剖析网络对抗态势感知的关键技术.docx

剖析网络对抗态势感知的关键技术目录1 .前言1.网络空间安全态势感知技术22. 1.网络安全的重要性22. 2.网络空间安全案例介绍22. 3.网络空间安全概述22. 3. 1.网络空间攻击技术概述23. 3. 2.当前国内网络安全事件的态势3.网络空间态势分析概述33 .态势感知的应用场景44. 1.态势感知的分析原理44 . 2.网络安全态势感知建设内容及功能65 . 3.态势感知技术开展趋势75.态势要素获取86 . 1.态势感知的基础87 . 2.态势理解8.网络攻击能力98 .网络态势预测9遗传算法预测99 总结与展望101.前言网络对抗态势感知是指对在某一时间空间内，敌对双方网络战力量部署和 行动形成的状态与形式进行预测的过程。这是1999年，在美国学者T.Bass首 次提出网络态势感知的概念后，随着网络安全在国家安全中的地位不断提升， 在网络对抗领域，逐渐形成的对网络对抗态势感知的理解。这是目前各国在网 络对抗领域的一个热门研究课题，实际上是一个综合的研究领域，包含了目前 网络对抗侦查以及网络对抗情报处理中的所有内容。随着网络安全在国家安全中的地位不断提升，网络资源已成为支撑国家政 治、经济、军事、科技的重要战略资源。网络对抗态势感知通过对网络战场双第1页共10页遗传算法预测是模拟达尔文生物进化论的自然选择和遗传学机理的生物进 化过程的计算模型，是一种通过模拟自然进化过程搜索最优解的方法。其主要 特点是直接对结构对象进行操作；具有内在的隐并行性和更好的全局寻优能 力；采用概率化的寻优方法，不需要确定的规那么就能自动获取和指导优化的搜 索空间，自适应地调整搜索方向。古言：“形势者，雷动风举，后发而先至，离合背向，变化无常。”我们 应该清楚认识到，和现实战场一致，在网络战场与未来战场上，各种形势变化 无常，战机稍纵即逝，网络对抗态势感知技术的根本目的在于极力缩短从信息 获取到做出决策之间的时间，于网络战场上抢占先机。可以预见，在网络对抗 形势日益严峻的未来，谁在网络态势感知技术上先行一步，谁就可以更轻易的 取得网络对抗战场上的制信息权。9.总结与展望随着云计算和大数据等新技术的应用，网络规模越来越大，网络节点越来 越多，数据流量大，存在多种异构网络环境和应用平台。随着网络入侵和攻击 正在向规模化、复杂化的趋势开展，国内网络安全工作随着信息技术的长足发 展，从针对局部信息系统的被动性、应急性安全保障，演变为面向整个网络空 间的安全规划布局转变。需要采用网络安全态势感知系统实时、准确地掌握网 络安全态势状况，检测恶意攻击行为，让网络安全工作具有主动性和条理性。网络安全信息共享作为应对网络安全威胁态势的重要举措，各国都在持续 构筑这一体系、机制和落实措施。美国多部法案都试图在政企之间形成有效、 持续的共享通道，2018年这些法案将继续在美国国会各个层面尝试突破。我 国网络安全法信息共享相关条款下的配套制度建设也可能成为未来加快步 调的重要方面。同时，鉴于欧盟第29条工作组对“隐私盾”协议年度审查报 告的负面评判，很难想象短时间内各国对数据的跨境传输能够达成共识。可以 预见，未来相当长时间内围绕数据跨境传输的角力仍将持续，可能从联合国到 WTO再到双边或其他多边协议的各个层面展开。此外，尽管各国非法有害信 息的界定有所区别，但对虚假新闻、政治广告、淫秽色情等仇恨、暴力以及恐 怖主义等非法内容的主动预防、发现和消除监管要求基本一致，未来将更赋予 平台更多的责任和义务。第10页共10页 方力量和行动相关态势要素进行获取、理解以及对其未来状态的预测，从而为 网络战指挥提供重要决策支持。因此，提高网络对抗态势感知能力，掌握网络 态势感知的关键技术和实现方法，对打赢未来网络战争有着十分重要的作用。