態(tài)勢感知整理版

1、態(tài)勢感知研究和應用現(xiàn)狀0、定義0.1 態(tài)勢感知“態(tài)勢感知” 這個詞最早源于軍事。 美國研發(fā)的各類導彈預警系統(tǒng)， 就是這 個概念最初的應用。 公認的態(tài)勢感知概念是： 在特定時空下， 對動態(tài)環(huán)境中各元 素或對象的感知、理解以及對未來狀態(tài)的預測。0.2 網(wǎng)絡態(tài)勢網(wǎng)絡態(tài)勢指的是由各種網(wǎng)絡設備運行狀況、 網(wǎng)絡行為以及用戶行為等因素所 構成的整個網(wǎng)絡當前狀態(tài)和變化趨勢。0.3 網(wǎng)絡態(tài)勢感知網(wǎng)絡態(tài)勢感知則是在大規(guī)模網(wǎng)絡環(huán)境中， 對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安 全要素進行獲取、理解、顯示以及預測未來的趨勢。網(wǎng)絡態(tài)勢感知中的感知、理 解和預測元素能有效追蹤、 分析并提供有關新興威脅、 威脅攻擊者、 漏洞和惡意

2、軟件有關的可操作情報。 3態(tài)勢是一種狀態(tài)、 一種趨勢， 是整體和全局的概念， 任何單一的情況或狀態(tài) 都不能稱之為態(tài)勢。 因此對態(tài)勢的理解特別強調環(huán)境性、 動態(tài)性和整體性， 環(huán)境 性是指態(tài)勢感知的應用環(huán)境是在一個較大的范圍內具有一定規(guī)模的網(wǎng)絡； 動態(tài)性 是態(tài)勢隨時間不斷變化， 態(tài)勢信息不僅包括過去和當前的狀態(tài)， 還要對未來的趨 勢做出預測； 整體性是態(tài)勢各實體間相互關系的體現(xiàn)， 某些網(wǎng)絡實體狀態(tài)發(fā)生變 化，會影響到其他網(wǎng)絡實體的狀態(tài)，進而影響整個網(wǎng)絡的態(tài)勢。0.4 網(wǎng)絡安全態(tài)勢感知網(wǎng)絡安全態(tài)勢感知就是利用數(shù)據(jù)融合、 數(shù)據(jù)挖掘、智能分析和可視化等技術， 直觀顯示網(wǎng)絡環(huán)境的實時安全狀況， 為網(wǎng)絡安全

3、提供保障。 借助網(wǎng)絡安全態(tài)勢感 知，網(wǎng)絡監(jiān)管人員可以及時了解網(wǎng)絡的狀態(tài)、 受攻擊情況、 攻擊來源以及哪些服 務易受到攻擊等情況， 對發(fā)起攻擊的網(wǎng)絡采取有效措施； 網(wǎng)絡用戶可以清楚地掌 握所在網(wǎng)絡的安全狀態(tài)和趨勢， 做好相應的防范準備， 避免和減少網(wǎng)絡中病毒和 惡意攻擊帶來的損失； 應急響應組織也可以從網(wǎng)絡安全態(tài)勢中了解所服務網(wǎng)絡的 安全狀況和發(fā)展趨勢，為制定有預見性的應急預案提供基礎。 7 0.5 深度態(tài)勢感知深度態(tài)勢感知的含義是 “對態(tài)勢感知的感知， 是一種人機智慧， 既包括了人 的智慧，也融合了機器的智能（人工智能） ”,是能指 +所指，既涉及事物的屬性 （能指、感覺）又關聯(lián)它們之間的關系

4、（所指、知覺） ，既能夠理解弦外之音， 也能夠明白言外之意。它是在 Endsley 以主體態(tài)勢感知（包括信息輸入、處理、 輸出環(huán)節(jié)）的基礎上，是包括人、機（物） 、環(huán)境（自然、社會）及其相互關系 的整體系統(tǒng)趨勢分析，具有“軟 /硬”兩種調節(jié)反饋機制；既包括自組織、自適 應，也包括他組織、互適應；既包括局部的定量計算預測，也包括全局的定性算 計評估，是一種具有自主、自動彌聚效應的信息修正、補償?shù)钠谕?選擇 -預測-控制體系。從某種意義上講， 深度態(tài)勢感知是為完成主題任務在特定環(huán)境下組織 系統(tǒng)充分運用各種類人認知活動（如目的、感覺、注意、動因、預測、自動性、 運動技能、計劃、模式識別、決策、動機、

