摘 要：2016年，習近平總書記在全國網信工作座談會上作出重要指示：要加強大數據挖掘分析，更好感知網絡安全態勢，做好風險防范。為應對網絡安全面臨的嚴峻挑戰，很多大型行業及企業響應國家政策號召，積極倡導、建設和應用態勢感知系統。網絡安全態勢感知是保障網絡安全的有效手段，利用態勢感知發現潛在威脅、做出響應已經成為網絡安全的研究重點。目前提出的各種網絡安全態勢感知技術及方法，大多以小規模網絡為研究背景。隨著網絡規模的擴大，出現了例如APT這樣的新型高級攻擊手段，導致態勢感知技術的準確性大為降低，可操作性也變得更加困難。近年來，威脅情報的出現為態勢感知的研究帶來了新思路，成為態勢感知研究領域的一個新方向。

　　對傳統態勢感知研究和威脅情報在網絡安全態勢感知上的應用進行了歸納總結。傳統網絡安全態勢感知的研究一般分為3部分，即態勢察覺、態勢理解、態勢投射，主要過程是通過對目標系統安全要素的提取，分析安全事件的影響，最終實現對網絡中各種活動的行為識別、察覺攻擊，并對網絡態勢進行評估和預測，為網絡安全響應提供正確決策。對威脅情報在網絡安全態勢感知上的應用從3個場景進行了討論：1)態勢察覺：利用威脅情報進行攻擊行為的識別，提取相關的攻擊特征，確定攻擊意圖、方法及影響;2)態勢理解：確定攻擊行為及其特征后，對攻擊行為進行理解，通過共享威脅情報中攻擊行為的處置方法，確定攻擊者的攻擊策略;3)態勢投射：通過分析威脅情報中攻擊事件、攻擊技術、漏洞等信息，評估當前系統面臨的風險，預測其可能遭受的攻擊。

　　威脅情報主要是利用大數據、分布式系統等收集方法獲取的，具有很強的自主更新能力，能夠提供最全、最新的安全事件數據，極大提高網絡安全態勢感知工作中對新型和高級別危險的察覺能力。通過威脅情報共享機制，可使安全管理員對所處行業面臨的威脅處境、攻擊者類型、攻擊技術及防御策略信息有更加深入的了解，對企業正在經歷或潛在的威脅進行有效防御，提高態勢感知分析的準確率與效率，以及對安全事件的響應能力。

　　關鍵詞：網絡安全;態勢感知;威脅情報;STIX;網絡攻防

　　隨著規模和用戶數量的不斷增加，網絡正朝著大規模、多業務、大數據化的方向發展，網絡體系結構也隨之日趨復雜化。在這種背景下，計算機病毒、惡意軟件、信息泄露等網絡攻擊造成的影響越來越嚴重，多層次的安全威脅和風險也在持續增加，出現了很多關于防火墻、防病毒、入侵檢測等防御技術。與傳統的安全防護技術不同，網絡安全態勢感知技術不再是針對某一特定攻擊方式的防御技術，而是一種整體、全局的防御手段，其對網絡安全的研究具有很高價值。然而，目前針對態勢感知的研究大都是基于局域網或小規模網絡展開的，在大規模網絡的背景下，還需對傳統的網絡防御技術進行改進，態勢感知技術也需引入先進的技術，實現更加全面的安全分析與態勢預測。

　　由于新型高級攻擊手段的肆意頻發，網絡威脅情報(cyber threat intelligence，CTI)近年來成為網絡安全研究的熱點，為態勢感知研究帶來了新思路。CTI描述了攻擊行為，提供了網絡攻擊的上下文數據，并指導了網絡攻擊和防御。利用威脅情報收集大量數據，通過有效的數據共享，確保信息交換的安全和質量，分析惡意行為，發現和預防潛在的威脅[1]。威脅情報能夠提供某種攻擊行為的重要信息與攻擊特征，為安全事件的響應、防御策略的制定提供正確處理決策。然而目前對于CTI的研究仍處于初始階段，相關研究成果很少，如何合理規范地使用CTI進行網絡安全態勢感知是亟待解決的關鍵問題。

　　針對上述提出的關鍵問題，本文通過整理現有態勢感知模型的優缺點，指出威脅情報處理網絡安全威脅的優勢，進而挖掘威脅情報與網絡安全態勢感知的結合點，明確威脅情報為網絡安全態勢感知研究帶來的重要影響，以期為后續研究工作打牢基礎。

　　1 網絡安全態勢感知

　　1.1 相關概念

　　態勢感知是指在特定的時間和空間內提取系統的要素，理解其含義并預測其可能產生的影響[2]。網絡安全態勢感知(network security situational awareness，NSSA)工作流程主要是通過對系統的安全要素進行采集，分析安全要素之間的關聯，從中發現系統中的異常行為，并對異常行為造成的影響進行評估，得到網絡的安全態勢，根據一段時間的態勢趨勢，預測未來時段態勢的變化。

