网络安全态势感知

　　《网络安全态势感知》首先介绍网络安全态势感知的研究背景， 阐述网络安全态势感知系统的功能结构和关键技术， 然后基于资产、漏洞、威胁三个维度， 阐述网络安全态势感知的数据采集、认知模型、本体模型、网络安全度量指标体系、评估方法、态势预测和攻击溯源等技术，最后讲解网络安全态势可视化技术。本书具有前瞻性、理论性和实践性， 适合网络安全领域的研究、教学以及开发人员阅读。

贾焰，教授，主要研究方向包括网络安全态势感知、大数据分析和人工智能；主持过国家重大、重点项目，如863、973、国家自然科学基金等19项；获得国家科技进步二等奖4项（排名1,1,2,3），省部级/军队科技进步一等奖3项（排名1,1,1)发表进入SCI/EI论文299篇，出版专著5部，获授权中国发明专利70项，获软件著作权93项，参与制定国家行业标准15项；培养博士硕士研究生100余名；国际会议IEEE DSC 和国际论坛FFD发起人和指导委员会负责人，中文信息学会常务理事和专委会主任；担任《网络与信息安全学报》等近10个杂志的编委委员。

本书作者长期从事网络安全态势感知等领域的研究工作，在业内具有较高知名度和影响力。

本书内容具有前瞻性、理论性和实践性， 适合网络安全领域的研究、教学以及开发人员阅读。

网络空间是构建在信息通信技术基础设施之上的人造空间，用以支撑人们在该空间开展各类与信息通信技术相关的活动。网络空间的领域边界由直接连向他国网络设备的本国网络设备端口集合构成。网络空间已经成为继陆、海、空、天之后的第五大活动空间，也成为国家之间的一个合作与对抗的新战场。网络空间主权是国家主权在位于其领土之上的信息通信基础设施所承载的网络空间的自然延伸。主权要素致使国家行为在网络空间逐渐占有支配地位，网络空间的主权碰撞，展示出国家间在网络空间日益严重的对抗态势。传统的针对个人、组织、机构乃至行业的网络攻击，也已上升到国家战略的层面。网络空间频频发生严重的安全事件，已经严重影响了社会与政权的稳定和人民生命财产的安全，印证了习近平总书记关于“没有网络安全就没有国家安全”的重要论断。

21世纪以来，电子技术、信息技术迅猛发展，深刻影响了经济社会发展和现代战争形态。网络环境已由单纯的互联网向涵盖互联网、物联网、传感网、工控网、移动互联网、天地互联网等在内的泛在网迅速拓展，攻击方式也由单一模式向复杂的APT（高级可持续威胁攻击）方向发展。网络攻击的对象由互联网设施转向工业控制设施，是当前网络攻击的一种新趋势。其中，震网病毒开启了针对物理隔离的工业控制网络攻击的先河；“乌克兰停电事件”也成为通过互联网攻击公共服务基础设施的一个经典。

随着网络安全事件越来越频繁地爆发，其后果也越来越严重，使得国家必须像保卫陆、海、空、天一样来保卫网络空间的安全。网络安全保卫的三个主要环节是网络安全态势感知、网络安全事件处置和网络安全保卫效果评估。就是说，首先需要对网络安全态势进行感知，发现网络攻击并且评估这些攻击可能造成的危害；其次是网络安全事件处置，准确、实时遏制事件，找到攻击源头进行反击；最后对网络安全事件的发现和处置效果进行评估和反馈，不断提升网络安全保卫能力。因此，网络安全态势感知是网络安全保卫的基础和前提。

态势感知(Situation Awareness，SA)最早被用于军事领域。在军事领域，态势感知的目标是使指挥官了解敌我双方的情况，包括敌我的所在位置、当前状态和作战能力，以便能做出快速而正确的决策，达到知己知彼、百战不殆的目的。1988年，美国空军前首席科学家Mica REndsley首次给出态势感知的通用定义：“态势感知是在一定的时间和空间条件下，对环境因素的获取、理解以及对未来的发展趋势进行预测。”这个定义把“态势”一分为二：这里的“态”，指的是指当前的整体现状，需要评估安全信息和安全事件，确定攻击的真实性、类型、性质和危害；这里的“势”，是指发展趋势，需要对攻击事件进行深入分析，找出攻击的各个阶段、步骤和发起规模，从而预测未来安全事件的演变趋势。2000年以后，随着网络技术的发展，态势感知逐渐被引入网络安全领域，由此衍生出网络安全态势感知的概念、定义及其相关的计算模型。