5、經(jīng)驗及知識的提取、存儲、執(zhí)行、反 饋等)的綜合體現(xiàn)。既能夠在信息、資源不足情境下運轉，也能夠在信息、資源 超載情境下作用。 111、研究現(xiàn)狀1.1 網(wǎng)絡安全態(tài)勢體系結構網(wǎng)絡安全態(tài)勢體系結構的實現(xiàn)形式主要有： C-S 模式、 B-S 模式、三層模 式的 B-S 結構、 基于 agent 的模型以及基于云計算的感知模式。 基于 agent 的 模型是目前應用比較廣泛的方式， 具有動態(tài)執(zhí)行、 異步計算、 并行求解及智能化 路由的優(yōu)點， 極大地提高態(tài)勢感知的速度與效率。 大連理工大學許彪提出基于智 能 agent 的網(wǎng)絡安全預測模型，充分發(fā)揮 agent 的獨立性和可擴展性等優(yōu)點。 東北石油大學盧愛平

6、等提出基于移動 agent 的網(wǎng)絡安全態(tài)勢感知模型，體現(xiàn)網(wǎng) 絡安全態(tài)勢框架的動態(tài)化和分布式。 中國電力科學研究院蔣誠智等提出基于智能 agent 的電力信息網(wǎng)絡安全態(tài)勢感知模型，在數(shù)據(jù)采集層、評估分析層、協(xié)調管 理層和態(tài)勢決策層等部署 agen,對電力信息網(wǎng)絡安全監(jiān)控和管理有一定的指導 意義。哈爾濱工程大學郭方方等提出基于一種云計算的四層網(wǎng)絡安全態(tài)勢感知模 型研究，有效解決節(jié)點處理能力不足的問題， 解決了網(wǎng)絡態(tài)勢信息生成準確性的 問題。云計算的分布式文件存儲方法和并行計算方法能夠很好地解決大規(guī)模數(shù)據(jù) 的高效存儲和處理問題。 基于云計算的網(wǎng)絡安全態(tài)勢感知模型及方法的研究是網(wǎng) 絡安全防護領域的新方

7、向，但是該技術目前還處于研究階段。 101.2 網(wǎng)絡安全態(tài)勢感知方法當前態(tài)勢評估方法主要包括貝葉斯網(wǎng)絡理論、隱馬爾可夫模型、 D-S 證據(jù) 理論、模糊邏輯等。 電子工程學院熊杰等研究貝葉斯網(wǎng)絡的推理模型及信息傳播 算法并驗證其有效性。 空軍工程大學方研等提出基于隱馬爾科夫模型的網(wǎng)絡安全 態(tài)勢評估方法。西安郵電學院李勝現(xiàn)等提出基于改進隱馬爾可夫模型的網(wǎng)絡動態(tài) 風險評估方法， 使用改進蟻群算法訓練隱馬爾可夫模型。 南京理工大學孟錦等提 出改進的時變 D-S 證據(jù)理論方法對多傳感器的證據(jù)進行融合。很多學者采用多 種評估相結合的方法，如劉煒等利用模糊識別和 D-S 證據(jù)理論，較好地解決多 樣本識別的不

8、一致問題， 有效地對識別結果進行融合。 寧波大學張紅兵等提出用 模糊邏輯和貝葉斯網(wǎng)絡技術結合的方法處理隨機環(huán)境中的態(tài)勢評估。 哈爾濱工程 大學司加全提出自適用模糊神經(jīng)推理系統(tǒng)， 采用神經(jīng)網(wǎng)絡與模糊系統(tǒng)相結合的評 估方式。 101.3 網(wǎng)絡安全態(tài)勢預測目前有很多預測方法， 如神經(jīng)網(wǎng)絡、 灰色理論、時間序列分析和支持向量機 等。上海交通大學任偉等利用徑向基函數(shù)(Radial- BasisFunction, RBF)神經(jīng)網(wǎng)絡方法對網(wǎng)絡安全態(tài)勢進行了預測。廣東工業(yè)大學尤馬彥等提出基于 Elman 神經(jīng)網(wǎng)絡的網(wǎng)絡安全態(tài)勢預測方法。 哈爾濱工程大學張永波研究灰色系統(tǒng)理論在 預測模型中的應用。林肯實驗室的

