互联网基础设施的不休发展和新应用的不休潜入使得网罗规模渐渐扩大学妹超乖， 拓扑结构日益复杂， 网罗安全管理的难度不休增多.为了大意日益复杂、掩蔽的网罗胁迫， 各式检测本领接踵出现， 如脆弱性检测本领、坏心代码检测本领、入侵检测本领等.这些本领试图从不同的角度发现网罗中可能存在的安全问题， 但在应时且全面地找出网罗系统中存在的真是胁迫方面不够瞎想和灵验， 限定了网罗安全管理员作念出最好响应决策的才调.频年来， 网罗安全态势感知的宗旨渐渐引起斟酌东说念主员的有趣， 但愿欺诈其从大皆且存在噪声的数据中辨识出网罗中的盘曲步履， 宏不雅地把合手所有这个词网罗的安全景象， 并合理、灵验地进行响应， 以尽可能地镌汰因盘曲形成的亏蚀.这关于培育网罗系统的监控才和洽济急响应才调具有积极的作用.关联词， 现在东说念主们对网罗安全态势感知的斟酌仍处于探索阶段， 还未形成一致的坚韧.

鉴于网罗安全态势感知对网罗安全管理的积极作用， 且现在该范围的斟酌尚在起步阶段， 本文试图对网罗安全态势感知的基本宗旨、斟酌内容与难点、意见及现在的斟酌热门进行综述， 具体孝顺如下.

(1) 对网罗安全态势感知的宗旨进行了再行表述， 进一步明确了它的斟酌宗旨.

(2) 依据本文给出的网罗安全态势感知界说对已有的宗旨模子进行分析， 并在此基础上给出了一个更为准确、合理的宗旨模子.

(3) 对关系的斟酌内容进行了分类接洽， 分析存在的问题.

(4) 探讨了网罗安全态势感知现在的热门问题， 进一步指出网罗安全态势感知下一步的斟酌重心.

本文第1节主要推崇态势感知的宗旨及发源， 再行表述网罗安全态势感知的宗旨.第2节~第4节分别从网罗安全态势觉察、网罗安全态势清醒、网罗安全态势觉察投射这3个层面推崇网罗安全态势感知的斟酌内容和存在的问题.第5节基于网罗安全态势感知的宗旨探讨这一范围的斟酌重心.临了是全文总结.

1 网罗安全态势感知的基本宗旨

本节主要推崇态势感知的宗旨， 再行表述网罗安全态势感知的宗旨， 并对态势感知与网罗安全态势感知之间的关系加以分析.

1.1 态势感知

状态是指一个物资系统中各个对象所处的景象， 由一组测度来表征.顾名想义， 态势是系统中各个对象状态的综合， 是一个合座和全局的宗旨.任何单一的情况和状态均不成成为态势， 它强调系统及系统中的对象之间的关系[1].微不雅而言， 表征状态的测度取值依赖于对应系统的要素内容， 这些要素之间的关系如图 1所示， 其中，

●  原始数据是指传感器产生的未经处理的数据， 它反应的是原始数据的不雅测结尾;

●  信息是指对原始数据进行灵验性处理后得到的数据记载;

●  常识是指遴选关系本领所识别出的系统中的步履内容;

●  清醒是指针对各个步履， 分析得到的其意图和特征;

●  状态评估是指计算这些步履对系统中各个对象所产生的作用.

Fig. 1 Situation awareness cognitive mapping process[2] 图 1 态势感知的分解映射[2]

从图 1不错看到， 感知是一种“分解映射”.所谓分解映射是指决策者遴选数据和会、风险评估及可视化等关系本领对不同地点获取的不同情势的信息去噪、整合， 从而得到更准确、更全面的信息， 然后不休地对这些信息进行语义索求， 识别出需要关注的要素偏激意图， 决策者不错及时、灵验地评估其对系统产生的影响.

态势感知是指在一定的时刻和空间范围内索求系统中的要素， 清醒这些要素的含义， 而且计算其可能的效果[3].Endsley将其玄虚为3个层面:态势觉察 (situation perception)、态势清醒 (situation comprehension) 及态势投射 (situation projection).根据这个界说， 态势感知不错清醒为一个分解经过[4]， 通过使用以前的造就和常识， 识别、分析和清醒现时的系统景象.分析东说念主员对现时的态势进行感知， 更新“状态常识”， 然后再进行感知以最终组成一个轮回的映射经过.这个映射经过不是浅易的数据变换而是一种语义索求[5]， 因此， 感知的经过阐扬为不休地作分解映射以获取更多、更瞩宗旨语义.态势感知是一个动态变化的经过， 不同的东说念主由于造就、常识等有所不同， 得到的态势感知不尽调换.

态势感知最早来源于好意思国军方在军事抵御中的斟酌.在军事术语中， 态势感知的宗旨是使造就官了解两边的情况， 包括敌我的所在位置、现时状态和作战才调， 以便能作念出快速而正确的决策， 达到心中出奇、立于不败之地的宗旨[5].态势感知方法在战场造就[6]、东说念主机交互系统[7， 8]、战场造就[5]和医疗济急颐养[9]等范围均有应用.Bass于1999年冷漠网罗态势感知这个宗旨[10]， 次年将该本领应用于多个NIDS检测结尾的数据和会分析[2]， 主淌若处置单一入侵检测系统无法灵验识别出现时系统中存在的所有盘曲步履及所有这个词网罗系统的安全态势的问题.随后， 学术界开动起劲于于网罗安全态势感知的斟酌， 并冷漠了多种关系的模子和本领.