2.网络空间安全态势感知技术2. 1.网络安全的重要性经济飞速开展的同时，科学技术也在不断地进步，网络已经成为当前社会 生产生活中不可或缺的重要组成局部，给人们带来了极大的便利。与此同时， 网络系统也遭受着一定的安全威胁，这给人们正常使用网络系统带来了不利影 响。尤其是在大数据时代，无论是国家还是企、也、个人，在网络系统中均存储 着大量重要的信息，一旦网络系统出现安全问题，那么将会造成极大的损失。2.2. 网络空间安全案例介绍美国己研发出数千种病毒，涵盖“蠕虫”、”特洛伊木马”、“逻转炸 弹”、“陷阱门”等多种技术。“震网”、“火焰”、“高斯”、“瑞晶”等 超级病毒背后也有美国的影子，这些病毒具有结构复杂、功能强大、攻击注入 手段多样化、潜伏和反破解能力极强等特点，说明美国已具备对国家关键信息 基础设施精确、持续的攻击能力。2017年6月27日，不少乌克兰的企业感染了新的勒索病毒，攻击源头是 乌克兰知名的财务软件M.E.Doc,黑客在源代码中植入了切取数据的后门，随 着软件更新，广泛使用该软件的企业纷纷中招。360企业安全集团副总裁左英 男说，虽然源代码安全检测类产品可以检测到这类缺陷，但类似这样的软件供 应链攻击方式让人防不胜防。2. 3.网络空间安全概述2. 3.1.网络空间攻击技术概述360企业安全集团董事长齐向东日前在贵阳数博会网络安全高端论坛演讲 中，将网络攻击的开展分为了三个阶段，最初是“小球病毒”“救护车病毒” 等，更像是恶作剧；“熊猫烧香”等以窃取隐私、钱财为目的的是第二次；从 2015年开始网络攻击的复杂性和多样性提升，尤其是针对大中型企业和政府 部门。有目标、精确、持久隐藏的ATP攻击（高级持续性威胁），攻击入侵的路第2页共10页 径也并不局限于互联网，还可通过移动介质、内部网络横向传播，并和社会工 程学等手段相结合。网络攻击的破坏性也在增大。据称几乎每个在线游戏在公 测的一个月内，都会受到攻击除了层出不穷的外挂与黑产，竞争对手的攻击也 不在少数；电商、在线教育也是网络攻击的重灾区，业务活动时常收到DDoS 攻击（分布式拒绝服务攻击，消耗对方的系统资源使之难以提供服务）的影响。 网络攻击甚至被应用于国际政治活动，“震网”史无前例地破坏了伊朗的核研 究设施，而希拉里“邮件门”那么一举扭转了美国大选的走向。2. 3. 2.当前国内网络安全事件的态势2018年，我国进一步健全网络安全法律体系，完善网络安全管理体制机 制，持续加强公共互联网网络安全监测和治理，构建互联网开展安全基础，构 筑网民安全上网环境，特别是在党政机关和重要行业方面，网络安全应急响应 能力不断提升，恶意程序感染、网页篡改、网站后门等传统的安全问题得到有 效控制。全年未发生大规模病毒爆发、大规模网络瘫痪的重大事件，但关键信 息基础设施、云平台等面临的安全风险仍较为突出，APT攻击、数据泄露、分 布式拒绝服务攻击等问题也较为严重.网络空间态势分析概述国际上的网络安全公司，如 FireEye、Mandiant、MITRE、RS A. Lastline 等，都发布了网络安全态势感知相关的产品。我国的网络安全公司，如360公 司、亚信科技、安恒科技、绿盟科技等安全企业，也都推出了网络安全态势感 知系统，这些网络安全态势感知系统各有特色。早期的网络安全态势感知系统是通过对海量安全数据的采集，采用数据分 析技术识别海量安全数据中有价值的信息，并展示为可理解的报告和图表，从 而让网络安全人员通过报告和图表数据去发现和分析全网的安全威胁。近年来，随着大数据技术的出现和开展，安全技术与大数据技术充分融 合，极大地增强了安全检测与分析能力，推动了安全态势感知的开展，主要表 现在APT截获、威胁感知和威胁情报共享等方面。