蒲江+李理

摘 要：隨著網(wǎng)絡技術的飛速發(fā)展及其向經(jīng)濟和社會的全方位滲透，一方面對世界范圍內(nèi)的經(jīng)濟社會發(fā)展產(chǎn)生了巨大的正面影響，另一方面則給網(wǎng)絡空間安全帶來了無法回避的更大威脅和挑戰(zhàn)。網(wǎng)絡攻擊事件頻發(fā)，網(wǎng)絡犯罪日益嚴重，對國家安全構成威脅。在這種環(huán)境下，快速而準確的預警防御能力建設對網(wǎng)絡安全而言至關重要。網(wǎng)絡安全預警防御體系模型在整體安全策略的控制和指導下，形成了一個完整、動態(tài)的安全域，使信息系統(tǒng)具備早期預警防御并實施主動防護的能力。

關鍵詞：網(wǎng)絡安全；預警防御；主動防護

中圖分類號： TP309 文獻標識碼：A

Abstract： With the rapid development of network technology and the economic and social all-round infiltration， on the one hand， to the world within the scope of the economic and social development has a hugely positive effect， on the other hand， has brought the network space safety is unable to avoid more threats and challenges. Cyber attacks are frequent， cyber crime is becoming more and more serious， and there is a certain level of the threats to national security. Rapid and accurate early warining defense in this environment are critical to network security.Basde on three domain model of network security defense early warning system model under the overall security strategy contrl box know， formed a complete and dynamic security domain， it is early warning defense and implementation of information systems have the ability of active defense.

Key words： network security； warning defense； active protection

1 引言

隨著網(wǎng)絡應用的快速擴展，網(wǎng)絡安全威脅也日益嚴重，各種攻擊的力度、智能化和持續(xù)性日益增長，網(wǎng)絡面臨的安全威脅呈現(xiàn)出了新態(tài)勢。在這種環(huán)境下快速而準確的預警防御能力對網(wǎng)絡安全而言至關重要[1]。

這里所謂的預警防御是指在實時監(jiān)控網(wǎng)絡攻擊的基礎上，通過識別網(wǎng)絡攻擊意圖，綜合評價網(wǎng)絡安全狀態(tài)并預測其發(fā)展趨勢，力爭在攻擊實施的早期階段發(fā)出警報，并提前采取適當?shù)氖侄斡枰苑烙?，以盡可能在攻擊未產(chǎn)生實質(zhì)性危害時加以遏制，將損失降到最低。

網(wǎng)絡攻擊預警是一個具有前沿性的研究方向。目前針對大規(guī)模網(wǎng)絡安全預警系統(tǒng)研究，急需解決兩個問題：一是如何由局部發(fā)生的網(wǎng)絡攻擊評估其對全局的影響；二是如何預測網(wǎng)絡攻擊方下一步可能采取的行動。這兩個問題解決需要構建一個完善的網(wǎng)絡安全預警防御體系，采用網(wǎng)絡攻擊意圖識別、網(wǎng)絡安全態(tài)勢感知和網(wǎng)絡安全協(xié)同技術等關鍵技術實現(xiàn)該體系框架。

2 網(wǎng)絡安全威脅

自20世紀70年代美國建立ARPANET以來，互聯(lián)網(wǎng)經(jīng)歷了四十多年的發(fā)展，發(fā)生了翻天覆地的變化，已經(jīng)由最初的科研網(wǎng)絡逐步演變成為與現(xiàn)實社會形成全息映射的網(wǎng)絡空間。該空間正以強大的吸引力聚合著各種資源。隨著網(wǎng)絡應用的快速擴展，網(wǎng)絡安全威脅也日益嚴重。

卡巴斯基實驗室曾在2013年初，對2013年網(wǎng)絡重大安全威脅做出預測，指出未來一年繼續(xù)增長的針對性攻擊、網(wǎng)絡間諜攻擊和國家級網(wǎng)絡攻擊將呈現(xiàn)加劇形式。正如其言，從2013年以來的安全形勢不容樂觀，主要呈現(xiàn)出幾個特點。