现在， 东说念主们对网罗安全态势感知的斟酌存在3种不雅点:一种觉得NSSA是网罗安全事件应用大数据处理和可视化本领的汇总结尾， 如传统的安全干事提供商 (McAfee， Symantec) 及新出现的重心存眷APT盘曲的企业 (FireEye， Mandiant) 等， 通过公开一些本领阐明记载APT的盘曲实例[11， 12]; 一种觉得NSSA是基于网罗安全事件和会计较的网罗安全状态量化抒发[13， 14]; 还有不雅点觉得NSSA看成一种网罗安全管理器具， 是网罗安全监测的一种已毕阵势， 并冷漠了诸多模子[3， 15-18].

态势感知常被应用在由不雅察 (observe)、导向 (orient)、决策 (decision) 和行动 (act) 这4阶段组成的一个戒指经过环中 (如图 2所示).这类戒指模子以前有好多斟酌后果， 如Boyd戒指轮回模子[15]、JDL数据和会模子[15]、Endsley在1995年冷漠的模子[3]、龚正虎等东说念主冷漠的网罗态势感知模子[16]、Tadda冷漠的将JDL与Endsley的3层模子相结合的模子[17]以及刘效武冷漠的分解和会感控模子[18]等.

Fig. 2 OODA decision making model[15] 图 2 OODA决策模子[15]

OODA环的宗旨平直来自Boyd戒指轮回模子， 它描写了宗旨与步履的感知经过， 并将感知轮回经过分为不雅察、判断、决策、行动这4个阶段.其中， 不雅察已毕了从物理域起首到信息域; 判断和决策属于分解域; 而行动已毕信息域到物理域的闭合， 完成轮回.前3个阶段雷同于JDL数据和会模子; 而行动阶段辩论了决策对真是宇宙中的影响来闭合轮回， 更适用于需要进行主动干涉的环境中.Lenders等东说念主将OODA应用到企业网中， 处置了之前OODA模子中将判断、决策的任务留给东说念主们进行手动处理的问题[5].

需要强调的是:这些斟酌得到的并不是态势感知模子， 而是态势感知应用模子， 态势感知的使命只波及图 2中分解域的步履， 不波及信息域和物理域的步履.因此， 基于这些模子来平直代表态势感知的宗旨是不对适的.

1.2 网罗安全态势感知

好意思国空军通讯与信息中心的Bass在1999岁首次冷漠将态势感知本领应用于多个NIDS检测结尾的数据和会分析， 觉得“多传感器数据和会本领为下一代入侵检测系统和网罗态势感知系统提供了一个要紧的功能框架， 它不错和会多源异构IDS的数据， 识别相差侵者身份、盘曲频率及胁迫进程等”[2].文件[2]莫得给出网罗安全态势感知宗旨的明确界说， 只是强调数据和会是态势感知的中枢技巧.之后的斟酌中也很少有东说念主平直对网罗安全态势感知的宗旨进行平直的界说， 而是使用结合的神志， 这是导致这个范围斟酌中宗旨不长入的要紧原因.

文件[1]探讨了网罗安全态势感知的宗旨， 觉得它是指“在大规模网罗环境中， 对能够引起网罗态势发生变化的安全要素进行获取、清醒、傲气以及计算翌日的发展趋势”.这个界说基本上属于Endsley界说[3]的翻译， 而且穷乏对网罗安全态势感知中网罗安全态势投射层面的内容， 对网罗安全态势感知宗旨的清醒是不完好意思的.

文件[4]将“网罗安全态势感知视为态势感知的一个子集， 其主要关注的是网罗安全范围， 数据源主淌若IDS的警报、脆弱性信息等”.这个界说过于磨蹭， 莫得明确子集的含义是针对功能照旧针对数据， 也莫得明确网罗安全态势感知是态势感知结尾的一部分照旧功能的一部分.网罗安全态势感知与态势感知实质上是类型和实例的关系而不是子集的问题， 态势感知既包括安全态势感知， 也包括工业戒指态势感知等， 是使用归并种方法应用在不同的范围.

咱们觉得:网罗安全态势感知的宗旨应当是将态势感知的表面和方法应用到网罗安全范围中， 能够使网罗安全东说念主员在动态变化的网罗环境中宏不雅把合手所有这个词网罗的安全状态， 为高层管理东说念主员提供决策解救.鉴于态势感知是一种分解经过， 且网罗安全态势感知是态势感知方法在网罗安全范围的应用， 因此， 咱们不错将网罗安全态势感知的宗旨界说如下.

界说1.网罗安全态势感知NSSA是对网罗系统安全状态的分解经过， 包括对从系统中测量到的原始数据安详进行和会处理和已毕对系统的布景状态及步履语义的索求， 识别出存在的各样网罗步履以偏激中格外步履的意图， 从而获取据此表征的网罗安全态势和该态势对网罗系统正常步履影响的了解.

界说中需要评释的是:网罗系统是对各式形态网罗的抽象， 包括计较机互联网、物联网以偏激他遴选不同通讯神志和末端类型的网罗.这意味着不同类型的网罗在网罗安全态势感知的宗旨和方法上是具有共性的.测量是对各式网罗检测功能的抽象， 包括网罗管理数据和网罗安全监测数据.其中， 测量数据的生成不是NSSA的任务， 而这些数据的获取则是NSSA的任务.这意味着网罗安全态势感知的斟酌宗旨与斟酌内容与网罗管理和网罗入侵检测等这些传统的斟酌范围之间有着辞别和不同的侧重心.布景状态是系统现时所处的运奇迹态， 这是动态变化的， 与系统之前的部署和界说可能是不一致的.“安全”独一在动态的系统中才有道理， 因此， 盘曲步履及安全劣势对系统的影响效果， 应当基于系统现时的状态进行判定.步履语义是系统中的主体作用于客体的动作所组成的序列， 要进行安全态势察觉， 管理东说念主员应当了解系统中存在的所有步履， 不成仅止于辨识盘曲步履， 即， 要辨清敌我.响应决策自身不是NSSA的任务， 因为态势感知只是OODA的援助本领.这意味着安全响应本领和安全策略管理本领等传统上属于网罗安全管理范围的内容， 不属于网罗安全态势感知的斟酌范围.

