢感知中需要處理多種傳感器、異構數據源、高速大流量數據流而給數據采集和信息融合帶來的難題［3］。另外，也可以將數據模型的內涵進行拓展，使數據模型包含實體和關系等，進而規范數據分析和可視化范式［4］，支持威脅評估［5］。需要強調的是，數據模型不僅需要定義實體、事件、任務、結果等主要業務數據的格式和語義，還需要清晰地定義與實體和事件的上下文語義相關的信息［6］。

數據模型通過定義需要采集數據的格式、結構等，支持對采集到的網絡安全數據進行高效存儲及管理，并能提高數據融合的效率。

2.2.1.2　數據采集

數據采集又稱數據獲取，是指從傳感器和其他待測設備等被測單元中自動采集信號，送到上位機中進行分析和處理［7］。數據采集系統是利用計算機軟件、專用數據采集硬件設備、采集數據生成平臺內置數據推送適配器等實現的用戶可定制、自動執行的測量系統。根據采集的數據規模來劃分，數據采集可分為采樣式數據采集和全樣本數據采集。采樣式數據采集是隔一定時間或空間（采樣周期）對同一采集點重復采集；全樣本數據采集指收集采集點的所有狀態數據。網絡安全態勢感知系統中的數據采集和傳統的數據采集不一樣，通過采樣式數據采集方法很難保證采集到所有關鍵的敏感數據，可能導致系統不能及時準確地發現針對網絡系統的攻擊行為；通過全樣本數據采集方法需要對所有的網絡安全數據進行采集，數據體量太大、數據動態變化快、數據種類繁多，不僅給數據的有效存儲和管理帶來巨大難度，并且可能導致系統不能及時高效地檢測網絡安全事件。

數據采集是網絡安全態勢感知的基礎，在網絡安全態勢感知中需要設計靶向數據采集方法。具體而言，網絡安全數據包括多種維度信息，如資產維度信息、漏洞維度信息、威脅維度信息。數據采集，需要根據各種維度信息設計相應的規則，形成數據采集的特征，并對符合特征的數據進行靶向采集。例如，從資產維度需要采集網絡和主機狀態信息、服務狀態信息、鏈路狀態信息、資源配置信息等，從漏洞維度需要采集漏洞信息、補丁信息等，從威脅維度需要采集攻擊行為的特征信息、威脅情報信息等。是否能準確、高效地采集網絡安全數據直接決定著網絡安全態勢感知的結果［8］。針對不同維度的數據，目前的釆集方式主要包括日志釆集方式、協議采集方式、利用集成化網絡采集工具的采集方式等［9］。

2.2.1.3　數據融合

網絡安全態勢感知中采集的數據來源多、種類復雜，需要對多源異構數據進行有效融合，以消除大規模網絡環境中獲取的數據的差異性，并將數據融合進行關聯分析。在多源異構網絡中采集的有關網絡安全的數據是極其不規范的。有的數據是動態的，有的數據是靜態的，有的數據是離散的，有的數據是連續的；有的數據是重復的，有數據是互補的。數據融合的過程是一個剔除冗余數據、對數據格式進行標準化處理、對數據進行變換等，從而實現對網絡安全事件的一致性描述的過程［10］。

數據融合的方式有很多，在態勢感知中，對于處理多源異構數據的研究已經比較成熟，已有的理論和方法各具特點與優勢。其中，貝葉斯網絡具有神經網絡和圖論的優點，基于概率理論來處理不確定性，提供了一種將知識直覺地進行圖解以實現可視化的方法；D-S證據理論引入了對不確定性的量化表示，和對當前未知事實的形式化描述，可以用精確度的方式定義信息與事實的等級；粗糙集理論借助模糊邏輯計算，從海量、異構、多源的數據中發現數值關系、行為規律，并將這些結論形成可復用的、形式化的邏輯規則；“安全態勢值”的方法具有非線性時間序列的特點，而神經網絡具有處理非線性數據的優勢；“賽博空間入侵者”的方法具有相對確定的意圖，采用意向圖進行意圖識別，形成一種新穎的研究方式，將隱馬爾可夫模型用于意圖識別，能夠從多傳感器融合數據，得到正確地識別與認知；另外還有學者將博弈論應用于網絡空間防御方面的研究，例如，采用馬爾可夫博弈論模型，利用分布式結構有效地為網絡空間的不確定因素進行建模，從而能很好地抓住網絡沖突的性質［11］。