2.1 DDoS攻擊層出不窮

時至今日，網(wǎng)絡的威脅已不再是惡作劇，而是以利益為驅(qū)動的定向攻擊。隨著這種安全形勢演進，DDoS攻擊也在不斷發(fā)生變化，發(fā)生頻率和手法不斷提高，依然是最有效的網(wǎng)絡惡意攻擊形式之一。

2.2 APT攻擊破壞力強

APT攻擊是一類特定的攻擊，指的是為了獲取某個組織或國家的重要信息，有針對性地進行的一系列攻擊行為。其主要特點是來自于組織、有特定目標、持續(xù)時間極長。這一特點充分體現(xiàn)了APT攻擊的危險性，它主要是有組織地針對國家重要的基礎設施和單位進行，而且具有持續(xù)性，可達數(shù)年。這種持續(xù)性使攻擊者能夠長期潛伏，直至收集到重要情報。

當前，APT攻擊的發(fā)展趨勢為攻擊更具有針對性、更有破壞力，而對其判斷卻越來越困難，需要綜合社會、政治、經(jīng)濟、技術等多重指標進行評估和分析目標，傳統(tǒng)的防護手段已經(jīng)失效，網(wǎng)絡安全面臨前所未有的挑戰(zhàn)。

2.3 大數(shù)據(jù)是攻擊的顯著目標

大數(shù)據(jù)是伴隨虛擬技術、云計算、物聯(lián)網(wǎng)和數(shù)據(jù)中心等的發(fā)展而產(chǎn)生的。大數(shù)據(jù)應用的普及進一步促進了信息數(shù)據(jù)的跨域、跨境流動，涉及更多的隱含價值和敏感內(nèi)容。它不僅僅是數(shù)據(jù)量的簡單刻畫，更主要的是指數(shù)據(jù)正在成為一種資產(chǎn)，美國將大數(shù)據(jù)定義為“未來的新石油”。大數(shù)據(jù)的價值決定了它必然是攻擊的首選目標，大數(shù)據(jù)時代的到來使信息安全的建設面臨新的挑戰(zhàn)和要求。endprint

2.4 “棱鏡門”使網(wǎng)絡安全上升到國家層面

棱鏡是一項由美國國家安全局負責主導實施的絕密電子監(jiān)聽計劃。這項計劃的主要內(nèi)容就是允許國家安全局通過各種手段，對美國公民的各種網(wǎng)絡通信內(nèi)容、網(wǎng)絡存儲信息文檔等資料進行深度的監(jiān)聽；對其他國家網(wǎng)絡進行特定的入侵和情報收集?！袄忡R門”事件表明，信息安全已成國家安全新戰(zhàn)略制高點，網(wǎng)絡與信息安全應上升為國家戰(zhàn)略。

3 預警防御技術分析

為應對日益復雜化、智能化的網(wǎng)絡攻擊，研究人員提出了網(wǎng)絡安全預警防御機制。經(jīng)過多年努力，預警技術已經(jīng)取得了很大進展。針對上文提到的兩個問題，主要涉及到網(wǎng)絡攻擊意圖識別、網(wǎng)絡安全態(tài)勢感知和網(wǎng)絡安全協(xié)同技術等關鍵技術[2]。

3.1 網(wǎng)絡攻擊意圖識別

1978年，Schmidet第一次提出規(guī)劃識別問題（即意圖識別）。經(jīng)過三十多年的發(fā)展，出現(xiàn)了很多模型和方法。如基于解釋的意圖識別方法、基于決策論的意圖識別方法、基于規(guī)劃圖分析的意圖識別方法、基于概率推理的意圖識別方法等。

在網(wǎng)絡安全領域，多源信息融合領域的態(tài)勢評估技術和人工智能領域的意圖識別技術有強烈的應用需求和良好的發(fā)展前景。攻擊手段的靈活多變使得通過低層次的系統(tǒng)事件或網(wǎng)絡事件分析入侵者的攻擊策略變得非常困難，而高層次的意圖識別能夠提供獨立于具體攻擊手段的高水平的分析平臺。在意圖分析層面上，入侵檢測就變成使用各個異構的IDS協(xié)同工作去證實或者否定事先定義的各種意圖假設。

