2023網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)綜述

目錄TOC\o"1-3"\h\u115981 3155591.1 357281.2 427829 63779 636172 685442.1 6117222.2 719322.3 8186792.4 830096 9180263 952083.1 9234953.2 9229753.3 10274513.4 10153754 108784.1 10252624.2 11153704.3 11176824.4 12151874.5 12292975 1221927(1) 1220420(2) 1332226(3) 1318200(4) 1313814(5) 1331305(6) 13269406結(jié) 13互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷發(fā)展和新應(yīng)用的不斷涌現(xiàn)使得網(wǎng)絡(luò)規(guī)模逐漸擴大,拓撲結(jié)構(gòu)日益復雜,理的難度不斷增加.為了應(yīng)對日益復雜、隱蔽的網(wǎng)絡(luò)威脅,各種檢測技術(shù)相繼出現(xiàn),如脆弱性檢測技術(shù)、惡意代碼檢測技術(shù)、入侵檢測技術(shù)等.這些技術(shù)試圖從不同的角度發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全問題,但在適時且全面地找出網(wǎng)絡(luò)系統(tǒng)中存在的真實威脅方面不夠理想和有效,限制了網(wǎng)絡(luò)安全管理員做出最佳響應(yīng)決策的能力.近年來,網(wǎng)絡(luò)安全態(tài)勢感知的概念逐漸引起研究人員的興趣,希望利用其從大量且存在噪聲的數(shù)據(jù)中辨識出網(wǎng)絡(luò)中的攻擊活動,宏觀地把握整個網(wǎng)絡(luò)的安全狀況,并合理、有效地進行響應(yīng),以盡可能地降低因攻擊造成的損失.這對于提高網(wǎng)絡(luò)系統(tǒng)的監(jiān)控能力和應(yīng)急響應(yīng)能力具有積極的作用.然而,目前人們對網(wǎng)絡(luò)安全態(tài)勢感知的研究仍處于探索階段,還未形成一致的認識.鑒于網(wǎng)絡(luò)安全態(tài)勢感知對網(wǎng)絡(luò)安全管理的積極作用,且目前該領(lǐng)域的研究尚在起步階段,本文試圖對網(wǎng)絡(luò)安全態(tài)勢感知的基本概念、研究內(nèi)容與難點、意見及目前的研究熱點進行綜述,具體貢獻如下.對網(wǎng)絡(luò)安全態(tài)勢感知的概念進行了重新表述,進一步明確了它的研究目標依據(jù)本文給出的網(wǎng)絡(luò)安全態(tài)勢感知定義對已有的概念模型進行分析,并在此基礎(chǔ)上給出了一個更為準確、合理的概念模型.對相關(guān)的研究內(nèi)容進行了分類討論,分析存在的問題探討了網(wǎng)絡(luò)安全態(tài)勢感知目前的熱點問題,進一步指出網(wǎng)絡(luò)安全態(tài)勢感知下一步的研究重點1節(jié)主要闡述態(tài)勢感知的概念及起源,重新表述網(wǎng)絡(luò)安全態(tài)勢感知的概念.2節(jié)~4絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解、網(wǎng)絡(luò)安全態(tài)勢覺察投射這3和存在的問題.第5節(jié)基于網(wǎng)絡(luò)安全態(tài)勢感知的目標探討這一領(lǐng)域的研究重點.最后是全文總結(jié)本節(jié)主要闡述態(tài)勢感知的概念,重新表述網(wǎng)絡(luò)安全態(tài)勢感知的概念,并對態(tài)勢感知與網(wǎng)絡(luò)安全態(tài)勢感知之間的關(guān)系加以分析.狀態(tài)是指一個物質(zhì)系統(tǒng)中各個對象所處的狀況,由一組測度來表征.顧名思義,態(tài)勢是系統(tǒng)中各個對象狀態(tài)的綜合,是一個整體和全局的概念.任何單一的情況和狀態(tài)均不能成為態(tài)勢,它強調(diào)系統(tǒng)及系統(tǒng)中的對象之間的關(guān)系[1].微觀而言,表征狀態(tài)的測度取值依賴于對應(yīng)系統(tǒng)的要素內(nèi)容,這些要素之間的關(guān)系如圖1所示,其中,原始數(shù)據(jù)是指傳感器產(chǎn)生的未經(jīng)處理的數(shù)據(jù),它反映的是原始數(shù)據(jù)的觀測結(jié)果信息是指對原始數(shù)據(jù)進行有效性處理后得到的數(shù)據(jù)記錄知識是指采用相關(guān)技術(shù)所識別出的系統(tǒng)中的活動內(nèi)容理解是指針對各個活動,分析得到的其意圖和特征狀態(tài)評估是指預(yù)測這些活動對系統(tǒng)中各個對象所產(chǎn)生的作用(當前、未來Fig.1Situationawarenesscognitivemapping1態(tài)勢感知的認知映射1可以看到,感知是一種“認知映射”.所謂認知映射是指決策者采用數(shù)據(jù)融合、風險評估及可視化等相關(guān)技術(shù)對不同地點獲得的不同格式的信息去噪、整合,從而得到更準確、更全面的信息,然后不斷地對這些信息進行語義提取,識別出需要關(guān)注的要素及其意圖,決策者可以實時、有效地評估其對系統(tǒng)產(chǎn)生的影響.態(tài)勢感知是指在一定的時間和空間范圍內(nèi)提取系統(tǒng)中的要素,理解這些要素的含義,并且預(yù)測其可能的效果[3].Endsley3個層面:態(tài)勢覺察(situationperception)、態(tài)勢理解(situationcomprehension)及態(tài)勢投射(situationprojection).