數據變換是對數據進行規范化歸并或轉換，以便于后續的數據分析、統計和信息挖掘。常見的數據變換包括對數據進行各種處理：平滑處理，即通過統計、擬合、回歸、聚類等方式，發現、去除或修訂數據中的噪聲；合計處理，即對數據進行總結或合計操作，常用于構造數據立方或對數據進行多粒度的分析；數據泛化處理，即通過拓展、規約、抽象等方法，用抽象的概念替換具體的對象，用高層次規則描述具體的數據；規格化處理，即將目標對象的可量化屬性和特征，從一個跨度較大或較廣的范圍，映射到一個相對較小的特定范圍內，并保持原始屬性的統計特性；屬性構造處理，即根據已有屬性集構造新的屬性，以提高數據處理的效果。

通過數據融合，態勢感知系統可以對多源異構的網絡安全數據進行有效整合，并將最關鍵的數據提供給分析師。

2.2.2　攻擊檢測與分析

通過對數據進行關聯分析有助于實現對網絡攻擊事件的有效檢測。傳統的攻擊檢測與分析技術主要通過使用特征庫和攻擊行為規則庫來實現，并對歷史發生的攻擊事件進行總結。利用針對單步攻擊形成的特征庫，當采集的數據符合單步攻擊的特征時，便能直接檢測出該單步攻擊行為；利用針對多步攻擊事件形成的攻擊行為規則庫，當采集和分析出的攻擊行為符合對應的規則時，便能實現針對多步攻擊事件的檢測。但是上述攻擊檢測與分析方法很難用于對有效攻擊的檢測中，并且缺乏從人類分析師角度出發的理解和檢測網絡安全事件的認知過程。

在網絡安全態勢感知中實現攻擊檢測和分析，需要對人類的認知過程進行建模，采用抽象的概念模型進行表示，建立符合網絡安全態勢感知的認知模型，以便支持基于模型的攻擊檢測與分析。相關的技術主要包括本體模型、認知模型、關聯分析、攻擊檢測等。

2.2.2.1　本體模型

本體模型是從客觀世界中抽象出來的一個概念模型。這個模型包含某個學科領域內的基本術語和基本術語之間的關系（或者稱為概念及概念之間的關系）。本體不等同個體。本體是團體的共識，是相應領域內公認的概念集合。這里所說的概念集合的內涵包括四層含義：將相關領域的知識表述為概念；通過概念表述的知識應明確且沒有歧義；要將知識形式化地表述出來；知識的表達是要利于共享的。

網絡安全態勢感知的對象及環境比較復雜，存在對象屬性難以量化、語義難以描述的困難。在態勢感知過程中，面臨著態勢要素語義結構不同、數據缺失與數據冗余并存等難題。本體模型能夠全面有效地描述網絡安全態勢，將網絡安全各類數據和指標要素抽象分類并歸納為實體、屬性以及關聯關系，建立由安全事件的上下文環境、攻擊行為的特征信息、當前已知的和系統現存的漏洞靜態信息以及目標網絡的歷史和當前流量數據等組成的網絡安全態勢描述模型［12］。依托網絡安全態勢感知的本體模型，可以解決態勢對象屬性難以量化和規范、語義描述難以統一和共享等問題。依托本體的規范化描述特征，可以利用通用的推理方法，結合用戶制定的約束條件，進行知識和事件推理［13］。

2.2.2.2　認知模型

認知模型源于心理學研究領域，是人類對真實世界進行認知的過程模型。在認知行為中，通常包括感知對象、注意目標、形成概念、知識表示與推理、記憶留存與更新、信息傳遞與共享等。人們通過建立認知模型研究人類的思維機制、與環境的感知交互機制、人與人之間的集體認知機制等，指導設計和實現智能化或智能輔助系統。較早被提出的經典“3M”模型是認知模型的代表，“3M”表示事物是什么（What）、如何（How）、為什么（Why）。

網絡安全態勢感知引入認知模型，從注意力機制角度“理解并解釋態勢”［14］。網絡空間安全態勢感知面臨著數據量大、攻擊形態多樣易變、網絡環境復雜、對抗性強等挑戰，而且，在人的認知能力、注意力機制的限制下，使態勢感知必須借助輔助工具，以深刻理解并解釋態勢，達到“感”和“知”的目的。因此，認知模型在網絡安全態勢感知應用場景下，必須從環境、行為和過程等不同層面實現“智能化輔助”［15］。

