前　言

日益严峻的网络安全形势给传统的网络安全技术带来了挑战。源于战场态势感知领域的威胁与态势评估技术的引入,为从总体上解决认知网络安全的动态变化的难题提供了新的思路。

网络安全态势感知包括觉察(Perception)、理解(Comprehension)和预测(Prediction)三个阶段,通过定性或定量的网络安全评价体系对底层各类安全事件进行归并、关联和融合处理,并将获取的态势感知结果以可视化图形提供给网络安全管理员。网络安全态势评估是态势感知的核心,是对网络安全状态的定性定量描述。本书结合当前国内外网络安全态势感知与评估领域的研究现状,总结学者在态势评估研究领域近年来的成果,描述了网络安全态势评估体系的基本模型,重点介绍了相关的量化评估算法。

全书首先介绍了基于隐马尔可夫模型(Hidden Markov Model,HMM)的态势评估技术。将系统的安全状态、入侵报警事件分别与HMM的状态和观察符号相对应,给出了一种基于HMM的网络风险评估模型。该模型通过关联分析入侵检测系统产生的报警序列,计算各个主机的风险指数,进而对整个网络系统的风险状态进行定量评价。网络风险指数的计算方法简单且速度快,实验结果表明,该模型能够有效对网络系统的安全状态进行定量评估。

然后用隐半马尔可夫模型(Hidden Semi-Markov Model,HSMM)来模拟网络系统的实际运行,以网络防御系统捕获的报警数据作为研究数据源,实现对网络安全态势的评估。因为实际收集到的观测数据可能在同一个状态上发生无规律的驻留,HSMM修改了HMM模型关于系统在某个状态的驻留时间服从指数分布的假定,更适合于描述网络系统运行的实际情况。我们针对系统驻留时间的不同概率分布情况,分别选取了对数分布、负二项分布、几何分布和泊松分布进行了实验测试。其中系统状态驻留时间呈泊松分布时的安全态势评估结果反映了网络攻击的真实情况,黑客发起攻击前先进行探测,经过一段时间的休战,再进行攻击尝试,在黑客的持续攻击下,系统被攻破,实验结果与实际观测结果相吻合。同时,结合HSMM的前向-后向算法,给出了部分观测条件下的HSMM系统状态预测算法,将其应用于Honeynet网络安全态势评估中,得到了较好的评估效果。实验结果表明,由于HSMM可以对系统状态的驻留时间进行建模,非常适合于攻击情况复杂多变的网络系统的安全评估。

从博弈论(Game Theory)的观点来看,信息安全实际上是信息保护者(防御方)与入侵者(攻击方)之间的博弈。本书从博弈论的视角研究信息安全问题,建立了信息安全攻防博弈模型,提出了一种基于随机博弈模型的网络安全量化评估算法。利用安全管理员对网络设备的重要性评定来确定博弈参数,进行纳什均衡(Nash Equilibrium)分析,求得攻防双方的纳什策略(Nash Policy),从而获知网络处于不同安全状态的概率分布,最后可求出网络安全态势量分评估结果。本书提出的攻防双方的博弈模型,为解决现实中的信息安全问题提供了一种新的思路。

本书的研究工作得到了国家自然科学基金面上项目(编号:61471169)、湖南省科技计划重大专项(编号:2017SK1040)、湖南省重点研发计划项目(2017NK2400)、湖南省社会科学基金项目(编号:12YBB090)、网络侦查技术湖南省重点实验室开放研究基金、网络犯罪侦查湖南省普通高等学校重点实验室开放研究基金,以及湖南警察学院学术专著出版基金的大力资助。课题组成员鄢喜爱博士、张明键博士、罗熹博士和唐德权博士生在项目研究和书稿撰写中付出了大量心血,在此一并致谢。

网络安全态势感知作为一种新兴的安全技术,能够从整体上刻画目标网络的安全状态及其变化趋势,能够为网络安全管理员提供合适的安全加固方案,被越来越多地应用到网络安全的各个领域,成为下一代网络安全技术的焦点,为信息保障起到非常重要的作用。由于网络安全的复杂性,在态势感知与评估方面仍然需要进行大量的研究,加上作者知识和研究水平有限,书中难免会有疏漏或不当之处,恳请专家、学者不吝赐教。

作　者

2019年3月