网络安全态势感知综述之二

摘 要

上篇文章《网络安全态势感知综述(一)》对网络安全态势感知的定义、模型构成、意义进行了阐述，本篇则主要对构建网络安全态势感知模型的网络环境感知、态势理解和态势预测三个部分的建模过程和常用方法进行了分析，并对网络安全态势感知进行总结与展望。

如何构建网络环境感知模型?

网络环境感知是网络安全态势感知的基础，网络环境感知的过程包括数据采集、数据预处理和感知结果三部分。数据采集是基于网络分析师的需求或者基于网络安全态势指标(脆弱性、容灾性、威胁性和稳定性)对感知的网络环境数据进行采集，为数据预处理提供原始数据。数据预处理是通过数据处理算法对原始数据进行标准化和分类处理，产生规范化数据，从中提取特征数据或态势因子，保证数据的全面性和精确性，为态势理解奠定基础。

网络环境数据复杂多样，为了全面地提取特征数据或态势因子，研究者针对数据的不同特征，提出多种数据处理算法并得到规范化数据，实时保存感知到的网络数据，从而提高网络环境感知的速度和效率。常用的算法有条件随机场和进化神经网络的态势因子提取方法。

• 条件随机场是判别式概率模型，通过标注或分析信息对数据进行预处理，获取特征数据。
• 基于进化神经网络的态势因子提取方法是以神经网络算法为基础，采用进化策略优化神经网络参数，建立进化神经网络模型，提取态势因子，实现网络安全态势感知量化，解决信息不全面的问题。

除此之外，其他研究者还采用了聚类分析和可扩展的分层数据模型等方法。

如何构建态势理解模型?

态势理解是网络安全态势感知的核心，通过分析特征数据或态势因子之间的相关性得到影响网络安全态势的强相关因素，依据这些强相关因素，识别网络攻击，定位网络脆弱点，检测网络威胁。在此之后，评估已有攻击造成的损失和危害，并同时通过计算网络威胁的频率和分析网络脆弱的程度来评估安全事件发生的可能性，得到评估数据。依据这些评估数据来制定决策，执行主动防御反馈到网络环境，从而提高网络环境的防御能力，实现安全防护。

为了实现网络安全防护，研究者常用的方法有自适应共振理论模型、贝叶斯网络分类器和博弈模型。

• 自适应共振理论模型能够自适应网络动态环境，识别网络攻击，定位网络脆弱点。
• 贝叶斯网络分类器解决特征数据不确定性问题，分析网络流量，检测网络威胁，对网络攻击的不同特征进行分类以评估其造成的损失。
• 博弈模型用来评估攻击、防御双方产生的风险，刻画动态攻防过程，主动寻找最优防御策略，实现安全防护，降低风险损失。

除此之外，其他研究者还采用网络流量分析技术和基于深度学习的多级弹性检测框架等方法。研究人员将自适应共振理论、贝叶斯网络分类器及博弈模型等方法应用于网络安全领域，可以处理网络事件、降低人工成本、检测网络攻击、分类网络流量、检测实时消息、开展态势评估及实施主动防御。

如何构建态势预测模型?

态势预测是网络安全态势感知的目的，依据态势理解输出的评估数据，找出网络攻击的潜在规律，确定潜在的网络威胁，以此为基础来预测网络安全状况，包括预测网络攻击者的下一步行动、网络攻击的次数和网络安全状态的发展趋势，得到预测数据，再通过分析这些预测数据来制定决策，执行主动防御反馈到网络环境，从而提高网络环境的防御能力，实现安全防护。

为了在网络攻击发生之前主动采取防御措施，加强网络安全防护。研究者常用自回归整合移动平均预测模型、隐马尔可夫模型和灰色预测模型。

• 自回归整合移动平均预测模型分析历史网络数据，预测网络攻击次数和攻击者下一步行动。
• 隐马尔可夫模型在网络攻击数据不确定情况下，克服对网络数据完整性的依赖，预测网络安全发展趋势，采取预防措施执行主动防御。
• 灰色预测模型对既有已知信息，又有未知或不确定信息的网络系统进行预测，不仅可以提高模型的预测精度，还能准确地预测网络安全发展趋势。

除此之外，其他研究者还采用递归神经网络的新型恶意软件预测模型、信念规则库模型和RiskTeller风险预测模型等方法。研究人员将自回归整合移动平均预测模型、隐马尔可夫模型及灰色预测模型等方法应用于网络安全领域，可以处理预测攻击次数、预测攻击者下一步行动、预测网络安全发展趋势、处理不确定信息、缩短预测时间、预测网络事件的风险、提高预测精度及实施主动防御。

总结与未来展望

网络安全态势感知作为一种实现安全防护的新兴技术，得到学术界和企业界的广泛关注，已有一系列研究成果。本文梳理了网络安全态势感知基本概念并提出了网络安全态势感知的定义;依据网络安全态势感知过程构建了网络安全态势感知模型，并将其分为网络环境感知、态势理解和态势预测三个部分，介绍了各部分的研究过程、研究方法以及研究目的;描述了网络安全态势感知意义;对模型的各部分建立网络环境感知模型、态势理解模型和态势预测模型，并描述各部分的建模过程、常用方法及其能够实现的功能。

未来展望：

• 现有网络安全态势感知技术没有固定且统一的模型，研究人员根据网络安全需求的变化建立不同的模型。
• 已有工作侧重于对网络环境感知、态势理解和态势预测某个部分的研究，没有整体的研究方法与通用的标准模型。
• 与传统的安全设备检测方式相比，网络安全态势感知技术需要在网络攻击发生之前阻止攻击行为，这就要求与网络环境状态保持高度一致。
• 现有的网络安全态势感知技术在根据网络环境进行实时动态调整的能力上还有所欠缺，已有的网络安全态势感知框架与网络环境契合度有待完善。