網絡安全態勢感知國內外研究現狀

張展翔　鐘成琦　陳鈞

摘 要 隨著網絡的迅速發展，新的網絡安全態勢評估方法被不斷提出，其作用已然在網絡安全領域顯得尤為重要。網絡安全態勢評估方法由于人們研究側重點的不同而變得紛繁復雜，因此本文對網絡安全態勢評估進行了簡要介紹，并指出了各類評估方法的優缺點。

關鍵詞 網絡安全 態勢評估 性能分析

中圖分類號：TP393 文獻標識碼：A

作為網絡安全態勢感知（Network Security Situation Awareness，NSSA）研究的核心內容，網絡安全態勢評估已經得到了國內外的廣泛關注。

Time Bass于1999年在文獻中首次提出網絡安全態勢感知的概念，其目的是關聯相互獨立的IDS以融合攻擊信息用于評估網絡安全。同年，Andrew Blyth在文獻中提出了通過觀察黑客的攻擊足跡從而進一步定性地評估網絡受到的安全威脅。但是他們僅限于理論上的研究，并未對理論模型進行實現。2001年，Information Extraction & Transport在研究攻擊的檢測方法和攻擊對網絡安全的影響時，為了檢測廣域計算機的攻擊和評估態勢響應，開發了一種SSARE工具，將理論方法付諸應用，但是由于該工具所用方法過于依賴專家主觀經驗，因此為了解決這個問題。

2005年，Jajdia等人以檢測網絡系統弱點為目的，設計了一種拓撲弱點分析工具TVA，該工具可以通過分析拓撲弱點來評估網絡的安全狀況。2011年，Gabreil Jakobson等人在文獻中提出了影響依賴圖的概念，設計了基于影響依賴圖的網絡安全態勢評估方法，加強了對復合攻擊的評估。2012年，Stephen E.Smith在文獻中提出綜合利用現有網絡安全工具，包括流量分析工具、脆弱性掃描工具和入侵檢測系統等，以便于全面評估和保護網絡安全，并以現有工具的集成為目的對系統進行了設計。

國內學者對網絡安全態勢評估方法的研究相對較晚，理論及應用研究均亟需進一步提高與完善。

為了綜合考慮攻擊和脆弱性對網絡安全的影響，考慮到攻擊和脆弱性之間存在對應關系，韋勇于在2009年提出了通過匹配攻擊所依賴的脆弱性信息與目標節點的脆弱性信息來獲取攻擊成功支持概率?；趯艉痛嗳跣灾g、脆弱性和脆弱性之間的關聯關系的考慮，劉剛于2012年針對網絡中節點的漏洞和攻擊層面的風險分析需求，提出了漏洞信度和攻擊信度的概念，做到了將網絡中的漏洞信息和攻擊信息進行關聯。王坤等于2016年通過對已有網絡安全態勢評估方法的分析與比較，提出了一種基于攻擊模式識別的網絡安全態勢評估方法。首先，對網絡中的報警數據進行因果分析，識別出攻擊意圖與當前的攻擊階段；然后，以攻擊階段為要素進行態勢評估；最后，構建攻擊階段狀態轉移圖（STG），結合主機的漏洞與配置信息，實現對網絡安全態勢的預測。

對以上研究現狀進行分析可知，國內外研究者一般以網絡攻擊、網絡脆弱性、網絡性能指標變化以及它們的綜合影響為側重點來研究網絡安全態勢評估方法。因此，根據研究側重點的不同可以將網絡安全態勢評估方法分為三個基礎類：面向攻擊的網絡安全態勢評估方法、面向脆弱性的網絡安全態勢評估方法和面向服務的網絡安全態勢評估方法。對三類網絡安全態勢評估方法的介紹見下表。

參考文獻

[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion， 1999：24-27.

[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999，4（3）：43-53.

[3] DAmbrosio B，Takikawa M，Upper D，Fitzgerald J，Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf，&Exposition II，Anaheim，California，USA，2001：387-394.

[4] Ahmed M， Al-Shaer E， Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway，NJ：IEEE，2008：1957-1965.

[5] Gorodetsky V，Karsaeyv O，Samoilov V.On-line update of situation assessment：a generic approach[J].International Journal of Knowledge-Based&Intelligent Engineering Systems，2005，9（4）：361-365.

[6] Stephen E.Smith.Tightening the net：Examining and Demonstrating Commonly Available Network Security Tools[D].Submitted to the Faculty of the Department of Computing and Mathematical Sciences Texas A&M University，Corpus Christi，Texas， 2012.

[7] 王坤，邱輝，楊豪璞.基于攻擊模式識別的網絡安全態勢評估方法[J].計算機應用，2016，36（1）：194-198.