構建認知模型是為了將人類分析師理解網絡安全態勢感知的過程進行自動化建模，從而實現自動化的態勢理解過程，以便支持對網絡攻擊事件進行有效檢測。

2.2.2.3　關聯分析

關聯分析又稱關聯挖掘，就是在行為記錄、關系數據或其他信息中，查找存在于項目集合或對象集合之間的相關關系，包括值相關關系、語義相關關系、共現關系、因果關系等。關聯分析用于描述多個變量之間的關聯。如果兩個或多個變量之間存在一定的關聯，那么其中一個變量的狀態就能通過其他變量進行預測。例如，房屋的位置和房價之間的關聯關系或者氣溫和空調銷量之間的關系。

在網絡安全態勢感知場景中，關聯分析用于發現網絡安全數據在時間、空間、序列等表層關系，并結合資產維度、漏洞維度、威脅維度的信息，通過安全攻擊事件溯源和復盤，發現攻擊活動與安全數據、安全事件及攻擊模型等的語義關系，從而為實現自動化檢測網絡攻擊事件提供支持。

2.2.2.4　攻擊檢測

傳統的攻擊檢測是通過使用流量分析、負載分析、行為分析等技術，以及基于經驗和基于機器學習生成規則的方法，發現并驗證網絡中的攻擊行為或可疑行為。在網絡安全態勢感知中，攻擊檢測主要基于日志、流量、負載、協議等數據，通過關聯分析和規則匹配等方法，識別網絡或系統中的惡意行為。在構建本體模型和認知模型以后，通過模型進行推理實現對網絡攻擊事件的檢測。

2.2.3　態勢評估與計算

對網絡安全態勢進行評估與計算是全面、準確、實時反映網絡安全態勢的重要手段。態勢評估一般可分為定性評估和定量評估。其中，定性評估是由評估者根據自己的經驗和認知，對網絡系統面臨的非量化指標進行評估；定量評估是對所要評估的元素根據一定的標準進行量化，對量化后得到的數據采用數學方法或數學模型進行分析和計算。態勢評估與計算涉及的主要關鍵技術包括指標體系的構建、對網絡系統風險的評估。

2.2.3.1　態勢評估指標體系

態勢評估指標體系是根據網絡安全態勢感知中威脅評估、影響評估、能力評估等，定義相關的指標體系及其評估模型。一般而言，態勢評估指標體系包括從漏洞維度、威脅維度、資產維度建立的度量指標。其中，漏洞維度的度量指標包括單個漏洞的度量指標和網絡漏洞的總體度量指標；威脅維度的度量指標包括單個攻擊的度量指標和整個網絡面臨攻擊的度量指標；資產維度的度量指標包括工作任務的度量指標和資產度量指標等。通過不同維度的度量指標，形成整個網絡安全態勢感知系統的多層次、多維度、多粒度的指標體系。

2.2.3.2　風險評估與計算方法

風險評估是網絡安全態勢感知的核心要素，準確計算當前網絡系統面臨的安全風險有助于分析師制定針對系統的防護措施。如上述態勢評估指標體系所述，風險評估與計算需要根據指標體系中對不同維度評估指標的定義，融合各類安全設備數據，借助某種數學模型經過形式化推理計算，得到當前網絡態勢中某一目標在某層面上的安全、性能等評估值。按照風險評估與計算方法的不同，網絡安全態勢評估可以分為定量評估和定性評估。不同評估方式所采用的方法不同，各種方法均有優點和不足。定性評估方法主要包括調查問卷法、邏輯評估法、歷史比較法和德爾菲法等，其優點是可以挖掘出一些蘊藏很深的思想，使評估的結論更全面、更深刻。定量評估方法主要包括貝葉斯技術、人工神經網絡、模糊評價方法、D-S證據理論、聚類分析等，具有結果更直接、更客觀，依據更科學、更嚴密等優點。

