摘要：隨著物聯網、云計算和數字化的迅速發展，傳統網絡安全防護技術無法應對復雜的網絡威脅。網絡安全態勢感知能夠全面的對網絡中各種活動進行辨識、理解和預測。首先分別對態勢感知和網絡安全態勢感知的定義進行了歸納整理，介紹了網絡安全態勢感知的發展歷程和關鍵技術，最后進行了總結。

1引言

今年來，隨著物聯網、云計算、大數據和數字化等的迅速發展。各企業都部署了網絡設施，網絡規模日益擴大，拓撲結構日益復雜，網絡安全管理的復雜性日益提高，難度也不斷增大。各種檢測技術也相繼出現，如入侵檢測技術、惡意代碼檢測技術等，然而這些技術都是從某一個角度去發現網絡中的問題，沒有考慮關聯性，無法全面且及時的找到網絡中的威脅并能預測到可能受到的威脅。網絡安全態勢感知（Cyberspace Security Situation Awareness）研究成為近幾年來的一個熱門的研究領域，它對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及對未來短期的發展趨勢的預測。

2 研究目的

新型網絡面臨多層次的安全威脅

隨著信息化和數字化的發展，網絡安全形勢越來越嚴峻。從網絡設備、傳感節點、移動終端、工控設備等基礎設施到應用層面臨各種各樣的威脅。在網絡控制層，面臨IP地址欺騙、DDoS攻擊、控制與數據平面分離以及后門和隱蔽通道。 在應用層，面臨木馬、蠕蟲、病毒等威脅，系統面臨APT攻擊等。由于政府和大型企業的關鍵信息基礎設施和重要數字系統具有高價值的、大量的數據，往往被黑客組織采用高級持續性威脅（Advanced Persistent Threat，APT）技術攻擊。APT攻擊針對特定的目標，進行長期的有計劃有組織地竊取數據和信息，通常攻擊方式隱蔽，且攻擊周期可能長達數年，網絡安全人員很難發現。

傳統安全技術不適用新型威脅

傳統的安全防護僅僅依靠部署于邊界或特殊節點的防火墻、入侵檢測系統（intrusion detection system，IDS）、入侵防御系統（intrusionprevention system, IPS）等安全設備的進行的靜態檢測。被動式防御已不再適用于高級持續性威脅、0day攻擊等新型網絡威脅的防護。從目前的技術來看，現有的安全防御措施無法有效解決網絡安全問題，亟需對傳統的安全防御方法進行優化和改進，形成全面的，能應對多樣化和持續化威脅的安全體系。

本文從網絡態勢感知的定義、主要技術和應用領域進行歸納總結，為安全領域相關研究人員提供參考。本文主要工作如下：

對網絡安全態勢感知相關定義和模型進行梳理。

對網絡安全態勢感知的研究進展進行了歸納總結。

對網絡安全態勢感知關鍵技術進行了分析。

展望未來的研究趨勢。

3 網絡安全態勢感知的相關概念

態勢感知的概念首先由美國空軍為了分析空戰環境信息、快速判斷當前及未來形勢，以作出正確反應進而提升空戰能力而進行的研究。1988年，Endsley提出態勢感知的基本概念，即“在一定的時空范圍內，認知、理解環境因素，并且對未來的發展趨勢進行預測”[1]，提出三層模型（如圖1所示）：態勢要素提取、態勢理解和態勢預測。1999年，Bass首次提出網絡安全態勢感知的概念，并且指出“基于融合的網絡態勢感知”必將成為網絡管理的發展方向[2]。網絡態勢是指由各種網絡設備的運行狀況、網絡行為已經應用軟件行為等因素所構成的整個網絡的當前狀態和變化趨勢。

與態勢感知一樣，網絡安全態勢感知同樣包括三個層次：網絡態勢要素提取，網絡態勢理解和網絡態勢預測。網絡態勢要素提取通過采集各種網絡設備、傳感節點等的數據及網絡要素，為后續態勢分析和預測提供數據基礎。網絡態勢理解主要利用提取的數據，對其進行分析評估當前的網絡安全狀況。網絡態勢預測則研判網絡安全狀態在未來的變化趨勢，做到提前應對。