根据上述界说， NSSA的任务包括网罗安全态势觉察、网罗安全态势清醒、网罗安全态势投射这3个层面.其中， 态势觉察完成原始测量数据的和会与语义索求任务以及步履辨识任务， 态势清醒完成这些辨识出的步履的意图理罢免务， 态势投射完成这些步履意图所产生的胁迫判断任务.层与层之间存在依赖关系[19， 20]， 即:如果网罗安全态势觉察和网罗安全态势清醒莫得合理的结尾， 得到网罗安全态势投射很可能亦然不正确的或不完好意思的.但另一方面， 每层的结尾均可沉静呈现并平直使用， 以甘愿不同的网罗安全管理需要.这意味着网罗安全态势感知的结尾偏激抒发神志具有各样性， 蕴含的语义粒度也不错随需求的视角而不同.然而无论如何， 网罗安全态势感知的结尾应当是可响应的 (reactionable)， 不然， 穷乏试验道理.另外， 网罗安全态势感知是一个测量数据驱动的分解经过， 测量数据的数目与质地影响感知的结尾.

基于上述清醒， 咱们给出网罗安全态势感知的一般功能模子， 如图 3所示.该模子包含网罗安全态势觉察、网罗安全态势清醒、网罗安全态势投射及可视化等模块， 底下简要玄虚各模块的功能.

Fig. 3 Network situation awareness model 图 3 网罗安全态势感知模子

●  网罗安全态势觉察的主要宗旨是辨识出系统中的步履， 即:对网罗中关系的检测开荒与管理系统产生的Raw Data进行降噪、步履化处理， 得到灵验信息， 然后对这些信息进行关联性分析， 识别出系统中有“谁”(系统中的主体、客体) 存在， 进一步分辨出格外的步履;

●  网罗安全态势清醒的主要任务是在网罗安全态势觉察的基础上发现盘曲步履， 清醒并关联盘曲步履的语义， 然后在此基础上清醒其意图;

●  网罗安全态势投射的主要任务是在前两步的基础上分析并评估盘曲步履对现时系统中各个对象的胁迫情况.这种投射包括发现这些盘曲步履在对象上一经产生和可能产生 (即计算) 的效果.通过将态势感知的结尾投射到详情的系统对象上， 不错获取该对象在现时态势下的状态.尽管要感知的是系统中的步履， 而感知的最散伙尾则应抒发为这些步履对系统对象的影响， 不成仅止于步履的识别， 因为系统因之而产生的反应是施加于对象的， 而不是平直施加于步履自身.这是一个再坚韧的经过， 即:和会从系统中不雅察到的各个对象的状态以组成态势， 再看这个态势对系统各个对象的道理;

●  瞎想情况下， 网罗安全态势感知将网罗安全景象以可视化[21-23]的阵势示意成“谁在什么时候什么场所对谁产生什么样的影响”(即Who， When， Where， Impact).斟酌东说念主员不错不雅察在特定的时刻段系统中某个盘曲步履的情况， 也不错不雅察所有步履的分散情况， 这取决于具体的斟酌宗旨和需求， 其中，

Who是指辨识出的系统中的盘曲步履;

When是指盘曲步履在时刻轴上的演化经过 (阅览、荫藏、盘曲、后门欺诈);

Where是指盘曲步履的分散 (即被管网罗中哪些主机和干事器已被盘曲);

Impact是指盘曲步履对被管网罗形成的影响， 包括已形成的影响和潜在影响.

总之， 网罗安全态势感知的宗旨是了解我方， 了解敌东说念主 (胁迫).

本文的界说但愿在饱和抽象的层面上尽量完好意思地体现网罗安全态势感知的宗旨和任务， 杰出强调了网罗安全态势投射对网罗安全态势感知的道理， 咱们在第2节~第4节等分别对各个层面的斟酌内容与斟酌近况进行归纳接洽.

2 网罗安全态势觉察 2.1 基本任务

网罗安全态势觉察的基本任务是辨识出系统中的所有步履 (包括盘曲步履) 以及这些步履的规矩和特征 (即， 图 4所示的步履建模).本节起首先容网罗安全态势觉察的一般模子， 然后推崇在网罗安全态势觉察中使用的建模方法.

Fig. 4 Network security situation perception model 图 4 网罗安全态势觉察模子

网罗安全态势觉察一般模子包含数据预处理、步履建模和网罗安全态势觉察结尾这3个功能， 如图 4所示.数据预处理完成测量数据的步履化和考据， 故意于后续的和会处理.步履建模借助这些测量数据自身语义完成之间的关联性分析.觉察结尾完成步履的辨识和特征索求.态势觉察是一个学习经过， 因此， 步履建模和觉察结尾之间存在反馈关系.

现在， 多数的斟酌搭伙在盘曲步履辨识方面， 总体的处置想路如图 5所示.斟酌热门有两个:一个是基于先验常识， 将不雅察到的警报与已知的盘曲步履进行匹配 (即， 图 5所示的大众常识)， 关系方法有基于盘曲场景的方法; 另一个是在穷乏先验常识的情况下分析警报之间的关系， 发现盘曲智力之间的关系性， 组成盘曲步履的描写 (即， 图 5所示的关联).

Fig. 5 Attack activities reconstruction model 图 5 盘曲步履重构模子 2.2 基于先验常识的方法

基于先验常识的方法是基于大众造就和常识来界说常识库， 最常用的建模方法是基于场景的方法.该方法通过大众规矩或常识来界说一个盘曲序列模板 (即图 5所示的智力1) 以描写可能的盘曲步履， 然后将不雅察到的警报按模板进行匹配， 以收复盘曲经过.