一般来说，在网络安全态势感知领域还可区分“感知域”和“非感知域”两个空间：“感知域”是指对已知网络或愿意配合网络的安全态势感知，使之可以基于已知网络的资产、拓扑、漏洞和受到的攻击等信息进行网络安全态势研判；“非感知域”是指未知网络或不愿意配合网络的安全态势感知，难以获得资产、拓扑、漏洞等信息，甚至遭受攻击，其态势感知技术更具挑战性。网络安全态势感知的终极目标是知己知彼，但目前主要的态势感知工作大多是针对感知域开展的，非感知域还处于起步阶段。

态势感知系统应该有3个核心技术目标：一是全面，从全网的角度感知全局和全部的网络安全事件；二是准确，发现有效的网络攻击，去除虚警和误报；三是实时，网络攻击瞬间爆发，实时的检测和实时的评估是网络安全保卫的核心指标。这3个技术指标相互关联，缺一不可。

网络空间安全态势感知的发展分为“基本组件构建阶段”、“基本能力构建阶段”、“安全事件深度检测阶段”和“安全事件预测和溯源阶段”四个阶段。始于20世纪90年代末的“基本组件构建阶段”主要是研究、开发和部署基本的网络安全产品和工具，包括查杀病毒、入侵检测、防火墙等网络安全“老三样”设备，采用基本的安全策略等；始于21世纪初的“基本能力构建阶段”主要是在感知域上建立完备的数据采集、融合以及数据分析能力，基于监控数据进行实时的分析和展示，建立国家级的网络安全运营中心；始于近10年前的“安全事件深度检测阶段”主要是进一步加固关键基础设施网络组件，对各种安全事件，包括APT在内的复杂攻击进行准确、有效的检测，给出网络安全态势感知的实时量化分析；始于5年前的“安全事件预测和溯源阶段”主要是融合感知域和非感知域的、基于全网有效攻击检测、脆弱性分析的实时量化网络安全态势评估，对重大网络安全事件发展趋势进行分析和预测，对网络安全事件进行攻击溯源等。

网络安全态势感知系统的工作流程主要可以分为五大部分：一是数据获取，面向全网进行相关大数据采集、融合和管理；二是安全事件检测，基于所获取的数据进行网络安全事件检测；三是态势评估，基于事件检测结果所发现的安全事件进行网络安全态势评估；四是态势预测与溯源，基于安全事件检测所发现的重大安全事件进行预测和溯源，并与其他安全事件处置系统联动；五是态势可视化，以可视化的方式直观展示网络安全态势感知各个环节的结果。

本书是在贾焰和方滨兴的组织和策划下，由哈尔滨工业大学（深圳）计算机科学与技术学院、国防科技大学计算机学院和广州大学网络空间先进技术研究院等单位相关学者和专家，基于网络安全态势感知领域长期的科研和应用积累，以及广泛的资料调研和分析的基础上共同撰写的。

第1章网络安全态势感知研究背景由王乐和方滨兴负责执笔。该章重点介绍了网络安全态势感知的相关研究背景。讲述了态势感知由“有实无名”到传统态势感知，再到网络安全态势感知的概念发展过程，梳理了网络安全态势感知的作用。阐述了网络安全态势感知的形成过程，提出了网络安全态势感知的“全面感知、准确感知、实时感知”三个方面的要求。

第2章网络安全态势感知系统及案例由贾焰和王乐负责执笔。该章重点介绍了网络安全态势感知系统及案例，详细分析和阐述了网络安全态势感知系统的功能结构，以及实现网络安全态势感知系统的关键技术，分析了包括“龙虾计划”系统、YHSAS系统等在内的几个国内外典型的网络安全态势感知系统。