圖1 Endsley態勢感知模型

4 研究進展

網絡安全態勢感知首先要收集網絡中的數據，進行數據融合，在此基礎上建立網絡態勢感知模型。數據融合是將來自多個信息源的數據收集起來，進行關聯、提取，組合和分析。從學者開始研究態勢感知以來，經過幾十年的發展，態勢感知態勢以數據融合為中心，提出了幾十種網絡態勢感知模型。主要有Boyd控制模型即OODA控制循環模型[3]、JDL數據融合模型[3]等，后來一些學者在JDL數據融合模型的基礎上進行改進，發展出新的一些改進型模型，如Tadda等人提出的Cyber SA模型[4] 、龔正虎等人提出的CSA研究模型[5]。其中有名的是Boyd控制模型（OODA模型），OODA控制循環模型由觀察、導向、決策和行動這4個階段構成一個控制過程環（如圖2所示）。OODA模型完整地展示了態勢感知的動態執行過程，該模型的循環結構和動態協作能適應復雜的網絡空間的態勢感知。影響范圍最廣的是JDL（Joint Directors of Laboratories）數據融合模型。JDL模型分為4個層次：目標細化、態勢細化、風險細化、過程細化[3]。態勢感知作為第二層次融合，向下從第一層次融合接收網絡元素的數據，作為態勢感知的信息來源；向上為第三層次提供態勢信息，用于威脅分析和決策支持。Tadda等人提出的Cyber SA模型包含日志、配置、任務、攻擊、入侵嘗試等網絡元素，體現出網絡的特點。龔正虎等人提出的CSA模型突出動態循環、不斷細化的本質，強調反饋的重要作用。

圖2 OODA控制模型

在2006年之后，有關網絡態勢感知的模型已經比較完善，相關研究也沒有新的顯著的進展，態勢理解和態勢預測作為網絡態勢感知的重要環節，許多人對這些方面進行更深入的研究。而態勢評估作為態勢理解的核心，占有重要地位和作用。所謂態勢評估，是指通過匯總、過濾和關聯分析網絡設備產生的安全事件，建立合適的模型，對網絡系統整體上受到的威脅進行評估，從而分析出網絡遭受攻擊所處階段，全面掌握網絡整體的安全狀況。評估方法分成三類：（1）基于數學模型的方法（2）基于知識推理的方法（3）基于模式識別的方法[5]。

基于數學模型的方法以層次分析法、集對分析法、模糊綜合分析法、距離偏差法等方法為代表，建立安全指標集與安全態勢的對應關系。其缺點是變量的定義涉及的主觀因素較多，缺少客觀統一的標準，得出的態勢感知結果有差別。

基于知識推理的方法是以模糊推理、貝葉斯網絡、馬爾可夫過程、D-S證據理論[6]等為代表，通過邏輯推理方式對安全態勢進行評估。貝葉斯網絡時態勢評估研究中使用最多的一種方法，迎合態勢評估動態、不確定性等特點，引入動態貝葉斯網絡進行關于時間的概率推理[7]。從實際應用來看，該類方法對知識的獲取途徑仍然比較單一，主要依靠專家知識庫。專家知識庫主要靠經驗的累積，其缺點是大量的規則和知識占據了大量空間，而且推理過程也越來越復雜，很難應用到大規模網絡中進行評估。

基于模式識別的方法是通過機器學習建立態勢模板，經過模式匹配完成對態勢的劃分，主要有灰色關聯分析、粗集理論、神經網絡和支持向量機等為代表，利用訓練的方法建立模型，然后基于模式的分類來對網絡安全態勢進行評估。該方法優點是學習能力好，模型建立較為準確，缺點是計算量大，建模時間長。隨著芯片和計算技術的發展，計算能力越來越強，機器學習方法得到越來越多學者的關注。

5 網絡安全態勢感知的關鍵技術

5.1 基于大數據技術的態勢感知

隨著網絡空間高速發展，數據量激增，安全的整體狀況難以描述。而對大數據的處理技術也隨之成熟，網絡安全態勢感知技術逐漸有了新的發展方向，大數據技術特有的海量存儲、并行計算、高效查詢等特點為大規模網絡安全態勢感知的關鍵技術創造了基礎。實際的平臺架構主要由威脅數據的采集與存儲、大數據智能挖掘與分析等構成。文獻[8-11]對基于大數據技術的網絡安全態勢感知進行了研究。另外，大數據技術應用到安全可視分析、用戶行為分析中，形成大數據交互式可視分析、用戶實體行為分析、網絡行為分析等一系列大數據安全分析研究分支，以應對當前的網絡安全挑戰[8]。

5.2 基于機器學習的態勢感知技術

隨著機器學習技術的不斷拓展和深入，機器學習技術變得越來越成熟，已經在各個領域中得到廣泛應用。基于機器學習的態勢感知技術也越來越得到人們的重視。機器學習的目的是通過數據訓練計算機，使得計算機能夠在未來做出改進的決策。機器學習分為有監督學習和無監督學習。在監督學習的數據集中，所有的訓練和測試數據都被賦予一個標簽值，通過機器學習算法來學習和預測未知數據的標簽。在無監督學習中，數據沒有標簽，需要機器學習算法來找出數據的模式和預測未知數據。謝麗霞設計了一種基于BP(backpropagation)神經網絡的網絡安全態勢評估方法，并且提出一種基于RBF（radical basis function）神經網絡的網絡安全態勢預測方法[13]。劉延華提出一種結合 SMOTE-SVM 算法和 XGBoost 算法的數據分類模型[12]。白云鵬提出一種基于注意力機制卷積神經網的網絡安全態勢感知研究方法，利用卷積網絡權值共享和局部連接特性，減少模型開銷，卷積神經網絡可以自動提取模型特征而無需人工[14]。文獻[15-20]都從神經網絡的角度對網絡態勢感知進行研究。

