◆陳亞科

（煤炭科學(xué)技術(shù)研究院有限公司 北京 100013）

傳統(tǒng)的網(wǎng)絡(luò)安全防御體系以孤立的單點(diǎn)防御為主，它在應(yīng)對(duì)當(dāng)下大數(shù)據(jù)背景下而衍生出的大量新型網(wǎng)絡(luò)攻擊，如Web 代碼注入、DDoS、僵尸網(wǎng)絡(luò)等，其效力在逐漸降低。尋求一種具備多層次、立體化的網(wǎng)絡(luò)安全防御體系成為當(dāng)務(wù)之急，也是滿足大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全高要求的必然選擇。NSSA（Network Security Situational Awareness，網(wǎng)絡(luò)安全態(tài)勢(shì)感知）被視為當(dāng)下網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點(diǎn)課題，伴隨多年來的發(fā)展如今已擁有了相應(yīng)成熟的階段性研究成果，NSSA體系集成融合了傳統(tǒng)網(wǎng)絡(luò)安全的理論，并在攻擊性診斷、定位追蹤等方面為網(wǎng)絡(luò)安全保障提供了絕對(duì)的支持，它能在大范圍網(wǎng)絡(luò)中提取有價(jià)值數(shù)據(jù)源并將其進(jìn)行量化感知加以態(tài)勢(shì)預(yù)測。從架構(gòu)設(shè)計(jì)到數(shù)據(jù)處理，在UGM-DS 及DS 理論基礎(chǔ)的支持下NSSA 可充分應(yīng)對(duì)當(dāng)今大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)。

1 NSSA 架構(gòu)模型及數(shù)據(jù)預(yù)處理

構(gòu)建NSSA 模型是展開后續(xù)網(wǎng)絡(luò)安全勢(shì)態(tài)感知的基礎(chǔ)，到目前為止，關(guān)于NSSA 的應(yīng)用模型主要包括了JDL 模型、Endsley 模型以及Tim Bass 模型等，其中JDL 模型是應(yīng)用較多的模型之一，它是面向數(shù)據(jù)融合的模型，涉及五級(jí)處理將操作系統(tǒng)、程序日志以及入侵檢測報(bào)警等都融入其中。在四到五級(jí)的處理中可通過動(dòng)態(tài)監(jiān)測針對(duì)信息進(jìn)行不斷的優(yōu)化處理，并根據(jù)監(jiān)控的結(jié)果來逐漸完善人機(jī)交互的方式，最終提高交互運(yùn)作的效率。在我國，以一種NSSA 的異構(gòu)融合架構(gòu)模型（如圖1所示）作為應(yīng)用的主要模型，在此基礎(chǔ)上優(yōu)化并改進(jìn)了傳統(tǒng)基于單源NSSA 的不足，達(dá)到了多源融合的目的。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)融合架構(gòu)圖

基于上述模型的應(yīng)用，在針對(duì)網(wǎng)絡(luò)安全進(jìn)行評(píng)估處理的同時(shí)，NSSA 體系會(huì)從大范圍的網(wǎng)絡(luò)中獲取到有價(jià)值的信息，對(duì)它們進(jìn)行量化感知和態(tài)勢(shì)預(yù)測。為此，這里涉及了關(guān)于數(shù)據(jù)信息的獲取、多源信息的融合工作。

（1）數(shù)據(jù)信息的獲取

獲取數(shù)據(jù)信息的途徑包括了日志記錄、流量信息、原始IDS 報(bào)警等途徑，在我國，面對(duì)多樣的信息曾提出了采用子分類器的方式加以實(shí)現(xiàn)，其中應(yīng)用集成技術(shù)對(duì)子分類器再進(jìn)一步進(jìn)行集成處理。這里關(guān)于數(shù)據(jù)信息的采集及分類，重點(diǎn)提出了一種改進(jìn)性算法技術(shù)，其基于RPCL 算法進(jìn)行優(yōu)化，極大提升了原有算法分類的敏感度，最終利用遺傳算法進(jìn)行半徑的優(yōu)化調(diào)整行程非正常子空間的特征函數(shù)。

（2）多源信息的融合

考慮到數(shù)據(jù)源的多樣性，在辨別危險(xiǎn)源的過程中網(wǎng)絡(luò)管理者會(huì)面臨很大的難度，且無法達(dá)到及時(shí)性的響應(yīng)，這便為網(wǎng)絡(luò)攻擊留下了漏洞。為能提升安全設(shè)備對(duì)安全信息的補(bǔ)給，降低報(bào)警的冗余度。發(fā)展至今國內(nèi)外學(xué)者開始嘗試基于大數(shù)據(jù)而提出數(shù)據(jù)挖掘技術(shù)的應(yīng)用，以及基于Snort 和Emerald 而進(jìn)行報(bào)警信息的關(guān)聯(lián)，進(jìn)而以二者的互補(bǔ)性來達(dá)到誤報(bào)率降低的目的。在我國，在進(jìn)行多源信息融合處理的過程中采用的是一種基于多個(gè)IDS 入侵檢測而建立的融合模型，但它依然局限于在IDS 本身使用，不能徹底解決其固有的漏報(bào)缺陷問題。