现阶段的网络安全态势感知是通过机器学习、大数据分析等技术，实现基 于逻辑和知识的推理结果，从威胁推演未知威胁，实现对安全威胁事件的第3页共10页 预测和判断，这是当前大多数安全厂商在探索和研发的重点内容。目前网络安 全态势感知平台系统架构如图1所示。可视、可知、可管、可控.可溯、可预警网络安全战略规划目标网络安全态势感在网络龙劈讦估网络布第大数和;分析关联分析规那么四配机器学习数抑卷模模式识别行为桧测数据挖掘网络安全致掘源安全设备掾作系统1应用系统数据库网络设箸认证系统1资产信息网络安全态势感知系统架构示意图图1网络安全态势感知系统架构示意图.态势感知的应用场景3 . 1.态势感知的分析原理网络安全态势感知模型被普遍接受的是基于数据融合理念的JDL(Joint Directors of Laboratories)模型，主要包括以下4个关键技术。1)海量多元异构数据的汇聚融合技术目前，在大规模网络中，网络安全数据和日志数据由海量设备和多个应用 系统中产生，且这些安全数据和日志数据缺乏统一标准与关联，在此基础上进 行数据分析，无法得到全局精准的分析结果。新的网络安全分析和态势感知要 求对网络安全数据的分析能够打破传统的单一模式，打破表与表、行与行之间 的孤立特性，把数据融合成一个整体，能够从整体上进行全局的关联分析，可第4页共10页 以对数据整体进行高性能的处理，以及以互动的形式对数据进行多维度的裁剪 和可视化。因此需要通过海量多元异构数据的汇聚融合技术实现PB量级多元异构数 据的采集汇聚、多维度深度融合、统一存储管理和安全共享。将采集到的多元 异构数据进行清洗、归一化后，采用统一的格式进行存储和管理。通过属性融 合、关系拓展、群体聚类等方式挖掘数据之间的直接或潜在的相关性，进行多 维度数据融合。这样才可以为网络安全分析、态势感知与决策提供高效、稳 定、灵活、全面的数据支撑。2）面向多类型的网络安全威胁评估技术从流量、域名、报文和恶意代码等多元数据入手，有效处理来自互联网探 针、终端、云计算和大数据平台的威胁数据，分解不同类型数据中潜藏的异常 行为，对流量、域名、报文和恶意代码等安全元素进行多层次的检测。通过结合聚类分析、关联分析和序列模式分析等大数据分析方法对发现的 恶意代码、域名信息等威胁项进行跟踪分析。利用相关图等相关性方法检测并 扩建威胁列表，对网络异常行为、己知攻击手段、组合攻击手段、未知漏洞攻 击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估。只有通过网络安全威胁评估完成从数据到信息、从信息到网络安全威胁情 报的完整转化过程，网络安全态势感知系统才能做到对攻击行为、网络系统异 常等的及时发现与检测，实现全貌还原攻击事件、攻击者意图，客观评估攻击 投入和防护效能，为威胁溯源提供必要的线索支撑。3）网络安全态势评估与决策支撑技术网络安全态势评估与决策支撑技术需要以网络安全事件监测为驱动，以安 全威胁线索为牵引，对网络空间安全相关信息进行汇聚融合，将多个安全事件 联系在一起进行综合评估与决策支撑，实现对整体网络安全状况的判定。对安全事件尤其是对网络空间安全相关信息进行汇聚融合后所形成针对 人、物、地、事和关系的多维安全事件知识图谱，是网络安全态势评估分析的 关键。网络安全态势评估与决策支撑技术从“人”的角度评估攻击者的身份、 团伙关系、行为和动机意图；从“物”的角度评估其工具手段、网络要素、 虚拟资产和保护目标；从“地”的角度评估其地域、关键部位、活动场所和第5页共10页 途径轨迹；从“事”的角度评估攻击事件的相似关系、同源关系。4）网络安全态势可视化网络安全态势可视化的目的是生成网络安全综合态势图，使网络安全态势 感知系统的分析处理数据可视化、态势可视化。