根據(jù)這個定義,態(tài)勢感知可以理解為一個認知過程[4],通過使用過去的經(jīng)驗和知識,識別、分析和理解當前的系統(tǒng)狀況.分析人員對當前的態(tài)勢進行感知,更新“狀態(tài)知識”,然后再進行感知以最終構(gòu)成一個循環(huán)的映射過程.這個映射過程不是簡單的數(shù)據(jù)變換而是一種語義提取[5],因此,感知的過程表現(xiàn)為不斷地作認知映射以獲取更多、更詳細的語義.態(tài)勢感知是一個動態(tài)變化的過程,不同的人由于經(jīng)驗、知識等有所不同,得到的態(tài)勢感知不盡相同.態(tài)勢感知最早來源于美國軍方在軍事對抗中的研究.在軍事術(shù)語中,態(tài)勢感知的目標是使指揮官了解雙方的情況,包括敵我的所在位置、當前狀態(tài)和作戰(zhàn)能力,以便能做出快速而正確的決策,達到知己知彼、百戰(zhàn)不殆的目的[5].態(tài)勢感知方法在戰(zhàn)場指揮[6]、人機交互系統(tǒng)[7,8]、戰(zhàn)場指揮[5]和醫(yī)療應(yīng)急調(diào)度[9]等領(lǐng)域均有應(yīng)用.Bass1999年提出網(wǎng)絡(luò)態(tài)勢感知這個概念[10],次年將該技術(shù)應(yīng)用于多個NIDS檢測結(jié)果的數(shù)據(jù)融合分析[2],主要是解決單一入侵檢測系統(tǒng)無法有效識別出當前系統(tǒng)中存在的所有攻擊活動及整個網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢的問題.隨后,學術(shù)界開始致力于網(wǎng)絡(luò)安全態(tài)勢感知的研究,并提出了多種相關(guān)的模型和技術(shù).目前,人們對網(wǎng)絡(luò)安全態(tài)勢感知的研究存在3種觀點:一種認為NSSA是網(wǎng)絡(luò)安全事件應(yīng)用大數(shù)據(jù)處理和可視化技術(shù)的匯總結(jié)果,如傳統(tǒng)的安全服務(wù)提供商(McAfee,Symantec)及新出現(xiàn)的重點關(guān)心APT攻擊的企業(yè)(FireEye,Mandiant)等,通過公開一些技術(shù)報告記錄APT的攻擊實例[11,12];一種認為NSSA是基于網(wǎng)絡(luò)安全事件融合計算的網(wǎng)絡(luò)安全狀態(tài)量化表達[13,14];還有觀點認為NSSA作為一種網(wǎng)絡(luò)安全管理工具,是網(wǎng)絡(luò)安全監(jiān)測的態(tài)勢感知常被應(yīng)用在由觀察(observe)、導向(orient)、決策(decision)和行動(act)4階段構(gòu)成的一個控制過程環(huán)中(2所示).這類控制模型過去有很多研究成果,Boyd控制循環(huán)模型[15]、JDL數(shù)據(jù)融合模型[15]、Endsley1995年提出的模型[3]、龔正虎等人提出的網(wǎng)絡(luò)態(tài)勢感知模型[16]、addaJDLEndsley3層模型相結(jié)合的模型[17]以及劉效武提出的認知融合感控模型[18]等.認知認知 決策導向行動觀察Fig.2OODAdecisionmaking2OODA決策模型OODA環(huán)的概念直接來自Boyd控制循環(huán)模型,它描述了目的與活動的感知過程,并將感知循環(huán)過程分為觀4個階段.其中,觀察實現(xiàn)了從物理域跨越到信息域;判斷和決策屬于認知域;而行動實現(xiàn)信息域到物理域的閉合,完成循環(huán).3JDL數(shù)據(jù)融合模型;而行動階段考慮了決策對真實世界中的影響來閉合循環(huán),更適用于需要進行主動干預(yù)的環(huán)境中.LendersOODA應(yīng)用到企業(yè)網(wǎng)中,解決了之OODA模型中將判斷、決策的任務(wù)留給人們進行手動處理的問題[5].需要強調(diào)的是:這些研究得到的并不是態(tài)勢感知模型,而是態(tài)勢感知應(yīng)用模型,態(tài)勢感知的工作只涉及圖中認知域的活動,不涉及信息域和物理域的活動.因此,基于這些模型來直接代表態(tài)勢感知的概念是不合適的美國空軍通信與信息中心的Bass1999年首次提出將態(tài)勢感知技術(shù)應(yīng)用于多個NIDS檢測結(jié)果的數(shù)據(jù)融合分析,認為“多傳感器數(shù)據(jù)融合技術(shù)為下一代入侵檢測系統(tǒng)和網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)提供了一個重要的功能框架,它可以融合多源異構(gòu)IDS的數(shù)據(jù),”[2].文獻[2]沒有給出網(wǎng)絡(luò)安全態(tài)勢感知概念的明確定義,只是強調(diào)數(shù)據(jù)融合是態(tài)勢感知的核心手段.之后的研究中也很少有人直接對網(wǎng)絡(luò)安全態(tài)勢感知的概念進行直接的定義,而是使用意會的方式,這是導致這個領(lǐng)域研究中概念不統(tǒng)一的重要原因.文獻[1]探討了網(wǎng)絡(luò)安全態(tài)勢感知的概念,認為它是指“在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢”.這個定義基本上屬于Endsley定義[3]的翻譯,并且缺乏對網(wǎng)絡(luò)安全態(tài)勢感知中網(wǎng)絡(luò)安全態(tài)勢投射層面的內(nèi)容,對網(wǎng)絡(luò)安全態(tài)勢感知目標的理解是不完整的.文獻[4]將“網(wǎng)絡(luò)安全態(tài)勢感知視為態(tài)勢感知的一個子集,其主要關(guān)注的是網(wǎng)絡(luò)安全領(lǐng)域,IDS的警報、脆弱性信息等”.這個定義過于模糊,沒有明確子集的含義是針對功能還是針對數(shù)據(jù),也沒有明確網(wǎng)絡(luò)安全態(tài)勢感知是態(tài)勢感知結(jié)果的一部分還是功能的一部分.