第3章网络安全数据采集与融合由顾钊铨和方滨兴负责执笔。该章重点介绍了涉及资产维度、漏洞维度、威胁维度的网络安全数据采集方法，讲解了对多源异构的网络安全数据的融合方法，论述了如何通过数据清洗、数据集成、数据规约、数据转换等方法，为分析师提供更有意义的网络安全数据，使其能更加有效地理解网络安全态势，检测潜在的网络攻击，预测网络安全态势的发展趋势。

第4章网络安全态势感知的认知模型由顾钊铨和贾焰负责执笔。该章从分析师理解网络安全态势的认知过程出发，介绍了多种常见的认知模型，提出了一种能对多源异构数据进行关联分析的MDATA模型，阐述了如何将MDATA模型构建的网络安全知识库应用到实用系统中，以实现针对网络安全态势全面、实时、准确的感知，给出了通过雾云计算架构对形成的网络安全知识库进行分布式协同计算的方法。

第5章网络安全态势感知本体体系主要由李润恒和贾焰负责执笔。该章首先建立了一个统一的概念体系，让所有参与态势感知的角色有统一的视角，其次介绍了网络安全态势感知的本体体系，定义了术语与术语间关系的一致性词汇集，定义了具有清晰语义的本体体系，包括网络安全态势感知的本体理论、相关的本体标准、基于MDATA的网络安全态势感知本体模型。

第6章网络安全态势评估的要素和维度由韩伟红和贾焰负责执笔。该章重点从漏洞、威胁和资产三个维度介绍了网络安全态势评估要素的选取方法。这三个维度分别从系统自身的脆弱性、由攻击造成的风险以及系统自身的资产价值等角度反映了网络安全态势。

第7章网络安全态势评估的方法主要由韩伟红和贾焰负责执笔。该章从定性评估和定量评估两个维度来介绍网络安全态势评估方法，其中定量的网络安全态势评估方法重点介绍了基于数学模型的量化评估方法、基于知识推理的量化评估方法和基于机器学习的量化评估方法。

第8章网络安全事件预测技术由李爱平和方滨兴负责执笔。该章介绍了网络安全事件预测的定义、背景、技术难点以及基本模型，讲解了传统的网络攻击预测技术，给出了基于知识推理的网络安全事件预测方法，以便于安全人员更好地预测网络关键资产即将面临的威胁。

第9章网络攻击溯源技术由李爱平和方滨兴负责执笔。该章介绍了网络攻击溯源的概念、研究内容和技术难点，讲解了传统的网络攻击溯源技术，提出了一种面向溯源的MDATA模型知识库构建技术，以及基于MDATA模型知识库的攻击溯源算法。

第10章网络安全态势可视化由李树栋和方滨兴负责执笔。该章介绍了网络安全态势可视化的意义和挑战，详细讲述了网络安全数据流分析的可视化技术、网络安全态势评估的可视化技术以及网络攻击行为分析的可视化技术。

另外，王晔负责全书的合稿和整理等工作，赵丽松、富军编辑对全书进行了认真的校对和修改。本书的撰写还得到了国内外相关专家学者和产学研单位的大力支持，在此一并表示感谢。