网络安全态势可视化是一个层层递进的过程，包括数据转化、图像映射、 视图变换3个局部。数据转化是把分析处理后的数据映射为数据表，将数据的 相关性以关系表的形式存储；图像映射是把数据表转换为对应图像的结构和图 像属性；视图变换是通过坐标位置、缩放比例、图形着色等方面来创立视图， 并可通过调控参数，完成对视图变换的控制。4. 2.网络安全态势感知建设内容及功能由图1可知，网络安全态势感知系统是依据国家网络安全法律法规体系和 政策标准体系，落实网络安全战略规划目标，实现国家或行业的关键信息基础 设施和重要信息系统的安全状况可视、可知、可管、可控、可溯、可预警的系 统。因此，网络安全态势感知主要建设内容是：从安全设备、网络设备、操作 系统、应用系统等网络安全数据源采集网络安全数据，通过关联分析、模式识 别、规那么匹配、行为检测、机器学习等大数据分析方法进行分析，进而实现网 络态势评估、网络威胁评估和网络态势预测。网络态势评估包括态势元素提取和当前态势分析工网络威胁评估是关于恶 意攻击的破坏能力和对整个网络威胁程度的估计。网络态势预测是从数据 推演分析将要发生的安全事件，从威胁推演未知威胁，实现对安全威胁事 件的预测和判断发生的概率。通过网络态势评估、网络威胁评估和网络态势预 测实现国家或行业的关键信息基础设施和重要信息系统的安全状况可视、可 知、可管、可控、可溯和可预警。目前态势感知平台主要功能如下：1）可视。通过多维度的安全数据仪表盘，涵盖网络安全监测的重点环节， 将网络重点环节的实时运行及安全状态多维度地展示给网络安全人员，以便网 络安全人员及时掌握网络安全整体状况。2）可知。通过安全数据全量管理。提供的安全数据包括操作系统、安全设第6页共10页 备、网络设备、应用程序和数据库的安全配置和安全日志等信息，并提供安全 日志的全文检索功能，便于网络安全人员从海量日志查找和关联相关安全日 志。在全量收集各种安全数据的基础上，充分利用大数据技术，从海量数据中 挖掘高价值信息，侦测是否存在异常网络行为。3）可管。通过监测操作系统、安全设备、网络设备、应用程序和数据库的 安全配置和安全日志，结合安全基线、威胁情报和知识库进行多维度安全分 析，对发现的漏洞和脆弱性及时处置。4）可控。充分利用大数据的分析模型和机器学习等算法，为用户建立行为 画像，可以基于威胁检测和异常行为分析来发现多态恶意代码、APT攻 击、0 day攻击等未知威胁攻击，并对分析出来的安全事件、异常行为等进行 实时告警，通过可视化展现、邮件、手机APP等方式及时通报给相关网络安全 人员进行处置。5）可溯。通过威胁情报、规那么匹配和大数据分析模型等技术对给定的安全 事件进行追踪溯源，刻画网络安全事件的攻击路径，为网络安全人员采取措施 和溯源提供依据。6）可预警。实时动态展示当前网络安全状况，并呈现一定时间内整个网络 空间环境安全要素，从数据推演分析将要发生的安全事件，实现对安全威 胁事件的预测和判断发生的概率。4. 3.态势感知技术开展趋势1 .深度融合大数据和人工智能技术。通过在态势感知系统中融合使用深度 学习、知识图谱等大数据分析算法和人工智能模型，从整体上把握网络空间安 全状态，对针对关键信息基础设施和重要信息系统的网络攻击和重大网络安全 威胁实现可知、可管、可控、可溯、可预警，及时发现并精确预警及处置。2 .系统可以动态扩展和云化。随着云计算基础设施的大量使用，要求对安 全威胁和攻击的处置能力也是可以随着云计算平台扩展而可动态扩展的，实现 网络安全态势感知系统的基础平台云化，使其态势感知能力可以随着保护对象 的规模变化而动态变化。3 .可以提供精准预测和防御处置建议。