6 結論

網絡安全態勢感知包括網絡安全態勢提取、網絡安全態勢理解和網絡安全預測三個層面，是一個完整的認知過程。盡管該方向的研究已經得到較長時間的關注，但仍未形成完整的、明確一致的目標和體系。新的技術仍在不斷發展。大數據技術和機器學習技術在快速發展，對網絡安全態勢感知的技術發展起到良好的作用。而基于神經網絡的網絡安全態勢感知技術是目前最有前途的方法之一。

參考文獻

[1] Endsley MR.Design and evaluation for situation awareness enhancement[C]//Proceedings ofthe Human Factors Society Annual Meeting.Los Angeles，CA：Sage Publications，1988：97-101

[2] Bass T，Gruber D.A glimpse into the future ofid[J].Magazine of Usenix & Sage，1999，24（4）：40-45.

[3] Hall D L，Llinas J.An introduction to multisensordata fusion[J].Proceedings of the IEEE，1997，85（1）：6-23.

[4] Tadda G,Salerno J, Boulwarea D, Hinmana M, Gorton S. Realizing situation awareness in acyber environment. In: Multisensor BV, ed. Proc. of the Multisource InformationFusion, SPIE Vol.6242. 2006. 1?8.

[5] 龔正虎,卓瑩.網絡態勢感知研究.軟件學報,2010,21(7):1605?1619.

[6] Shafer G. AMathematical Theory of Evidence. Princeton: Princeton University Press, 1976.

[7] Zhang Y, Ji Q,Loonet C. Active information fusion for decision making under uncertainty. In:Proc. of the ISIF. 2002. 643?650.

[8] 陳興蜀, 曾雪梅, 王文賢, 等. 基于大數據的網絡安全與情報分析[J/OL]. 工程科學與技術, 2017, 49(3): 1-12. DOI:10.15961/j.jsuese.201600352.

[9] 楊秉宇 . 基于大數據的網絡安全態勢感知關鍵技術研究[J]. 軟件,2021,42(5):119-121.

[10] 王艷. 大數據技術的網絡安全態勢感知平臺分析[J/OL]. 科技資訊, 2022, 20(17): 30-32. DOI:10.16661/j.cnki.1672-3791.2203-5042-6023.

[11] 葉青. 基于數據挖掘的網絡安全態勢感知研究[D/OL]. 南京郵電大學, 2019.

[12] 劉延華, 高曉玲, 朱敏琛, 等. 基于數據特征學習的網絡安全數據分類方法研究[J]. 信息網絡安全, 2019(10): 50-56.

[13] 謝麗霞, 王亞超, 于巾博. 基于神經網絡的網絡安全態勢感知[J/OL]. 清華大學學報(自然科學版), 2013, 53(12): 1750-1760. DOI:10.16511/j.cnki.qhdxxb.2013.12.014.

[14] 白云鵬. 基于注意力機制卷積神經網絡的網絡安全態勢感知研究[D/OL]. 河北師范大學, 2022.

[15] 孟錦,馬馳,何加浪,張宏.基于 HHGA-RBF 神經網絡的網絡安全態勢預測模型[J].計算機科學,2011,38(07):70-72.

[16] Lan W,XueL,Zhao Q.Prediction Method for Network Security Situation Based on GeneralizedRBF Neural Network[J].Command Information System andTechnology,2015,82(10):1329-1336.

[17] 陳維鵬,敖志剛,郭杰,等.基于改進的 BP 神經網絡的網絡空間態勢感知系統安全評 估[J].計算機科學,2018,45(S2):335-337+351

[18] 任偉，蔣興浩，孫錟鋒.基于RBF神經網絡的網絡安全態勢預測方法[J].計算機工程與應用,2006,(31): 136

[19] 王偉.基于深度學習的網絡流量分類及異常檢測方法研究[D].中國科學技術大學,2018

[20] 尤馬彥，凌捷，郝彥軍.基于Elman神經網絡的網絡安全態勢預測方法[J].計算機科學,2012,第39卷(6): 61-63，76

總結

以上是生活随笔為你收集整理的网络安全态势感知研究综述的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。