網(wǎng)絡(luò)安全態(tài)勢感知與態(tài)勢感知實質(zhì)上是類型和實例的關(guān)系而不是子集的問題,態(tài)勢感知既包括安全態(tài)勢感知,也包括工業(yè)控制態(tài)勢感知等,是使用同一種方法應(yīng)用在不同的領(lǐng)域.我們認為:網(wǎng)絡(luò)安全態(tài)勢感知的目的應(yīng)當是將態(tài)勢感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中,能夠使網(wǎng)絡(luò)安全人員在動態(tài)變化的網(wǎng)絡(luò)環(huán)境中宏觀把握整個網(wǎng)絡(luò)的安全狀態(tài),為高層管理人員提供決策支持.鑒于態(tài)勢感知是一種認知過程,且網(wǎng)絡(luò)安全態(tài)勢感知是態(tài)勢感知方法在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用,因此,我們可以將網(wǎng)絡(luò)安全態(tài)勢感知的概念定義如下.1.網(wǎng)絡(luò)安全態(tài)勢感知NSSA是對網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認知過程,包括對從系統(tǒng)中測量到的原始數(shù)據(jù)逐步進行融合處理和實現(xiàn)對系統(tǒng)的背景狀態(tài)及活動語義的提取,識別出存在的各類網(wǎng)絡(luò)活動以及其中異?；顒拥囊鈭D,從而獲得據(jù)此表征的網(wǎng)絡(luò)安全態(tài)勢和該態(tài)勢對網(wǎng)絡(luò)系統(tǒng)正常行為影響的了解.定義中需要解釋的是:網(wǎng)絡(luò)系統(tǒng)是對各種形態(tài)網(wǎng)絡(luò)的抽象,包括計算機互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及其他采用不同通信方式和終端類型的網(wǎng)絡(luò).這意味著不同類型的網(wǎng)絡(luò)在網(wǎng)絡(luò)安全態(tài)勢感知的概念和方法上是具有共性的.測量是對各種網(wǎng)絡(luò)檢測功能的抽象,包括網(wǎng)絡(luò)管理數(shù)據(jù)和網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù).其中,測量數(shù)據(jù)的生成不是NSSA的任務(wù),而這些數(shù)據(jù)的獲取則是NSSA的任務(wù).這意味著網(wǎng)絡(luò)安全態(tài)勢感知的研究目標與研究內(nèi)容與網(wǎng)絡(luò)管理和網(wǎng)絡(luò)入侵檢測等這些傳統(tǒng)的研究領(lǐng)域之間有著區(qū)分和不同的側(cè)重點.背景狀態(tài)是系統(tǒng)當前所處的運行狀態(tài),這是動態(tài)變化的,與系統(tǒng)之前的部署和定義可能是不一致的.“安全”只有在動態(tài)的系統(tǒng)中才有意義,因此,攻擊活動及安全缺陷對系統(tǒng)的影響效果,應(yīng)當基于系統(tǒng)當前的狀態(tài)進行判定.活動語義是系統(tǒng)中的主體作用于客體的動作所構(gòu)成的序列,要進行安全態(tài)勢察覺,管理人員應(yīng)當了解系統(tǒng)中存在的所有活動,不能僅止于辨識攻擊活動,即,要辨清敵我.響應(yīng)決策本身不是NSSA的任務(wù),因為態(tài)勢感知只是OODA的支撐技術(shù).這意味著安全響應(yīng)技術(shù)和安全策略管理技術(shù)等傳統(tǒng)上屬于網(wǎng)絡(luò)安全管理領(lǐng)域的內(nèi)容,不屬于網(wǎng)絡(luò)安全態(tài)勢感知的研究范疇.根據(jù)上述定義,NSSA3個層面.其中,態(tài)勢覺察完成原始測量數(shù)據(jù)的融合與語義提取任務(wù)以及活動辨識任務(wù),態(tài)勢理解完成這些辨識出的活動的意圖理解任務(wù),態(tài)勢投射完成這些活動意圖所產(chǎn)生的威脅判斷任務(wù).層與層之間存在依賴關(guān)系[19,20],即:如果網(wǎng)絡(luò)安全態(tài)勢覺察和網(wǎng)絡(luò)安全態(tài)勢理解沒有合理的結(jié)果,得到網(wǎng)絡(luò)安全態(tài)勢投射很可能也是不正確的或不完整的.但另一方面,每層的結(jié)果均可獨立呈現(xiàn)并直接使用,以滿足不同的網(wǎng)絡(luò)安全管理需要.這意味著網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)果及其表達方式具有多樣性,蘊含的語義粒度也可以隨需求的視角而不同.但是無論如何,網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)果應(yīng)當是可響應(yīng)的(reactionable),否則,缺乏實際意義.另外,網(wǎng)絡(luò)安全態(tài)勢感知是一個測量數(shù)據(jù)驅(qū)動的認知過程,測量數(shù)據(jù)的數(shù)量與質(zhì)量影響感知的結(jié)果.基于上述理解,我們給出網(wǎng)絡(luò)安全態(tài)勢感知的一般功能模型,如圖3所示.該模型包含網(wǎng)絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢覺察的主要目的是辨識出系統(tǒng)中的活動,即:對網(wǎng)絡(luò)中相關(guān)的檢測設(shè)備與管理系統(tǒng)產(chǎn)生RawData進行降噪、規(guī)范化處理,得到有效信息,然后對這些信息進行關(guān)聯(lián)性分析,識別出系統(tǒng)中有“誰”(系統(tǒng)中的主體、客體)存在,進一步分辨出異常的活動;網(wǎng)絡(luò)安全態(tài)勢理解的主要任務(wù)是在網(wǎng)絡(luò)安全態(tài)勢覺察的基礎(chǔ)上發(fā)現(xiàn)攻擊活動,理解并關(guān)聯(lián)攻擊活動的語義,然后在此基礎(chǔ)上理解其意圖;網(wǎng)絡(luò)安全態(tài)勢投射的主要任務(wù)是在前兩步的基礎(chǔ)上分析并評估攻擊活動對當前系統(tǒng)中各個對象的威脅情況.