　　態勢感知的概念起源于空中交通管制(air traffic control)[3]。ENDSLEY[4]將態勢感知分為3個層面：態勢察覺、態勢理解、態勢投射，之后 BASS[5]首次提出了網絡態勢感知的概念：在大型網絡環境中，獲取、理解、評估、顯示可能導致網絡狀態發生變化的要素，并預測未來的發展趨勢。FRANKE[6]等認為態勢感知是可以在不同程度實現的狀態，包含網絡態勢感知。網絡態勢感知不能被孤立地對待，應與整體態勢感知交織在一起。在此基礎上，許多實驗室展開研究，開發了各種網絡態勢感知系統或平臺，Lawrence Berkeley實驗室開發了“Spinning Cube of Potential Doom”系統[7]、卡內基梅隆大學開發了SILK[8]、美國國家高級安全系統研究中心開發了VisFlowConnect-IP[9]等。

　　1.2 網絡安全態勢感知模型

　　NSSA模型一般分為態勢察覺、態勢理解、態勢投射3部分，如圖1所示。

　　1)態勢察覺 主要目的是將采集到的安全要素信息進行降噪、規范化處理，對數據進行建模后，發現系統中的異常行為活動;

　　2)態勢理解 主要是在態勢察覺的基礎上對攻擊行為進行理解，識別攻擊意圖，確定攻擊策略;

　　3)態勢投射 在前兩步的基礎上分析攻擊行為對網絡中對象的威脅情況，并根據威脅情況，評估攻擊對系統安全態勢的影響，量化和預測安全態勢。

　　NSSA的目標就是了解自己、了解敵人。

　　1.3 網絡安全態勢感知相關方法

　　通過對NSSA模型的理解，針對NSSA的研究主要是在態勢察覺、態勢評估及態勢預測3個方面進行的。

　　1.3.1 態勢察覺

　　態勢察覺是NSSA的首要環節。由于互聯網和網速的快速提升，攻擊行為的傳播速度也大大提高，因此對潛在攻擊行為的識別研究對網絡安全防護起到了重要作用。文獻[10]提出了在攻擊圖上應用吸收馬爾可夫鏈的隨機數學模型，將攻擊圖映射到吸收馬爾可夫鏈，描述攻擊者的多步攻擊行為，利用攻擊路徑態勢分析識別攻擊者的真實目的。然而，該方法是通過有限項的概率轉移矩陣確定攻擊者意圖，在面對大規模的網絡攻擊時，攻擊行為之間的轉移矩陣難以計算。文獻[11] 提出了非齊次的馬爾可夫模型，利用目標系統的漏洞信息構建攻擊圖，通過馬爾可夫鏈計算網絡狀態轉移概率，計算最大概率的攻擊路徑，從而確定攻擊者的攻擊意圖，但該模型的參數設置并不能跟隨網絡環境的變化而變化，不具有普適性。

　　1.3.2 態勢評估

　　態勢評估是NSSA的核心環節。通過對一段時間內的安全數據進行分析，描述網絡的安全狀態，對態勢進行評估，可以明確網絡態勢的變化趨勢，為態勢預測提供依據。文獻[12]提出了基于隨機博弈的網絡安全態勢評估模型，綜合分析了攻擊方、防御方和環境信息三者對安全態勢的影響;然而在攻防雙方策略選擇時，僅考慮了簡單的策略集合，在真實的攻擊場景中，策略選擇要復雜得多。文獻[13]提出了基于隱馬爾可夫過程的網絡安全態勢評估改進模型，確定狀態轉移矩陣，利用風險值實現安全態勢的量化，反映態勢的變化趨勢;但該方法具有一定的局限性，對NSSA要素的提取不全面，觀測序列不完善，評估的準確性還有待提高。

　　1.3.3 態勢預測

　　態勢預測是NSSA的重要環節。能夠獲知網絡系統全局運行的安全發展趨勢，實時感知，及時發現危險事件，使系統做出準確的應急響應，避免大規模的網絡攻擊。態勢預測常用的方法有基于馬爾可夫鏈的預測模型、基于時間序列的預測模型、貝葉斯動態預測模型[14-16]。其中基于馬爾科夫鏈的預測方法利用當前時刻的態勢計算下一時刻的態勢，結合最大熵算法，提高了預測的準確性，但該模型參數評估的準確性還有待進一步研究。基于時間序列的預測方法在訓練數據方面具有優勢，但是在處理大量數據集的應用上效果不佳。貝葉斯動態預測模型方法利用貝葉斯方法對攻擊行為建模，但對網絡攻防建模要求高，需要考慮的因素較多[17]。

　　通過分析上述文獻可知，現有的NSSA技術都是以小規模網絡、局域網為研究目標，缺乏基于大規模網絡背景的網絡安全態勢感知研究。而目前的大型網絡大多存在資產數量巨大、風險類型多樣、數據采集難度大、周期長等復雜問題，現有網絡安全態勢技術在威脅察覺、態勢評估與預測的準確性上都具有一些不足之處。為此，本文引入威脅情報作為NSSA的基礎依據，從威脅情報的定義、威脅情報在網絡安全態勢感知、評估和預測等階段的應用等方面進行分析和探索，為NSSA的研究發展提供新的解決思路。

　　推薦閱讀：電力網絡相關論文文獻怎么下載