前 言
网络空间是构建在信息通信技术基础设施之上的人造空间,用以支撑人们在该空间开展各类与信息通信技术相关的活动。网络空间的领域边界由直接连向他国网络设备的本国网络设备端口集合构成。网络空间已经成为继陆、海、空、天之后的第五大活动空间,也成为国家之间的一个合作与对抗的新战场。网络空间主权是国家主权在位于其领土之上的信息通信基础设施所承载的网络空间的自然延伸。主权要素致使国家行为在网络空间逐渐占有支配地位,网络空间的主权碰撞,展示出国家间在网络空间日益严重的对抗态势。传统的针对个人、组织、机构乃至行业的网络攻击,也已上升到国家战略的层面。网络空间频频发生严重的安全事件,已经严重影响了社会与政权的稳定和人民生命财产的安全,印证了习近平总书记关于“没有网络安全就没有国家安全”的重要论断。
21世纪以来,电子技术、信息技术迅猛发展,深刻影响了经济社会发展和现代战争形态。网络环境已由单纯的互联网向涵盖互联网、物联网、传感网、工控网、移动互联网、天地互联网等在内的泛在网迅速拓展,攻击方式也由单一模式向复杂的APT(高级可持续威胁攻击)方向发展。网络攻击的对象由互联网设施转向工业控制设施,是当前网络攻击的一种新趋势。其中,震网病毒开启了针对物理隔离的工业控制网络攻击的先河;“乌克兰停电事件”也成为通过互联网攻击公共服务基础设施的一个经典。
随着网络安全事件越来越频繁地爆发,其后果也越来越严重,使得国家必须像保卫陆、海、空、天一样来保卫网络空间的安全。网络安全保卫的三个主要环节是网络安全态势感知、网络安全事件处置和网络安全保卫效果评估。就是说,首先需要对网络安全态势进行感知,发现网络攻击并且评估这些攻击可能造成的危害;其次是网络安全事件处置,准确、实时遏制事件,找到攻击源头进行反击;最后对网络安全事件的发现和处置效果进行评估和反馈,不断提升网络安全保卫能力。因此,网络安全态势感知是网络安全保卫的基础和前提。
态势感知(Situation Awareness,SA)最早被用于军事领域。在军事领域,态势感知的目标是使指挥官了解敌我双方的情况,包括敌我的所在位置、当前状态和作战能力,以便能做出快速而正确的决策,达到知己知彼、百战不殆的目的。1988年,美国空军前首席科学家Mica R.Endsley首次给出态势感知的通用定义:“态势感知是在一定的时间和空间条件下,对环境因素的获取、理解以及对未来的发展趋势进行预测。”这个定义把“态势”一分为二:这里的“态”,指的是指当前的整体现状,需要评估安全信息和安全事件,确定攻击的真实性、类型、性质和危害;这里的“势”,是指发展趋势,需要对攻击事件进行深入分析,找出攻击的各个阶段、步骤和发起规模,从而预测未来安全事件的演变趋势。2000年以后,随着网络技术的发展,态势感知逐渐被引入网络安全领域,由此衍生出网络安全态势感知的概念、定义及其相关的计算模型。
一般来说,在网络安全态势感知领域还可区分“感知域”和“非感知域”两个空间:“感知域”是指对已知网络或愿意配合网络的安全态势感知,使之可以基于已知网络的资产、拓扑、漏洞和受到的攻击等信息进行网络安全态势研判;“非感知域”是指未知网络或不愿意配合网络的安全态势感知,难以获得资产、拓扑、漏洞等信息,甚至遭受攻击,其态势感知技术更具挑战性。网络安全态势感知的终极目标是知己知彼,但目前主要的态势感知工作大多是针对感知域开展的,非感知域还处于起步阶段。
态势感知系统应该有3个核心技术目标:一是全面,从全网的角度感知全局和全部的网络安全事件;二是准确,发现有效的网络攻击,去除虚警和误报;三是实时,网络攻击瞬间爆发,实时的检测和实时的评估是网络安全保卫的核心指标。这3个技术指标相互关联,缺一不可。
网络空间安全态势感知的发展分为“基本组件构建阶段”、“基本能力构建阶段”、“安全事件深度检测阶段”和“安全事件预测和溯源阶段”四个阶段。始于20世纪90年代末的“基本组件构建阶段”主要是研究、开发和部署基本的网络安全产品和工具,包括查杀病毒、入侵检测、防火墙等网络安全“老三样”设备,采用基本的安全策略等;始于21世纪初的“基本能力构建阶段”主要是在感知域上建立完备的数据采集、融合以及数据分析能力,基于监控数据进行实时的分析和展示,建立国家级的网络安全运营中心;始于近10年前的“安全事件深度检测阶段”主要是进一步加固关键基础设施网络组件,对各种安全事件,包括APT在内的复杂攻击进行准确、有效的检测,给出网络安全态势感知的实时量化分析;始于5年前的“安全事件预测和溯源阶段”主要是融合感知域和非感知域的、基于全网有效攻击检测、脆弱性分析的实时量化网络安全态势评估,对重大网络安全事件发展趋势进行分析和预测,对网络安全事件进行攻击溯源等。
