网络安全态势感知理论与技术综述及难点问题研究

网络安全态势感知理论与技术综述及难点问题研究*

韩晓露1，刘云1，张振江2，吕欣3，李阳3

【摘 要】[摘要]根据网络安全态势感知理论国内外发展现状，研究网络安全特征要素提取、网络安全态势评估和网络安全态势预测等关键技术主要方法研究现状及优缺点，分析当今大数据环境的安全风险和挑战以及大数据环境下网络安全态势感知面临的技术难点问题，对未来大数据环境下网络安全态势感知未来研究方向进行总结和展望。 【期刊名称】信息安全与通信保密 【年(卷),期】2024(000)007 【总页数】11

【关键词】[关键词]网络安全；态势感知；态势评估；态势预测；大数据 *基金项目：中国博士后科学基金（No.2016M591135）

1 网络安全态势感知模型研究现状

随着信息技术的快速发展，各种网络及应用越来越多涉入社会和人们的生活，云计算、大数据、物联网技术的兴起，网络的结构、规模、数据、应用也越来越复杂，网络安全问题日益成为关注的焦点。为了解决各种各样的安全问题，网络安全态势感知作为网络安全主动防御的新技术，逐渐成为目前研究热点之一。

1.1 国外网络安全态势感知模型研究

网络安全态势感知模型是开展网络安全态势感知研究的前提和基础，国外研究的网络安全态势感知模型主要有JDL模型[1]、Endsley模型[2]和Tim Bass模型[3]等。

1.1.1 JDL 模型

JDL(Joint Directors of Laboratories)模型是面向数据融合的模型。JDL模型包括五级处理，首先是对来自信息源的数据预处理，包括操作系统及应用程序日志、防火墙日志、入侵检测警报、弱点扫描结果等；然后是一级处理，主要是对数据进行分类、校准、关联、融合，并对精炼后的数据进行规范；数据精炼后进入二级处理，主要是对融合后的数据信息进行态势评估，评估当前的安全状况；三级处理是对威胁进行评估，评估当前威胁，包括未来可能发生的攻击等，以及威胁演变趋势；四级处理是对过程进行精炼，通过动态监控信息的反馈不断优化过程；五级处理是对认知精炼，根据监控结果不断改善人机交互方式，提高交互能力和交互效率[4]。 1.1.2 Endsley 模型

Endsley模型包括态势觉察、态势理解、态势预测3个层次级别。第1级为态势要素提取，主要从海量数据信息中提取网络安全态势信息，并转化为统一的数据格式，为网络安全态势理解做准备；第2级为网络安全态势理解，通过对网络安全态势提取的特征要素分析，确定要素之间的关系，并根据分析对象所受到的威胁程度理解/评估当前网络安全状态；第3层为网络安全态势预测，主要依据历史网络安全态势信息和当前网络安全态势信息预测未来网络安全态势的发展趋势，并根据系统目标和任务，结合专家的知识、能力、经验制定决策，实施安全控制措施。 1.1.3 Tim Bass 模型

Tim Bass模型是针对分布式入侵检测提出的融合模型。Tim Bass模型基于入侵检测的多传感器数据包括四级，第0级为数据精炼，主要负责提取、过滤和

校准入侵检测的多传感器原始数据；第1级为对象精炼，将数据规范化，统一格式后，进行关联分析，提炼分析对象，按相对重要性赋予权重；第2级为态势评估，根据提炼的分析对象和赋予的权重评估系统的安全状况；第3级为威胁评估，主要是基于网络安全态势库和对象库状况评估可能产生的威胁及其影响；第4级为资源管理，主要负责整个态势感知过程的资源管理，优化态势感知过程和评估预测结果。

此外，诸如加拿大国防部、美国CERT组织、美国圣地亚国家实验室、 美国哈佛大学、美国空军实验室等诸多知名大学和组织也都参与到了网络安全态势感知模型的研究中[5]。

1.2 国内网络安全态势感知模型研究

1.2.1 基于Netflow的网络安全态势感知模型

赖积保、王慧强等[6]提出了一个由流数据采集、数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示、过程优化控制与管理以及数据库管理系统等部分构成的基于Netflow的网络安全态势感知模型。流数据采集按一定时间间隔实现数据采集；事件关联与目标识别从时间、空间、协议等多个方面采用数据融合技术对多源流数据进行关联和识别。态势评估主要形成态势分析报告，包括特征提取、当前态势分析和态势预测等过程。威胁评估是对整个网络威胁程度的估计。态势可视化主要提供当前态势、未来态势、威胁评估结果等信息的显示。过程优化控制与管理负责从流数据采集到态势可视化的全过程的优化控制与管理。数据库管理系统负责包括原始数据、特征库、态势库等的管理。

1.2.2 基于信息融合的网络安全态势评估模型