2 NSSA 架構(gòu)模型的改進(jìn)

通過對(duì)上述NSSA 架構(gòu)模型的初步認(rèn)識(shí)，考慮到當(dāng)下大數(shù)據(jù)背景而存在多源數(shù)據(jù)，為提高NSSA 模型的多源融合能力，這里提出了一種可感知一目標(biāo)項(xiàng)也能準(zhǔn)確感知整個(gè)網(wǎng)絡(luò)的NSSA，它能實(shí)現(xiàn)多角度、多尺度的態(tài)勢(shì)感知，并為最終的預(yù)測提供統(tǒng)一的態(tài)勢(shì)集成。改進(jìn)后的NSSA 基于移動(dòng)Agent 大大減輕了網(wǎng)絡(luò)負(fù)載，并在響應(yīng)能力上有了提升，借助分布式的封裝方式讓移動(dòng)Agent 下的NSSA 能獲得異步自主運(yùn)行的功能。

基于Agent 的NSSA（如上圖2所示）主要采用的是分布式數(shù)據(jù)獲得、分域式數(shù)據(jù)處理模式。在整個(gè)的架構(gòu)構(gòu)成中實(shí)現(xiàn)了信息獲取層、數(shù)據(jù)預(yù)處理層和態(tài)勢(shì)決策層的三層分布。其中數(shù)據(jù)預(yù)處理層針對(duì)的是多樣性的數(shù)據(jù)源，并結(jié)合Agent 及無向圖模型、信息融合方法對(duì)數(shù)據(jù)進(jìn)行精準(zhǔn)處理。最終在態(tài)勢(shì)決策層完成對(duì)數(shù)據(jù)源信息的理解和動(dòng)態(tài)非線性時(shí)間序列的預(yù)測。關(guān)于最終的人機(jī)交互，如今采用的是一種更為直觀的可視化態(tài)勢(shì)感知視圖方式，整個(gè)過程中借助于知識(shí)庫相互實(shí)現(xiàn)各個(gè)層級(jí)間的數(shù)據(jù)的互通。涉及NSSA 的整體運(yùn)行，包括系統(tǒng)的管理、維護(hù)等在內(nèi)，都由主控制臺(tái)來實(shí)現(xiàn)。

圖2 基于移動(dòng)Agent 的NSSA

（1）數(shù)據(jù)的獲取

上述架構(gòu)系統(tǒng)中的移動(dòng)Agent 用于對(duì)信息進(jìn)行搜集，并負(fù)責(zé)將所收集到的信息傳送出去，Agent 控制器還負(fù)責(zé)完成對(duì)信息的實(shí)時(shí)掃描及處理。關(guān)于信息的處理，依賴的是Agent 內(nèi)的知識(shí)庫，其中包括了一定的算法、領(lǐng)域問題描述以及局部解決方案等，其求解表示如下：

Agent=

其中，Agent_id 是Agent 在組織實(shí)例中的唯一標(biāo)識(shí)符，而Π代表的是Agent 的思想狀態(tài)，關(guān)于系統(tǒng)運(yùn)行的思維模型采用的是BDI 模型，但其會(huì)受到周圍環(huán)境的影響，具體如下：

Π=

其中，B 為Belief，D 是指Desire，而I 是指Intention

基于Agent 的NSSA 進(jìn)行數(shù)據(jù)獲取的方式包括了UDP 方式、SCTP 方式等，針對(duì)不同的數(shù)據(jù)源采用了不同的獲取方式，同時(shí)以具體分類進(jìn)行劃分，NSSA 中的數(shù)據(jù)源包括了NetFlow 數(shù)據(jù)、SNMP 數(shù)據(jù)和日志數(shù)據(jù)及服務(wù)數(shù)據(jù)。SNMP 數(shù)據(jù)采用的獲取方式為輪詢和中斷方式，日志數(shù)據(jù)的獲取方式為Widows Log Syslog 方式，服務(wù)數(shù)據(jù)的獲取方式為Nagios 方式。

（2）數(shù)據(jù)的預(yù)處理

基于Agent 的NSSA 對(duì)數(shù)據(jù)進(jìn)行預(yù)處理采用了三段式的方式，即首先進(jìn)行精簡、后進(jìn)行分類及安全事件的提取。在對(duì)數(shù)據(jù)進(jìn)行精簡和安全事件提取的過程中，采用了信息融合Agent 技術(shù)及分類修正算法。