這種投射包括發(fā)現(xiàn)這些攻擊活動在對象上已經(jīng)產(chǎn)生和可能產(chǎn)生(即預(yù)測)的效果.通過將態(tài)勢感知的結(jié)果投射到確定的系統(tǒng)對象上,可以獲得該對象在當前態(tài)勢下的狀態(tài).盡管要感知的是系統(tǒng)中的活動,而感知的最終結(jié)果則應(yīng)表達為這些活動對系統(tǒng)對象的影響,不能僅止于活動的識別,因為系統(tǒng)因之而產(chǎn)生的反應(yīng)是施加于對象的,而不是直接施加于活動本身.這是一個再認識的過程,即:融合從系統(tǒng)中觀察到的各個對象的狀態(tài)以構(gòu)成態(tài)勢,再看這個態(tài)勢對系統(tǒng)各個對象的意義;理想情況下,網(wǎng)絡(luò)安全態(tài)勢感知將網(wǎng)絡(luò)安全狀況以可視化[2123]的形式表示成“誰在什么時候什么地方對誰產(chǎn)生什么樣的影響”(Who,When,Where,Impact).研究人員可以觀察在特定的時間段系統(tǒng)中某個攻擊活動的情況,也可以觀察所有活動的分布情況,這取決于具體的研究目標和需求,其中,Who是指辨識出的系統(tǒng)中的攻擊活動When是指攻擊活動在時間軸上的演化過程(偵查、隱藏、攻擊、后門利用Where是指攻擊活動的分布(即被管網(wǎng)絡(luò)中哪些主機和服務(wù)器已被攻擊Impact是指攻擊活動對被管網(wǎng)絡(luò)造成的影響,包括已造成的影響和潛在影響總之,網(wǎng)絡(luò)安全態(tài)勢感知的目標是了解自己,了解敵人(威脅).網(wǎng)絡(luò)拓 誰、什么時候信 什么地方產(chǎn)生的影 關(guān) Fig.3Networksituationawareness3本文的定義希望在足夠抽象的層面上盡量完整地體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知的目標和任務(wù),特別強調(diào)了網(wǎng)絡(luò)安全態(tài)勢投射對網(wǎng)絡(luò)安全態(tài)勢感知的意義,2節(jié)~4節(jié)中分別對各個層面的研究內(nèi)容與研究現(xiàn)狀進行歸納討論.網(wǎng)絡(luò)安全態(tài)勢覺察的基本任務(wù)是辨識出系統(tǒng)中的所有活動(包括攻擊活動)以及這些活動的規(guī)律和特征(即,圖4所示的活動建模).本節(jié)首先介紹網(wǎng)絡(luò)安全態(tài)勢覺察的一般模型,然后闡述在網(wǎng)絡(luò)安全態(tài)勢覺察中使用3個功能,如圖4所示.數(shù)據(jù)預(yù)處理完成測量數(shù)據(jù)的規(guī)范化和驗證,有利于后續(xù)的融合處理.之間的關(guān)聯(lián)性分析.覺察結(jié)果完成活動的辨識和特征提取.態(tài)勢覺察是一個學習過程,因此,活動建模和覺察結(jié)果之間存在反饋關(guān)系. 活動識 活動識 關(guān) 專家知 Fig.4Networksecuritysituationperception4目前,多數(shù)的研究集中在攻擊活動辨識方面,總體的解決思路如圖5所示.研究熱點有兩個:35.2.135.2.1.攻擊活動&Fig.5Attackactivitiesreconstruction5基于先驗知識的方法是基于專家經(jīng)驗和知識來定義知識庫,最常用的建模方法是基于場景的方法.該方法通過專家規(guī)則或知識來定義一個攻擊序列模板(5所示的步驟1)以描述可能的攻擊行為,然后將觀察到的警報按模板進行匹配,以還原攻擊過程.Cuppens等人[24]開發(fā)了LAMBDA語言來支持模板和匹配過程的描述.研究者[2529]通常將一個攻擊行為分為多個階段,IKCMulti-stageAttackModel[30].通過分析每個攻擊警報的語義,將經(jīng)過網(wǎng)絡(luò)配置信息和脆弱性信息驗證后的有效警報與已知的攻擊階段進行匹配,以識別整個攻擊過程基于攻擊場景的方法通常以有向圖的形式表示攻擊序列的模板,圖中的節(jié)點對應(yīng)著一個安全事件,邊表示事件之間的依賴關(guān)系,邊中的權(quán)重表示事件間轉(zhuǎn)換概率.該方法能夠高效地識別出已知的攻擊行為,但無法識別未知的攻擊行為,且還存在可擴展性較差的問題.不基于先驗知識的方法是通過數(shù)據(jù)挖掘、機器學習等技術(shù)分析警報之間的關(guān)系,以還原完整的攻擊過程.目前常用的建模方法有相似性方法、因果關(guān)聯(lián)方法及交叉關(guān)聯(lián)方法.這類方法由于不依賴預(yù)定義的攻擊模板,因此可以發(fā)現(xiàn)未知的攻擊行為.相似性方法認為相似警報的來源和產(chǎn)生的影響是相同的或相似的,它通過計算警報特征之間的相似程度對警報進行聚類(clustering)或聚合(aggregation)以減少警報的數(shù)量.目前,基于相似性的研究方法主要有兩種:屬性相似性方法和時序相似性方法.該方法的關(guān)鍵是定義適當?shù)南嗨贫攘繕藴?5所示的步驟3).文獻[31]定義了相似函數(shù),比較屬性相似程度聚合IDS的警報.而文獻[32]認為,同種故障產(chǎn)生的警報通常發(fā)生在一個較小的時間窗口內(nèi),提出基于時序的相似性方法聚合IDS的警報.相似性方法僅對每個警報的屬性進行處理,無法識別出警報間的因果關(guān)系,為此,該方法需要與其他模型相結(jié)合.