网络安全态势感知中的威胁情报技术

　　摘 要：2016年，習近平总书记在全国网信工作座谈会上作出重要指示：要加强大数据挖掘分析，更好感知网络安全态势，做好风险防范。为应对网络安全面临的严峻挑战，很多大型行业及企业响应国家政策号召，积极倡导、建设和应用态势感知系统。网络安全态势感知是保障网络安全的有效手段，利用态势感知发现潜在威胁、做出响应已经成为网络安全的研究重点。目前提出的各种网络安全态势感知技术及方法，大多以小规模网络为研究背景。随着网络规模的扩大，出现了例如APT这样的新型高级攻击手段，导致态势感知技术的准确性大为降低，可操作性也变得更加困难。近年来，威胁情报的出现为态势感知的研究带来了新思路，成为态势感知研究领域的一个新方向。

　　对传统态势感知研究和威胁情报在网络安全态势感知上的应用进行了归纳总结。传统网络安全态势感知的研究一般分为3部分，即态势察觉、态势理解、态势投射，主要过程是通过对目标系统安全要素的提取，分析安全事件的影响，最终实现对网络中各种活动的行为识别、察觉攻击，并对网络态势进行评估和预测，为网络安全响应提供正确决策。对威胁情报在网络安全态势感知上的应用从3个场景进行了讨论：1)态势察觉：利用威胁情报进行攻击行为的识别，提取相关的攻击特征，确定攻击意图、方法及影响;2)态势理解：确定攻击行为及其特征后，对攻击行为进行理解，通过共享威胁情报中攻击行为的处置方法，确定攻击者的攻击策略;3)态势投射：通过分析威胁情报中攻击事件、攻击技术、漏洞等信息，评估当前系统面临的风险，预测其可能遭受的攻击。

　　威胁情报主要是利用大数据、分布式系统等收集方法获取的，具有很强的自主更新能力，能够提供最全、最新的安全事件数据，极大提高网络安全态势感知工作中对新型和高级别危险的察觉能力。通过威胁情报共享机制，可使安全管理员对所处行业面临的威胁处境、攻击者类型、攻击技术及防御策略信息有更加深入的了解，对企业正在经历或潜在的威胁进行有效防御，提高态势感知分析的准确率与效率，以及对安全事件的响应能力。

　　关键词：网络安全;态势感知;威胁情报;STIX;网络攻防

　　隨着规模和用户数量的不断增加，网络正朝着大规模、多业务、大数据化的方向发展，网络体系结构也随之日趋复杂化。在这种背景下，计算机病毒、恶意软件、信息泄露等网络攻击造成的影响越来越严重，多层次的安全威胁和风险也在持续增加，出现了很多关于防火墙、防病毒、入侵检测等防御技术。与传统的安全防护技术不同，网络安全态势感知技术不再是针对某一特定攻击方式的防御技术，而是一种整体、全局的防御手段，其对网络安全的研究具有很高价值。然而，目前针对态势感知的研究大都是基于局域网或小规模网络展开的，在大规模网络的背景下，还需对传统的网络防御技术进行改进，态势感知技术也需引入先进的技术，实现更加全面的安全分析与态势预测。

　　由于新型高级攻击手段的肆意频发，网络威胁情报(cyber threat intelligence，CTI)近年来成为网络安全研究的热点，为态势感知研究带来了新思路。CTI描述了攻击行为，提供了网络攻击的上下文数据，并指导了网络攻击和防御。利用威胁情报收集大量数据，通过有效的数据共享，确保信息交换的安全和质量，分析恶意行为，发现和预防潜在的威胁[1]。威胁情报能够提供某种攻击行为的重要信息与攻击特征，为安全事件的响应、防御策略的制定提供正确处理决策。然而目前对于CTI的研究仍处于初始阶段，相关研究成果很少，如何合理规范地使用CTI进行网络安全态势感知是亟待解决的关键问题。

　　针对上述提出的关键问题，本文通过整理现有态势感知模型的优缺点，指出威胁情报处理网络安全威胁的优势，进而挖掘威胁情报与网络安全态势感知的结合点，明确威胁情报为网络安全态势感知研究带来的重要影响，以期为后续研究工作打牢基础。

　　1 网络安全态势感知

　　1.1 相关概念

　　态势感知是指在特定的时间和空间内提取系统的要素，理解其含义并预测其可能产生的影响[2]。网络安全态势感知(network security situational awareness，NSSA)工作流程主要是通过对系统的安全要素进行采集，分析安全要素之间的关联，从中发现系统中的异常行为，并对异常行为造成的影响进行评估，得到网络的安全态势，根据一段时间的态势趋势，预测未来时段态势的变化。