9、Braun 和 Jeswani 以及 Lu 等利用支持向量 機作為融合技術,對多源、多屬性信息進行融合,從而產生對態(tài)勢的感知。南京 郵電大學甕乾村提出基于粒子群優(yōu)化的支持向量機預測方法。 綜合目前網(wǎng)絡安全 態(tài)勢預測算法的優(yōu)缺點, 很多研究人員采用多種預測方式相結合的方式對態(tài)勢進 行預測。如遼寧行政學院姚曄提出基于熵值法的網(wǎng)絡安全態(tài)勢組合預測模型。 江 西理工大學曾斌等提出一種遺傳算法和支持向量機相結合的網(wǎng)絡安全態(tài)勢預測 模型。 102、應用現(xiàn)狀2.1 態(tài)勢感知的提出1）傳統(tǒng)的安全設備、軟件和系統(tǒng)無法有效應對新的威脅傳統(tǒng)的安全設備、 軟件和系統(tǒng)不懂得新出現(xiàn)的違規(guī)和異常的意義和邏輯， 只 是單純的

10、依賴特征庫匹配進行著機械式的攔截 /放行判斷， 無法去有效判斷敵人， 防護也無從說起，即傳統(tǒng)安全防御手段對未知威脅沒有防御作用，主要體現(xiàn)在： 攻擊者與防御者在信息上不對稱； 缺少本地原始數(shù)據(jù)， 難以溯源分析； 缺少能在 海量數(shù)據(jù)中快速分析的工具；無法對信息系統(tǒng)內的海量數(shù)據(jù)進行有效利用。 122）安全技術專家能力有限雖然，攻擊者留下的訪問痕跡若是給有經(jīng)驗的安全技術專家， 很可能可以熟 練地從海量信息中分析出來，但我們又不可能一直依靠專家 24 小時進行攻擊分 析。3）需要基于大數(shù)據(jù)分析實現(xiàn)安全監(jiān)測預警 基于以上兩點，需要將不眠不休與安全專家的分析能力結合起來。這一點， 所有廠商都有了共同的認知，

11、 那就是基于大數(shù)據(jù)分析實現(xiàn)安全監(jiān)測預警安全 態(tài)勢感知。2.2 態(tài)勢感知的三個階段：目前廠商普遍認為態(tài)勢感知可以分為三個階段： 態(tài)勢認知、 態(tài)勢理解和態(tài)勢 預測。 11）態(tài)勢認知態(tài)勢認知是了解當前的狀態(tài)，包括狀態(tài)識別與確認（攻擊發(fā)現(xiàn)） ，以及對態(tài) 勢認知所需信息來源和素材的質量評價。2）態(tài)勢理解態(tài)勢理解則包括了解攻擊的影響、 攻擊者（對手） 的行為和當前態(tài)勢發(fā)生的 原因及方式。簡單可概括為：損害評估、行為分析（攻擊行為的趨勢與意圖分析） 和因果分析（包括溯源分析和取證分析） 。3）態(tài)勢預測 態(tài)勢預測則是對態(tài)勢發(fā)展情況的預測評估，主要包括態(tài)勢演化（態(tài)勢跟蹤） 和影響評估（情境推演） 。2.3 態(tài)勢

12、感知能帶來的價值安全態(tài)勢感知， 遵循格物而致知的理念， 推究分析安全事件的規(guī)律從而產生 并具備對潛伏威脅的檢測和發(fā)現(xiàn)能力，最終直觀呈現(xiàn)安全現(xiàn)狀及威脅。 2.4“愛因斯坦”（ EINSTEIN ）計劃“愛因斯坦” 計劃是美國聯(lián)邦政府主導的一個網(wǎng)絡安全自動監(jiān)測項目， 由國 土安全部（DHS）下屬的美國計算機應急響應小組（US-CERT）開發(fā)，用于監(jiān)測 針對政府網(wǎng)絡的入侵行為，保護政府網(wǎng)絡系統(tǒng)安全。 “愛因斯坦”計劃分為三個 階段，具有四種能力， 包括：入侵檢測、 入侵防御、數(shù)據(jù)分析和信息共享。 其中， 愛因斯坦 3 計劃的總體目標是識別并標記惡意網(wǎng)絡傳輸（尤其是惡意郵件） ，以 增強網(wǎng)絡空間的安全