3.2 網(wǎng)絡安全態(tài)勢感知

態(tài)勢感知的概念最早來源于軍事領域。態(tài)勢的含義是指交戰(zhàn)雙方的兵力部署在戰(zhàn)場環(huán)境中呈現(xiàn)的“體態(tài)”和“陣勢”。態(tài)勢感知包含態(tài)勢覺察、態(tài)勢理解、態(tài)勢預測三個階段的完整的態(tài)勢評判過程[3]。

網(wǎng)絡態(tài)勢感知的概在最早由Bass于1999年提出。所謂網(wǎng)絡態(tài)勢是指由各種網(wǎng)絡設備運行狀態(tài)、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡的當前狀態(tài)和變化趨勢。值得注意的是，態(tài)勢強調(diào)環(huán)境、動態(tài)性以及實體之間的關系，是一種狀態(tài)、一種趨勢，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。

網(wǎng)絡安全態(tài)勢是網(wǎng)絡態(tài)勢的一個分支，是針對網(wǎng)絡安全具體特點設計的模型和方法。它綜合各方面因素，從整體上動態(tài)反映網(wǎng)絡的安全狀態(tài)，并對其發(fā)展趨勢進行預測。目前的網(wǎng)絡安全態(tài)勢感知技術主要是根據(jù)耽擱或幾個安全指標量化網(wǎng)絡的安全狀態(tài)，為用戶理解當前的網(wǎng)絡安全狀態(tài)提供一定的參考。

3.3網(wǎng)絡安全協(xié)同防護

網(wǎng)絡安全協(xié)同防護設計的技術是多方面的。其目標是全面地了解和控制網(wǎng)絡的安全狀況，阻斷負載網(wǎng)絡攻擊，并能協(xié)同各個安全系統(tǒng)進行聯(lián)合防御。早期的相關研究主要是實現(xiàn)單一安全域內(nèi)的安全數(shù)據(jù)共享、對異構安全設施的報警數(shù)據(jù)進行有效融合。目前則集中在大規(guī)模網(wǎng)絡環(huán)境下跨安全域的預警技術，在互聯(lián)網(wǎng)范圍內(nèi)實現(xiàn)網(wǎng)絡安全數(shù)據(jù)協(xié)同分析的方向不是架構和關鍵算法[4]。

4 網(wǎng)絡安全體系模型

網(wǎng)絡安全問題不能簡單地分解為若干種問題及其解決方法，必須上升到系統(tǒng)的高度，從網(wǎng)絡安全系統(tǒng)工程的總體出發(fā)，建立網(wǎng)絡安全技術體系結構和基本框架。網(wǎng)絡安全防護是一個動態(tài)的過程，靜態(tài)的防護模型不能適應分布式、動態(tài)變化的互聯(lián)網(wǎng)網(wǎng)絡環(huán)境，網(wǎng)絡安全體系模型必須是動態(tài)的模型。動態(tài)性主要體現(xiàn)為入侵的實時監(jiān)測、安全態(tài)勢的動態(tài)評估等；主動性則體現(xiàn)為攻擊意圖的識別、入侵趨勢及安全態(tài)勢的預測、主動響應等[5]。

4.1 P2DR模型

P2DR模型由美國ISS公司提出，它是動態(tài)網(wǎng)絡安全體系的代表模型，也是動態(tài)安全模型的雛形。P2DR模型包括策略、防護、檢測和響應四個主要部分，如圖1所示。防護、檢測和響應組成了一個完整的、動態(tài)的循環(huán)，在策略的指導下保證系統(tǒng)安全。

P2DR模型是在整體安全策略的控制和指導下，綜合運用防護工具的同時，使用檢測工具了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)姆磻獙⑾到y(tǒng)調(diào)整到最安全和風險最低的狀態(tài)。

P2DR模型的主要三項缺點。

（1）缺少預警。它沒有考慮安全周期的預警階段，對網(wǎng)絡攻擊只能采用被動檢測和“慢拍”的被動響應。

（2）不是真正的動態(tài)。模型的所有動態(tài)性建立在檢測的基礎上，且采用既定的響應策略，而不是根據(jù)攻擊的威脅狀況進行動態(tài)響應。

（3）安全策略粒度過大。模型為每一種安全產(chǎn)品定義檢測、防護、響應策略，而不是針對系統(tǒng)的安全防御目標制定安全策略，這導致各種安全組件各自為政，策略間彼此沒有動態(tài)關聯(lián)，無法建立協(xié)調(diào)一致的安全控制機制。