　　态势感知的概念起源于空中交通管制(air traffic control)[3]。ENDSLEY[4]将态势感知分为3个层面：态势察觉、态势理解、态势投射，之后 BASS[5]首次提出了网络态势感知的概念：在大型网络环境中，获取、理解、评估、显示可能导致网络状态发生变化的要素，并预测未来的发展趋势。FRANKE[6]等认为态势感知是可以在不同程度实现的状态，包含网络态势感知。网络态势感知不能被孤立地对待，应与整体态势感知交织在一起。在此基础上，许多实验室展开研究，开发了各种网络态势感知系统或平台，Lawrence Berkeley实验室开发了“Spinning Cube of Potential Doom”系统[7]、卡内基梅隆大学开发了SILK[8]、美国国家高级安全系统研究中心开发了VisFlowConnect-IP[9]等。

　　1.2 网络安全态势感知模型

　　NSSA模型一般分为态势察觉、态势理解、态势投射3部分，如图1所示。

　　1)态势察觉 主要目的是将采集到的安全要素信息进行降噪、规范化处理，对数据进行建模后，发现系统中的异常行为活动;

　　2)态势理解 主要是在态势察觉的基础上对攻击行为进行理解，识别攻击意图，确定攻击策略;

　　3)态势投射 在前两步的基础上分析攻击行为对网络中对象的威胁情况，并根据威胁情况，评估攻击对系统安全态势的影响，量化和预测安全态势。

　　NSSA的目标就是了解自己、了解敌人。

　　1.3 网络安全态势感知相关方法

　　通過对NSSA模型的理解，针对NSSA的研究主要是在态势察觉、态势评估及态势预测3个方面进行的。

　　1.3.1 态势察觉

　　态势察觉是NSSA的首要环节。由于互联网和网速的快速提升，攻击行为的传播速度也大大提高，因此对潜在攻击行为的识别研究对网络安全防护起到了重要作用。文献[10]提出了在攻击图上应用吸收马尔可夫链的随机数学模型，将攻击图映射到吸收马尔可夫链，描述攻击者的多步攻击行为，利用攻击路径态势分析识别攻击者的真实目的。然而，该方法是通过有限项的概率转移矩阵确定攻击者意图，在面对大规模的网络攻击时，攻击行为之间的转移矩阵难以计算。文献[11] 提出了非齐次的马尔可夫模型，利用目标系统的漏洞信息构建攻击图，通过马尔可夫链计算网络状态转移概率，计算最大概率的攻击路径，从而确定攻击者的攻击意图，但该模型的参数设置并不能跟随网络环境的变化而变化，不具有普适性。

　　1.3.2 态势评估

　　态势评估是NSSA的核心环节。通过对一段时间内的安全数据进行分析，描述网络的安全状态，对态势进行评估，可以明确网络态势的变化趋势，为态势预测提供依据。文献[12]提出了基于随机博弈的网络安全态势评估模型，综合分析了攻击方、防御方和环境信息三者对安全态势的影响;然而在攻防双方策略选择时，仅考虑了简单的策略集合，在真实的攻击场景中，策略选择要复杂得多。文献[13]提出了基于隐马尔可夫过程的网络安全态势评估改进模型，确定状态转移矩阵，利用风险值实现安全态势的量化，反映态势的变化趋势;但该方法具有一定的局限性，对NSSA要素的提取不全面，观测序列不完善，评估的准确性还有待提高。

　　1.3.3 态势预测

　　态势预测是NSSA的重要环节。能够获知网络系统全局运行的安全发展趋势，实时感知，及时发现危险事件，使系统做出准确的应急响应，避免大规模的网络攻击。态势预测常用的方法有基于马尔可夫链的预测模型、基于时间序列的预测模型、贝叶斯动态预测模型[14-16]。其中基于马尔科夫链的预测方法利用当前时刻的态势计算下一时刻的态势，结合最大熵算法，提高了预测的准确性，但该模型参数评估的准确性还有待进一步研究。基于时间序列的预测方法在训练数据方面具有优势，但是在处理大量数据集的应用上效果不佳。贝叶斯动态预测模型方法利用贝叶斯方法对攻击行为建模，但对网络攻防建模要求高，需要考虑的因素较多[17]。

　　通过分析上述文献可知，现有的NSSA技术都是以小规模网络、局域网为研究目标，缺乏基于大规模网络背景的网络安全态势感知研究。而目前的大型网络大多存在资产数量巨大、风险类型多样、数据采集难度大、周期长等复杂问题，现有网络安全态势技术在威胁察觉、态势评估与预测的准确性上都具有一些不足之处。为此，本文引入威胁情报作为NSSA的基础依据，从威胁情报的定义、威胁情报在网络安全态势感知、评估和预测等阶段的应用等方面进行分析和探索，为NSSA的研究发展提供新的解决思路。

　　推荐阅读：电力网络相关论文文献怎么下载

期刊VIP网，您身边的高端学术顾问

文章名称： 网络安全态势感知中的威胁情报技术

文章地址： http://www.qikanvip.com/jisuanjiwangluo/57595.html