编著者

第1章网络安全态势感知研究背景

11作战形态和作战内涵的变化

111作战形态的变化

112作战内涵的变化

12态势感知的概念及发展进程

121朴素的态势感知

122传统的态势感知

123网络安全态势感知

13网络安全态势感知的作用、意义、过程、相关角色、需求

131网络安全态势感知的作用

132网络安全态势感知的意义

133网络安全态势感知的过程

134网络安全态势感知中的相关角色

135网络安全态势感知的需求

14本章小结

参考文献

第2章网络安全态势感知系统及案例

21网络安全态势感知系统的功能结构

22网络安全态势感知系统的关键技术

221数据采集与特征提取

222攻击检测与分析

223态势评估与计算

224态势预测与溯源

225态势可视化

23典型的网络安全态势感知系统案例

231“龙虾计划”系统

232YHSAS网络安全态势分析系统

233其他典型系统

24本章小结

参考文献

第3章网络安全数据采集与融合

31网络安全数据采集的问题背景

311网络安全数据的特点及数据采集难点

312面向不同岗位角色、不同分析师的靶向数据采集

313网络安全数据采集示例

32面向网络安全态势感知的安全要素和安全特征

321资产维度数据

322漏洞维度数据

323威胁维度数据

33安全要素和安全特征的采集技术

331资产维度数据采集

332漏洞维度数据采集

333威胁维度数据采集

34网络安全数据融合

341数据清洗

342数据集成

343数据规约

344数据变换

35本章小结

参考文献

第4章网络安全态势感知的认知模型

41理解网络安全态势的意义和存在的难点

411理解网络安全态势的意义

412理解网络安全态势存在的难点

42人类认知过程中常用的认知模型

4213M认知模型

422ACT-R认知模型

423基于实例的认知模型

424SOAR认知模型

425其他认知模型

43基于MDATA的网络安全认知模型

431MDATA模型的概况

432MDATA模型的表示方法

433基于MDATA模型的网络安全认知模型构建

434基于MDATA模型的网络安全知识推演

435利用基于MDATA模型构建的网络安全知识库进行攻击检测

44本章小结

参考文献

第5章网络安全态势感知本体体系

51本体理论

511本体概念

512本体语言

513基于本体的推理

52网络安全态势感知系统相关的本体标准

521资产维度的标准

522漏洞维度的标准

523威胁维度的标准

524综合信息标准

53基于MDATA模型的网络安全态势感知本体模型

531基于MDATA模型的网络安全态势感知本体类

532基于MDATA模型的网络安全态势感知本体关系

533基于MDATA模型的网络安全态势感知本体模型推理

54本章小结

参考文献

第6章网络安全态势评估的要素和维度

61网络安全态势评估要素和维度的基本概念

611为什么需要明确网络安全态势评估要素和维度

612网络安全态势评估的维度

62漏洞维度的评估要素

621单个漏洞的评估要素

622网络漏洞的总体评估要素

63威胁维度的评估要素

631单个攻击的评估要素

632网络攻击的评估要素

64资产维度的评估要素

641工作任务的描述方法和工作任务重要程度的评估要素

642将工作任务映射到资产的模型

643资产的评估要素

65本章小结

参考文献

第7章网络安全态势评估的方法

71网络安全态势评估的基本概念

711为什么需要网络安全态势评估

712网络安全态势评估面临的主要挑战

72网络安全态势的定性评估

73网络安全态势的定量评估

731基于数学模型的量化评估方法

732基于知识推理的量化评估方法

733基于机器学习的量化评估方法

74本章小结

参考文献

第8章网络安全事件预测技术

81 网络安全事件预测的概念和背景

82传统的网络安全事件时间序列预测技术

821基于回归分析模型的预测技术

822基于小波分解表示的预测技术

823基于时序事件化的预测技术

824相关技术的实验对比分析

83基于知识推理的网络安全事件预测技术

831基于攻击图的预测技术

832基于攻击者能力与意图的预测技术

833基于攻击行为/模式学习的预测技术

84本章小结

参考文献

第9章网络攻击溯源技术

91网络攻击溯源的概念和背景

92传统的网络攻击溯源技术

921基于日志存储查询的溯源技术

922基于路由器输入调试的溯源技术

923基于修改网络传输数据的溯源技术

924攻击者及其组织溯源技术

93面向溯源的MDATA网络安全知识库维护方法

931基于MDATA网络安全知识库抽取架构

932溯源MDATA知识抽取过程

933溯源知识融合

94基于MDATA模型的攻击溯源方法

941基于MDATA模型的攻击溯源策略

942基于MDATA模型的攻击溯源算法

943一个基于MDATA模型的攻击溯源示例

95本章小结

参考文献

第10章网络安全态势可视化

101网络安全态势可视化的意义和挑战

1011网络安全态势可视化的背景及意义

1012网络安全态势可视化的挑战

102网络安全数据流的可视化分析技术

1021多源数据的可视化分析技术

1022流量数据Netflow的可视化分析技术

103网络安全态势评估的可视化技术

1031网络安全态势评估指数

1032基于电子地图展示网络安全态势评估指数的方法

104网络攻击行为分析的可视化技术

1041多视图协同的攻击行为可视化分析方法

1042预测攻击行为的可视化方法

105本章小结

参考文献

附录A缩略词表