解读网络安全态势感知研究进展

      首先指出了网络安全态势感知研究的必要性，介绍了网络安全态势感知的概念、含义和主要任务；其次，详细阐述了网络安全态势感知国内外的研究现状和涉及到的关键技术；最后，总结和展望了网络安全态势感知当前存在的难题和今后的研究方向。

   　 精彩推荐开心网正式介入团购 创SNS模式新 目前，已有近百家团购网站在开心网启动机构主页。YOKA时尚网...《IT时代周刊》总编辑曹健在2010年客户答 随着计算机和通信技术的迅速发展，伴随着用户需求的不断增加，计算机网络的应用越来越广泛，其规模也越来越庞大。同时，网络安全事件层出不穷，使得计算机网络面临着严峻的信息安全形势，传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全态势感知(NSSA)技术能够综合各方面的安全因素，从整体上动态反映网络安全状况，并对安全状况的发展趋势进行预测和预警，为增强网络安全性提供可靠的参照依据。因此，针对网络的安全态势感知研究已经成为目前网络安全领域的研究热点。

      一、网络安全态势感知相关概念

      1.1 网络安全态势感知的概念

      态势感知(situation awareness)这一概念源于航天飞行的人因(human factors)研究，此后在军事战场、核反应控制、空中交通监管(air traffic control，ATC)及医疗应急调度等领域被广泛研究。Endsley把态势感知定义为“在一定的时空条件下。对环境因素的获取、理解以及对未来状态的预测”，整个态势感知过程可由如图1所示的三级模型直观地表示出来。
 
      态势感知的三级模型

      网络安全态势感知源于ATC态势感知，是一个比较新的概念，并且在这方面开展研究的个人和机构也相对较少。1999年，Bass首次提出了网络态势感知(cyberspace situation awareness)这个概念，并对网络态势感知与ATC态势感知进行了类比，旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。网络安全态势感知包含了两层含义：实时地根据网络安全设备的告警信息及其他信息，进行关联归并、数据融合等操作，实时反映网络实际的运行状况；根据历史数据进行一定的离线分析，采用一定手段对潜在可能的威胁进行预测。

      目前，对网络安全态势感知还未能给出统一的、全面的定义。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。态势是一种状态、一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。网络安全态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

       1.2 网络安全态势感知的主要任务

       网络安全态势感知的任务至少应包括以下七方面的内容：

       1.2.1 当前状态感知，亦称态势觉察(situation perception)，包括态势识别(situation recognition)和态势确认(situation identification)。态势确认包括攻击类型、攻击源、攻击目标等的确认。

       1.2.2 攻击影响感知，亦称影响评估(impact assessment)，包括当前影响评估(即损害评估)和将来影响评估(如果攻击者继续攻击的话)两个部分。脆弱性分析(vulnerability analysis)是影响评估的一大方面，提供了己方知识，促进将来影响的预测。将来影响评估还涉及到威胁评估(threat assessment)。

       1.2.3 态势演化感知。态势追踪(situation tracking)是其重要组成部分。

       1.2.4 行动者(敌手)行为感知。其重要组成部分是攻击趋势(attack trend)和意图分析(intent analysis)，更关心行动者(敌手)的行为，而不是态势本身。

       1.2.5 感知当前态势形成原因和过程，包括因果关系分析(causality analysis)(通过事后追踪)和事后分析(forensics)。

       1.2.6 感知收集到的态势感知信息项，以及从这些信息项中得到的知识—智能—决策(knowledge-intelligence-decisions)的质量(可信性)。质量度量包括可信性(trustfulness)、完全性(completeness)和新鲜性(freshness)。

       1.2.7 态势预测。预测敌手将来可能的行为和动作、可能采取的攻击路径，分析得出可能的态势。该部分需要对敌手意图、机会、能力以及自身脆弱性有全面了解。

       不失一般性，网络安全态势感知可分为三个阶段：态势识别、态势理解和态势预测。

       二、国内外发展动态