。-可编辑修改-态势感知研究的方法论2011.02/中国信息安全/41CNITSEC焦点Focus文/中国科技大学网络态势感知研究中心王砚方态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语，态势感知已成为研究网络安全所必需解决的问题，但业内的专家对此可能有不同的理解。本文企望通过相关的介绍和分析提出一己的看法。“态势感知”概念的来源由于人的因素在动态系统（如飞机驾驶、空中交通管制、电力网管理等）中彰显出越来越大的重要性，M.R.Endsley在1995年提出人类决策模型，总结出包括采集、理解和预测三个层次的态势感知模型。此模型基于各元素间的确定关系，例如由飞机的航速、方位角及风速判断它的落地点和落地时间，机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。再如战斗机驾驶员根据空中环境的动态变化，按规定的程序作战场上的各种相应的战术动作。在自动控制设备运行时，遇到异常时操作员如何介入，也可按专家事先制定的方案进行。总之，Endsley模型是指导人——机器的互动的原则：如果用较多的人工，可以得到对机器设备状态的较多的感知，因而可使设备接近最佳的状态；而如果自动程度较高，可以节省人工，但操作员的感知较少，遇到不理想的情况就难以作出抉择，在这个问题上，Endsley模型就是要解决人工同自动化之间最好的折中。这种模型适用于处理简单的系统，专家的先验的成分较多。显然，它不适用于复杂网络。事实上自这个模型提出的十五年来，在许多方面开拓了研究，如人员培训、设计、工作团队协调等方法有不少成果。国内有学者把它作为通用的理论模型，提出基于流量和局域网的单机日志的数据融合，建立大规模网络安全的态势评估模型。到上世纪末，已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题，出现了把网络上安全传感器和计算机上的防入侵等设备同网络流控和管理结合起来的需求。1999年T.Bass提出了多台安全传感器和入侵检测设备的数据融合的原理和流程，称为Bass模型。Bass模型没有从网络本身的特点出发，而只是在数据融合技术方面就事论事。差不多从那时开始，已经有人认识到复杂网络中个体的非线性相互作用对于系统宏观行为的出现至关重要，它使得系统整体行为不能通过个体行为的简单叠加而获得。通常一个传感器既不能发现也不能确认一次攻击，只能简单地对某一次事件进行确认，而这一事件很可能只是一次攻击中的一部分。Bass模型显然没有达到解决网络安全问题所需要的理论的高度和深度。有一些作者把自己擅长的数据库和模式识别等技术结合Bass的数据融合方法，试图用模型预测网络安全趋势。自然这样的研究用到实际中的效果不容易令人满意。态势感知“探针”网络态势感知需要对实际网络进行测量，为了了解网络态势的变化，需要有一种实时性好的检测设备作为探针。因此，网络态势感知的必要条件是有一个符合要求的深度数据采集设备作为探针和分析器。在下文中称这种设备为“原型机”，它的主要功能和技术指标包括:1.处理海量流的能力。互联网通过各个节点传输数据流，对于一个端到端的数据流有可能是由一个乃至上千个并发连接（会话）组成，因此“连接”是检索网络数据传输中信息的最小的索引。合格的网络安全设备就要把连接的特征和属性全部记录下来，这种检验能力的指标是“并发连接”的数量和完整性。因为网络上的一些异常往往是由小概率事件引起的，这是复杂网络的一个特点，所以用采样方法是不合适的。实践证明，千兆位链路上需要有双向400万个并发连接，所以在万兆位骨干网上有双向6400万个并发连接就能满足目前在网络上实时感知的要求。2.精细分析的能力。通过深度数据包检测，提取流和连接的参数，并加以检索和匹配。重要的物理参数为源和目的地址、源和目的端口以及协议，即统称为“五元组”。为了感知网络的微观状态，原型机要做到尽可能多的逻辑参数的识别。目前我国自己制造的原型机已能标识19个参数，这也是国际业内的最好水平。3.协议识别能力。除了因特网的标准协议如TCP,UDP等外，对利用这些协议留出的协议段传播的非标准或私有协议是因特网繁荣发展的基础，但也往往是威胁网络安全的因素。原型机提取这些私有协议的特征（即指纹），实时地同机内的指纹库匹配检索，如果协议是有害的，便可及时处置。指纹库要有足够的容量，并需要更新维护。现有原型机的指纹库可以保持4000种最活跃的私有协议，并至少每月更新一次。4.灵活的配置和方便的部署方式，可靠的运行性能。原型机可按用户的要求设定阈限策略处置，并有串联和并联（镜像）两种部署。原型机的延迟、无故障运行时间等均应符合电信级设备的要求。5.业务分流能力。在精细地识别基础上，原型机可按预设的方式对流重定向，把相关的业务流分门别类地输送到后台处