13、分析、 態(tài)勢感知和安全響應能力。 系統(tǒng)將能夠自動地檢測網(wǎng) 絡威脅并在危害發(fā)生之前作出適當?shù)捻憫?。美國政府仍然在支持該計劃?016年 2月美國總統(tǒng)奧巴馬發(fā)布的 網(wǎng)絡安全國家行動計劃 ，“計劃”中指出將要拓 展“愛因斯坦”項目。 4 2.5“PLANX ”項目“PLANX ”是 DARPA 在 2012年公布的一個項目，主要目標是開發(fā)革命性 的技術在實時、大規(guī)模和動態(tài)的網(wǎng)絡環(huán)境中理解、 規(guī)劃和管理網(wǎng)絡戰(zhàn)。 基于一個 建立的通用地圖， 幫助軍方網(wǎng)絡操作人員可視化戰(zhàn)場以及在戰(zhàn)場中執(zhí)行任務。 該 項目主要尋求在四個關鍵領域的創(chuàng)新研究： 理解網(wǎng)絡作戰(zhàn)空間， 自動化構建可核 查可量化的網(wǎng)絡操作， 開發(fā)在動

14、態(tài)、 存在爭奪以及敵對的網(wǎng)絡環(huán)境中進行操作的 操作系統(tǒng)或者平臺和大型網(wǎng)絡作戰(zhàn)空間的可視化與交互。 其中，大型網(wǎng)絡作戰(zhàn)空 間的可視化與交互包括： 開發(fā)直觀的視圖和整體用戶體驗， 網(wǎng)絡作戰(zhàn)空間的協(xié)同 交互能夠提供計劃、操作、態(tài)勢感知和戰(zhàn)爭博弈功能。2.6 網(wǎng)絡態(tài)勢感知分析能力（ CSAAC） 美國國防信息系統(tǒng)局（簡稱 DISA ）提供一整套基于云的解決方案，旨在對 來自美國國防部信息網(wǎng)絡（簡稱 DoDIN ）的大規(guī)模流量進行收集，同時提供分 析與可視化處理工具以提取數(shù)據(jù)中包含的信息。 這套解決方案集合被統(tǒng)稱為 “網(wǎng) 絡態(tài)勢感知分析能力” （簡稱 CSAAC ），且目前已經(jīng)面向非安全互聯(lián)網(wǎng)協(xié)議路由

15、網(wǎng)絡（簡稱NIPRNET）與保密IP路由網(wǎng)絡（簡稱SIPRNET）交付。CSAAC能 夠提供以下幾種功能類型： DoDIN運營與態(tài)勢感知。以DoD企業(yè)郵件監(jiān)控為例，CSAAC能夠為運 營人員提供近實時態(tài)勢感知能力， 從而快速掌握事故、 具體配置狀態(tài)以及郵件網(wǎng) 關過濾等相關情況。防御性網(wǎng)絡操作（簡稱DCO）。按指標作戰(zhàn)（簡稱FbI）屬于CSAAC之內 的網(wǎng)絡操作能力之一。 FbI 能夠幫助企業(yè)計算機網(wǎng)絡分析師利用自動化工作流審 查網(wǎng)絡威脅報告，提取潛在指標，面向未來進程提供警報并在必要時自動執(zhí)行 DoD 對策流程。異常檢測。異常檢測套件屬于 CSAAC 功能之一，專門負責檢測可能對敏 感性 Do

16、D 數(shù)據(jù)的完整性、機密性或者可用性造成威脅的已驗證用戶。這項服務 還允許分析師在檢測到潛在內部威脅后向有關部門發(fā)出警告。 6 2.7NSA 公開項目美國國家安全局（NSA）開發(fā)的，現(xiàn)以開源軟件的方式向公眾公開的 32個 項目中也包含了專門用于態(tài)勢感知的工具 GRASSMARLIN ，用于提供工業(yè)控制 系統(tǒng)（ICS）、數(shù)據(jù)采集與監(jiān)視控制（SCADA ）網(wǎng)絡的態(tài)勢感知以確保網(wǎng)絡安全。2.8 360 安全態(tài)勢感知系統(tǒng)360 安全態(tài)勢感知系統(tǒng)是基于環(huán)境的、動態(tài)、整體地洞悉安全風險的系統(tǒng)， 以安全大數(shù)據(jù)為基礎， 幫助政府監(jiān)管機構、 行業(yè)和企業(yè)， 從全局視角提升對安全 威脅的發(fā)現(xiàn)識別、理解分析、相應處置能