在進(jìn)行數(shù)據(jù)的預(yù)處理過程中，數(shù)據(jù)的采集是基于傳感器Agent而采集完成，其處理過程中涉及了信息讀取模型的應(yīng)用，數(shù)據(jù)讀取模型從相應(yīng)的知識(shí)庫中對(duì)安全信息進(jìn)行讀取，知識(shí)庫中的安全信息已經(jīng)有過格式化處理，所以可以直接轉(zhuǎn)入到Agent 模型中，借助統(tǒng)計(jì)計(jì)算機(jī)學(xué)習(xí)的算法，Agent 會(huì)針對(duì)每條安全信息進(jìn)行屬性的分類，進(jìn)而將其重新分配到信息庫中。經(jīng)過分類的信息會(huì)于信息融合Agent 進(jìn)行信息交互，在由DSAgent 執(zhí)行多源信息的融合處理。

（3）態(tài)勢(shì)量化

基于Agent 的NSSA 在進(jìn)行態(tài)勢(shì)量化的過程中，主要針對(duì)的是整個(gè)網(wǎng)絡(luò)，其感知的是知識(shí)庫中被提取出的安全事件信息。從整體流程上分析，主機(jī)充當(dāng)了計(jì)算的主體。當(dāng)安全事件經(jīng)過網(wǎng)絡(luò)安全威脅度計(jì)算后，主機(jī)會(huì)對(duì)其進(jìn)行計(jì)算分析，并對(duì)主機(jī)狀態(tài)計(jì)算模塊采用條件隨機(jī)場算法執(zhí)行主機(jī)最大概率的狀態(tài)序列推導(dǎo)。最終引入的代價(jià)向量便是該主機(jī)的安全態(tài)勢(shì)值，也是被量化的態(tài)勢(shì)。

態(tài)勢(shì)決策中除了態(tài)勢(shì)量化還包括了態(tài)勢(shì)的預(yù)測，所謂的態(tài)勢(shì)預(yù)測即是對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行的安全動(dòng)態(tài)預(yù)測，它采用的是項(xiàng)空間重構(gòu)加以實(shí)現(xiàn)。在運(yùn)行監(jiān)控的過程中首先從態(tài)勢(shì)知識(shí)庫中將歷史的數(shù)據(jù)及當(dāng)下的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行收集，后由態(tài)勢(shì)預(yù)測訓(xùn)練針對(duì)歷史數(shù)據(jù)進(jìn)行訓(xùn)練，當(dāng)下的網(wǎng)絡(luò)安全數(shù)據(jù)通過態(tài)勢(shì)預(yù)測測試進(jìn)行測試，過程中啟用Volterra 自適應(yīng)預(yù)測可針對(duì)模型加以優(yōu)化，訓(xùn)練并預(yù)測出當(dāng)下的網(wǎng)絡(luò)安全態(tài)勢(shì)值。關(guān)于態(tài)勢(shì)預(yù)測的流程如圖3所示：

圖3 態(tài)勢(shì)預(yù)測Agent 流程圖

針對(duì)上述的基于Agent 的NSSA 框架進(jìn)行的最終描述，這里采用了形象化的方式，以PEPA 為描述語言極大提升了模型的分析性能。從數(shù)據(jù)的采集到數(shù)據(jù)的預(yù)處理、從態(tài)勢(shì)的量化到態(tài)勢(shì)預(yù)測，Agent 改進(jìn)模式的NSSA 架構(gòu)體系讓當(dāng)下的網(wǎng)絡(luò)安全得到了進(jìn)一步的提升，面向多源數(shù)據(jù)源的網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系，在設(shè)計(jì)中充分利用了分布式數(shù)據(jù)信息獲取的優(yōu)勢(shì)性，并能采用分域式的處理方式來增強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的效果。作為一種能感知網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)攻擊以及安全事件、安全風(fēng)險(xiǎn)的系統(tǒng)成為當(dāng)今大數(shù)據(jù)時(shí)代背景下網(wǎng)絡(luò)安全的新型防御方式，對(duì)整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)做到了可視化呈現(xiàn)、分析及預(yù)測。不同于傳統(tǒng)網(wǎng)絡(luò)安全防御方式，NSSA 架構(gòu)下而設(shè)計(jì)的網(wǎng)絡(luò)安全防御還具備了能與當(dāng)下諸多網(wǎng)絡(luò)系統(tǒng)及應(yīng)用平臺(tái)相兼容的優(yōu)勢(shì)，以一種前瞻性的姿態(tài)展現(xiàn)著它的現(xiàn)實(shí)意義及應(yīng)用價(jià)值。

3 總結(jié)

大數(shù)據(jù)背景下對(duì)于網(wǎng)絡(luò)安全防御有了更高的要求，網(wǎng)絡(luò)態(tài)勢(shì)感知的出現(xiàn)彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的不足及漏洞，本文將網(wǎng)絡(luò)態(tài)勢(shì)感知的概念及應(yīng)用架構(gòu)進(jìn)行了介紹說明，并提出了一種可適用于多源項(xiàng)的態(tài)勢(shì)感知體系，可謂是當(dāng)今以至于面向未來的網(wǎng)絡(luò)安全“標(biāo)配”。