1.4　研究背景

随着信息技术的发展,原本在战场上由人和机械的对抗延伸到网络环境及计算机空间(Cyberspace)中信息主导权的争夺上来,网络信息安全成为一个无法回避的问题。将短期的监测数据同长期知识库进行匹配,进而为决策制订和控制指挥提供支持,是对网络管理系统的功能需求。网络中为了防范恶意入侵所造成的信息资源的保密性、完整性和可用性的损失,多种异构异质的网络安全设备投入应用。多样的监测方式和事件报告机制提供了多源数据,也为信息融合技术的应用提供了数据环境。但是网络空间是一个复杂多维的环境,其本身存在的不确定因素以及检测对象的多变性,使得网络安全设备对网络的监管效率低下,对事件的误判和漏判等问题始终是该类设备发展中的瓶颈,更无法对事件进行融合处理进而提供决策层的支持。这些问题无法解决,使得网络安全管理系统也起不到应有的作用。

网络的使用者和维护者,希望实时地了解网络的运行状态,从而能够有效地感知网络的安全态势,并根据态势的变化作出相应的决策调整和制订应变策略。这种运行状态不仅仅是大量的底层数据和系统信息,而应是海量安全事件经过归并融合后形成的具体的高层态势信息^[78]。当前的网络安全保障或管理系统,由多质异构的安全设备组成。能够获取大量的安全数据,却缺乏有效的安全事件模型来融合这些数据。下一代的网络管理和安全设备将在统一的模型下交互,底层数据被融合成信息和知识。这样网络管理员就能够对网络中系统健康和实时安全作出有根据的决策。

国内近年来对信息安全的重要性越来越重视。在颁布的《国家中长期科技发展规划纲要》和《2006—2020国家信息化发展战略》等纲领性文件中均提了未来国内信息化建设的长远目标,将发展高可信网络作为重点,研发网络信息安全技术和相关产品。围绕着经典的网络安全模型,“863”重点安排了八项安全技术研发工作。而其中的“网络安全事件监控技术”及“UTM与网络安全管理”均提到了大型网络“网络安全态势”的未来发展。

当前网络安全态势感知的研究工作尚处于起步阶段,尚未形成一套合理的统一的评价体系。卡耐基·梅隆大学的CERT、麻省理工学院的Lincoln实验室、John Hopkins大学的APL等高校研究所也都开展了该领域的研究。CERT的网络态势感知研究组已经开发了系列的开源应用来支持大规模网络的战略态势感知的监视和分析技术,其目标为了定量描述威胁和跟踪定位入侵者的行为,从而感知网络安全态势。John Hopkins大学的APL认为网络安全态势感知是作为更高一级的网络管理而存在的。美国国防部在2005年的财政预算报告中就包括了对网络态势感知项目的资助,并提出分三个阶段予以实现^[79]。美国高级研究和发展机构(ARDA)在2006年的预研计划中,明确指出网络安全态势感知的研究目标和关键技术^[80]。这些国外的大学及科研机构在该领域的研究均不同程度地得到了军方的支持,足见网络安全态势感知研究的重要性。

本书的研究来源于下列项目的支持。

(1)国家自然科学基金项目:《计算机病毒应急响应关键技术研究》。

(2)湖南省科技计划项目:《拒绝服务攻击智能检测技术研究》。

(3)公安部应用创新计划项目:《公安网网络安全威胁分析与态势评估技术研究》。

(4)湖南省科技计划重大专项项目:《警务大数据安全管理及共享关键技术》。