Cuppens等东说念主[24]开发了LAMBDA讲话来解救模板和匹配经过的描写.斟酌者[25-29]往往将一个盘曲步履分为多个阶段， 如IKC Multi-stage Attack Model[30].通过分析每个盘曲警报的语义， 将经过网罗配置信息和脆弱性信息考据后的灵验警报与已知的盘曲阶段进行匹配， 以识别所有这个词盘曲经过.

基于盘曲场景的方法往往以有向图的阵势示意盘曲序列的模板， 图中的节点对应着一个安全事件， 边示意事件之间的依赖关系， 边中的权重示意事件间更正概率.该方法能够高效地识别出已知的盘曲步履， 但无法识别未知的盘曲步履， 且还存在可彭胀性较差的问题.

2.3 不基于先验常识的方法

不基于先验常识的方法是通过数据挖掘、机器学习等本领分析警报之间的关系， 以收复完好意思的盘曲经过.现在常用的建模方法有相同性方法、因果关联方法及交叉关联方法.这类方法由于不依赖预界说的盘曲模板， 因此不错发现未知的盘曲步履.

相同性方法觉得相同警报的来源和产生的影响是调换的或相同的， 它通过计较警报特征之间的相同进程对警报进行聚类 (clustering) 或团聚 (aggregation) 以减少警报的数目.现在， 基于相同性的斟酌方法主要有两种:属性相同性方法和时序相同性方法.该方法的重要是界说得当的相同度量圭臬 (即图 5所示的智力3).文件[31]界说了相同函数， 比较属性相同进程团聚IDS的警报.而文件[32]觉得， 同种故障产生的警报往往发生在一个较小的时刻窗口内， 冷漠基于时序的相同性方法团聚IDS的警报.相同性方法仅对每个警报的属性进行处理， 无法识别出警报间的因果关系， 为此， 该方法需要与其他模子相结合.文件[33， 34]分别将聚类算法和隐马尔可夫模子 (HMM) 相结合， 以分析最有可能的盘曲序列和识别盘曲的类型.

Ning等东说念主[35]和Lin等东说念主[36]觉得:盘曲的状态不是沉静存在的， 不同的盘曲阶段是互关系联的， 之前的盘曲阶段为后续的盘曲提供条目， 这是因果关联方法 (即图 5所示的智力2) 的基本想路.然而他们的方法需由大众指定入侵的条目和结尾， 以构建完好意思的盘曲前因、后果数据库， 可彭胀性较差， 不适用于大型网罗.为此， 文件[37-44]分别冷漠了数据挖掘方法、时刻序列分析方法和机器学习方法挖掘警报之间的因果关系.这些方法既无需预界说常识库也无需网罗的配置信息， 就不错发现盘曲步履之间的因果关系和识别未知的盘曲步履.因果关联方法的优点是无需知说念所有这个词盘曲经过就不错构造盘曲场景， 然而它无法处理IDS漏报的盘曲步履， 因此需要与其他方法相结合才能高效地使命.

为了处置因果关联方法的劣势， 培育关联的准确性， 文件[45-49]冷漠了交叉关联的方法， 将因果关系与布景知知趣结合， 已毕盘曲场景的重建， 灵验处置了因果关联方法的劣势.该方法往往使用布景常识 (即图 5所示的互相补充的常识及智力4、智力5)， 如网罗拓扑信息、脆弱性信息和主机配置信息等来和会、考据IDS的告警， 以培育警报的质地， 同期还不错分析告警的到手率和胁迫进程， 最终达到辞别真是胁迫和过滤误报的宗旨.此外， 文件[50-54]冷漠了基于入侵本色常识的方法和将本色常识和布景知知趣结合的方法界说警报信息的语义， 使用一系列预界说的语义推断规矩得到警报信息间的隐含关系， 高效地重建盘曲经过.另外， 还有斟酌东说念主员冷漠了multi-agent fuzzy consensus态势感知框架[55]、蚁群算法[56]筛选信息， 并模仿于大数据的处理才调， 欺诈大数据提供的平台和本领进行觉察分析， 尤其是分析APT盘曲[57]， 进一步培育了察觉的准确性.

2.4 存在的问题

纵不雅现存的斟酌使命， 咱们发现现在网罗安全态势觉察在盘曲步履的辨识方面仍存在着以下两个问题.

(1) 觉察结尾的精度.从觉察结尾的正确性方面来说， IDS系统固有的劣势 (存在大皆的误报和漏报) 对盘曲步履的重构仍然有很大的影响.举例IDS的漏报会导致警报关联性缺失， 将一个盘曲步履分裂成两个盘曲步履.从觉察结尾的分辨率来说， 盘曲步履产生的脚迹信息量越多， 越容易关联;

(2) 觉察的效劳.从及时性方面来说， 现阶段的斟酌多遴选离线的神志进行关联性分析和盘曲经过重构， 无法甘愿入侵驻扎系统的快速响应要求 (即时的中断、调节或险阻一些不正常或是具有危害性的网罗步履).从体绑缚构的可彭胀性方面来说， 警报关磋磨统存在的体绑缚构可分为3类:搭伙式体绑缚构、分散式体绑缚构及档次化体绑缚构[32].现在， 多数的斟酌遴选在“搭伙式”体绑缚构处理IDS警报， 但跟着网罗规模的不休扩大， 异构的进程不休增多， 导致“搭伙式”关联方法日益复杂， 难以彭胀.

表 1对上述各关联方法存在的主要问题 (如警报冗余排斥、警报团聚、减少误报、识别已知的盘曲、识别未知的盘曲及漏报的假定推理等) 进行比较， 其中， √示意具备相应的才调， ×示意不具备相应的才调.