网络安全态势感知系统的工作流程主要可以分为五大部分:一是数据获取,面向全网进行相关大数据采集、融合和管理;二是安全事件检测,基于所获取的数据进行网络安全事件检测;三是态势评估,基于事件检测结果所发现的安全事件进行网络安全态势评估;四是态势预测与溯源,基于安全事件检测所发现的重大安全事件进行预测和溯源,并与其他安全事件处置系统联动;五是态势可视化,以可视化的方式直观展示网络安全态势感知各个环节的结果。
本书是在贾焰和方滨兴的组织和策划下,由哈尔滨工业大学(深圳)计算机科学与技术学院、国防科技大学计算机学院和广州大学网络空间先进技术研究院等单位相关学者和专家,基于网络安全态势感知领域长期的科研和应用积累,以及广泛的资料调研和分析的基础上共同撰写的。
第1章网络安全态势感知研究背景由王乐和方滨兴负责执笔。该章重点介绍了网络安全态势感知的相关研究背景。讲述了态势感知由“有实无名”到传统态势感知,再到网络安全态势感知的概念发展过程,梳理了网络安全态势感知的作用。阐述了网络安全态势感知的形成过程,提出了网络安全态势感知的“全面感知、准确感知、实时感知”三个方面的要求。
第2章网络安全态势感知系统及案例由贾焰和王乐负责执笔。该章重点介绍了网络安全态势感知系统及案例,详细分析和阐述了网络安全态势感知系统的功能结构,以及实现网络安全态势感知系统的关键技术,分析了包括“龙虾计划”系统、YHSAS系统等在内的几个国内外典型的网络安全态势感知系统。
第3章网络安全数据采集与融合由顾钊铨和方滨兴负责执笔。该章重点介绍了涉及资产维度、漏洞维度、威胁维度的网络安全数据采集方法,讲解了对多源异构的网络安全数据的融合方法,论述了如何通过数据清洗、数据集成、数据规约、数据转换等方法,为分析师提供更有意义的网络安全数据,使其能更加有效地理解网络安全态势,检测潜在的网络攻击,预测网络安全态势的发展趋势。
第4章网络安全态势感知的认知模型由顾钊铨和贾焰负责执笔。该章从分析师理解网络安全态势的认知过程出发,介绍了多种常见的认知模型,提出了一种能对多源异构数据进行关联分析的MDATA模型,阐述了如何将MDATA模型构建的网络安全知识库应用到实用系统中,以实现针对网络安全态势全面、实时、准确的感知,给出了通过雾云计算架构对形成的网络安全知识库进行分布式协同计算的方法。
第5章网络安全态势感知本体体系主要由李润恒和贾焰负责执笔。该章首先建立了一个统一的概念体系,让所有参与态势感知的角色有统一的视角,其次介绍了网络安全态势感知的本体体系,定义了术语与术语间关系的一致性词汇集,定义了具有清晰语义的本体体系,包括网络安全态势感知的本体理论、相关的本体标准、基于MDATA的网络安全态势感知本体模型。
第6章网络安全态势评估的要素和维度由韩伟红和贾焰负责执笔。该章重点从漏洞、威胁和资产三个维度介绍了网络安全态势评估要素的选取方法。这三个维度分别从系统自身的脆弱性、由攻击造成的风险以及系统自身的资产价值等角度反映了网络安全态势。
第7章网络安全态势评估的方法主要由韩伟红和贾焰负责执笔。该章从定性评估和定量评估两个维度来介绍网络安全态势评估方法,其中定量的网络安全态势评估方法重点介绍了基于数学模型的量化评估方法、基于知识推理的量化评估方法和基于机器学习的量化评估方法。
第8章网络安全事件预测技术由李爱平和方滨兴负责执笔。该章介绍了网络安全事件预测的定义、背景、技术难点以及基本模型,讲解了传统的网络攻击预测技术,给出了基于知识推理的网络安全事件预测方法,以便于安全人员更好地预测网络关键资产即将面临的威胁。
第9章网络攻击溯源技术由李爱平和方滨兴负责执笔。该章介绍了网络攻击溯源的概念、研究内容和技术难点,讲解了传统的网络攻击溯源技术,提出了一种面向溯源的MDATA模型知识库构建技术,以及基于MDATA模型知识库的攻击溯源算法。
第10章网络安全态势可视化由李树栋和方滨兴负责执笔。该章介绍了网络安全态势可视化的意义和挑战,详细讲述了网络安全数据流分析的可视化技术、网络安全态势评估的可视化技术以及网络攻击行为分析的可视化技术。
另外,王晔负责全书的合稿和整理等工作,赵丽松、富军编辑对全书进行了认真的校对和修改。本书的撰写还得到了国内外相关专家学者和产学研单位的大力支持,在此一并表示感谢。
编著者