基于三域模型的网络安全预警防御体系研究

蒲江+李理

摘 要：随着网络技术的飞速发展及其向经济和社会的全方位渗透，一方面对世界范围内的经济社会发展产生了巨大的正面影响，另一方面则给网络空间安全带来了无法回避的更大威胁和挑战。网络攻击事件频发，网络犯罪日益严重，对国家安全构成威胁。在这种环境下，快速而准确的预警防御能力建设对网络安全而言至关重要。网络安全预警防御体系模型在整体安全策略的控制和指导下，形成了一个完整、动态的安全域，使信息系统具备早期预警防御并实施主动防护的能力。

关键词：网络安全；预警防御；主动防护

中图分类号： TP309 文献标识码：A

Abstract： With the rapid development of network technology and the economic and social all-round infiltration， on the one hand， to the world within the scope of the economic and social development has a hugely positive effect， on the other hand， has brought the network space safety is unable to avoid more threats and challenges. Cyber attacks are frequent， cyber crime is becoming more and more serious， and there is a certain level of the threats to national security. Rapid and accurate early warining defense in this environment are critical to network security.Basde on three domain model of network security defense early warning system model under the overall security strategy contrl box know， formed a complete and dynamic security domain， it is early warning defense and implementation of information systems have the ability of active defense.

Key words： network security； warning defense； active protection

1 引言

随着网络应用的快速扩展，网络安全威胁也日益严重，各种攻击的力度、智能化和持续性日益增长，网络面临的安全威胁呈现出了新态势。在这种环境下快速而准确的预警防御能力对网络安全而言至关重要[1]。

这里所谓的预警防御是指在实时监控网络攻击的基础上，通过识别网络攻击意图，综合评价网络安全状态并预测其发展趋势，力争在攻击实施的早期阶段发出警报，并提前采取适当的手段予以防御，以尽可能在攻击未产生实质性危害时加以遏制，将损失降到最低。

网络攻击预警是一个具有前沿性的研究方向。目前针对大规模网络安全预警系统研究，急需解决两个问题：一是如何由局部发生的网络攻击评估其对全局的影响；二是如何预测网络攻击方下一步可能采取的行动。这两个问题解决需要构建一个完善的网络安全预警防御体系，采用网络攻击意图识别、网络安全态势感知和网络安全协同技术等关键技术实现该体系框架。

2 网络安全威胁

自20世纪70年代美国建立ARPANET以来，互联网经历了四十多年的发展，发生了翻天覆地的变化，已经由最初的科研网络逐步演变成为与现实社会形成全息映射的网络空间。该空间正以强大的吸引力聚合着各种资源。随着网络应用的快速扩展，网络安全威胁也日益严重。

卡巴斯基实验室曾在2013年初，对2013年网络重大安全威胁做出预测，指出未来一年继续增长的针对性攻击、网络间谍攻击和国家级网络攻击将呈现加剧形式。正如其言，从2013年以来的安全形势不容乐观，主要呈现出几个特点。

2.1 DDoS攻击层出不穷

时至今日，网络的威胁已不再是恶作剧，而是以利益为驱动的定向攻击。随着这种安全形势演进，DDoS攻击也在不断发生变化，发生频率和手法不断提高，依然是最有效的网络恶意攻击形式之一。

2.2 APT攻击破坏力强

APT攻击是一类特定的攻击，指的是为了获取某個组织或国家的重要信息，有针对性地进行的一系列攻击行为。其主要特点是来自于组织、有特定目标、持续时间极长。这一特点充分体现了APT攻击的危险性，它主要是有组织地针对国家重要的基础设施和单位进行，而且具有持续性，可达数年。这种持续性使攻击者能够长期潜伏，直至收集到重要情报。

当前，APT攻击的发展趋势为攻击更具有针对性、更有破坏力，而对其判断却越来越困难，需要综合社会、政治、经济、技术等多重指标进行评估和分析目标，传统的防护手段已经失效，网络安全面临前所未有的挑战。