Table 1 Comparative analysis of existing techniques 表 1 方法比较 3 网罗安全态势清醒 3.1 基本任务

网罗安全态势清醒是基于识别出的盘曲步履偏激特征， 通过进一步分析这些盘曲步履的语义以及它们之间可能的关联关系来推断盘曲者的意图， 其主要任务包括识别这些盘曲步履的起源、类型， 并判断盘曲者的才调、契机和盘曲到手的可能性等.为了灵验地推断盘曲者的意图， 现在， 多数斟酌分别从盘曲步履自身和盘曲宗旨两个方面进行分析.

3.2 盘曲步履计算

所谓盘曲步履计算是要分析盘曲步履间的逻辑关系， 并以此来推断盘曲步履的可能变化， 其宗旨是通过对盘曲步履的清醒来推断自后续动作.常用的建模方法主要有马尔可夫模子方法、时刻序列分析方法、博弈论及机器学习方法等.

马尔可夫模子用马尔可夫链描写一组状态， 用震动概率看成测度来描写状态之间的关系.有斟酌者遴选变长马尔可夫模子 (VLMM) 和隐马尔可夫模子 (HMM) 对盘曲者的步履建模， 将一个盘曲阶段视为模子中的一个状态， 通过计较状态之间的震动概率来推测最有可能的盘曲动作.Yang等东说念主[58]从盘曲者才调、契机、意图及步履等角度启程， 分别辩论了盘曲者的才调、脆弱性的可渗入进程及财富要紧性等信息， 判断盘曲步履的变化情况.而文件[59-62]无需辩论上述信息， 分别遴选VLMM和HMM方法对IDS警报建模， 计较震动概率， 分析盘曲趋势.基于马尔可夫模子的方法存在3个方面的局限:起首， 该方法要求安全事件甘愿马尔可夫性的要求， 即， 要求多步盘曲的各阶段一语气且莫得盘曲智力丢失; 其次， 该方法需要较长的不雅测序列对HMM模子的参数进行熟练， 不然不成保证模子熟练结尾的正确性; 临了， 跟着网罗规模的不休扩大， 盘曲步履之间的状态震动概率难以计较， 可彭胀性不睬想.

为了减少因使用大皆数据集对模子的参数进行熟练而产生的支出， Fachkha等东说念主、Kim等东说念主及Pontes等东说念主将时刻序列分析本领[63-65]结合概率模子、数据挖掘等本领来分析DDos盘曲特征及步履变化.时刻序列分析是一种动态数据处理的统计方法， 它的本质特征是相邻不雅测值的前后具有依赖性， 即:已知T时刻发生的事件， 计算T+1， T+2， …， T+n时刻的事件.尽管该方法不错减少熟练支出， 然而它却无法灵验处理大皆的数据集， 而IDS每天坐蓐的警报数目巨大， 导致其性能较低; 其次， 从准确性角度来说， 该方法对数据的生成经过需要严格的假定， 如滑动平均自总结模子要求盘曲步履序列或其某级差分甘愿沉稳性的假定， 影响计算的准确性.

为了培育盘曲步履识别的准确性， 文件[66， 67]将先验常识和贝叶斯网罗相结合发现盘曲者的步履常识， 该方法需要一定的先验常识; 文件[68-72]进一步培育了方法的稳妥性， 分别冷漠了伪贝叶斯网罗方法、自稳妥的因果矩阵学习方法和决策树学习等机器学习方法对盘曲步履建模， 分析其可能的变化情况.尽管机器学习方法具有较好的敛迹性和容错才调， 即使在网罗规模较大的应用环境下也不错依赖较好的性能来处理大皆数据， 然而该方法仍需要得当的熟练以获取相应的参数， 尤其是在分类经过中， 需要获取标识数据.

斟酌发现， 上述方法均不错灵验地分析盘曲步履的可能变化， 但在需要主动驻扎措施的网罗环境中， 所有这个词网罗的安全态势跟着攻防两边的轮换行动而发生变化， 仅知说念盘曲步履如何变化远远不够.为了较好地舆解盘曲者的意图， 咱们在知说念盘曲步履如何变化的同期还应遴选灵验的大意决议， 以便镌汰风险.为此， 有斟酌者遴选博弈论[73， 74]来分析盘曲者的策略想维， 以便遴选更好的驻扎策略， 减少因盘曲而形成的亏蚀.

博弈论方法辩论了蹙迫方、驻扎方及普通用户三方身分， 综合分析三方步履对被管网罗产生的影响.同期， 它还不错根据盘曲方的行动空间给出最好的加固决议.而上述其他方法仅从盘曲步履自身的变化角度分析盘曲方的意图， 未辩论到后两者的作用.关联词， 跟着网罗规模的不休扩大， 盘曲者的行动空间安详复杂化， 需要一定的近似处理， 使得结尾不一定准确， 再加上还要辩论驻扎方和普通用户的行动空间， 使得该方法的处理职守过大， 穷乏可彭胀性; 其次， 从准确性方面来说， 该方法仅接洽在最大最小策略下的大意决议， 未辩论混杂策略下的纳什平衡， 使其准确性不一定最优.

3.3 盘曲宗旨清醒

盘曲宗旨清醒基于被管对象中财富的功能及要紧性， 据此推断盘曲者的盘曲意图和进行盘曲朔源.