文獻[33,34]分別將聚類算法和隱馬爾可夫模型(HMM)相結(jié)合,以分析最有可能的攻擊序列和識別攻擊的類型.Ning等人[35]和Lin等人[36]認為:攻擊的狀態(tài)不是獨立存在的,不同的攻擊階段是相互關(guān)聯(lián)的,之前的攻擊階段為后續(xù)的攻擊提供條件,這是因果關(guān)聯(lián)方法(52)的基本思路.但是他們的方法需由專家指定入侵的條件和結(jié)果,以構(gòu)建完整的攻擊前因、后果數(shù)據(jù)庫,可擴展性較差,不適用于大型網(wǎng)絡(luò).為此,文獻[3744]分別提出了數(shù)據(jù)挖掘方法、時間序列分析方法和機器學習方法挖掘警報之間的因果關(guān)系.這些方法既無需預(yù)定義知識庫也無需網(wǎng)絡(luò)的配置信息,就可以發(fā)現(xiàn)攻擊行為之間的因果關(guān)系和識別未知的攻擊行為.因果關(guān)聯(lián)方法的優(yōu)點是無需知道整個攻擊過程就可以構(gòu)造攻擊場景,但是它無法處理IDS漏報的攻擊行為,因此需要與其他方法相結(jié)合才能高效地工作.為了解決因果關(guān)聯(lián)方法的缺陷,提高關(guān)聯(lián)的準確性,文獻[4549]提出了交叉關(guān)聯(lián)的方法,將因果關(guān)系與背景知識相結(jié)合,實現(xiàn)攻擊場景的重建,有效解決了因果關(guān)聯(lián)方法的缺陷.該方法通常使用背景知識(5所示的相互補充的知識及步驟45),如網(wǎng)絡(luò)拓撲信息、脆弱性信息和主機配置信息等來融合、驗證IDS的告警,以提高警報的質(zhì)量,同時還可以分析告警的成功率和威脅程度,最終達到區(qū)分真實威脅和過濾誤報的目的.此外,文獻[5054]提出了基于入侵本體知識的方法和將本體知識和背景知識相結(jié)合的方法定義警報信息的語義,使用一系列預(yù)定義的語義推斷規(guī)則得到警報信息間的隱含關(guān)系,高效地重建攻擊過程.另外,還有研究人員提出multi-agentfuzzyconsensus態(tài)勢感知框架[55]、蟻群算法[56]篩選信息,并借鑒于大數(shù)據(jù)的處理能力,利用大數(shù)據(jù)提供的平臺和技術(shù)進行覺察分析,APT攻擊[57],進一步提高了察覺的準確性.縱觀現(xiàn)有的研究工作,我們發(fā)現(xiàn)目前網(wǎng)絡(luò)安全態(tài)勢覺察在攻擊活動的辨識方面仍存在著以下兩個問題覺察結(jié)果的精度.從覺察結(jié)果的正確性方面來說,IDS系統(tǒng)固有的缺陷(存在大量的誤報和漏報)對攻擊活動的重構(gòu)仍然有很大的影響.IDS的漏報會導致警報關(guān)聯(lián)性缺失,將一個攻擊活動分裂成兩個攻擊活動.從覺察結(jié)果的分辨率來說,攻擊活動產(chǎn)生的痕跡信息量越多,越容易關(guān)聯(lián);覺察的效率.從實時性方面來說,現(xiàn)階段的研究多采用離線的方式進行關(guān)聯(lián)性分析和攻擊過程重構(gòu),無法滿足入侵防御系統(tǒng)的快速響應(yīng)要求(即時的中斷、調(diào)整或隔離一些不正常或是具有危害性的網(wǎng)絡(luò)行為).從體系結(jié)構(gòu)的可擴展性方面來說,警報關(guān)聯(lián)系統(tǒng)存在的體系結(jié)構(gòu)可分為3類:集中式體系結(jié)構(gòu)、分布式體系結(jié)構(gòu)及層次化體系結(jié)構(gòu)[32].目前,多數(shù)的研究采用在“集中式”IDS警報,但隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,異構(gòu)的程度不斷增加,導致“集中式”關(guān)聯(lián)方法日益復雜,難以擴展.表1對上述各關(guān)聯(lián)方法存在的主要問題(未知的攻擊及漏報的假設(shè)推理等)進行比較,其中,√表示具備相應(yīng)的能力,×表示不具備相應(yīng)的能力Table1Comparativeanalysisofexisting1網(wǎng)絡(luò)安全態(tài)勢理解是基于識別出的攻擊活動及其特征,通過進一步分析這些攻擊活動的語義以及它們之間可能的關(guān)聯(lián)關(guān)系來推斷攻擊者的意圖,其主要任務(wù)包括識別這些攻擊活動的源頭、類型,并判斷攻擊者的能力、機會和攻擊成功的可能性等.為了有效地推斷攻擊者的意圖,目前,多數(shù)研究分別從攻擊行為本身和攻擊目的兩個方面進行分析.所謂攻擊行為預(yù)測是要分析攻擊行為間的邏輯關(guān)系,并以此來推斷攻擊行為的可能變化,其目的是通過對攻擊行為的理解來推斷其后續(xù)動作.常用的建模方法主要有馬爾可夫模型方法、時間序列分析方法、博弈論及機器學習方法等.馬爾可夫模型用馬爾可夫鏈刻畫一組狀態(tài),用轉(zhuǎn)移概率作為測度來描述狀態(tài)之間的關(guān)系.有研究者采用變長馬爾可夫模型(VLMM)和隱馬爾可夫模型(HMM)對攻擊者的行為建模,將一個攻擊階段視為模型中的一個狀態(tài),通過計算狀態(tài)之間的轉(zhuǎn)移概率來推測最有可能的攻擊動作.ang等人[58]從攻擊者能力、機會、意圖及行為等角度出發(fā),分別考慮了攻擊者的能力、脆弱性的可滲透程度及資產(chǎn)重要性等信息,判斷攻擊行為的變化情況.而文獻[5962]無需考慮上述信息,VLMMHMMIDS警報建模,計算轉(zhuǎn)移概率,分析攻擊趨勢.基于馬爾可夫模型的方法存在3個方面的局限:首先,該方法要求安全事件滿足馬爾可夫性的要求,即,要求多步攻擊的各階段連續(xù)且沒有攻擊步驟丟失;其次,該方法需要較長的觀測序列對HMM模型的參數(shù)進行訓練,否則不能保證模型訓練結(jié)果的正確性;最后,隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,攻擊行為之間的狀態(tài)轉(zhuǎn)移概率難以計算,可擴展性不理想.