解決以上問題必須增加預警功能，建立動態(tài)響應體系、重新定義安全策略。

4.2 預警防御三域模型

預警防御三域模型如圖2所示。

模型中將安全防護空間劃分為三個域，分別是物理域、信息域和認知域。物理域就是網(wǎng)絡空間，部署于網(wǎng)絡空間的各類網(wǎng)絡設備和安全設備會產(chǎn)生大量的與安全相關的原始數(shù)據(jù)。這些數(shù)據(jù)經(jīng)過歸一化處理后，在經(jīng)過虛警過濾、安全事件聚合、關聯(lián)分析等處理，形成安全告警信息。這是一個由原始數(shù)據(jù)中提煉真正有價值安全信息的過程，將其歸為信息域。

在安全信息的基礎上，結合已有的專業(yè)知識、經(jīng)驗等，就可以對整個網(wǎng)絡防護空間的安全狀態(tài)和趨勢加以評估、對黑客的攻擊意圖進行識別，進而對網(wǎng)絡受到的安全威脅程度進行估算，并最終加以決策，令有效地防護行動作用于物理空間。

這是一個基于信息形成知識的過程，將其歸為認知域。而貫穿三個域的，是安全策略的應用與管理。策略仍然是模型的核心所在。

5 結束語

預警防御系統(tǒng)體系結構設計是預警防御研究的基礎。一個動態(tài)網(wǎng)絡安全預警防御模型必須包含五個要素[6]。

（1）策略

理解信息系統(tǒng)的安全需求，制定主動防御的安全策略。該策略具體說明防護、檢測、預測、響應的聯(lián)動關系及處理方法，是實施網(wǎng)絡安全主動防御的指南。endprint

（2）防護

保障信息及其系統(tǒng)的保密性、完整性、可用性、不可否認性，將相關安全技術分類，建立防護技術體系。

（3）檢測

動態(tài)檢測入侵及安全威脅，理解信息系統(tǒng)當前的安全狀態(tài)。檢查系統(tǒng)安全漏洞，實時檢測單個入侵、協(xié)同入侵、大規(guī)模入侵，評估入侵事件的威脅程度，以利響應。

（4）預測

動態(tài)預測入侵事件，理解信息系統(tǒng)未來的安全趨勢。預警安全威脅為調(diào)整防護和響應方案提供依據(jù)。

（5）響應

主動響應危及系統(tǒng)安全的入侵事件，防止危害蔓延和擴散。如果攻擊造成一定后果，及時恢復，保障系統(tǒng)提供正常服務。

預警防御三域模型具有較強的是時序性和動態(tài)性，能夠較好地反映出信息系統(tǒng)安全保障體系的預警能力、防護能力、檢測能力、響應能力、恢復能力等。它使得信息系統(tǒng)具備跨域的數(shù)據(jù)共享和協(xié)同防護能力，可以發(fā)出預警信息并實施主動防護。

參考文獻

[1] Piotr Kijewski.ARAKIS，-An early warning and attack identification system[C].The 16th Annual FIRST Conf， Budapest，Hungary：2004.

[2] 趙文濤.基于網(wǎng)絡安全態(tài)勢感知的預警技術研究[D].國防科技大學博士學位論文，2009.

[3] Williams L， Lippmann R， Ingols K. GARNET：A Graphical Attack Graph and Reachability Network Evaluation Tool[C].VizSec 2008， LNCS 5210， 2008：44-59.

[4] 楊兵，胡華平，金士堯.基于智能代理的對等主動網(wǎng)絡預警模型研究[J].計算機研究與發(fā)展，2006，43：480-486.

[5] Huber M J，Durfee E H， Wellman M P. The Automated Mapping of Plans for Plan Recognition[C]. Proceedings of the Tenth International Conference on Uncertainty in Artificial Intelligence，1994：104-119.

[6] 張峰.基于策略樹的網(wǎng)絡安全主動防御模型研究[D].電子科技大學，2004.endprint