Tang等东说念主[75]从被保护对象的角度启程分析盘曲者的宗旨， 冷漠了使用动态后向传播神经网罗和协方差相结合的方法， 基于现时每个主机的干事、盘曲步履、干事要紧性平分析可能要遭遇盘曲的干事.Yang等东说念主[58]欺诈假造地形 (virtual terrain) 的宗旨对现时的网罗系统建模， 结合盘曲者的才调、脆弱性的可渗入进程及财富要紧性， 然后欺诈VLMM及时地处理IDS的警报， 分析盘曲步履的变化情况， 已毕对盘曲意图的综合判断.赵文涛等东说念主冷漠了盘曲的分层分解模子[76]， 可已毕对盘曲智力、盘曲步履和盘曲经过的分解， 更好地舆解其盘曲意图.文件[77， 78]通过构建盘曲图描写被管网罗内的胁迫旅途， 并计较盘曲宗旨的最粗略率盘曲旅途， 这也可视为是对盘曲流的建模经过.盘曲图从盘曲者角度启程， 综合分析网罗配置信息、时弊信息等， 罗列被管网罗内的胁迫旅途， 直不雅地示意被管网罗内时弊信息的关系.图中的节点示意盘曲到手的可能性、盘曲宗旨的要紧性及危害的严重性等， 边上的权重示意使用的盘曲方法及欺诈的时弊等， 综合上述信息的流入、流出， 已毕状态更正， 可用于描写盘曲的可能路线或盘曲的可能进展.

3.4 存在的问题

●  起首， 从计算的准确性方面来说， 比较博弈论和时刻序列方法， 马尔可夫模子方法、机器学习方法主淌若先从历史数据中得到关联规矩， 在此基础上再进行分析.这种决议对已知的盘曲步履能饱和显豁和准确地分析出盘曲者下一步要遴选的行动， 而关于一些新的盘曲步履和相同盘曲步履的变体需要额外处理， 准确性有待培育;

●  其次， 从上述计算方法的性能角度来说， 盘曲步履是动态变化的， 盘曲步履产生的脚迹等关系信息弘远， 传统的基于滑动窗口的批量处理方法不一定可行， 无法彭胀到及时的大规模的应用场景.为此， 需要及时地对警报进行优化和聚类;

●  临了， 上述方法基于态势觉察提供的平直不雅察数据， 与关系布景数据和历史数据的和会处理只是是初步和浅易的， 因此在盘曲者身份识别与盘曲步履溯源等方面比较薄弱.

4 网罗安全态势投射 4.1 基本任务

网罗安全态势投射的基本任务是基于识别出的盘曲步履， 评估一经出现的盘曲步履对被管网罗产生的危害和可能要发生的盘曲步履对被管网罗形成的潜在胁迫.

网罗安全态势投射一般模子由投射准备、风险评估本领和网罗安全态势投射结尾这3方面的功能组成， 如图 6所示.投射准备将态势清醒的结尾映射到试验网罗环境， 详情被管对象面对的灵验胁迫; 风险评估本领用来判断这些可能的胁迫所产生的效果; 态势投射结尾综合判定系统中被保护的对象需要大意的试验胁迫及这些胁迫步履对系统对象的危害情况.

Fig. 6 Network security situation projection model 图 6 网罗安全态势投射模子

现时斟酌阶段， 存在静态评估和动态评估两种风险评估本领:静态评估是指在盘曲发生之前， 主动地分析和评估被管系统中存在的风险和隐患， 解救全面退避性的安全响应决策; 动态评估是指在盘曲发生之时， 基于现时的安全警报进行及时评估和预判型评估， 以解救有针对性的动态安全响应决策.现在， 这方面的斟酌内容多搭伙在亏蚀评估方面， 即， 分析关系盘曲步履对被管网罗一经形成的危害.

亏蚀评估是指网罗安全东说念主员根据网罗安全态势觉察识别出来的盘曲步履和其他检测开荒的阐明内容， 借助数学器具等模子， 分析它对网罗、系统资源等诸身分一经产生的影响.为了灵验地进行评估， 斟酌东说念主员遴选了稠密评估方法， 传统方法包括贝叶斯本领、基于常识的方法、东说念主工神经网罗、磨蹭逻辑本领， 引入的新表面有集对分析、D-S字据表面、粗集表面、灰度关联分析等.咱们将上述斟酌方法梗概分为3类:常识推理方法、统计方法和灰度表面方法.

4.2 基于常识推理的方法

基于常识推理的方法是凭借大众常识及造就建立评估模子， 通过逻辑推理分析所有这个词网罗的安全态势， 其基本想想是:借助概率论、磨蹭表面、字据表面等来抒发和处理安全属性的省略情趣， 通过推理累积多属性信息.关系方法有两类:一类是基于图模子的推理， 如贝叶斯网罗、磨蹭分解图 (fuzzy cognitive map， 简称FCM)[79]等; 另一类是基于字据表面的推理， 如D-S字据推理[80].

欧美日韩中文字幕在线，播放

其中， 图模子的推理方法是通过有向图的状态更正来分析盘曲步履对网罗形成的影响.文件[81]使用贝叶斯网罗对网罗中的“省略情身分”建模， 计较盘曲到手的概率， 及时地评估盘曲的严重进程.针对多宗旨优化问题， Poolsappasit等东说念主冷漠了一个风险评估方法[82]， 使得管理东说念主员在资源有限的情况下也能作念出较好的决策.但因网罗中的变量不是互相沉静的， 导致计较搭伙概率分散的资本较高， 无法适用于大规模的网罗环境.为此， Aguilar等东说念主结合了磨蹭逻辑与神经网罗本领， 在分解图[83]的基础上冷漠了FCM的宗旨， 欺诈它获取网罗中要紧财富的依赖关系[84]进行危害进程评估.

基于图模子的推理使用有向图示意状态更正， 图中隐含了概率、更正及推理关系常识， 想路显豁， 便于清醒， 然而在大多数情况下， 变量之间不是互相沉静的， 条目概率及权重矩阵的计较比较难过， 加重了推理的难度， 且图的存储支出较大， 不适用于大型复杂的网罗环境.为此， 文件[85， 86]联想了一个基于D-S字据表面的态势评估架构， 和会省略情信息进行省略情趣推理， 量化网罗的安全态势.尽管评估经过中无需精准了解变量间的概率分散， 在先验概率难以获取时D-S表面愈加灵验， 但该方法仍具有一些劣势[87]:(1) 需要大皆的先验数据来详情基本概率分拨函数， 同期要求字据间互相沉静， 宗旨假定间互斥; (2) 计较量比较大， 有潜在的组合爆炸问题; (3) 其字据组合规矩具有组合奢睿性， 基本概率分拨的眇小变化常会导致组合结尾的巨大互异.