為了減少因使用大量數(shù)據(jù)集對模型的參數(shù)進行訓練而產(chǎn)生的開銷,Fachkha等人、KimPontes等人將時間序列分析技術(shù)[6365]DDos攻擊特征及行為變化.時間序列分析是一種動態(tài)數(shù)據(jù)處理的統(tǒng)計方法,它的本質(zhì)特征是相鄰觀測值的前后具有依賴性,即:T時刻發(fā)生的事件,預(yù)測T+1,T+2,…,T+n時刻的事件.盡管該方法可以減少訓練開銷,但是它卻無法有效處理大量的數(shù)據(jù)集,IDS每天生產(chǎn)的警報數(shù)量巨大,導致其性能較低;其次,從準確性角度來說,該方法對數(shù)據(jù)的生成過程需要嚴格的假設(shè),如滑動平均自回歸模型要求攻擊行為序列或其某級差分滿足平穩(wěn)性的假設(shè),影響預(yù)測的準確性.為了提高攻擊行為識別的準確性,文獻[66,67]將先驗知識和貝葉斯網(wǎng)絡(luò)相結(jié)合發(fā)現(xiàn)攻擊者的行為知識,該方法需要一定的先驗知識;文獻[6872]進一步提高了方法的適應(yīng)性,分別提出了偽貝葉斯網(wǎng)絡(luò)方法、自適應(yīng)的因果矩陣學習方法和決策樹學習等機器學習方法對攻擊行為建模,分析其可能的變化情況.盡管機器學習方法具有較好的收斂性和容錯能力,即使在網(wǎng)絡(luò)規(guī)模較大的應(yīng)用環(huán)境下也可以依賴較好的性能來處理大量數(shù)據(jù),但是該方法仍需要適當?shù)挠柧氁垣@得相應(yīng)的參數(shù),尤其是在分類過程中,需要獲得標記數(shù)據(jù).研究發(fā)現(xiàn),上述方法均可以有效地分析攻擊行為的可能變化,但在需要主動防御措施的網(wǎng)絡(luò)環(huán)境中,整個網(wǎng)絡(luò)的安全態(tài)勢隨著攻防雙方的交替行動而發(fā)生變化,僅知道攻擊行為如何變化遠遠不夠.為了較好地理解攻擊者的意圖,我們在知道攻擊行為如何變化的同時還應(yīng)采取有效的應(yīng)對方案,以便降低風險.為此,有研究者采用博弈論[73,74]來分析攻擊者的戰(zhàn)略思維,以便采取更好的防御策略,減少因攻擊而造成的損失.博弈論方法考慮了進攻方、防御方及普通用戶三方因素,綜合分析三方行為對被管網(wǎng)絡(luò)產(chǎn)生的影響.同時,它還可以根據(jù)攻擊方的行動空間給出最佳的加固方案.而上述其他方法僅從攻擊行為本身的變化角度分析攻擊方的意圖,未考慮到后兩者的作用.然而,隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,攻擊者的行動空間逐步復雜化,需要一定的近似處理,使得結(jié)果不一定準確,再加上還要考慮防御方和普通用戶的行動空間,使得該方法的處理負擔過大,缺乏可擴展性;其次,從準確性方面來說,該方法僅討論在最大最小策略下的應(yīng)對方案,未考慮混合策略下的納什均衡,使其準確性不一定最優(yōu).攻擊目的理解基于被管對象中資產(chǎn)的功能及重要性,據(jù)此推斷攻擊者的攻擊意圖和進行攻擊朔源ang等人[75]從被保護對象的角度出發(fā)分析攻擊者的目的,提出了使用動態(tài)后向傳播神經(jīng)網(wǎng)絡(luò)和協(xié)方差相結(jié)合的方法,基于當前每個主機的服務(wù)、攻擊活動、服務(wù)重要性等分析可能要遭受攻擊的服務(wù).ang等人[58]利用虛擬地形(virtualterrain)的概念對當前的網(wǎng)絡(luò)系統(tǒng)建模,性,VLMMIDS的警報,分析攻擊行為的變化情況,實現(xiàn)對攻擊意圖的綜合判斷.趙文濤等人提出了攻擊的分層認知模型[76],可實現(xiàn)對攻擊步驟、攻擊行為和攻擊過程的認知,更好地理解其攻擊意圖.文獻[77,78]通過構(gòu)建攻擊圖刻畫被管網(wǎng)絡(luò)內(nèi)的威脅路徑,并計算攻擊目標的最大概率攻擊路徑,這也可視為是對攻擊流的建模過程.攻擊圖從攻擊者角度出發(fā),綜合分析網(wǎng)絡(luò)配置信息、漏洞信息等,枚舉被管網(wǎng)絡(luò)內(nèi)的威脅路徑,直觀地表示被管網(wǎng)絡(luò)內(nèi)漏洞信息的關(guān)系.圖中的節(jié)點表示攻擊成功的可能性、攻擊目標的重要性及危害的嚴重性等,邊上的權(quán)重表示使用的攻擊方法及利用的漏洞等,綜合上述信息的流入、流出,實現(xiàn)狀態(tài)轉(zhuǎn)換,可用于刻畫攻擊的可能途徑或攻擊的可能進展.首先,從預(yù)測的準確性方面來說,相比博弈論和時間序列方法,馬爾可夫模型方法、機器學習方法主要是先從歷史數(shù)據(jù)中得到關(guān)聯(lián)規(guī)則,在此基礎(chǔ)上再進行分析.這種方案對已知的攻擊行為能足夠清晰和準確地分析出攻擊者下一步要采取的行動,而對于一些新的攻擊行為和相似攻擊行為的變體需要額外處理,準確性有待提高;其次,從上述預(yù)測方法的性能角度來說,攻擊活動是動態(tài)變化的,攻擊活動產(chǎn)生的痕跡等相關(guān)信息龐大,傳統(tǒng)的基于滑動窗口的批量處理方法不一定可行,無法擴展到實時的大規(guī)模的應(yīng)用場景.為此,需要實時地對警報進行優(yōu)化和聚類;最后,上述方法基于態(tài)勢覺察提供的直接觀察數(shù)據(jù),與相關(guān)背景數(shù)據(jù)和歷史數(shù)據(jù)的融合處理僅僅是初步和簡單的,因此在攻擊者身份識別與攻擊活動溯源等方面比較薄弱.網(wǎng)絡(luò)安全態(tài)勢投射的基本任務(wù)是基于識別出的攻擊活動,評估已經(jīng)出現(xiàn)的攻擊行為對被管網(wǎng)絡(luò)產(chǎn)生的危害和可能要發(fā)生的攻擊行為對被管網(wǎng)絡(luò)造成的潛在威脅.網(wǎng)絡(luò)安全態(tài)勢投射一般模型由投射準備、風險評估技術(shù)和網(wǎng)絡(luò)安全態(tài)勢投射結(jié)果這3方面的功能構(gòu)成6所示.