網絡安全態勢感知綜述之二
摘 要
上篇文章《網絡安全態勢感知綜述(一)》對網絡安全態勢感知的定義、模型構成、意義進行了闡述,本篇則主要對構建網絡安全態勢感知模型的網絡環境感知、態勢理解和態勢預測三個部分的建模過程和常用方法進行了分析,并對網絡安全態勢感知進行總結與展望。
如何構建網絡環境感知模型?
網絡環境感知是網絡安全態勢感知的基礎,網絡環境感知的過程包括數據采集、數據預處理和感知結果三部分。數據采集是基于網絡分析師的需求或者基于網絡安全態勢指標(脆弱性、容災性、威脅性和穩定性)對感知的網絡環境數據進行采集,為數據預處理提供原始數據。數據預處理是通過數據處理算法對原始數據進行標準化和分類處理,產生規范化數據,從中提取特征數據或態勢因子,保證數據的全面性和精確性,為態勢理解奠定基礎。
網絡環境數據復雜多樣,為了全面地提取特征數據或態勢因子,研究者針對數據的不同特征,提出多種數據處理算法并得到規范化數據,實時保存感知到的網絡數據,從而提高網絡環境感知的速度和效率。常用的算法有條件隨機場和進化神經網絡的態勢因子提取方法。
- 條件隨機場是判別式概率模型,通過標注或分析信息對數據進行預處理,獲取特征數據。
- 基于進化神經網絡的態勢因子提取方法是以神經網絡算法為基礎,采用進化策略優化神經網絡參數,建立進化神經網絡模型,提取態勢因子,實現網絡安全態勢感知量化,解決信息不全面的問題。
除此之外,其他研究者還采用了聚類分析和可擴展的分層數據模型等方法。
如何構建態勢理解模型?
態勢理解是網絡安全態勢感知的核心,通過分析特征數據或態勢因子之間的相關性得到影響網絡安全態勢的強相關因素,依據這些強相關因素,識別網絡攻擊,定位網絡脆弱點,檢測網絡威脅。在此之后,評估已有攻擊造成的損失和危害,并同時通過計算網絡威脅的頻率和分析網絡脆弱的程度來評估安全事件發生的可能性,得到評估數據。依據這些評估數據來制定決策,執行主動防御反饋到網絡環境,從而提高網絡環境的防御能力,實現安全防護。
為了實現網絡安全防護,研究者常用的方法有自適應共振理論模型、貝葉斯網絡分類器和博弈模型。
- 自適應共振理論模型能夠自適應網絡動態環境,識別網絡攻擊,定位網絡脆弱點。
- 貝葉斯網絡分類器解決特征數據不確定性問題,分析網絡流量,檢測網絡威脅,對網絡攻擊的不同特征進行分類以評估其造成的損失。
- 博弈模型用來評估攻擊、防御雙方產生的風險,刻畫動態攻防過程,主動尋找最優防御策略,實現安全防護,降低風險損失。
除此之外,其他研究者還采用網絡流量分析技術和基于深度學習的多級彈性檢測框架等方法。研究人員將自適應共振理論、貝葉斯網絡分類器及博弈模型等方法應用于網絡安全領域,可以處理網絡事件、降低人工成本、檢測網絡攻擊、分類網絡流量、檢測實時消息、開展態勢評估及實施主動防御。
如何構建態勢預測模型?
態勢預測是網絡安全態勢感知的目的,依據態勢理解輸出的評估數據,找出網絡攻擊的潛在規律,確定潛在的網絡威脅,以此為基礎來預測網絡安全狀況,包括預測網絡攻擊者的下一步行動、網絡攻擊的次數和網絡安全狀態的發展趨勢,得到預測數據,再通過分析這些預測數據來制定決策,執行主動防御反饋到網絡環境,從而提高網絡環境的防御能力,實現安全防護。
為了在網絡攻擊發生之前主動采取防御措施,加強網絡安全防護。研究者常用自回歸整合移動平均預測模型、隱馬爾可夫模型和灰色預測模型。
- 自回歸整合移動平均預測模型分析歷史網絡數據,預測網絡攻擊次數和攻擊者下一步行動。
- 隱馬爾可夫模型在網絡攻擊數據不確定情況下,克服對網絡數據完整性的依賴,預測網絡安全發展趨勢,采取預防措施執行主動防御。
- 灰色預測模型對既有已知信息,又有未知或不確定信息的網絡系統進行預測,不僅可以提高模型的預測精度,還能準確地預測網絡安全發展趨勢。
除此之外,其他研究者還采用遞歸神經網絡的新型惡意軟件預測模型、信念規則庫模型和RiskTeller風險預測模型等方法。研究人員將自回歸整合移動平均預測模型、隱馬爾可夫模型及灰色預測模型等方法應用于網絡安全領域,可以處理預測攻擊次數、預測攻擊者下一步行動、預測網絡安全發展趨勢、處理不確定信息、縮短預測時間、預測網絡事件的風險、提高預測精度及實施主動防御。
總結與未來展望
網絡安全態勢感知作為一種實現安全防護的新興技術,得到學術界和企業界的廣泛關注,已有一系列研究成果。本文梳理了網絡安全態勢感知基本概念并提出了網絡安全態勢感知的定義;依據網絡安全態勢感知過程構建了網絡安全態勢感知模型,并將其分為網絡環境感知、態勢理解和態勢預測三個部分,介紹了各部分的研究過程、研究方法以及研究目的;描述了網絡安全態勢感知意義;對模型的各部分建立網絡環境感知模型、態勢理解模型和態勢預測模型,并描述各部分的建模過程、常用方法及其能夠實現的功能。
未來展望:
- 現有網絡安全態勢感知技術沒有固定且統一的模型,研究人員根據網絡安全需求的變化建立不同的模型。
- 已有工作側重于對網絡環境感知、態勢理解和態勢預測某個部分的研究,沒有整體的研究方法與通用的標準模型。
- 與傳統的安全設備檢測方式相比,網絡安全態勢感知技術需要在網絡攻擊發生之前阻止攻擊行為,這就要求與網絡環境狀態保持高度一致。
- 現有的網絡安全態勢感知技術在根據網絡環境進行實時動態調整的能力上還有所欠缺,已有的網絡安全態勢感知框架與網絡環境契合度有待完善。