4.3 统计方法

统计分析的宗旨是综合辩论影响网罗安全的态势要素， 构建一个评估函数， 已毕态势要素和所有这个词网罗态势空间的映射.王娟等东说念主接洽了态势要素的组成与结构[88].常用的统计方法有权重分析方法和档次分析法 (analytic hierarchy process， 简称AHP)， 该方法的重要是求得态势要素的要紧性权值.

权重分析法基于财富在网罗的要紧性， 通过为网罗中的资源赋值分析胁迫的危害情况[89， 90].该方法的优点是将网罗安全态势觉察的结尾平直看成态势评定函数的参数， 拉近了数据和会档次之间的距离[1]， 但在评估经过中穷乏合理的量化圭臬， 在权重赋值经过中具有较强的主不雅性.为了克服这种主不雅性， Wang等东说念主[91]通过统计盘曲者需要几许个不同0-day时弊才能对系统形成破损， 来评估网罗的安全景象.

档次决策分析 (analytic hierarchy process)[92]由Satty等东说念主冷漠， 该方法将定性分析与定量分析相结合， 是一种无结构的多准则决策方法， 通过想维经过的档次化和数目化， 达到分析复杂问题的宗旨.陈秀真等东说念主[13]遴选从下到上、先局部后合座的策略建立档次化网罗安全胁迫态势量化评估模子， 在对报警发生频率、警报严重性偏激网罗带宽耗用率进行统计的基础上， 遴选逐层累积的神志对盘曲、干事、主机以及所有这个词网罗的要紧性权值进行加权以计较胁迫指数， 据此评估安全胁迫态势.

档次分析方法通过两两比较构造判断矩阵， 该方法从定性过渡到定量要津， 依据造就测度的是相对权重比， 而非全皆权重值， 这在一定进程上镌汰了确立权重的难度， 但仍无法开脱东说念主为的主不雅判断， 且需锻练判断矩阵 (反应了评估者的判断想维) 的一致性， 这时常要反复屡次[93， 94].

4.4 灰度表面方法

安全态势的趋势变化既有已知信息， 也有未知和省略情信息， 这种特质决定了安全态势风险值的变化看成一个“灰色系统”而存在.灰色系统表面[95]以“部分信息已知， 部分信息未知的小样本、贫信息”的省略情趣系统看成斟酌对象， 并在此基础上索求有用信息.灰色系统欺诈累加生成或逆累加生成的新数据进行建模， 故意于找出数据的变化规矩， 具有弱化原始数据的立时性、所需样本少、短期计算精度高档特质.

Juan等东说念主[96]冷漠了将无偏灰度表面 (unbiased grey theory) 和马尔可夫表面相结合的方法， 分析网罗的风险变化情况.然而GM (1， 1) 适用于态势变化为线性的短期线性时刻序列分析， 不适用于非沉稳立时序列.斟酌发现， 网罗安全态势具有立时波动性的特质， 且呈“S”弧线情势[97].基于GM (1， 1) 的劣势， Hu等东说念主[98]冷漠了矫正的自稳妥灰度模子 (improved adaptive grey verhulst model)， 对网罗安全态势呈“S”弧线的情况进行分析.

在网罗安全态势投射斟酌经过中， 多数文件莫得辩论到资自身分.文件[73， 74， 99， 100]分别从亏蚀资本的角度和响应资本的角度分析了网罗的安全态势投射， 以期已毕响应资本和预算之间的平衡.

4.5 存在的问题

从评估的准确性角度来说， 归并盘曲步履在不同的层面具有不同的语义， 如:SQL注入盘曲在教导层示意某个内存单位欺凌， 在网罗层的语义示意网罗会话中存在对受害者主机坏心的查询.这种不同的阐扬使得咱们需要跨层面进行评估[101]， 单纯的单一层面的评估不成灵验地量化产生的危害.

从评估的粒度方面来说， 现存的评估结尾相对浅易.举例， 不错辩论亏蚀评估在时刻和空间维度上的投射:时刻维度辩论风险的发生和缔造在时刻上的管制， 空间维度辩论风险的传播范围， 即， 在评估经过中需要辩论系统中财富的要紧进程及依赖关系、脆弱性的品级、脆弱性可渗入的复杂进程等多种身分.

由于评估具有很强的主不雅性， 现在穷乏不同评估方法之间的语义互操作性， 这不利于网罗安全态势感知系统之间的信息分享与协同.

另外， 咱们还发现， 现阶段的斟酌基本皆搭伙在相对浅易的静态亏蚀评估方面， 而从盘曲步履的可能变化角度进行动态评估的斟酌不及， 包括预警分析.

5 网罗安全态势感知的斟酌标的

由于网罗安全态势感知关于网罗空间安全的要紧性， 这个范围的斟酌与应用日益活跃.举例好意思国国土安一说念的先进斟酌筹办署HSARPA于2013年9月发布的网罗空间安全策略斟酌筹办中[102]， 第3个斟酌主题为网罗安全 (network security)， 其中有一个优先发展标的为互联网盘曲建模 (modeling of internet attacks).这个优先发展标的中有4项任务与网罗安全态势感知之间关系， 包括开发甘愿网罗安全态势感知需要的数据鸠集、分类和存储机制， 开发新的网罗安全态势可视化本领， 解救跨域的网罗安全态势感知信息分享， 已毕不同时代粒度的网罗安全态势感知以甘愿从毫秒级盘曲自动响应到APT检测的不同需要.这4个任务体现了网罗安全态势感知的发展标的， 杰出是第4个任务， 很典型地反应了网罗安全态势感知本领的应用宗旨.

