态势感知研究应用的方法论.doc

态势感知研究方法论 20XX.02/中国信息安全/ 41 CNITSEC 焦 点Focus 文/中国科技大学网络态势感知研究中心 王砚方 态势感知研究方法论 “态势感知”是网络安全文件中使用频度相当高一个术语，态势感知已成为研究网络安全所必需处理问题，但业内教授对此可能有不一样了解。本文企望经过相关介绍和分析提出一己见解。 “态势感知”概念起源 因为人原因在动态系统（如飞机驾驶、空中交通管制、电力网管理等）中彰显出越来越大关键性，M.R.Endsley在1995年提出人类决议模型，总结出包含采集、了解和估计三个层次态势感知模型。此模型基于各元素间确实定关系，比如由飞机航速、方位角及风速判定它落地点和落地时间，机场空中交通管理人员就能够按事先确定方案引导飞机安全降落。再如战斗机驾驶员依据空中环境动态改变，按要求程序作战场上多种对应战术动作。在自动控制设备运行时，碰到异常时操作员怎样介入，也可按教授事先制订方案进行。总而言之，Endsley模型是指导人——机器互动标准：假如用较多 人工，能够得到对机器设备状态较多感知，所以可使设备靠近最好状态；而假如自动程度较高，能够节省人工，但操作员感知较少，碰到不理想情况就难以作出抉择，在这个问题上，Endsley模型就是要处理人工同自动化之间最好折中。这种模型适适用于处理简单系统，教授先验成份较多。显然，它不适适用于复杂网络。实际上自这个模型提出十五年来，在很多方面开拓了研究，如人员培训、设计、工作团体协调等方法有不少结果。中国有学者把它作为通用理论模型，提出基于流量和局域网单机日志数据融合，建立大规模网络安全态势评定模型。 到上世纪末，已经有些人意识到仅靠在单个计算机上防入侵设备已不能处理网络安全问题，出现了把网络上安全传感器和计算机上防入侵等设备同网络流控和管理结合起来需求。1999年T.Bass提出了多台安全传感器和入侵检测设备数据融合原理和步骤，称为Bass模型。Bass模型没有从网络本身特点出发，而只是在数据融合技术方面就事论事。差不多从那时开始，已经有些人认识到复杂网络中个体非线性相互作用对于系统宏观行为出现至关关键，它使得系统整体行为不能经过个体行为简单叠加而取得。通常一个传感器既不能发觉也不能确定一次攻击，只能简单地对某一次事件进行确定，而这一事件很可能只是一次攻击中一部分。Bass模型显然没有达成处理网络安全问题所需要理论高度和深度。有部分作者把自己擅长数据库和模式识别等技术结合Bass数据融合方法，试图用模型估计网络安全趋势。自然这么研究用到实际中效果不轻易令人满意。 态势感知“探针” 网络态势感知需要对实际网络进行测量，为了了解网络态势改变，需要有一个实时性好检测设备作为探针。所以，网络态势感知必需条件是有一个符合要求深度数据采集设备作为探针和分析器。在下文中称这种设备为“原型机”，它关键功效和技术指标包含: 1.处理海量流能力。互联网经过各个节点传输数据流，对于一个端到端数据流有可能是由一个乃至上千个并发连接（会话）组成，所以“连接”是检索网络数据传输中信息最小索引。合格网络安全设备就要把连接特征和属性全部统计下来，这种检验能力指标是“并发连接”数量和完整性。因为网络上部分异常往往是由小概率事件引发，这是复杂网络一个特点，所以用采样方法是不适宜。实践证实，千兆位链路上需要有双向400万个并发连接，所以在万兆位骨干网上有双向6400万个并发连接就能满足现在在网络上实时感知要求。 2.精细分析能力。经过深度数据包检测，提取流和连接参数，并加以检索和匹配。关键物理参数为源和目标地址、源和目标端口和协议，即统称为“五元组”。为了感知网络微观状态，原型机要做到尽可能多逻辑参数识别。现在中国自己制造原型机已能标识19个参数，这也是国际业内最好水平。 3.协议识别能力。除了因特网标准协议如TCP, UDP等外，对利用这些协议留出协议段传输非标准或私有协议是因特网繁荣发展基础，但也往往是威胁网络安全原因。原型机提取这些私有协议特征（即指纹），实时地同机内指纹库匹配检索，假如协议是有害，便可立即处理。指纹库要有足够容量，并需要更新维护。现有原型机指纹库能够保持4000种最活跃私有协议，并最少每个月更新一次。 4.灵活配置和方便布署方法，可靠运行性能。原型机可按用户要求设定阈限策略处理，并有串联和并联（镜像）两种布署。原型机延迟、无故障运行时间等均应符合电信级设备要求。 5.业务分流能力。在精细地识别基础上，原型机可按预设方法对流重定向，把相关业务流分门别类地输送到后台处理。这种措施能大大提升后台处理效率，减轻对后台存放器容量压力。在进行关键词检索、敏感文字挖掘，和图像、语音判别方面，经过原型机协议过滤和分类均衡，对后台云计算能力要求可减到未分流50%左右。 以上是能满足网络态势感知要求