在大数据挖掘与分析技术持续开展 的基础上，态势感知系统可以对越来越广泛的海量数据采集和分析，通过人工第7页共10页 智能算法，结合云架构的大数据平台计算和分析能力，对网络安全态势进行深 度感知和整体把握，并结合我国政策法规和相关标准，对网络空间的整体安全 态势开展给出更精准的预测和积极防御处置建议，以供网络安全决策者参考和 网络安全人员执行。5.态势要素获取5. 1.态势感知的基础作为网络态势感知三个级别中的第一层，是态势感知的基础主要采用我们已经拥有的节点信息探测与采集、网络路由信息探测获取、 网站应用服务信息搜索与探测、涉网舆情信息获取等成熟技术，从海量的原始 数据信息中探测提取可以为我们提供情报的网络对抗态势信息。并转化为统一 且易理解的格式，为下一层的态势理解做准备。网络节点信息探测与采集，主要采用节点信息探测技术，对目标的存活 性、端口、服务类型、版本、操作系统类型、漏洞等信息进行探测，同时也可 以通过更高明的侦查手段，渗透到目标节点内部进行信息获取；网络路由信息 探测，采用诸如Traceroute、公网信息获取手段等网络路径探测的方法，获取 网络路由信息；网站应用服务信息搜索，那么是基于“元搜索”和网站爬虫的网 站域名搜索技术以及DNS信息主动探测技术，搜索到数量庞大，涉及而极广的 网络应用服务信息；涉网舆情信息获取，采取的是基于模板的网站信息抽取技 术，利用网站的创立基于一定模板这个特点，获取网站信息。5. 2.态势理解态势理解是态势感知的核心，通过提取所有与网络对抗态势有关的信息数 据，识别态势信息中的关键要素，并进行关联性分析和脆弱性评估，从而生成 网络空间目标状态、攻击能力和攻击资源的整体分布图。进而得出整个网络对 抗态势状况。包括网络基本状态分析、网络攻击能力表征、网络攻击效果评估 和网络对抗态势展现等内容。网络基本状态分析，就是对获取到的原始信息和相关信息进行分析，形成 对目标网络拓扑和当前状态的理解，简而言之就是把得到的信息绘制成图，形 成对敌情的直观认识。第8页共10页6 .网络攻击能力网络攻击能力表征，那么是充分认识我情。主要说明哪些网络战手段能够为 我所用，包括流量攻击、路由劫持、域名劫持、网络阻断、服务器瘫痪、业务 系统毁瘫等手段。网络攻击效果评估，一般采用JDL数据融合模型这个战场态势评估通用模 型，然后根据网络攻击行为的影响程度和范围，给出层次化的网络攻击效果评 估模型。网络对抗态势的展现，由于网络对抗活动发生在网络虚拟空间，需要将网 络对抗态势清晰直观展现出来。一般采用的是基于GIS的态势地理分布展现和 基于拓扑结构的态势逻辑分布展现相结合的方法。最终呈现地形展示、清晰色 调的节点和连线一体结合的对抗态势全息图。7 .网络态势预测态势预测是态势感知技术本身的应用。但当下，这是一个全新的研究方 向，还缺少相关的研究成果。我们只能看到传统的理论方法以及一般预测模 型。态势预测的理论有我们熟知的神经网络理论(ANN & BP)和遗传算法理论， 这是两种基于数学的算法，可以处理大量的数据，最终收敛得到一定的预期。 而态势预测的模型是由训练模块和预测模块构成的，即态势信息数据库经过训 练，得到一定的态势值，或者说对应关系，然后根据输入的目标态势，经过数 据库查找态势值，参考作为预测的结果。神经网络预测是目前最常用的态势预测方法之一，神经网络预测模型属于 领域，它是一种工具，具有良好的拟合性、对目标样本的自学习和自记忆功 能，还具有并行处理、高度容错和极强的逼近能力等特性，可以获取复杂非线 性数据的特征模式。利用神经网络预测态势的原理为：首先以一些输入输出数 据作为训练样本，通过网络的自学习能力调整权值，构建态势预测模型；然后 运用模型，实现从输入状态到输出状态空间的非线性映射。8 .遗传算法预测第9页共10页