基于对网罗安全态势感知基本宗旨的清醒以及前边对这个范围关系斟酌进展的坚韧， 咱们觉得， 这个范围现在还面对着如下一些需要处置的重要问题.

(1) 海量异构测量数据的和会处理

网罗安全态势感知所依赖的原始测量数据不错来源于不同型号、不同已毕本领、不同开发与坐蓐者的网罗运行管理系统、网罗安全管理系统、主机管理系统和应用管理系统， 这些系统产生异构的运行监测数据和日记数据， 需要遴选流式数据处理神志在不同的时刻窗口内完成和会处理任务.现在， 这方面的斟酌彰着是不够的， 现存的大数据分析本领天然不错提供一定的解救与模仿， 但这些方法对态势觉察的适用性还需要有针对性的斟酌.

(2) 不完全信息条目下的步履辨识

这个问题是指在测量系统存在漏报、误报以及信息缺失的前提下， 如何尽可能准确地辨识出网罗中存在的步履.这类斟酌不错觉得是源自网罗入侵检测范围， 但在网罗安全态势感知的范围中被赋予了更为正常的含义.互联网的流量具有重尾的秉性， 传统的斟酌时常关注流量步履的典型部分和主要部分， 举例像流量分类， 但在态势觉察中， 不仅这些部分需要关注， 小流量的稀疏步履也需要专注， 举例APT检测的需要， 而且不完全信息条目下这类步履的辨识更为难过.因此， 这个范围需要更为缜密的测量数据关联性分析方法.

(3) 网罗步履的语义计较

从现在的履行看， 网罗盘曲的意图识别基本上是手工完成的， 即需要依靠东说念主工造就的判断.鉴于东说念主的才调管制和关系东说念主力资源的不及， 这种东说念主工已毕神志给网罗安全态势感知的大规模应用带来极大的限定.因此， 很有必要斟酌网罗步履特征索乞降意图识别的机器处理方法， 以培育网罗安全态势感知系统的自治才调.尽管网罗入侵防备系统IPS范围的使命不错提供一定的基础， 但从已毕不同时代粒度的网罗安全态势感知以甘愿从毫秒级盘曲自动响应到APT检测的不同需要的角度看， 皆是远远不够的.

(4) 网罗态势的可视化

网罗安全态势感知所处理的海量异构测量数据偏激处理结尾需要有合适的示意神志来加以抒发和应用， 可视化本领是一个公认的可行解救.HSARPA在它的策略斟酌筹办中也提到需要斟酌可彭胀的可视化方法来解救态势感知数据的使用， 包括带准确地舆定位的可视化方法、解救Drill-down的可视化分析方法以及得当不同用户使用和抒发不同内容的可视化本领.

(5) 网罗安全态势感知的协同

网罗空间安全需要环球相助， 至少在国度的层面要求相助的网罗安全态势感知系统之间具有协同才调， 就像HSARPA缱绻中所要求的那样.如果参照网罗入侵检测范围的关系斟酌， 关于相助机制的要求至少包括配置互操作性 (即相助各方具有信拒却换才调)， 需要有雷同SNMP和IPFIX这么的圭臬公约; 分享信息的语法互操作性， 需要有雷同IDMEF的圭臬数据结构; 以及语义互操作性， 举例描写网罗安全态势的圭臬测度偏激取值， 这在网罗入侵检测范围照旧空缺.此外， 由于相助各方可能存在信息拜访限定， 如何已毕信息分享与阴私保护的平衡把合手， 是需要斟酌的问题.

(6) 更为完善的态势投射方法

现在的态势投射方法基本皆是静态的， 不成稳妥网罗安全态势感知的经过需要， 因此需要斟酌相应的动态态势投射方法， 举例基于非相助不完全信息动态博弈表面联想附带预警才调的态势投射方法.

6 论断

网罗安全态势感知包括网罗安全态势觉察、网罗安全态势清醒和网罗安全态势投射这3个层面， 是一个完好意思的分解经过.它不单是是将网罗中的安全要素进行浅易的汇总数重迭， 而是根据不同的用户需求， 以一系列具有表面援助的模子为解救， 找出这些安全要素之间的内在关系， 及时地分析网罗的安全景象.

网罗安全态势感知是网罗安全范围的斟酌热门， 尽管一经得到较万古刻的关注， 但仍未形成完好意思的体系和明确一致的宗旨.在现存的网罗安全态势感知的斟酌中， 将其视为网罗安全事件应用大数据处理和可视化本领的汇总结尾的不雅点和将其视为基于网罗安全事件和会计较的网罗安全状态量化抒发的不雅点， 皆莫得完好意思地反应其宗旨和任务; 将其视为网罗安全监测已毕阵势的不雅点则不够准确.为此， 本文对网罗安全态势感知宗旨进行再行界说， 试图给出一个更为完好意思、显豁的描写， 以期投砾引珠.

现在， 网罗安全态势感知的斟酌是一个正处于发展中的课题， 大部分斟酌皆搭伙在重构盘曲步履方面， 基本皆是网罗入侵检测范围斟酌的蔓延， 已有很好的基础但也有好多问题需要斟酌和处置.另一方面学妹超乖， 包括网罗测量、网罗流量步履学、网罗管理本领、大数据处理本领、流式数据处理本领、可视化本领在内的其他关系范围的发展也为网罗安全态势感知的斟酌提供了积极的解救.尽管网罗安全态势感知的斟酌仍处于低级阶段， 然而， 跟着各式关系本领和斟酌的不休完善， 网罗安全态势感知本领将走向隆重和实用， 为保险网罗的安全起到越来越要紧的作用.

致谢 本文的匿名评阅者对著述内容， 杰出是对网罗安全态势感知界说的完善冷漠了许多建设性的意见和建议， 作家在此一并示意感谢.