17、力，實現(xiàn)安全能力的落地。其主要提出 四大核心功能：檢測、分析響應、預測預防和防御等功能。 132.9 匡恩威脅態(tài)勢感知平臺匡恩威脅態(tài)勢感知平臺通過主動探測特定 IP 網(wǎng)絡空間方式，不僅能夠檢索 在線的工業(yè)控制系統(tǒng)、 關鍵信息基礎設施以及物聯(lián)網(wǎng)設備， 而且可以獲得其詳細 系統(tǒng)信息和地理位置， 并分析安全隱患， 是一套對區(qū)域內工控及物聯(lián)網(wǎng)設備進行 網(wǎng)絡安全態(tài)勢分析、威脅量化評級以及安全預警的系統(tǒng)。 5 2.10“諦聽”網(wǎng)絡空間安全態(tài)勢感知平臺東北大學“諦聽”網(wǎng)絡安全團隊設計并實現(xiàn)的“諦聽”網(wǎng)絡空間安全態(tài)勢感 知平臺支持 22種服務的協(xié)議指紋識別， 實現(xiàn)基于威脅情報分析的全網(wǎng)工控資產 畫像，協(xié)議全覆

18、蓋、行業(yè)可細分、趨勢可感知，實現(xiàn)工控設備的多維數(shù)據(jù)采集、 蜜罐識別、漏洞掃描與評估等功能。3、擴展應用3.1 網(wǎng)絡態(tài)勢大數(shù)據(jù)可視化平臺 網(wǎng)絡態(tài)勢大數(shù)據(jù)可視化平臺的作用將抽象的網(wǎng)絡和系統(tǒng)數(shù)據(jù)進行可視化呈 現(xiàn)，從而對網(wǎng)絡中的安全設備、網(wǎng)絡設備、應用系統(tǒng)、操作系統(tǒng)等整體環(huán)境進行 安全狀態(tài)監(jiān)測，幫助用戶快速掌握網(wǎng)絡狀況，識別網(wǎng)絡異常、入侵，把握網(wǎng)絡安 全事件發(fā)展趨勢，全方位感知網(wǎng)絡安全態(tài)勢。 23.2 主動防御技術 主動防御技術是采用行為算法針對新型未知攻擊、 組織化攻擊進行防御的技 術。主動防御技術在監(jiān)控、分析、偵測等環(huán)節(jié)中采用主動感知，對未知威脅采取 行為識別、 智能處理和防御加固等主動性技術來進

19、行防御。 主動防御技術在未知 的攻擊發(fā)生的事前、 事中和事后都需要對受保護的系統(tǒng)進行主動防御和相應的測 試性操作，以確保系統(tǒng)的正常運行。 93.3 網(wǎng)絡靶場 網(wǎng)絡靶場是進行網(wǎng)絡攻防武器試驗的專業(yè)實驗室， 也是各國“網(wǎng)軍” 提前演 練戰(zhàn)術戰(zhàn)法的練兵場。 網(wǎng)絡靶場通過虛擬環(huán)境與真實設備相結合， 模擬仿真出真 實網(wǎng)絡空間攻防作戰(zhàn)的戰(zhàn)場環(huán)境， 可有效針對敵方的電子和網(wǎng)絡攻擊等進行戰(zhàn)爭 預演，以迅速提升網(wǎng)絡攻防作戰(zhàn)能力。2008 年，美國國防部高級研究計劃局發(fā)布關于開展“國家網(wǎng)絡靶場”項目 研發(fā)工作的公告，明確提出“國家網(wǎng)絡靶場”是國家網(wǎng)絡安全計劃的一部分。美 國的“國家網(wǎng)絡靶場”項目主要包括初步概念設計、交付靶場原型、進行靶場試 驗管理和正式運行 4 個階段。其研究重點是：支撐網(wǎng)絡空間安全技術演示驗證、 網(wǎng)絡武器裝備研制試驗、攻防對抗演練以及網(wǎng)絡風險評估分析等。在建設網(wǎng)絡靶場方面，英國也不甘落后，不僅建設了先進的“國家網(wǎng)絡靶場”， 還將部分靶場與美國“國家網(wǎng)絡靶場”聯(lián)網(wǎng)，建立了聯(lián)合網(wǎng)絡靶場，以便進行網(wǎng) 絡作戰(zhàn)協(xié)同訓練、評估和演習。此外，日本、加拿大和北約等相繼建立了自己的 網(wǎng)絡靶場， 歐洲