2.2.4　態勢預測與溯源

態勢預測是對當前網絡安全態勢未來將如何演化的展望，以及對未來態勢中安全元素的預期，是態勢感知的最高層級。網絡安全態勢預測的內容包括對當前正在發生的網絡攻擊事件的演化進行預測、對未來可能發生的網絡攻擊行為進行預測，以及對網絡安全整體態勢進行預測等。傳統態勢感知的最高層級即為態勢預測，而網絡安全態勢感知除了進行態勢預測，還要進行溯源，這是實現主動防御的關鍵技術。網絡攻擊溯源是指還原攻擊路徑，確定網絡攻擊者身份或位置，找出攻擊原因等。通過攻擊溯源可以幫助分析師有針對性地制定安全策略，能顯著地降低防御成本，大幅度地提升防御效果。具體而言，態勢預測與溯源包括的關鍵技術為構建預測模型、攻擊預測、攻擊溯源、取證分析等。

2.2.4.1　構建預測模型

一般概念上的預測模型是指用數學語言或公式描述和預測事物間的數量關系。預測模型在一定程度上揭示了事物間的內在規律。構建預測模型是態勢預測與溯源的基礎工作。在做態勢預測時可以把預測模型作為計算預測值的直接依據。因此，預測模型對預測準確度有極大的影響。任何一種具體的預測方法都是以其特定的數學模型為特征的。預測方法的種類有很多，各有相應的預測模型［16］。

在網絡安全態勢感知應用中，預測模型主要針對攻擊事件、攻擊對網絡部件及業務任務的影響這兩個方面來構建。傳統網絡安全事件預測主要采用時間序列預測［17］、回歸分析預測［18］和支持向量機預測［19］等方法。當前基于知識推理的網絡安全事件預測主要采用攻擊圖方法［20，21］，對攻擊行為［22］、攻擊能力及意圖［23］、攻擊模式等進行預測［24］。

2.2.4.2　攻擊預測

攻擊預測是指根據當前及歷史網絡安全數據，結合已經形成的網絡安全知識，通過推理的方法預測攻擊的未來動向，包括攻擊路徑、攻擊目標、攻擊意圖等［25］。如構建預測模型所述，攻擊預測的常用方法包括基于時間序列的預測、基于回歸分析的預測、基于支持向量機的預測等傳統預測方法，以及基于攻擊圖的預測等知識推理預測方法。

2.2.4.3　攻擊溯源

攻擊溯源是指利用網絡溯源技術查找并確認攻擊發起者的信息，包括地址、位置、身份、組織甚至意圖等，還原攻擊路徑，找出攻擊原因等。攻擊溯源分為應用層溯源和網絡層溯源，在將應用層行為體、目標體等關聯映射到網絡層標識，如IP地址，從而將應用層的溯源活動轉化為網絡層的溯源操作。在網絡安全態勢感知中，攻擊溯源是攻擊預測的重要基礎或前提，也可為理解當前態勢和復盤分析歷史安全事件提供手段。

2.2.4.4　取證分析

取證分析是攻擊溯源操作的組成部分，根據分析的環境目標對象，可以分為網絡取證、系統取證、業務取證。網絡取證是指通過網絡設備日志，提取分析協議層次的通信行為、路徑和流量等特征數據，發現攻擊活動的網絡軌跡；系統取證是指通過計算機的系統日志，提取分析主機系統內及相關系統間的活動記錄，發現針對計算機系統的攻擊活動痕跡；業務取證是指針對服務系統的業務日志，提取分析業務軟件層面的操作記錄，發現穿透網絡和計算機系統到達業務系統的惡意破壞行為。

2.2.5　態勢可視化

實現態勢可視化要依托信息可視化技術。信息可視化技術是一套關于信息轉化、圖形顯示和人機交互的技術，運用圖形或圖像計算技術，按照認知交互理論，將抽象、復雜的信息內容或數值關系轉換為直觀、易讀的圖形或圖像，并顯示在電子或虛擬屏幕上。在網絡安全態勢感知過程中，人類通過可視化技術提供的交互手段感知態勢信息，包括安全數據的展示、為發現攻擊事件而通過迭代進行的數據分析統計等活動?？梢暬K與網絡安全態勢感知的各個階段息息相關，是實現統一協作的核心技術。信息可視化是一種視覺感知手段，能夠激發并支持使用者的認知主動性，并以交互的方式強化使用者對信息的深度理解［26］。態勢感知系統集成可視化模塊，以大數據、機器學習、深度分析、可視化為技術基礎，將威脅情報分析、安全策略解析、異常流量監測、日志深度挖掘、攻擊發現溯源和安全事件響應等多種功能進行融合集成，實現對網絡安全態勢的實時感知、對攻擊行為的準確發現和預測，提升用戶網絡的安全運行、管理和維護效率。