一个网空态势感知整合框架

1. 引言

网空态势感知过程可以看作包含态势观察、态势理解和态势预测3个阶段。

态势观察：提供环境中相关元素的状态、属性和动态信息。

态势理解：包括人们如何组合、解释、存储和留存信息。

态势预测：对环境（态势情境）中的元素在不就的将来的状态做出预测，设计在通过感知和理解所获得知识的基础上进行预测的能力。

为了做出合理的决策，需要回答的问题：

（1）是否存在持续进行中的攻击活动？如何存在，攻击者在哪里？

（2）可用的攻击模型是否足以用于理解所观察到的态势情境？

（3）是否能预测攻击者的行动目标？如果可以预测，怎么才能阻止攻击者达成攻击目标？

该框架采用自动化形式来解决传统上需要安全分析人员和其他人员大量参与的问题，旨在加强传统的网空防御过程。

理想情况下，我们设想从“人在环中”（人工干预）模式的网空防御方法，演进成“人在环上”（人工指导）模式的方法，其中安全分析人员只需要负责对自动化工具生成的结果进行检查验证或清理修改，而不是要对大量日志条目和安全告警进行梳理。

2. 网空态势感知过程

理想情况下，这类工具应该能够自动回答安全分析人员可能提出的关于当前态势情境、攻击活动的影响和演化、攻击者的行为、可用信息和模型的质量以及当前态势预计的合理可能的未来走向等方面的绝大多数问题。

七大问题：

（1）当前的态势情境。是否存在持续进行中的攻击活动？如果存在，入侵行动处于什么阶段，以及攻击者在哪里？

要能够对持续进行中的入侵行动进行有效检测，并识别出可能已经被控制的资产。

一方面，网空态势感知过程的输入有IDS日志、防火墙日志和来自其他安全监测工具的数据所标识。另一方面，网空态势感知过程的输出是当前侵入活动的详细描绘。随着入侵者不断侵入系统，如果不及时采取行动或更新滞后，这种类型的感知很快就不再适用。

（2）影响。攻击活动如何对组织和工作任务产生影响？能否对损害进行评估？

对持续进行的攻击活动到目前为止所造成的影响进行准确评估的能力。要进行评估，需要掌握组织机构的资产情况，以及对每个资产价值的评估度量。基于上述信息，态势感知系统需要输出攻击所造成的损害的预估。此类态势感知也必须频繁更新，以保持有效性。

（3）演化。态势情境会如何演化？是否能跟踪到所有的攻击活动步骤？

一旦检测到持续进行中的攻击活动，就要有能力对攻击性进行监测。此时系统的输入是“当前的态势情境”，输出是对攻击活动进展过程的细致理解。

（4）行为。攻击者会有怎样的行为？攻击者的策略是什么？
为了理解攻击者的行动目标与策略，需要具备对攻击者行为建模的能力。理想情况下，系统的输出是攻击者行为的一系列形式化模型（如博弈论模型、随机模型）。攻击者的行为可能随着时间的推移而变化，因此模型需要适应不断变化的对抗环境。

（5）取证。攻击者如何达到当前的态势情境？攻击者试图达到什么目标？

为了理解攻击活动是如何发起和演化的，需要具备在攻击事件发生后分析日志记录并与观察结果进行关联的能力。网络态势感知过程的输出包括对那些使攻击活动的发生成为可能的弱点与漏洞的详细理解。这些可以帮助安全工程师和管理员对系统配置进行防护加固，防止类似安全事件再次发生

（6）预测。能否预测当前的态势情境的合理的未来走向？

需要预测攻击者可能采取下一步行动的能力。输入涉及（1）或（3），涉及（4）以及对攻击者行为的理解。输出的是未来会成为现实的可能替换场景。

（7）信息。可以依赖哪些信息源？能否对它们的质量进行评估？

需要具备对所有其他分析任务所依赖的信息源质量进行评估的能力。在这一点上，态势感知过程的目标是细致了解如何在处理信息时对所有的不同信息源进行加权衡量。

通过对每个信息源做出可靠性评估，能够使自动化工具为发现的每个结果附上置信度评分。

综上所述，对于其中一些问题做出回答的能力，可能取决于回答其他问题的能力。预测攻击者可能采取下一步行动的能力，取决于对攻击者行为建模的能力。考虑到影响过程分析涉及庞大的数据量，需要的方法应当有效果而且应当高效率。如果不能及时做出决定，那么可能更应该在合理的时间内确定一套合适的行动方案，而不是执着于寻找最佳行动方案。