投射準備將態(tài)勢理解的結(jié)果映射到實際網(wǎng)絡(luò)環(huán)境,確定被管對象面臨的有效威脅;風險評估技術(shù)用來判斷這些可能的威脅所產(chǎn)生的效果;態(tài)勢投射結(jié)果綜合判定系統(tǒng)中被保護的對象需要應(yīng)對的實際威脅及這些威脅活動對系統(tǒng)對象的危害情況.當前研究階段,存在靜態(tài)評估和動態(tài)評估兩種風險評估技術(shù):靜態(tài)評估是指在攻擊發(fā)生之前,主動地分析和評估被管系統(tǒng)中存在的風險和隱患,支持全面預(yù)防性的安全響應(yīng)決策;動態(tài)評估是指在攻擊發(fā)生之時,基于當前的安全警報進行實時評估和預(yù)判型評估,以支持有針對性的動態(tài)安全響應(yīng)決策.目前,這方面的研究內(nèi)容多集中在損失評估方面,即,分析相關(guān)攻擊活動對被管網(wǎng)絡(luò)已經(jīng)造成的危害.損失評估是指網(wǎng)絡(luò)安全人員根據(jù)網(wǎng)絡(luò)安全態(tài)勢覺察識別出來的攻擊活動和其他檢測設(shè)備的報告內(nèi)容,借助數(shù)學工具等模型,分析它對網(wǎng)絡(luò)、系統(tǒng)資源等諸因素已經(jīng)產(chǎn)生的影響.為了有效地進行評估,研究人員采用了眾多評估方法,傳統(tǒng)方法包括貝葉斯技術(shù)、基于知識的方法、人工神經(jīng)網(wǎng)絡(luò)、模糊邏輯技術(shù),引入的新理論有集對分析、D-S.我們將上述研究方法大致分為3類:知識推理方法、統(tǒng)計方法和灰度理論方法. Fig.6Networksecuritysituationprojection6基于知識推理的方法是憑借專家知識及經(jīng)驗建立評估模型,通過邏輯推理分析整個網(wǎng)絡(luò)的安全態(tài)勢,其基本思想是:借助概率論、模糊理論、證據(jù)理論等來表達和處理安全屬性的不確定性,通過推理匯聚多屬性信息.相關(guān)方法有兩類:一類是基于圖模型的推理,如貝葉斯網(wǎng)絡(luò)、模糊認知圖(fuzzycognitivemap,FCM)[79]等;另一類是基于證據(jù)理論的推理,D-S證據(jù)推理[80].其中,圖模型的推理方法是通過有向圖的狀態(tài)轉(zhuǎn)換來分析攻擊活動對網(wǎng)絡(luò)造成的影響.文獻[81]使用貝葉斯網(wǎng)絡(luò)對網(wǎng)絡(luò)中的“不確定因素”建模,計算攻擊成功的概率,實時地評估攻擊的嚴重程度.針對多目標優(yōu)化問題,Poolsappasit等人提出了一個風險評估方法[82],使得管理人員在資源有限的情況下也能做出較好的決策.但因網(wǎng)絡(luò)中的變量不是相互獨立的,導致計算聯(lián)合概率分布的成本較高,無法適用于大規(guī)模的網(wǎng)絡(luò)環(huán)境.為此,Aguilar等人結(jié)合了模糊邏輯與神經(jīng)網(wǎng)絡(luò)技術(shù),在認知圖[83]的基礎(chǔ)上提出了FCM的概念,利用它獲取網(wǎng)絡(luò)中重要資產(chǎn)的依賴關(guān)系[84]進行危害程度評估.基于圖模型的推理使用有向圖表示狀態(tài)轉(zhuǎn)換,圖中隱含了概率、轉(zhuǎn)換及推理相關(guān)知識,思路清晰,便于理解,但是在大多數(shù)情況下,變量之間不是相互獨立的,條件概率及權(quán)重矩陣的計算比較困難,加劇了推理的難度,且圖的存儲開銷較大,不適用于大型復雜的網(wǎng)絡(luò)環(huán)境.為此,文獻[85,86]設(shè)計了一個基于D-S證據(jù)理論的態(tài)勢評估架構(gòu),融合不確定信息進行不確定性推理,量化網(wǎng)絡(luò)的安全態(tài)勢.盡管評估過程中無需精確了解變量間的概率分布,在先驗概率難以獲得時D-S理論更加有效,但該方法仍具有一些缺陷[87]:(1)需要大量的先驗數(shù)據(jù)來確定基本概率分配函數(shù),同時要求證據(jù)間相互獨立,目標假設(shè)間互斥;(2)計算量比較大,有潛在的組合爆炸問題;(3)其證據(jù)組合規(guī)則具有組合靈敏性,基本概率分配的微小變化常會導致組合結(jié)果的巨大差異.統(tǒng)計分析的目的是綜合考慮影響網(wǎng)絡(luò)安全的態(tài)勢要素,構(gòu)建一個評估函數(shù),實現(xiàn)態(tài)勢要素和整個網(wǎng)絡(luò)態(tài)勢空間的映射王娟等人討論了態(tài)勢要素的組成與結(jié)構(gòu)[88常用的統(tǒng)計方法有權(quán)重分析方法和層次分析法(analytichierarchyprocess,AHP),該方法的關(guān)鍵是求得態(tài)勢要素的重要性權(quán)值.權(quán)重分析法基于資產(chǎn)在網(wǎng)絡(luò)的重要性,通過為網(wǎng)絡(luò)中的資源賦值分析威脅的危害情況[89,90].該方法的優(yōu)點是將網(wǎng)絡(luò)安全態(tài)勢覺察的結(jié)果直接作為態(tài)勢評定函數(shù)的參數(shù),拉近了數(shù)據(jù)融合層次之間的距離[1],但在評估過程中缺乏合理的量化標準,在權(quán)重賦值過程中具有較強的主觀性.為了克服這種主觀性,ang等人[91]通過統(tǒng)計攻擊者需要多少個不同0-day漏洞才能對系統(tǒng)造成破壞,來評估網(wǎng)絡(luò)的安全狀況.層次決策分析(analytichierarchyprocess)[92]由Satty等人提出,該方法將定性分析與定量分析相結(jié)合,種無結(jié)構(gòu)的多準則決策方法,通過思維過程的層次化和數(shù)量化,達到分析復雜問題的目的.