精品文档
态势感知研究和应用现状
0、定义
0.1态势感知
“态势感知”这个词最早源于军事。美国研发的各类导弹预警系统,就是这个概念最初的应用。公认的态势感知概念是:在特定时空下,对动态环境中各元素或对象的感知、理解以及对未来状态的预测。 0.2网络态势
网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 0.3网络态势感知
网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。[3] 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势。 0.4网络安全态势感知
网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取有效措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。[7] 0.5深度态势感知
深度态势感知的含义是“对态势感知的感知,是一种人机智慧,既包括了人的智慧,也融合了机器的智能(人工智能)”,是能指+所指,既涉及事物的属性(能指、感觉)又关联它们之间的关系(所指、知觉),既能够理解弦外之音,也能够明白言外之意。它是在Endsley以主体态势感知(包括信息输入、处理、输出环节)的基础上,是包括人、机(物)、环境(自然、社会)及其相互关系的整体系统趋势分析,具有“软/硬”两种调节反馈机制;既包括自组织、自适应,也包括他组织、互适应;既包括局部的定量计算预测,也包括全局的定性算计评估,是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择-预测-控制体系。从某种意义上讲,深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动(如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反馈等)的综合体现。既能够在信息、资源不足情境下运转,也能够在信息、资源。 1欢迎下载
精品文档
超载情境下作用。[11] 1、研究现状
1.1网络安全态势体系结构
网络安全态势体系结构的实现形式主要有: C-S模式、 B-S 模式、三层模式的 B-S 结构、基于 agent 的模型以及基于云计算的感知模式。基于 agent 的模型是目前应用比较广泛的方式,具有动态执行、异步计算、并行求解及智能化路由的优点,极大地提高态势感知的速度与效率。大连理工大学许彪提出基于智能 agent 的网络安全预测模型,充分发挥 agent 的独立性和可扩展性等优点。东北石油大学卢爱平等提出基于移动 agent 的网络安全态势感知模型,体现网络安全态势框架的动态化和分布式。中国电力科学研究院蒋诚智等提出基于智能 agent 的电力信息网络安全态势感知模型,在数据采集层、评估分析层、协调管理层和态势决策层等部署 agent,对电力信息网络安全监控和管理有一定的指导意义。哈尔滨工程大学郭方方等提出基于一种云计算的四层网络安全态势感知模型研究,有效解决节点处理能力不足的问题,解决了网络态势信息生成准确性的问题。云计算的分布式文件存储方法和并行计算方法能够很好地解决大规模数据的高效存储和处理问题。基于云计算的网络安全态势感知模型及方法的研究是网络安全防护领域的新方向,但是该技术目前还处于研究阶段。[10] 1.2网络安全态势感知方法
当前态势评估方法主要包括贝叶斯网络理论、隐马尔可夫模型、 D-S 证据理论、模糊逻辑等。 电子工程学院熊杰等研究贝叶斯网络的推理模型及信息传播算法并验证其有效性。空军工程大学方研等提出基于隐马尔科夫模型的网络安全态势评估方法。西安邮电学院李胜现等提出基于改进隐马尔可夫模型的网络动态风险评估方法,使用改进蚁群算法训练隐马尔可夫模型。南京理工大学孟锦等提出改进的时变 D-S 证据理论方法对多传感器的证据进行融合。很多学者采用多种评估相结合的方法,如刘炜等利用模糊识别和 D-S 证据理论,较好地解决多样本识别的不一致问题,有效地对识别结果进行融合。宁波大学张红兵等提出用模糊逻辑和贝叶斯网络技术结合的方法处理随机环境中的态势评估。哈尔滨工程大学司加全提出自适用模糊神经推理系统,采用神经网络与模糊系统相结合的评估方式。[10] 1.3网络安全态势预测
目前有很多预测方法,如神经网络、灰色理论、时间序列分析和支持向量机等。上海交通大学任伟等利用径向基函数(Radial–BasisFunction,RBF)神经网络方法对网络安全态势进行了预测。广东工业大学尤马彦等提出基于Elman神经网络的网络安全态势预测方法。哈尔滨工程大学张永波研究灰色系统理论在预测模型中的应用。林肯实验室的 Braun 和 Jeswani 以及 Lu 等利用支持向量机作为融合技术,对多源、多属性信息进行融合,从而产生对态势的感知。南京邮电大学瓮乾村提出基于粒子群优化的支持向量机预测方法。综合目前网络安全态势预测算法的优缺点,很多研究人员采用多种预测方式相结合的方式对态势进行预测。如辽宁行政学院姚晔提出基于熵值法的网络安全态势组合预测模型。江西理工大学曾斌等提出一种遗传算法和支持向量机相结合的网络安全态势预测模型。[10] 2、应用现状
。 2欢迎下载
精品文档
2.1态势感知的提出
1)传统的安全设备、软件和系统无法有效应对新的威胁
传统的安全设备、软件和系统不懂得新出现的违规和异常的意义和逻辑,只是单纯的依赖特征库匹配进行着机械式的拦截/放行判断,无法去有效判断敌人,防护也无从说起,即传统安全防御手段对未知威胁没有防御作用,主要体现在:攻击者与防御者在信息上不对称;缺少本地原始数据,难以溯源分析;缺少能在海量数据中快速分析的工具;无法对信息系统内的海量数据进行有效利用。[12] 2)安全技术专家能力有限
虽然,攻击者留下的访问痕迹若是给有经验的安全技术专家,很可能可以熟练地从海量信息中分析出来,但我们又不可能一直依靠专家24小时进行攻击分析。
3)需要基于大数据分析实现安全监测预警
基于以上两点,需要将不眠不休与安全专家的分析能力结合起来。这一点,所有厂商都有了共同的认知,那就是基于大数据分析实现安全监测预警——安全态势感知。
2.2态势感知的三个阶段:
目前厂商普遍认为态势感知可以分为三个阶段:态势认知、态势理解和态势预测。[1]