态势感知过程需要生成一个知识体并对其进行维护，该知识题为防御过程的所有主要功能提供信息，并经由这些主要功能（反馈）而得到增强。态势感知由不同的机制和工具组成，同时也被这些机制和工具所使用。

3. 实例分析

攻击图不能回答：那个漏洞有最大的可能性被攻击利用？那种攻击模式对网络所提供的服务影响最大？如何缓解风险？而这些正是网空态势感知整合框架所要回答的。

通过将依赖关系图与攻击图中包含的信息引入被称为攻击场景图的模型中，针对当前态势情境中的每个可能的未来结果，可以计算出持续进行中的攻击活动可能造成的未来损害的估算值。

依靠框架可以自动生成一个排序列表，其中列出供网络安全分析人员采取的最佳行动方案。

4.重要研究成果

4.1 基于拓扑的漏洞分析

为了保护关键信息基础设施，不仅必须了解系统漏洞的个体，还必须了解他们之间的相互依赖关系。虽然不能预测攻击活动的来源和发生时间，但通过了解网络中可能的攻击路径，可以降低攻击活动的影响。

基于拓扑的漏洞分析方法（Topological Vulnerability Analysis, TVA）

其核心元素是攻击图，它展现出攻击者渗透网络的所有可能方式。基于TVA方法，能够在总体的网络安全上下文环境中审视漏洞及其对应的防护措施，并通过攻击图对他们之间的相互依赖关系进行建模。

这种方法将原始的安全数据转化为路线图，从而能够积极主动针对攻击活动进行准备、管理漏洞风险并获得实时的态势感知状态。同时支持进攻性（渗透测试）和防御性（如网络加固）应用场景。

不同保护措施可能具有不同的成本或影响，管理可以根据这些变量来选择最佳选项。

同时并非所有的攻击活动都是可以预防的，及时采用了合理的保护措施，仍然存在一些残余漏洞。依靠IDS可以识别出实际的攻击实例，检测过程需要与残余漏洞联系起来，特别是基于拓扑漏洞分析所发现的通往关键网络资源路径上的漏洞。

一旦发现攻击活动，就需要综合的能力来做出响应。基于对网络中可能存在的漏洞路径的理解，可以采取措施减少攻击活动所产生的影响。基于TVA，可以用于跨平台和跨网络的网络攻击事件关联和聚合分析。

随着自动化工具的引入，将重复性较高且较耗时的任务转为自动化实现，安全人员的角色将转向更高阶的分析任务。

4.2 0Day攻击

基于攻击图能够列举出攻击者可用于渗透进入网络的潜在路径，有助于确定给的一组网络加固措施是否能为给定的关键资产提供安全保障。然而攻击图只能提供定性的结果，由此产生的加固建议只能是无效或无效。

为了解决这个局限性，基于网络安全度量的方法，通常会根据每个漏洞已知事实情况，将数字评分指派至漏洞，以表征漏洞的相对可利用性或被攻击利用的可能性。但这个方法对于0Day漏洞不适用。为此提出了一个0Day漏洞的安全度量指标，即 K-0Day安全阈值。这个度量指标基于攻击控制某一个给定网络资产所需的独特0Day漏洞数量。数值越大，标识相对越安全。但是k的确切取值同样是个棘手问题。

针对这个问题，提出了一组有效率的解决方案，将0Day分析实际应用于现实规模的网络。这种方法将按需生成的攻击图与K-0Day的评估结合在一起。首先，其实的问题是对一个给定的k值，然后需要识别出k取值的上界。最后，如果k取值足够大，则可以假设就0Day攻击而言，该系统足够安全。

由于自动化分析依赖于对0Day漏洞存在情况的假定，因此完全依赖于自动分析工具可能不是实现该能力的最佳选择，而“人在环中”的模式可能更具有优势。在这种情况下，这个解决方案可以看作是一个决策支持系统，而安全分析人员可以在整个工作流中发挥作用。

-------------------------------

对于0Day的判别防护，还是离不开高水平的安全分析人员。自动化工具只能用来剥茧抽丝，处理初始的数据，为分析人员提供辅助的数据支撑。

-------------------------------
4.3 网络加固

攻击图分析经过扩展后能够自动生成对网络进行加固的建议，包括通过改变网络配置，使网络能够抵御某些攻击，并防止攻击者达到攻击图的目标。在加固时要考虑对于网络条件组合进行加固，还可以生产关于某些成本概念的最优加固方案--- 在防止攻击成功的同事，将相关联的成最小化。但是加固数量便随着攻击图的规模增长呈现指数级的增长，实现最优网络加固的通用方案的数量也呈指数增长。

在此引入了一个形式化的成本模型来考虑强化措施的影响。