陳秀真等人[13]采用自下而上、先局部后整體的策略建立層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估模型,在對報警發(fā)生頻率、警報嚴重性及其網(wǎng)絡(luò)帶寬耗用率進行統(tǒng)計的基礎(chǔ)上,采用逐層匯聚的方式對攻擊、服務(wù)、主機以及整個網(wǎng)絡(luò)的重要性權(quán)值進行加權(quán)以計算威脅指數(shù),據(jù)此評估安全威脅態(tài)勢.層次分析方法通過兩兩比較構(gòu)造判斷矩陣,該方法從定性過渡到定量環(huán)節(jié),依據(jù)經(jīng)驗估計的是相對權(quán)重比,而非絕對權(quán)重值,這在一定程度上降低了設(shè)置權(quán)重的難度,但仍無法擺脫人為的主觀判斷,且需檢驗判斷矩陣(反映了評估者的判斷思維)的一致性,這往往要反復多次[93,94].安全態(tài)勢的趨勢變化既有已知信息,也有未知和不確定信息,這種特點決定了安全態(tài)勢風險值的變化作為一個“灰色系統(tǒng)”而存在.灰色系統(tǒng)理論[95]以“部分信息已知,”的不確定性系統(tǒng)作為研究對象,并在此基礎(chǔ)上提取有用信息.灰色系統(tǒng)利用累加生成或逆累加生成的新數(shù)據(jù)進行建模,有利于找出數(shù)據(jù)的變化規(guī)律,具有弱化原始數(shù)據(jù)的隨機性、所需樣本少、短期預(yù)測精度高等特點.Juan等人[96]提出了將無偏灰度理論(unbiasedgreytheory)和馬爾可夫理論相結(jié)合的方法,分析網(wǎng)絡(luò)的風險變化情況.但是GM(1,1)適用于態(tài)勢變化為線性的短期線性時間序列分析,不適用于非平穩(wěn)隨機序列.研究發(fā)現(xiàn),網(wǎng)絡(luò)安全態(tài)勢具有隨機波動性的特點,且呈“S”曲線形狀[97].GM(1,1)的缺陷,Hu等人[98]提出了改進的自適應(yīng)灰度模型(improvedadaptivegreyverhulstmodel),對網(wǎng)絡(luò)安全態(tài)勢呈“S”曲線的情況進行分析.在網(wǎng)絡(luò)安全態(tài)勢投射研究過程中,多數(shù)文獻沒有考慮到成本因素.文獻[73,74,99,100]分別從損失成本的角度和響應(yīng)成本的角度分析了網(wǎng)絡(luò)的安全態(tài)勢投射,以期實現(xiàn)響應(yīng)成本和預(yù)算之間的均衡.從評估的準確性角度來說,同一攻擊活動在不同的層面具有不同的語義,如:SQL注入攻擊在指令層表示某個內(nèi)存單元污染,在網(wǎng)絡(luò)層的語義表示網(wǎng)絡(luò)會話中存在對受害者主機惡意的查詢.這種不同的表現(xiàn)使得我們需要跨層面進行評估[101],單純的單一層面的評估不能有效地量化產(chǎn)生的危害.從評估的粒度方面來說,現(xiàn)有的評估結(jié)果相對簡單.例如,可以考慮損失評估在時間和空間維度上的投射:時間維度考慮風險的發(fā)生和修復在時間上的約束,空間維度考慮風險的傳播范圍,即,在評估過程中需要考慮系統(tǒng)中資產(chǎn)的重要程度及依賴關(guān)系、脆弱性的等級、脆弱性可滲透的復雜程度等多種因素.由于評估具有很強的主觀性,目前缺乏不同評估方法之間的語義互操作性,這不利于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)之間的信息共享與協(xié)同.另外,我們還發(fā)現(xiàn),現(xiàn)階段的研究基本都集中在相對簡單的靜態(tài)損失評估方面,而從攻擊行為的可能變化角度進行動態(tài)評估的研究不足,包括預(yù)警分析.由于網(wǎng)絡(luò)安全態(tài)勢感知對于網(wǎng)絡(luò)空間安全的重要性,這個領(lǐng)域的研究與應(yīng)用日益活躍.例如美國國土安全部的先進研究計劃署HSARA20139月發(fā)布的網(wǎng)絡(luò)空間安全戰(zhàn)略研究計劃中[102],3個研究主題為網(wǎng)絡(luò)安全(networksecurity),其中有一個優(yōu)先發(fā)展方向為互聯(lián)網(wǎng)攻擊建模(modelingofinternetattacks).這個優(yōu)先發(fā)4項任務(wù)與網(wǎng)絡(luò)安全態(tài)勢感知之間有關(guān),包括開發(fā)滿足網(wǎng)絡(luò)安全態(tài)勢感知需要的數(shù)據(jù)采集、分類和存儲機制,開發(fā)新的網(wǎng)絡(luò)安全態(tài)勢可視化技術(shù),支持跨域的網(wǎng)絡(luò)安全態(tài)勢感知信息共享,實現(xiàn)不同時間粒度的網(wǎng)絡(luò)安全態(tài)勢感知以滿足從毫秒級攻擊自動響應(yīng)到APT檢測的不同需要.4個任務(wù)體現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知的發(fā)展方向,4個任務(wù),很典型地反映了網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的應(yīng)用目標.基于對網(wǎng)絡(luò)安全態(tài)勢感知基本概念的理解以及前面對這個領(lǐng)域相關(guān)研究進展的認識,我們認為,這個領(lǐng)域目前還面臨著如下一些需要解決的關(guān)鍵問題.網(wǎng)絡(luò)安全態(tài)勢感知所依賴的原始測量數(shù)據(jù)可以來源于不同型號、不同實現(xiàn)技術(shù)、不同開發(fā)與生產(chǎn)者的網(wǎng)絡(luò)運行管理系統(tǒng)、網(wǎng)絡(luò)安全管理系統(tǒng)、主機管理系統(tǒng)和應(yīng)用管理系統(tǒng),這些系統(tǒng)產(chǎn)生異構(gòu)的運行監(jiān)測數(shù)據(jù)和日志數(shù)據(jù),需要采用流式數(shù)據(jù)處理方式在不同的時間窗口內(nèi)完成融合處理任務(wù).目前,這方面的研究明顯是不夠的,現(xiàn)有的大數(shù)據(jù)分析技術(shù)雖