2.3 大数据是攻击的显著目标

大数据是伴随虚拟技术、云计算、物联网和数据中心等的发展而产生的。大数据应用的普及进一步促进了信息数据的跨域、跨境流动，涉及更多的隐含价值和敏感内容。它不仅仅是数据量的简单刻画，更主要的是指数据正在成为一种资产，美国将大数据定义为“未来的新石油”。大数据的价值决定了它必然是攻击的首选目标，大数据时代的到来使信息安全的建设面临新的挑战和要求。endprint

2.4 “棱镜门”使网络安全上升到国家层面

棱镜是一项由美国国家安全局负责主导实施的绝密电子监听计划。这项计划的主要内容就是允许国家安全局通过各种手段，对美国公民的各种网络通信内容、网络存储信息文档等资料进行深度的监听；对其他国家网络进行特定的入侵和情报收集。“棱镜门”事件表明，信息安全已成国家安全新战略制高点，网络与信息安全应上升为国家战略。

3 预警防御技术分析

为应对日益复杂化、智能化的网络攻击，研究人员提出了网络安全预警防御机制。经过多年努力，预警技术已经取得了很大进展。针对上文提到的两个问题，主要涉及到网络攻击意图识别、网络安全态势感知和网络安全协同技术等关键技术[2]。

3.1 网络攻击意图识别

1978年，Schmidet第一次提出规划识别问题（即意图识别）。经过三十多年的发展，出现了很多模型和方法。如基于解释的意图识别方法、基于决策论的意图识别方法、基于规划图分析的意图识别方法、基于概率推理的意图识别方法等。

在网络安全领域，多源信息融合领域的态势评估技术和人工智能领域的意图识别技术有强烈的应用需求和良好的发展前景。攻击手段的灵活多变使得通过低层次的系统事件或网络事件分析入侵者的攻击策略变得非常困难，而高层次的意图识别能够提供独立于具体攻击手段的高水平的分析平台。在意图分析层面上，入侵检测就变成使用各个异构的IDS协同工作去证实或者否定事先定义的各种意图假设。

3.2 网络安全态势感知

态势感知的概念最早来源于军事领域。态势的含义是指交战双方的兵力部署在战场环境中呈现的“体态”和“阵势”。态势感知包含态势觉察、态势理解、态势预测三个阶段的完整的态势评判过程[3]。

网络态势感知的概在最早由Bass于1999年提出。所谓网络态势是指由各种网络设备运行状态、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。值得注意的是，态势强调环境、动态性以及实体之间的关系，是一种状态、一种趋势，任何单一的情况或状态都不能称之为态势。

网络安全态势是网络态势的一个分支，是针对网络安全具体特点设计的模型和方法。它综合各方面因素，从整体上动态反映网络的安全状态，并对其发展趋势进行预测。目前的网络安全态势感知技术主要是根据耽搁或几个安全指标量化网络的安全状态，为用户理解当前的网络安全状态提供一定的参考。

3.3网络安全协同防护

网络安全协同防护设计的技术是多方面的。其目标是全面地了解和控制网络的安全状况，阻断负载网络攻击，并能协同各个安全系统进行联合防御。早期的相关研究主要是实现单一安全域内的安全数据共享、对异构安全设施的报警数据进行有效融合。目前则集中在大规模网络环境下跨安全域的预警技术，在互联网范围内实现网络安全数据协同分析的方向不是架构和关键算法[4]。

4 网络安全体系模型

网络安全问题不能简单地分解为若干种问题及其解决方法，必须上升到系统的高度，从网络安全系统工程的总体出发，建立网络安全技术体系结构和基本框架。网络安全防护是一个动态的过程，静态的防护模型不能适应分布式、动态变化的互联网网络环境，网络安全体系模型必须是动态的模型。动态性主要体现为入侵的实时监测、安全态势的动态评估等；主动性则体现为攻击意图的识别、入侵趋势及安全态势的预测、主动响应等[5]。

4.1 P2DR模型

P2DR模型由美国ISS公司提出，它是动态网络安全体系的代表模型，也是动态安全模型的雏形。P2DR模型包括策略、防护、检测和响应四个主要部分，如图1所示。防护、检测和响应组成了一个完整的、动态的循环，在策略的指導下保证系统安全。

