2.3　网络安全态势感知基本研究内容

网络安全态势是对网络运行状况的宏观反映,它反映了一个网络过去和当前的状况,并预测下一个阶段可能的网络状态。它的原始信息来自于该网络中的网络管理设备,网络安全设备,网络监管设备等。通过对这些数据进行数学处理、整合,产生可以反映网络运行状况的数值、图表。其研究目标是:将复杂、海量存在冗余的数据进行归并融合处理,将特征信息更加鲜明地表现出来。再通过图形化显示,更加直观地表现网络运行状况,大大简化网络管理员的工作量;数据通过归并简化后,减少存储历史数据时占用的空间,有助于利用历史数据对网络过去运行状况进行分析;通过分析数据和所发生网络事件之间的内在联系,帮助网络管理员预测下一个时间段可能出现的网络安全问题,可以提早预防和及时应对。

网络安全态势将被广泛地应用于下一代网络,对下一代网络安全告警水平的提高能够起到很好的辅助作用。通过网络安全态势系统建立,实时地关注全局网络的运行状况,配合安全评估专家系统可以对出现的安全问题及时响应,提供高效全面的解决方案。网络安全态势研究除了应用于下一代网络以外,对大型民用网络的管理也将会有很广泛的应用。它将各个子管理区域的安全信息汇总到网络管理中心,对提高网络管理效率,减少网络管理的代价有很好的帮助。

网络安全态势是一门综合的研究课题,它是在现有的安全管理技术的基础上进一步发展形成的。主要的研究内容包括以下方面。

(1)对原始事件的收集:将各种不同的安全设备发生的不同格式的安全日志、安全消息、安全告警信息收集,统一存放成标准化的数据格式,便于下一步的处理。

(2)对事件的关联和归并^[6]:它将收集到的海量数据进行关联分析,消除冗余的安全报警信息,整合存在内在关联的安全消息。最大限度地简化待处理的信息量。

(3)网络安全态势值的算法:安全态势值是一个通过数学计算得到的反映网络某个时间段内安全状态的数值。数值产生的算法是安全态势中的一个核心技术,算法要求快速、高效,能准确反映网络实际状况。

(4)网络安全态势评估方法^[7]:除了要产生安全态势值来反映网络是否安全外,还需要有相应的评估方法。它能够配合安全态势值告诉网络管理员可能发生怎样的安全问题,并且提供可能的解决方案。

(5)网络安全态势结果的存放、展现方式、动态显示也是安全态势研究中的一项重要内容^[8]。如何高效管理历史态势数据,如何实时显示当前态势数据,如何便于用户的查询、查看等问题,都需要进行专项的研究。

网络安全态势研究拟解决的关键性问题目前集中在态势统计分析引擎观测在所监控计算机安全域内的安全事件行为,并自适应地学习主体安全域的正常行为模式。当所观测的行为与所期望该主体的行为偏离显著时,就被标识为潜在的危险态势。