P2DR模型是在整体安全策略的控制和指导下，综合运用防护工具的同时，使用检测工具了解和评估系统的安全状态，通过适当的反应将系统调整到最安全和风险最低的状态。

P2DR模型的主要三项缺点。

（1）缺少预警。它没有考虑安全周期的预警阶段，对网络攻击只能采用被动检测和“慢拍”的被动响应。

（2）不是真正的动态。模型的所有动态性建立在检测的基础上，且采用既定的响应策略，而不是根据攻击的威胁状况进行动态响应。

（3）安全策略粒度过大。模型为每一种安全产品定义检测、防护、响应策略，而不是针对系统的安全防御目标制定安全策略，这导致各种安全组件各自为政，策略间彼此没有动态关联，无法建立协调一致的安全控制机制。

解决以上问题必须增加预警功能，建立动态响应体系、重新定义安全策略。

4.2 预警防御三域模型

预警防御三域模型如图2所示。

模型中将安全防护空间划分为三个域，分别是物理域、信息域和认知域。物理域就是网络空间，部署于网络空间的各类网络设备和安全设备会产生大量的与安全相关的原始数据。这些数据经过归一化处理后，在经过虚警过滤、安全事件聚合、关联分析等处理，形成安全告警信息。这是一个由原始数据中提炼真正有价值安全信息的过程，将其归为信息域。

在安全信息的基础上，结合已有的专业知识、经验等，就可以对整个网络防护空间的安全状态和趋势加以评估、对黑客的攻击意图进行识别，进而对网络受到的安全威胁程度进行估算，并最终加以决策，令有效地防护行动作用于物理空间。

这是一个基于信息形成知识的过程，将其归为认知域。而贯穿三个域的，是安全策略的应用与管理。策略仍然是模型的核心所在。

5 结束语

预警防御系统体系结构设计是预警防御研究的基础。一个动态网络安全预警防御模型必须包含五个要素[6]。

（1）策略

理解信息系统的安全需求，制定主动防御的安全策略。该策略具体说明防护、检测、预测、响应的联动关系及处理方法，是实施网络安全主动防御的指南。endprint

（2）防护

保障信息及其系统的保密性、完整性、可用性、不可否认性，将相关安全技术分类，建立防护技术体系。

（3）检测

动态检测入侵及安全威胁，理解信息系统当前的安全状态。检查系统安全漏洞，实时检测单个入侵、协同入侵、大规模入侵，评估入侵事件的威胁程度，以利响应。

（4）预测

动态预测入侵事件，理解信息系统未来的安全趋势。预警安全威胁为调整防护和响应方案提供依据。

（5）响应

主动响应危及系统安全的入侵事件，防止危害蔓延和扩散。如果攻击造成一定后果，及时恢复，保障系统提供正常服务。

预警防御三域模型具有较强的是时序性和动态性，能够较好地反映出信息系统安全保障体系的预警能力、防护能力、检测能力、响应能力、恢复能力等。它使得信息系统具备跨域的数据共享和协同防护能力，可以发出预警信息并实施主动防护。

参考文献

[1] Piotr Kijewski.ARAKIS，-An early warning and attack identification system[C].The 16th Annual FIRST Conf， Budapest，Hungary：2004.

[2] 趙文涛.基于网络安全态势感知的预警技术研究[D].国防科技大学博士学位论文，2009.

[3] Williams L， Lippmann R， Ingols K. GARNET：A Graphical Attack Graph and Reachability Network Evaluation Tool[C].VizSec 2008， LNCS 5210， 2008：44-59.

[4] 杨兵，胡华平，金士尧.基于智能代理的对等主动网络预警模型研究[J].计算机研究与发展，2006，43：480-486.

[5] Huber M J，Durfee E H， Wellman M P. The Automated Mapping of Plans for Plan Recognition[C]. Proceedings of the Tenth International Conference on Uncertainty in Artificial Intelligence，1994：104-119.

[6] 张峰.基于策略树的网络安全主动防御模型研究[D].电子科技大学，2004.endprint